Forum

Bildirimler
Hepsini Temizle

GPO ve Trust

7 Yazılar
4 Üyeler
0 Reactions
659 Görüntüleme
(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

GPO ların trusted domainlerde uygulanma şekli ile ilgili bir merakım var. 

Bir forest içinde, herhangi bir domain e join olmuş bir makinadan başka bir domaindeki kullanıcı hesabı ile logon olunuyor. Bu işlem sonrasında  join olunmuş domain e uygulanan GPO nun Computer Conf. kısmı uygulanıyor, aynı zaman kullanıcı hesabının bulunduğu domain e uygulanmış gpo 'nun da User Conf. kısmı uygulanıyor. bu uygulanma şekli olarak mantıklı geliyor, çünkü computer,  üye olunmuş domain in Computers bölümünde bulunuyor, logon için kullanılan kullanıcı hesabı da diğer domain in Users kısmında veya başka biryerinde duruyor. ve GPO ların o bölümleri etkili oluyor diye mantık kuruyorum (yanılıyor da olabilirim).

Fakat iki domain External trust yapıldığında aynı mantık işlemiyor. Join olunmuş domain de kullanılan GPO nun hem Computer hem de User Conf. kısmı uygulanıyor, kullanıcı hesabının bulunduğu diğer domain de bulunun GPO hiç birşekilde uygulanmıyor.

Bunun mantığı, işleyişi nasıldır açıklayabilecek olan var mı?

şimdiden teşekkürler

 

 
Gönderildi : 30/06/2008 15:08

(@OmerKARADENIZ)
Gönderiler: 1560
Noble Member
 

Merhaba


Öncelikle ilk konuda yanılmıyorsun. 


External Trust ; Bir nontransitive trusttur.Nt 4.0 , windows 2000 veya windows 2003 ortamlarında, farklı forestlardaki domainler arasında trust relation yaratmak için kullanılan bu trust modelinde yalnızca iki domain arasında trust relation oluşturulur, bağlanan domain'in forest'ındaki diğer domainlere trust oluşmaz.


Nontransitive trusts default olarak one-waydir. two-way bir trust oluşturduğunda relationship uygulanacak ve policy ile ilgili işlemleri yapabileceksin.


Merakın ile ilgili ve tüm bu anlattıklarmının detayı http://technet2.microsoft.com/windowsserver/en/library/c3f3a3a5-f50a-4d60-afeb-9cbbfe51d94f1033.mspx?mfr=true  linkte bulunmaktadır.


Teşekkürler

 
Gönderildi : 02/07/2008 18:12

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

benim yarattığım two-way external trust idi. ama ona rağmen çalışmıyor GPO. Domainlerin domain functional level leri 2000 native idi, bi ihtimal ikisini de 2003 yaptım, tekrar denedim ama yok, o şekilde de GPO kullanılamıyor. karşı tarafın GPO su geçerli olmuyor. 

Şimdi şu linkdeki dökümanı okuyayım diyorum, derine inmeden olmayacak galiba bu iş 🙂

http://technet2.microsoft.com/windowsserver/en/library/eb0042e3-699b-4c49-abcc-e3526dbecc0e1033.mspx?mfr=true

 

 
Gönderildi : 03/07/2008 16:50

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

araştırdığım kadarıyla GPO kullanılamamasının nedeni external trust 'da NTLM authentication ı kullanılmasıymış. GPO uygulanabilmesi için Kerberos Authentication olması gerekiyormuş. Microsoft un dökümanlarında da birkaç yerde geçiyor bu şekilde.

herhalde doğrudur diye tahmin ediyorum.

 
Gönderildi : 04/07/2008 15:13

(@serhatakinci)
Gönderiler: 4117
Famed Member
 

Bu çok ince bir nokta. Türkiyedeki firmalar arasında, gerçek anlamda external trust ile çalışanlar iki elin parmaklarını geçmez.. Bu nedenle fazla gün ışığına çıkmamış bir konu.


Ama küçük bir araştırma yaptım ve merakınızı gidermek adına size şöyle bir bilgi verebilirim:


Normal şartlarda, external trust çift yönlü olsa dahi, diğer forest üzerindeki policy ler uygulanmaz. Tasarım gereğidir ve çeşitli nedenleri vardır.


Ancak şunu yapabiliriz.


Bilgisayar yapılandırması> Yönetim şablonları> sistem> grup ilkesi altındaki


"Ormanlar arası kullanıcı ilkesi ve gezici kullanıcı profillerine izin ver" ayarını kullanırsak, 1nci forest kullanıcısı, 2nci forest ta oturum açtığı zaman, 1nci forest üzerinde tanımlı user bazlı policyleri alabilir.


Ben denemedim. Eğer sizin deneme fırsatınız olursa, sonucu öğrenmek isteriz.

 
Gönderildi : 04/07/2008 15:54

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33322
Illustrious Member Yönetici
 

Merhaba ; 

Domain bir güvenlik sınırıdır zaten ve domainden child'ına bile gp mirası
yoktur. Çok domaini etkileyecek bir GP ancak site seviyesenden verilebilir. Burada external trust olduğundan kullanıcı gp ayarlarını getiremez
ve makineninkiler uygulanır (loopback processing uygulamışsın gibi).

Çözüm gpmc ile her iki
foresttaki gpo'ları eşitlemek. yani export-import yapıcaksın aynı gpo lar her
iki tarafta da olacak. şu linki de bir incele istersen. sayfanın sonuna doğru
bahsediyor bu olaydan.

 

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/mtfstwp.mspx

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 05/07/2008 02:01

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

Evet Serhat hocam aynen öyle oldu. 'Allow Cross-Forest User Policy and Roaming User Profiles' ı enable yaptığımızda sorun çözüldü. Aslına bakarsan birçok dökümanda ben bunu okudum ve de uyguladım, ama nedense olmamıştı. Tekrardan bir external trust ortamı yaratıp, denedim, ve hayretler içersinse bu sefer sorunsuz gerçekleştiğini gördüm. 🙂

Zaten bu sadece dediğim gibi bir senaryo, karşılaştığım bir sorun değil. Muhakkak böyle birşey Türkiye ortamı çok rastlanılan birşey değildir. Yine de çözümü bulduğumuza sevindim.

Teşekkürler. 

 

 
Gönderildi : 05/07/2008 15:41

Paylaş: