Les approbations de forêt Active Directory sont-elles transitives?
https://stackoverflow.com/questions/242426
-
04-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je travaille sur le dépannage d'une application en cours de développement qui utilise les informations d'Active Directory dans un environnement multi-forêt et le problème actuel consiste à déterminer si les approbations de forêt sont transitives et, le cas échéant, dans quelles conditions.
Configuration: à l'aide d'Active Directory 2003, ForestA dispose d'une approbation de forêt bidirectionnelle avec ForestB . ForestB dispose d'une approbation de forêt bidirectionnelle avec ForestC .
Dans cette situation, existe-t-il une relation de confiance quelconque entre ForestA et ForestC? J'ai trouvé des informations contradictoires. ce premier lien indique clairement que la confiance de la forêt n’est pas transitive par rapport à d’autres forêts:
Les approbations de forêts ne peuvent être créées qu'entre deux forêts et ne peuvent pas être implicitement étendues à une troisième forêt. Cela signifie que si une approbation de forêt est créée entre la forêt 1 et la forêt 2 et qu'une approbation de forêt est également créée entre la forêt 2 et la forêt 3, la forêt 1 n'aura pas d'approbation implicite avec la forêt 3.
Cependant, je peux également trouver dans la liste des types de confiance une indication que les approbations de forêt sont transitives:
Type de confiance: forêt Transitivité: Transitive
Au-dessus de cette forêt, les approbations apparaissent sous la forme & "; transitive &"; dans la liste des approbations de répertoire actif lorsqu’elles sont affichées via & "; Gérer les domaines et les approbations" & ";
Cela signifie-t-il que l'approbation de forêt est transitive WITHIN de la forêt de confiance, mais pas d'autres forêts? Donc, dans le scénario mentionné précédemment:
ForestA < - > ForestB < - > ForestC
Les sous-domaines captureraient la confiance de la forêt par transitivité (le sous-domaine1. ForestA ferait donc confiance à office7. ForestB ), mais l'accès serait partagé entre ForestA et ForestB . Est-ce correct ou suis-je dérouté par les informations plutôt déroutantes publiées par Microsoft? Quelqu'un at-il une expérience personnelle de ce qu'ils peuvent partager?
La solution
Plus précisément, je crois que le "ient "transitif &"; dans les approbations de forêt transitive de Microsoft concerne les domaines de chaque forêt plutôt que forêt à forêt à forêt.
ex.
Forêt 1 avec le domaine racine A et deux domaines enfants B et C Forêt 2 avec le domaine racine X et deux domaines enfants Y et Z
Avec un domaine de confiance de forêt transitive, le domaine Z approuverait le domaine C automatiquement, sans qu'il soit nécessaire de créer un lien de confiance direct (confiance de raccourci).
Autres conseils
Les tests avec trois domaines affichent les informations provenant des approbations de forêt . correct; lorsque je configure trois forêts dans la configuration ForestA < - > ForestB & Lt; - & Gt; ForestC ForestA n'a pas été en mesure de voir les informations d'identification de ForestC.
Les approbations inter-forêts ne sont PAS transitives. Les approbations parent / enfant de Doman / tree sont ...
http://technet.microsoft.com/ en-us / library / cc773178 (WS.10) .aspx
La confiance de domaine NT 4 n’était pas transitive de cette manière. Pas sûr de la MA.
