Saya memiliki pengaturan Direktori Aktif yang terdiri dari 2 hutan:
- 1 hutan multi-domain dengan 1 domain akar hutan, dan 2 domain anak langsung
- 1 hutan satu domain untuk keperluan penerbitan DMZ
Saya telah membuat 3 trust keluar dalam domain DMZ, 1 trust hutan transitif terhadap domain root hutan, dan 2 trust Non-transitif Eksternal (alias. Shortcut Trust).
Semua DC di keempat domain adalah server Katalog Global.
Saya sudah mencoba memvisualisasikannya di bawah ini:
Sekarang, inilah masalahnya. Ketika saya memberikan akses pada sumber daya dmzRoot.tld
ke grup keamanan di childA
domain, itu berfungsi untuk pengguna childA
yang merupakan anggota grup keamanan, tetapi tidak untuk pengguna di childB
domain, meskipun mereka adalah anggota grup keamanan di childA
.
Katakanlah saya ingin memberikan akses administrator lokal ke server anggota di dmzRoot.tld
misalnya. Saya menambahkan childA.ForestRoot.tld\dmzAdministrators
ke grup Administrator builtin lokal di server anggota.
childA.ForestRoot.tld\dmzAdministrators
memiliki anggota berikut:
- childA \ dmzAdmin
- childB \ superUser
Sekarang, jika saya mengautentikasi sebagai childA\dmzAdmin
, saya dapat masuk ke server anggota sebagai Administrator lokal, dan jika saya melihat output dari whoami /groups
, childA.ForestRoot.tld\dmzAdministrators
grup terdaftar dengan jelas.
Namun jika saya mengautentikasi childB\superUser
, saya mendapat pesan bahwa akun tidak diotorisasi untuk login jarak jauh. Jika saya cek whoami /groups
untuk childB\superUser
account, childA.ForestRoot.tld\dmzAdministrators
kelompok TIDAK terdaftar.
Sepertinya childA
kelompok SID tidak pernah disertakan dalam PAC ketika mengautentikasi childB
pengguna, meskipun semua DC milik GC.
Saya menonaktifkan validasi PAC pada mesin di dmzRoot.tld yang saya uji, tetapi ini tidak membantu.
Adakah saran tentang bagaimana saya memecahkan masalah ini secara efektif? Bagaimana cara saya mengikuti jejak otentikasi untuk menentukan di mana ia gagal?