Windows 2008 R2 跨域共享文件夹显示 <未知联系人>
Lee*_*som 4 network-share windows-server-2008-r2
[Windows Server 2008 R2 SP1,截至 2013 年 3 月 15 日的最新修补程序]。我在 Domain1 中有一个名为“IT”的安全组。我在 Domain2 中有一个 server2。存在从域 1 到域 2 的单向信任。我想在 server2 上共享一个名为“Apps”的文件夹,以便 Domain1 上的 IT 组可以访问它。我已成功分享,但有些奇怪。当我最初将 Domain1\IT 添加为一个组以访问共享文件夹时,它在共享对话框中显示了正确的图标和文本。但是当我重新打开共享对话框查看权限时,需要很长时间来枚举,然后最后显示一个?图标,带有文本“<未知联系人>”。Domain1 中的 IT 组可以正确访问共享文件夹,但这让我觉得有些不对劲。
在林中的域和该林外的域之间建立信任时,来自外部域的安全主体可以访问内部域中的资源。Active Directory 在内部域中创建一个外部安全主体对象来表示来自受信任外部域的每个安全主体。这些外部安全主体可以成为内部域中域本地组的成员。外部安全主体的目录对象由 Active Directory 创建,不应手动修改。您可以通过启用高级功能查看来自 Active Directory 用户和计算机的外部安全主体对象。
因此,您的“未知联系人”就是 Domain2 中所谓的外部安全主体。目录的默认命名上下文中有一个容器CN=ForeignSecurityPrincipals,DC=domain2,DC=com. 在该容器内应该是指针,Active Directory 将使用这些指针解析域 1 中域 2 已知的所有人员。Domain2 知道 SID,但它必须要求 Domain1 将该 SID 转换为 SamAccountName。
因为您的信任是单向的,Domain2 不能这样做,因为 Domain1 不信任它。
您可以在 Domain1 中启用匿名 SID 转换,但这是一个安全风险。或者你可以让你的信任是双向的。
您现在所拥有的,“未知联系人”并没有像您注意到的那样阻止任何工作,因为 SID 足以检查林信任。现在这只是一个审美问题。
更多 MS 文档:
执行
LookupAccountSid 将使用单个 SID 调用 LsaLookupSids 进行解析。因此,本节将介绍 LsaLookupSids。
调用发送到的计算机上的 LSA(使用 LSA RPC 接口)将解析它可以映射的 SID,并将剩余的未解析 SID 发送到主域中的域控制器。域控制器会将额外的 SID 解析为本地数据库中的帐户名,包括在全局编录的 SidHistory 中找到的 SID。
如果在那里无法解析 SID,域控制器会将剩余的 SID 发送到受信任域中的域控制器,其中 SID 的域部分与信任信息相匹配。
最后,来自 Microsoft AskDS 博客的这一点(顺便说一句,这是一个很棒的博客):
假设端口是打开的,还有一些其他部分阻止了转换。最常见的是,当存在一种涉及信任且匿名翻译被阻止的方式时,我们会看到这一点。您可以轻松地在组策略中允许匿名 SID/名称转换。此策略仅适用于域控制器,因为它们是实际处理转换请求的服务器。
编辑:作为一种解决方法,您可以考虑在 Domain2 中创建一个名为“可以访问 Server2 上的应用程序的人员”的安全组,并将 Domain1 中的用户主体添加到该组。
| 归档时间: |
|
| 查看次数: |
3826 次 |
| 最近记录: |