.png)
Sou bastante novo na administração do Windows (Server 2008r2), mas estou montando um novo ambiente e configurando domínios do Active Directory.
Dividi meu sistema em 2 partes, gerenciamento (mgt) e operacional (ops). Ambos fazem parte do mesmo sistema, mas suas necessidades de disponibilidade são um pouco diferentes.
Decidi chamar meu sistema de "vmnet". Criei 2 domínios, vmnet.ops e vmnet.mgt.
Presumi que seriam domínios completamente separados, assim como os sites .com e .org.
Infelizmente, enquanto eu estava configurando um compartilhamento de arquivo em vmnet.mgt, percebi que um usuário com o mesmo nome em vmnet.ops NÃO precisava inserir credenciais para acessar o compartilhamento.
Então: 1) Pasta em um servidor de domínio mgt compartilhado para[e-mail protegido]através do compartilhamento do Windows. 2) Conectado em uma estação de trabalho de domínio de operações ([e-mail protegido]) e tente acessar a pasta compartilhada. 3) Permite-me entrar sem entrada de credenciais. 4) Observando as permissões da pasta compartilhada na caixa vmnet.ops, diz que é compartilhada com[e-mail protegido] 5) Olhando para a pasta compartilhada real da máquina vmnet.mgt, ela afirma que é compartilhada apenas com[e-mail protegido].
Parece haver sobreposição aqui. Domínios diferentes deveriam ter UID completamente diferentes? Nenhuma sobreposição? Ou eu errei e vmnet.ops e vmnet.mgt são o mesmo domínio e .mgt/.ops são irrelevantes?
Responder1
Se houver um usuário jake em cada domínio com a mesma senha, o jake de um domínio poderá acessar compartilhamentos no outro domínio porque a senha é a mesma. Funciona assim:
Se jake@domain1 estiver acessando recursos no domínio1, uma senha não será enviada ao sistema que hospeda o recurso porque jake obteve um token de segurança quando fez login no domínio, e o token de segurança é usado para obter acesso.
Se jake@domain1 estiver acessando recursos que NÃO estão no domínio1 (ou seja, no domínio2 ou em um sistema que não esteja em um domínio), ele passará o nome de usuário e a senha do jake para o outro sistema e se as credenciais corresponderem a um jake usuário nesse domínio ou computador, então Jake terá acesso a esses recursos.