Toggle sidebar

Проблема с группами в АК

  • Автор темы Автор темы 1KIA
  • Дата начала Дата начала
1

1KIA

Помогите, пожалуйста, разобраться с группами.
Есть два разных сервера , с двумя доменами и разными АК
В АК1 есть группа "Все", в АК2 есть группа "Тест". Указываю в АК1 в группе "Все" группу "Тест", добавляю группу "Все " в ACL базы на сервере с АК1, когда пользователи из группы "Тест" (т.е. из АК2) пытаются открыть базу - пишет нет прав.
Что необходимо сделать, чтобы пользователи могли открыть бд?

Добавлено: удалите пожалуйста одну тему. Дубликат создался
 
1KIA сказал(а):
Помогите, пожалуйста, разобраться с группами.
Есть два разных сервера , с двумя доменами и разными АК
В АК1 есть группа "Все", в АК2 есть группа "Тест". Указываю в АК1 в группе "Все" группу "Тест", добавляю группу "Все " в ACL базы на сервере с АК1, когда пользователи из группы "Тест" (т.е. из АК2) пытаются открыть базу - пишет нет прав.
Что необходимо сделать, чтобы пользователи могли открыть бд?

Добавлено: удалите пожалуйста одну тему. Дубликат создался
Нажмите, чтобы раскрыть...

если мне не изменяет склероз: группы берутся только из текущей базы. Как решение - поднять Extended Directory, агригировать туда все нужные базы и в DA указать что используется авторизация групп...
 
конечно, DA вам должен помочь... вообще - почему его нет до сих пор? :happy:
 
в DA указано Group authorization:Yes
Это если я правильно поняла о DA
 
Еще вопрос: есть Extended Directory Catalog, в нее входит две АК, если в DA я указываю ее и в документе ставлю Group authorization:Yes, то должно ведь срабатывать. Но пользователь не может открывать... Почему так происходит или для Extended Directory Catalog нельзя так делать?
 
DA попроще: взаимные реплики АК и их указываем в DA, там же групповая авторизация.... мож ещё какой ньюанс...
вообще пользователи-то имеют доступ к соседнему серверу? как? промежуточный или прямой?
 
1KIA сказал(а):
в DA указано Group authorization:Yes
Это если я правильно поняла о DA
Нажмите, чтобы раскрыть...

там не все так очевидно...
если коротко можно не указывать АК2 в DA, а указать Ext Cat.
+ создать запись в DA для AK1 (NAMES.NSF!!) в которой СНЯТЬ галки авторизации и т.д.

Во всяком случает такая схема проходила под веб...

если не делать DA для names.nsf то при авторизации оно сразу натыкается на группу BCE и членов группы оно ищет только в names.nsf...

PS - мож и путаю - давно эт было...:(
 
rinsk
нет, пользователи из группы с другого сервера так и не имеют доступ к базе
 
1KIA
они как к серверу попадают к другому?
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

Сергей Попов
Статья Active Directory: от пассивной разведки до первого шелла – пособие для начинающих
Ответы
0
Просмотры
1 тыс.
Анализ уязвимостей и исследования
Сергей Попов
Сергей Попов
Сергей Попов
  • Статья Статья
Статья SQLMAP: Полное руководство 2025 по SQL-инъекциям. От основ до обхода WAF
Ответы
12
Просмотры
32 тыс.
Арсенал специалиста по ИБ
Menschenfresser
Menschenfresser
Сергей Попов
  • Статья Статья
Статья 10 методов атак на Active Directory: углублённый разбор и защита
Ответы
0
Просмотры
2 тыс.
Новости кибербезопасности
Сергей Попов
Сергей Попов
Fantast
Evilginx + Gophish. Поднимаем инфраструктуру для симуляции фишинга с обходом 2FA
Ответы
0
Просмотры
1 тыс.
Общение и нетворкинг
Fantast
Fantast

Hacker Lab

Категории

CTF и практические задания
127
Linux и инфраструктура
32
Анонимность и приватность
121
Инструменты пентестера
169
Искусственный интеллект и ИБ
4
Кибербезопасность
687
Конкурсы и активности
62
Криптография и шифрование
52
Мобильная безопасность
41
Новости и события
143
Программирование для ИБ
227
Работа и обучение в ИБ
121
Сетевые технологии
24
Форензика и OSINT
192

Наши курсы

Пользователи онлайн

Всего: 1 722 (пользователей: 22, гостей: 1 700)

Статистика форума

Темы
50 735
Сообщения
345 418
Пользователи
138 585
Новый пользователь
Vedrover4x4
Верх Низ
Назад