আমার 2 টি বন নিয়ে একটি অ্যাক্টিভ ডিরেক্টরি সেটআপ রয়েছে:
- 1 ফরেস্ট রুট ডোমেন সহ 1 টি মাল্টি-ডোমেন বন এবং 2 টি সরাসরি শিশু ডোমেন
- ডিএমজেড প্রকাশের উদ্দেশ্যে 1 একক-ডোমেন বন
আমি ডিএমজেড ডোমেনে 3 আউটগোয়িং ট্রাস্ট, ফরেস্ট রুট ডোমেনের বিপরীতে 1 ট্রানজিটিভ ফরেস্ট ট্রাস্ট এবং 2 এক্সটার্নাল অ-ট্রান্সজিটিভ ট্রাস্ট (ওরফে শর্টকাট ট্রাস্ট) তৈরি করেছি।
চারটি ডোমেনে সমস্ত ডিসি হ'ল গ্লোবাল ক্যাটালগ সার্ভার।
আমি এটি নীচে কল্পনা করার চেষ্টা করেছি:
এখন এখানে সমস্যা. আমি যখন ডোমেনে dmzRoot.tldকোনও সুরক্ষা গোষ্ঠীতে কোনও সংস্থার অ্যাক্সেসের অনুমতি দিই childA, এটি childAসুরক্ষা গোষ্ঠীর সদস্য থাকা ব্যবহারকারীদের জন্য কাজ করে তবে childBডোমেনে থাকা ব্যবহারকারীদের পক্ষে নয় , যদিও তারা সুরক্ষা গোষ্ঠীর সদস্য হলেও childA।
ধরা যাক আমি dmzRoot.tldউদাহরণস্বরূপ কোনও সদস্য সার্ভারে স্থানীয় প্রশাসককে অ্যাক্সেস দিতে চাই । আমি childA.ForestRoot.tld\dmzAdministratorsসদস্য সার্ভারে স্থানীয় বিল্টিন প্রশাসক গোষ্ঠীতে যুক্ত করি ।
childA.ForestRoot.tld\dmzAdministrators নিম্নলিখিত সদস্যদের রয়েছে:
- childA \ dmzAdmin
- childB \ superuser
এখন, যদি আমি এর হিসাবে প্রমাণীকরণ করি তবে আমি childA\dmzAdminস্থানীয় প্রশাসক হিসাবে সদস্য সার্ভারে লগইন করতে পারি এবং আমি যদি আউটপুটটি দেখে নিই whoami /groupsতবে childA.ForestRoot.tld\dmzAdministratorsগ্রুপটি স্পষ্টভাবে তালিকাভুক্ত।
তবে আমি যদি প্রমাণীকরণ করি childB\superUserতবে আমি একটি বার্তা পেয়েছি যে অ্যাকাউন্টটি দূরবর্তী লগনের জন্য অনুমোদিত নয়। আমি যদি অ্যাকাউন্টটির whoami /groupsজন্য যাচাই করি childB\superUserতবে childA.ForestRoot.tld\dmzAdministratorsগ্রুপটি তালিকাভুক্ত নয়।
এটি প্রায় childAপুরোদমে মনে হচ্ছে গোষ্ঠী এসআইডি কখনই পিসি-তে অন্তর্ভুক্ত হয় না childB, ব্যবহারকারীদের সত্যায়িত করার সময় , যদিও সমস্ত ডিসি জিসিরই হয়।
আমি dmzRoot.tld এ মেশিনে পিএসি বৈধকরণ অক্ষম করেছি যে আমি এটি পরীক্ষা করেছি, তবে এটি কোনও ফল দেয়নি।
আমি কীভাবে এটিকে কার্যকরভাবে সমাধান করব? যেখানে এটি ব্যর্থ হয়েছে তা নির্ধারণ করতে আমি কীভাবে প্রমাণীকরণের ট্রেইল অনুসরণ করব?