Zugriff auf die Netzwerkfreigabe von 2 verschiedenen Domänen

378
LPChip

Ich habe folgende Situation:

  • Ein eigenständiger Server, für den ein Ordner freigegeben ist (win 2k8 r2).
  • Ein Domänencontroller mit Terminalserver (2x Win 2016).
  • Ein weiterer Domänencontroller mit Terminalserver (2x Win 2016).

Die Situation ist, dass dies zwei Unternehmen sind, die früher zusammen waren und sich trennen. Beide benötigen Zugriff auf dieselbe Datenbank, die auf dem Stand-Alone-Server gehostet wird, und ich kann diese Daten auf keinen Fall teilen oder kopieren und auf die Domänencontroller übertragen.

Ich muss es irgendwie so machen, dass beim Anmelden am Terminalserver ein Laufwerksbuchstabe erscheint, der die Freigabe für diesen Server anzeigt, ohne den Server selbst zu identifizieren.

Ich habe die Freigabe so eingerichtet, dass ein Gastzugriff möglich ist. Wenn ich also die Freigabe im Explorer starte, wird eine Anmeldeaufforderung angezeigt. Aber unabhängig davon, was ich eingebe, komme ich rein.

Wenn ich Gruppenrichtlinien zur Zuordnung von Netzlaufwerken verwende, kann keine Verbindung hergestellt werden. Wie kann ich dies tun, da ich die Option nicht zur Eingabe von Anmeldeinformationen (veraltete Funktion) verwenden kann?

Ich habe überlegt, ein Anmeldeskript zu verwenden, aber das würde den Server verraten. Ich möchte das lieber nicht verwenden.

Ist es vielleicht möglich, auf die Freigabe vom DC selbst zuzugreifen, die Freigabe dann als neue Freigabe freizugeben und diese neue Freigabe in meiner Gruppenrichtlinie zu verwenden? Wenn ja, wie richte ich das ein?

Eine andere Methode, die Sie kennen, die hier funktionieren könnte?

0
Warum nicht lokale Konten verwenden? Overmind vor 5 Jahren 0
@Overmind, das ist das erste, woran ich gedacht habe, aber beide Domänen haben zu viele Benutzer. Das Einrichten eines Benutzers jedes Mal, wenn ein neuer Benutzer erstellt wird, funktioniert einfach nicht. Ich habe es mit einem Standardbenutzer versucht, aber vom GPO aus kann ich keinen anderen Benutzernamen einrichten. Ihre Antwort kann jedoch funktionieren. :) LPChip vor 5 Jahren 0

2 Antworten auf die Frage

1
Overmind

Sie können eine Gesamtstruktur-Vertrauensstellung mit den beiden Domänen erstellen (und ggf. eine VPN-Verbindung verwenden - falls der Split extern war).

Öffnen Sie Active Directory-Domänen und -Vertrauensstellungen

  • Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den Domänenknoten für die Gesamtstruktur-Stammdomäne, und klicken Sie dann auf Eigenschaften.

  • Registerkarte "Vertrauenswürdigkeit" -> Neue Vertrauensstellung -> Weiter.

  • Geben Sie auf der Seite Vertrauensname den DNS-Namen (oder NetBIOS-Namen) einer anderen Gesamtstruktur ein und klicken Sie dann auf Weiter.

  • Seite Vertrauensart -> Gesamtstrukturvertrauensstellung -> Weiter.

  • Führen Sie auf der Seite Vertrauensrichtung einen der folgenden Schritte aus:

Um eine bidirektionale Gesamtstrukturvertrauensstellung zu erstellen, verwenden Sie die bidirektionale Verbindung.

Benutzer in dieser Gesamtstruktur und Benutzer in der angegebenen Gesamtstruktur können auf Ressourcen in beiden Gesamtstrukturen zugreifen. Um eine einseitige eingehende Gesamtstrukturvertrauensstellung zu erstellen, wählen Sie Einweg: eingehend aus. Benutzer in der angegebenen Gesamtstruktur können nicht auf Ressourcen in dieser Gesamtstruktur zugreifen. Verwenden Sie One-Way: Outgoing, um eine einseitige, ausgehende Gesamtstrukturvertrauensstellung zu erstellen.

Benutzer in dieser Gesamtstruktur können nicht auf Ressourcen in der angegebenen Gesamtstruktur zugreifen. Fahren Sie mit dem Assistenten fort.

Weitere Informationen finden Sie hier und hier .

Funktioniert dies auch, wenn sich der Standalone-Server nicht in einer Domäne befindet? Ich meine, ich könnte es theoretisch zu einer eigenen Domäne machen, aber wenn es ohne sein könnte, wäre das besser, denke ich. LPChip vor 5 Jahren 0
Der Zielserver sollte sich in einer der Domänen befinden. Wenn Sie möchten, dass dies nicht der Fall ist, verwenden Sie einfach ein lokales Konto des Servers, um von beiden Domänen darauf zuzugreifen. Dies ist jedoch für die Benutzer weniger komfortabel. Overmind vor 5 Jahren 0
Ich konnte das nicht zum Laufen bringen, aber mein Ansatz schien am Ende zu funktionieren, was im Grunde ein Anmeldeskript ist, um zuerst eine Verbindung zum Laufwerk herzustellen, und dann eine Gruppenrichtlinie, um die Verbindung ein zweites Mal herzustellen. Das Problem mit Ihrer Frage ist, dass ich den einsamen Server aus Sicherheitsgründen nicht zu einem Teil einer Domäne machen konnte. Dann stieß ich auf DNS-Probleme, die nicht in der Lage waren, ein Vertrauen zwischen den beiden zu erstellen. Vielen Dank für die Hilfe. +1 für die Anstrengung LPChip vor 5 Jahren 0
0
LPChip

Ich konnte dieses Problem mithilfe eines Anmeldeskripts lösen, um das Netzlaufwerk zuzuordnen, und es anschließend mithilfe von Gruppenrichtlinien entfernen und erneut zuordnen.

Wenn die Verbindung einmal vorhanden war, hatten Gruppenrichtlinien keine Probleme, eine andere Verbindung herzustellen.

Verwandte Probleme