Comments 5
Вот вроде и полезная статья, однако привкус какой то остается.
Я не буду спрашивать почему при таком тесном взаимодействии лесов два.
1. Синложи наверняка принадлежит какой то конкретной организации относящейся к какому то конкретному домену, почему доступ туда просто не прописан группами этого домена? Это сильно бы упростило управление.
2. Шару синлоджи можно же опубликовать через какой нить виндосервер, и уже на нем нарезать права без лютого бреда с икаклом и цмдшниками.
Ну и замечание про картинки — это лютый капец. Я понимаю, что и хочется показать как и гемморой лечится, и лишнюю инфу не слить. С такими картинками у Вас ни то, ни другое не получилось.
Я не буду спрашивать почему при таком тесном взаимодействии лесов два.
1. Синложи наверняка принадлежит какой то конкретной организации относящейся к какому то конкретному домену, почему доступ туда просто не прописан группами этого домена? Это сильно бы упростило управление.
2. Шару синлоджи можно же опубликовать через какой нить виндосервер, и уже на нем нарезать права без лютого бреда с икаклом и цмдшниками.
Ну и замечание про картинки — это лютый капец. Я понимаю, что и хочется показать как и гемморой лечится, и лишнюю инфу не слить. С такими картинками у Вас ни то, ни другое не получилось.
Отвечаю по пунктам:
1. Если вы попытаетесь включить в Security Universal группу пользователей соседнего доверенного леса, то у вас это не получится.
2. А чем вам это поможет? Все равно шара будет находиться на synology, которая не даст возможности PoSh нарезать эти права.
Развитие идеи с группами для одного домена конкретного леса, скажем нарезав только в корневом домене, явно требует осмысления, спасибо.
Картинки при случае постараюсь поправить, но концепт и смысл они отражают полностью: лучше делать все единообразно, чтобы потом с легкостью использовать в скриптах.
1. Если вы попытаетесь включить в Security Universal группу пользователей соседнего доверенного леса, то у вас это не получится.
2. А чем вам это поможет? Все равно шара будет находиться на synology, которая не даст возможности PoSh нарезать эти права.
Развитие идеи с группами для одного домена конкретного леса, скажем нарезав только в корневом домене, явно требует осмысления, спасибо.
Картинки при случае постараюсь поправить, но концепт и смысл они отражают полностью: лучше делать все единообразно, чтобы потом с легкостью использовать в скриптах.
Для пользователей из леса с которым, есть доверительные отношения используется группа типа Domain local. Не слишком наглядно, но тем не менее отлично работает. Даже с тройным не транзитивным треугольным лесным доверием.
В предложенном мной варианте с Synology публикуется не как шара, а как iSCSI хранилище. Хранилище презентуется в любой Windows Server, в нем же создается том, сразу с поддержкой дедупликации, а права на файловой системе режутся уже самой виндой. Все остальное автоматизируется без лишних костылей. Конечно это лишняя точка отказа и недоступности, но преимущества и легкость управления, по-моему, это с лихвой компенсируют.
Ну и так, чисто о терминологии и картинках:
По тексту не указывается, что ZG, FB, HU, KC являются поддоменами, если смотреть на картинку (если это домены второго уровня, то связь должна быть с вершины корневого домена). В то время как на одном из запортаченных скриншотов имя домена начинается на la*, а его упоминания в статье нет.
Попробуйте дать вычитать статью другу ИТшнику не знакомому с вашей инфраструктурой, и попросите что бы он объяснил что же Вы сделали и как.
Но за труд, всеравно, спасибо.
В предложенном мной варианте с Synology публикуется не как шара, а как iSCSI хранилище. Хранилище презентуется в любой Windows Server, в нем же создается том, сразу с поддержкой дедупликации, а права на файловой системе режутся уже самой виндой. Все остальное автоматизируется без лишних костылей. Конечно это лишняя точка отказа и недоступности, но преимущества и легкость управления, по-моему, это с лихвой компенсируют.
Ну и так, чисто о терминологии и картинках:
По тексту не указывается, что ZG, FB, HU, KC являются поддоменами, если смотреть на картинку (если это домены второго уровня, то связь должна быть с вершины корневого домена). В то время как на одном из запортаченных скриншотов имя домена начинается на la*, а его упоминания в статье нет.
концепт и смысл они отражают полностьюУвы, они это делают только в Вашем сознании. Мы же, не знакомые с нюансами, видим просто труднособираемые обрывки.
Попробуйте дать вычитать статью другу ИТшнику не знакомому с вашей инфраструктурой, и попросите что бы он объяснил что же Вы сделали и как.
Но за труд, всеравно, спасибо.
Сергей, вам спасибо за замечания. Картинки исправлю, как обещал.
Вариант с iSCSI хранилищем — любопытен, но в моем случае его просто некуда мапить. Отдельного сервера файлопомойки — нет (цена лицензии MS в HA кластере и т.п.).
А вот по замечанию «права режутся самой виндой» — готов поспорить )). Cамо оно ничего не сделается. Если знаете какую-то автоматизацию разграничения прав под кросс-доменам/деревьям, прошу порекомендовать, думаю не только мне интересно будет. Группу Domain local выбрать при назначении прав — не удается, хотя в материалах указывали что это должно работать. Попробуйте сами, хоть в тестовой песочнице ))
Вариант с iSCSI хранилищем — любопытен, но в моем случае его просто некуда мапить. Отдельного сервера файлопомойки — нет (цена лицензии MS в HA кластере и т.п.).
А вот по замечанию «права режутся самой виндой» — готов поспорить )). Cамо оно ничего не сделается. Если знаете какую-то автоматизацию разграничения прав под кросс-доменам/деревьям, прошу порекомендовать, думаю не только мне интересно будет. Группу Domain local выбрать при назначении прав — не удается, хотя в материалах указывали что это должно работать. Попробуйте сами, хоть в тестовой песочнице ))
Про «права режутся самой виндой» говорилось, что когда презентовано iSCSI хранилище, то томом полностью управляет винда. Синлоджи видит это как датастор без подробностей о внутренностях.
Нет автоматизаций данного процесса кроме самописных если вы бедны, для совсем богатых существуют решения IdM, но даже там это нужно нужно и долго настраивать. Зато гарантированный порядок.
Про группы мне нет необходимости тестировать, у меня три леса дружат. Все шишки давно набиты. Напомню немного матчасти:
Глобальная — В членов можно добавить только учетки/группы из домена в котором находится группа.
Универсальная — В членов группы можно добавить любую учетку/группу в рамках леса вне зависимости от того в каком домене создана группа.
Локальная в домене — В членов группы можно добавить любую учетку/группу в рамках леса вне зависимости от того в каком домене создана группа, так же учетные записи/группы из других лесов. Однако эту группу нельзя добавлять членом в группы других доменов леса/лесов, в том числе и при наследовании.
Оснастка даст Вам конвертировать группу из «Универсальная» в «Локальная в домене», только в случае соответствия всем требованиям по составу группу и наследованию. Что бы потом в нее вносить изменения нужно полностью закрыть диалог управления группой, выждать секунд 10 и только потом пытаться редактировать.
Нет автоматизаций данного процесса кроме самописных если вы бедны, для совсем богатых существуют решения IdM, но даже там это нужно нужно и долго настраивать. Зато гарантированный порядок.
Про группы мне нет необходимости тестировать, у меня три леса дружат. Все шишки давно набиты. Напомню немного матчасти:
Глобальная — В членов можно добавить только учетки/группы из домена в котором находится группа.
Универсальная — В членов группы можно добавить любую учетку/группу в рамках леса вне зависимости от того в каком домене создана группа.
Локальная в домене — В членов группы можно добавить любую учетку/группу в рамках леса вне зависимости от того в каком домене создана группа, так же учетные записи/группы из других лесов. Однако эту группу нельзя добавлять членом в группы других доменов леса/лесов, в том числе и при наследовании.
Оснастка даст Вам конвертировать группу из «Универсальная» в «Локальная в домене», только в случае соответствия всем требованиям по составу группу и наследованию. Что бы потом в нее вносить изменения нужно полностью закрыть диалог управления группой, выждать секунд 10 и только потом пытаться редактировать.
Sign up to leave a comment.
Масштабное назначение прав на пользователей доменов из разных лесов