ÇözümPark

GPO ların trusted domainlerde uygulanma şekli ile ilgili bir merakım var. 

Bir forest içinde, herhangi bir domain e join olmuş bir makinadan başka bir domaindeki kullanıcı hesabı ile logon olunuyor. Bu işlem sonrasında  join olunmuş domain e uygulanan GPO nun Computer Conf. kısmı uygulanıyor, aynı zaman kullanıcı hesabının bulunduğu domain e uygulanmış gpo 'nun da User Conf. kısmı uygulanıyor. bu uygulanma şekli olarak mantıklı geliyor, çünkü computer,  üye olunmuş domain in Computers bölümünde bulunuyor, logon için kullanılan kullanıcı hesabı da diğer domain in Users kısmında veya başka biryerinde duruyor. ve GPO ların o bölümleri etkili oluyor diye mantık kuruyorum (yanılıyor da olabilirim).

Fakat iki domain External trust yapıldığında aynı mantık işlemiyor. Join olunmuş domain de kullanılan GPO nun hem Computer hem de User Conf. kısmı uygulanıyor, kullanıcı hesabının bulunduğu diğer domain de bulunun GPO hiç birşekilde uygulanmıyor.

Bunun mantığı, işleyişi nasıldır açıklayabilecek olan var mı?

şimdiden teşekkürler

 

Merhaba

Öncelikle ilk konuda yanılmıyorsun. 

External Trust ; Bir nontransitive trusttur.Nt 4.0 , windows 2000 veya windows 2003 ortamlarında, farklı forestlardaki domainler arasında trust relation yaratmak için kullanılan bu trust modelinde yalnızca iki domain arasında trust relation oluşturulur, bağlanan domain'in forest'ındaki diğer domainlere trust oluşmaz.

Nontransitive trusts default olarak one-waydir. two-way bir trust oluşturduğunda relationship uygulanacak ve policy ile ilgili işlemleri yapabileceksin.

Merakın ile ilgili ve tüm bu anlattıklarmının detayı http://technet2.microsoft.com/windowsserver/en/library/c3f3a3a5-f50a-4d60-afeb-9cbbfe51d94f1033.mspx?mfr=true linkte bulunmaktadır.

Teşekkürler

---

ÇözümPark’ tan yeni bir hizmet, yine bir ilk!

http://www.omerkaradeniz.com

benim yarattığım two-way external trust idi. ama ona rağmen çalışmıyor GPO. Domainlerin domain functional level leri 2000 native idi, bi ihtimal ikisini de 2003 yaptım, tekrar denedim ama yok, o şekilde de GPO kullanılamıyor. karşı tarafın GPO su geçerli olmuyor. 

Şimdi şu linkdeki dökümanı okuyayım diyorum, derine inmeden olmayacak galiba bu iş :)

http://technet2.microsoft.com/windowsserver/en/library/eb0042e3-699b-4c49-abcc-e3526dbecc0e1033.mspx?mfr=true

 

araştırdığım kadarıyla GPO kullanılamamasının nedeni external trust 'da NTLM authentication ı kullanılmasıymış. GPO uygulanabilmesi için Kerberos Authentication olması gerekiyormuş. Microsoft un dökümanlarında da birkaç yerde geçiyor bu şekilde.

herhalde doğrudur diye tahmin ediyorum.

Bu çok ince bir nokta. Türkiyedeki firmalar arasında, gerçek anlamda external trust ile çalışanlar iki elin parmaklarını geçmez.. Bu nedenle fazla gün ışığına çıkmamış bir konu.

Ama küçük bir araştırma yaptım ve merakınızı gidermek adına size şöyle bir bilgi verebilirim:

Normal şartlarda, external trust çift yönlü olsa dahi, diğer forest üzerindeki policy ler uygulanmaz. Tasarım gereğidir ve çeşitli nedenleri vardır.

Ancak şunu yapabiliriz.

Bilgisayar yapılandırması> Yönetim şablonları> sistem> grup ilkesi altındaki

"Ormanlar arası kullanıcı ilkesi ve gezici kullanıcı profillerine izin ver" ayarını kullanırsak, 1nci forest kullanıcısı, 2nci forest ta oturum açtığı zaman, 1nci forest üzerinde tanımlı user bazlı policyleri alabilir.

Ben denemedim. Eğer sizin deneme fırsatınız olursa, sonucu öğrenmek isteriz.

---

serhatakinci.com
MCP, MCSA+S+M, MCSE+S+M, MCTS:Vista
MCITP| Enterprise Administrator
MCITP| Enterprise Support Technician
MCTS | Windows Server 2008 Active Directory
MCTS | Windows Server 2008 Network Infrastructure
MCTS | Windows Server 2008 Applications Infrastructure

Merhaba ; 

Domain bir güvenlik sınırıdır zaten ve domainden child'ına bile gp mirası yoktur. Çok domaini etkileyecek bir GP ancak site seviyesenden verilebilir. Burada external trust olduğundan kullanıcı gp ayarlarını getiremez ve makineninkiler uygulanır (loopback processing uygulamışsın gibi).

Çözüm gpmc ile her iki foresttaki gpo'ları eşitlemek. yani export-import yapıcaksın aynı gpo lar her iki tarafta da olacak. şu linki de bir incele istersen. sayfanın sonuna doğru bahsediyor bu olaydan.

 

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/mtfstwp.mspx

---

MVP
---
Video bölümü için lütfen 800x600 boyutlarında çekilmiş videolarınız gönderin .yoksa yayınlama imkanımız bulunmamaktadır
---
Herkes cevapladığı soruları cevapladıklarım bölümünden takip ederse sorular sonuca ulaşır.
---
Herşeyden önce insanız....
---
Reklamlar , sizlere hizmet sunabilmemiz için var....
hakanuzuner.com
ÇözümPark Bannerları

Evet Serhat hocam aynen öyle oldu. 'Allow Cross-Forest User Policy and Roaming User Profiles' ı enable yaptığımızda sorun çözüldü. Aslına bakarsan birçok dökümanda ben bunu okudum ve de uyguladım, ama nedense olmamıştı. Tekrardan bir external trust ortamı yaratıp, denedim, ve hayretler içersinse bu sefer sorunsuz gerçekleştiğini gördüm. :)

Zaten bu sadece dediğim gibi bir senaryo, karşılaştığım bir sorun değil. Muhakkak böyle birşey Türkiye ortamı çok rastlanılan birşey değildir. Yine de çözümü bulduğumuza sevindim.

Teşekkürler.