web-dev-qa-db-ja.com

信頼によるActive Directory認証と信頼されたドメインのユーザーのクエリ

ドメインA(フォレストツリールート)(プライマリドメイン)

ドメインB(直接送信)(直接受信)

2つのフォレストドメインA/Bの間には双方向の信頼があります。このシナリオは、2つの会社を接続するために使用されます。

次に、Active Directoryを使用してドメインAで認証するアプリケーションがあるとします。

ドメインBのユーザーは、ドメインAに存在するグループに追加され、そのアプリケーションへのアクセスを許可します。このアプリケーションは、ユーザー認証のためにADSIを使用してドメインAドメインコントローラーに接続します。

最初の質問:ドメインAのドメインコントローラーからADSIを使用して、信頼をトラバースし、ドメインBのユーザーを検証することを知っていますか?または、アプリケーションはドメインBのドメインコントローラーも明示的にポイントする必要がありますか?.

2番目の質問:ドメインAからドメインBのすべてのユーザーのリストを取得するには、たとえば、ドメインAのドメインコントローラーからADSI/LDAPを使用して、Powershellでこれをクエリできますか、または特に必要になりますドメインBのドメインコントローラをヒットするには?

ありがとう!

2
Wasim Hayatt

1)アプリケーションは、ユーザーを認証するためにADSIを使用していません。 ADSIはCOMインターフェイスであり、ネットワーク認証プロトコルではありません。 KerberosまたはLDAPを使用します。 AD信頼はKerberos認証にのみ適用されるため、実際に使用しているプロトコルを知ることは非常に役立ちます。

1a)アプリケーションがKerberosを使用している場合、サービスチケット要求をローカルDCに送信します。これにより、関連するSPNが確認され、ターゲットドメインのDCへの紹介が返されます。ワークステーションは、ターゲットドメインDCにサービスチケットを要求し、アプリケーションにアクセスします。そのプロセスは この記事 の終わりに向かって説明されています。

1b)アプリケーションがLDAPを使用している場合、ターゲットドメイン内の1つ以上のDCを指すように構成する必要があります。ドメイン名自体をターゲットとして使用できますが、ハードコードされたDC名とドメイン名のみを使用した場合のレイテンシの違いを確認します。ハードコードされたDC名を使用する場合、最初のDCがダウンしている場合に、1つ以上のセカンダリターゲットDCを定義する何らかの方法が必要です。

2)(ADSIなどを介して)LDAPクエリを実行している場合は、実際のターゲットドメインと、そこにLDAP検索を実行する権限を持つアカウント(ターゲットドメイン内のアカウントなど)を指定する必要があります。実際のDC名を指定する必要がある場合があります(私はテストしていません)。ローカルドメインには、信頼するドメインへのreferralsがあります-実際のオブジェクトはそこに格納されません。

1
Trix