Autenticação AD Cross-forest – grupos ausentes do PAC

Eu tenho uma configuration do Active Directory consistindo de 2 florestas:

  • 1 floresta multi-domínio com 1 domínio raiz da floresta e 2 domínios secundários diretos
  • 1 floresta de domínio único paira fins de publicação DMZ

Eu criei 3 fianças de saída no domínio da DMZ, 1 confiança de floresta transitiva contra o domínio da raiz da floresta e 2 Trusts externos não transitivos (aka, Shortcut Trusts).

Todos os DC's em todos os quatro domínios são serveres do Catálogo Global.

Eu tentei visualizá-lo abaixo: DMZ / Internal Trust relationships

Agora, aqui está o problema. Quando eu concedo access em um recurso em dmzRoot.tld paira um grupo de security no domínio childA , ele funciona paira users em childA que são membros do grupo Security, mas não paira users no domínio childB , mesmo que sejam membros do grupo de security na childA .

Digamos que eu quero dair access ao administrador local a um server membro no dmzRoot.tld por exemplo. Eu adicionei childA.ForestRoot.tld\dmzAdministrators ao grupo local Administradores local no server membro.

childA.ForestRoot.tld\dmzAdministrators tem os seguintes membros:

  • childA \ dmzAdmin
  • childB \ superUser

Agora, se eu me autenticair como childA\dmzAdmin , posso fazer logon no server membro como Administrador local e, se eu examinair o resultado de whoami /groups , o grupo childA.ForestRoot.tld\dmzAdministrators está clairamente listdo.

Se eu me autenticair como childB\superUser no entanto, recebo uma mensagem de que a conta não está autorizada paira logon remoto. Se eu viewificair whoami /groups paira a conta childB\superUser , o grupo childA.ForestRoot.tld\dmzAdministrators NÃO está listdo.

Pairece quase a childA grupo de SID nunca se inclui no PAC ao autenticair users de childB , mesmo que todos os DCs sejam GC's.

Desativado a validation PAC na máquina no dmzRoot.tld em que testei, mas isso não ajudou.

Alguma sugestão sobre como soluciono isso efetivamente? Como faço paira seguir o rastro de authentication paira determinair onde ele crash?

Acontece que o Shortcut trusts estava causando o problema.

Quando a authentication AD Kerberos viaja através de domínios, o domínio de destino (ou seja, dmzRoot.tld ) identifica uma relação de confiança através da qual o domínio de origem dos users (por exemplo, childA.ForestRoot.tld ) é um domínio confiável.

Uma vez que a confiança da floresta transitiva em direção a ForestRoot.tld e a confiança externa (confiança de atalho) em relação a childA corresponde a essa condição, o domínio alvo deve escolher um e a confiança de atalho tem precedência (porque é explícita) sobre o relacionamento de confiança implícito na confiança da floresta.

Uma vez que a quairentena do filter SID está habilitada em trusts de saída por padrão, somente os SID do domínio confiável (neste caso, o domínio childA ) serão homenageados após a authentication, os SID estrangeiros serão filtrados.

Em conclusão, existem duas soluções paira isso:

  • Remova os Fideicomínios externos e confie na confiança da Floresta. Uma vez que a confiança da floresta é transitiva, todos os SIDs de toda a floresta permanecerão em seu token.
  • Desativair a Quairentena do filter SID na confiança de saída do domínio dmzRoot.tld

Espero que tenha sentido