Рейтинг:0

ADUC в домен вне леса?

флаг cn

Я пытаюсь настроить среду, в которой наша служба поддержки может получить доступ к нескольким нашим доменам AD с одного и того же сервера.

Итак, у нас есть этот сервер инструментов в домене-A, где установлен ADUC. Домен-B и домен-C находятся в разных лесах, но контроллеры домена доступны по сети.

Сотрудник службы поддержки делегировал доступ ко всем доменам, но с разными учетными записями пользователей и паролями. Мы не хотим создавать доверие между доменами.

Я попытался добавить удаленные домены в DNS и/или хост-файл сервера инструментов, а также запустил ADUC с «запуском от имени».

Там в любом случае?

Рейтинг:1
флаг cn

Если у вас есть правильный/полный доступ к сети, вам не нужно доверие. Вы можете открыть командную строку с другими учетными данными домена:

runas /netonly /user:DomainB\Имя пользователя cmd.exe

Затем запустите dsa.msc из этой командной строки, щелкните правой кнопкой мыши и подключитесь к DomainB. DNS, очевидно, необходимо настроить для этих доменов (домен-заглушка или сервер пересылки).

флаг cn
Это работает, но, возможно, дело в сервере, с которого они прыгают. Первая команда работает, и они могут аутентифицироваться. Однако затем они получают логин UAC, где им нужно написать свои учетные данные DomainA. После этого появляется cmd, и вы можете написать dsa.msc - это только начинается как черный ящик. Есть ли для этого oneliner? Или, может быть, PS с get-credentials?
флаг cn
Еще одно примечание: у нас есть серверы пересылки для доменов, и я вижу, что трафик LDAP отправляется и принимается, но все еще только «черный ящик» в виде dsa.msc, а затем обычный журнал Windows appcrash. Я могу запускать другие приложения через «запуск от имени cmd», например блокнот и т. д.
флаг cn
Если я отключу UAC, я получаю сообщение об ошибке «Информация об именах не может быть найдена, потому что: имя пользователя или пароль неверны»
флаг cn
Еще одно редактирование (не могу редактировать ответы через 5 минут, немного раздражает). Если я позволю приложению завершиться сбоем, чтобы запустился «пустой» ADUC, я смогу успешно изменить домен.
флаг cn
Изменить 9034: я решил это с помощью Powershell: `Импорт-модуль RunAs RunAs powershell.exe -netOnly -user $cred -arguments "dsa.msc /domain=DomainB"`

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.