Ist es möglich, einem Benutzer der Domäne A zu erlauben, ohne Vertrauensbeziehung in die Domäne B-Dateifreigabe zu schreiben?

1716
Silthias

Derzeit arbeite ich mit zwei Windows 2008-Servern, die jeweils in vollständig separaten Domänen ausgeführt werden, ohne dass eine Vertrauensbeziehung zwischen ihnen hergestellt werden kann.

Um einen Weg zu finden, muss ich einen Dienst auf "Domain Controller A" haben, der in ein Fileshare auf "Domain B" schreiben kann.

Ich kann ein Laufwerk von Domänencontroller A zu "Domäne B" (\\ Ordner) mit einem Konto aus Domäne B (Domäne_B \ Konto) zuordnen. Ich kann jedoch den Dienst auf dem Domänencontroller A unter diesem Konto nicht ausführen, da Domain_B \ Account von ihm nicht authentifiziert werden kann.

Gibt es eine Möglichkeit, dies zu tun, abgesehen von den Berechtigungen für "\\ Folder", um Lese- / Schreibzugriff für das EVERYONEKonto zuzulassen, was ich aus offensichtlichen Sicherheitsgründen nur ungern tun möchte?

1
Sie müssen den Dienst neu programmieren, um Identitätswechsel oder nur bestimmte Anmeldeinformationen zu verwenden, wenn Sie mit dem Domäne-B-Server arbeiten. Auf diese Weise kann es als ein Benutzer ausgeführt werden, kommuniziert jedoch mit Domäne B als einem anderen. Ƭᴇcʜιᴇ007 vor 10 Jahren 0
Ich gehe davon aus, dass Sie den Dienst umprogrammieren, wenn Sie auf einer Codierebene sprechen, und nicht etwas, das von einem sys-Administrator ausgeführt werden kann. Ist der Kommentar zu bestimmten Anmeldeinformationen auch derselbe oder beziehen Sie sich auf eine andere Methode? Grundsätzlich habe ich keine Möglichkeit, auf die Funktionsweise des Dienstes zuzugreifen oder diese zu ändern, nur das Konto, unter dem der Dienst über services.msc läuft Silthias vor 10 Jahren 0
Ja, leider meinte ich, dass Sie den Dienst neu programmieren müssen. Wenn Sie dies nicht können, kämpfen Sie gegen die Sicherheit von Windows, wenn Sie versuchen, dies auf andere Weise zu tun, um diese Art von nicht vertrauenswürdiger, domänenübergreifender Kommunikation zu verhindern. Das Hinzufügen der Gruppe "Jeder" ist wahrscheinlich nicht ausreichend, da die Gruppe "Jeder" nur "Jeder" in der Domäne (oder in vertrauenswürdigen Domänen) umfasst. Eine Domäne vertraut den Anmeldeinformationen der anderen nicht, es sei denn, Sie geben sie bei Bedarf manuell ein (durch Neuprogrammierung) oder führen eine Domänenvertrauensstellung ein, von der Sie behaupten, dass Sie dies nicht tun können. Ƭᴇcʜιᴇ007 vor 10 Jahren 0
Aber wer weiß, vielleicht hat jemand eine brauchbare Lösung. :) Ich warne Sie nur, dass Sie (aus meiner Erfahrung) kein Glück haben. Ƭᴇcʜιᴇ007 vor 10 Jahren 0
Verdammt, ich dachte, das könnte der Fall sein. Ich vermute, hatte aber gegen die Hoffnung gehofft, dass es einen Weg gab. Danke dir. Silthias vor 10 Jahren 0

1 Antwort auf die Frage

0
Sam

Eine Lösung:

(Beachten Sie, dass dies auf einem Domänencontroller nicht funktioniert, da sie nicht zwischen AD- und lokalen Anmeldungen auf einem Domänencontroller unterscheiden.)

  1. Erstellen Sie auf Computer A einen lokalen Benutzer, z. B. ComputerA \ SharedServiceUser
  2. Erstellen Sie auf Computer B einen lokalen Benutzer mit genau demselben Benutzernamen und Kennwort, z. B. ComputerB \ SharedServiceUser
  3. Legen Sie Berechtigungen für die Freigabe auf Computer B für den auf ComputerB erstellten lokalen Benutzer fest
  4. Stellen Sie den Dienst auf ComputerA so ein, dass er als lokaler Benutzer auf ComputerA ausgeführt wird

Dies funktioniert, weil Windows-Kennworthashes nicht funktionieren. Wenn der Dienst auf ComputerA seine Identität als. \ SharedServiceUser mit Hash als Kennwort an das Netzwerk überträgt, stimmt er daher mit der lokalen Benutzeridentität in ComputerB. \ SharedServiceUser überein

Verwandte Probleme