Hallo,
Vervelend probleempje waar ik jullie idee eens over wil horen. Recent werkzaam in een nieuw bedrijf (Bedrijf A). Bedrijf A kocht Bedrijf B over. Tussen Bedrijf A en Bedrijf B is een 2-way trust geactiveerd.
Nu willen de mensen bedrijf A aan de fileserver kunnen van bedrijf B (zolang de fileserver nog niet gemigreerd werd naar bedrijf A). De fileserver van bedrijf B is een ongelofelijke puinhoop met security op de mappen in de vorm van AD groepen, nested groepen, losse users, Deny's, inherited rechten, non-inherited rechten, ... en natuurlijk 35 niveaus diep. Kortom ik wil zo weinig mogelijk aan die fileserver komen qua rechten. De AD groepen die ze in bedrijf B gebruikt hebben zijn "Domain Local" groepen alsook "Global' groepen.
De gebruikers van bedrijf B werden allemaal reeds in AD aangemaakt bij Bedrijf A.
Op de "Domain Local" groepen in bedrijf B kan ik zonder problemen de gebruikers toevoegen van bedrijf A daar "Domain Local" groepen de ondersteuning bieden om users uit een ander domein/forest toe te voegen. Echter loop ik vast op de "Global" groepen. Bij Global groepen kan ik geen users selecteren uit de bedrijf A omgeving.
Iemand ervaring hiermee? Welke oplossing/workaround is hier mogelijk zodat ik eigenlijk niet aan de rechten van de fileserver in bedrijf B moet komen daar ik dit niet goed zie komen...
Bedankt!
Security groups tussen 2 verschillende forests met 2-way trust
-
NickG
- Elite Poster
- Berichten: 1659
- Lid geworden op: 13 sep 2005, 10:11
- Uitgedeelde bedankjes: 48 keer
- Bedankt: 53 keer
Het is geen best practice om global groepen te gebruiken om permissies te geven, dat zou via A-G-DL-P moeten verlopen. Maar daar koop je nu niks meer mee natuurlijk 
Is het niet mogelijk om de global groepen om te zetten naar domainlocal, eventueel via een tussenstap naar Universal? Dan zou je de NTFS security op de fileserver niet meer moeten aanpassen hopelijk. Maar ik heb geen idee of dit kan, on-prem AD is al een tijdje geleden voor me
Is het niet mogelijk om de global groepen om te zetten naar domainlocal, eventueel via een tussenstap naar Universal? Dan zou je de NTFS security op de fileserver niet meer moeten aanpassen hopelijk. Maar ik heb geen idee of dit kan, on-prem AD is al een tijdje geleden voor me -
DiffieHM
- Member
- Berichten: 71
- Lid geworden op: 18 jun 2020, 20:19
- Uitgedeelde bedankjes: 27 keer
- Bedankt: 7 keer
Er bestaat geen magische oplossing. Als de rechten van de fileserver niet wil aanraken, dan zal je moeten leven met de NTFS rechten die momenteel worden toegepast. Global groups kan je niet cross-forest gebruiken en je moet die dus omzetten naar Domain Local. Dat kan idd via een tussenstap naar Universal zoals NickG al aangaf.
Het is wel aangeraden eerst een inventory te doen, want een Global group die genest is in een andere Global group kan je bv niet converteren naar Universal (en je sprak reeds over geneste groepen).
Het is wel aangeraden eerst een inventory te doen, want een Global group die genest is in een andere Global group kan je bv niet converteren naar Universal (en je sprak reeds over geneste groepen).
