Tôi có một thiết lập Active Directory bao gồm 2 khu rừng:
- 1 rừng đa miền với 1 miền gốc rừng và 2 miền con trực tiếp
- 1 rừng tên miền đơn cho mục đích xuất bản DMZ
Tôi đã tạo 3 tín thác gửi đi trong miền DMZ, 1 tín thác rừng chuyển tiếp đối với miền gốc rừng và 2 tín thác không chuyển tiếp bên ngoài (hay còn gọi là Tín thác rút gọn).
Tất cả các DC trong cả bốn miền đều là máy chủ Global Catalog.
Tôi đã cố gắng hình dung nó bên dưới:
Bây giờ, đây là vấn đề. Khi tôi cấp quyền truy cập vào tài nguyên dmzRoot.tldcho nhóm bảo mật trong childAmiền, nó hoạt động cho người dùng childAlà thành viên của nhóm Bảo mật, nhưng không dành cho người dùng trong childBmiền, mặc dù họ là thành viên của nhóm bảo mật childA.
Ví dụ, tôi muốn cung cấp quyền truy cập cho quản trị viên cục bộ vào máy chủ thành viên dmzRoot.tld. Tôi thêm childA.ForestRoot.tld\dmzAdministratorsvào nhóm Quản trị viên dựng sẵn cục bộ trên máy chủ thành viên.
childA.ForestRoot.tld\dmzAdministrators có các thành viên sau:
- conA \ dmzAdmin
- conB \ superUser
Bây giờ, nếu tôi xác thực là childA\dmzAdmin, tôi có thể đăng nhập vào máy chủ thành viên với tư cách Quản trị viên cục bộ và nếu tôi xem kết quả đầu ra từ đó whoami /groups, childA.ForestRoot.tld\dmzAdministratorsnhóm sẽ được liệt kê rõ ràng.
childB\superUserTuy nhiên, nếu tôi xác thực , tôi nhận được thông báo rằng tài khoản không được phép đăng nhập từ xa. Nếu tôi kiểm tra whoami /groupscho các childB\superUsertài khoản, các childA.ForestRoot.tld\dmzAdministratorsnhóm không được liệt kê.
Có vẻ như childAnhóm SID không bao giờ được đưa vào PAC khi xác thực childBngười dùng, mặc dù tất cả các DC đều là của GC.
Tôi đã vô hiệu hóa xác thực PAC trên máy trong dmzRoot.tld mà tôi đã thử nghiệm nhưng điều này không giúp được gì.
Bất kỳ đề xuất như làm thế nào tôi khắc phục sự cố này một cách hiệu quả? Làm cách nào để theo dõi dấu vết xác thực để xác định nơi bị lỗi?