Cómo configurar la asignación de grupo para los usuarios en múltiples dominios

Detalles

La clave para que las asignaciones de grupo funcionen para los grupos que tienen usuarios que existen en varios dominios es asegurarse de que las asignaciones se configuran con el dominio raíz y no como un dominio secundario.

La razón de esto es que incluso si la asignación de grupo está apuntando a un catálogo global, sólo se derribarán las cadenas DN para los usuarios de un grupo. A continuación, se ejecuta una consulta a través de LDAP para el sAMAccountName que coincide con la cadena DN. Esto se hace porque el sistema necesita los nombres de usuario en el grupo para que coincida con lo que tiene en la base de datos de mapping de IP-User, que es en forma de dominio\nombre Dado que la cadena DN no coincide con esta, la segunda consulta LDAP proporciona esta información.

Si esto se hace con un dominio secundario, el catálogo global proporcionará todas las cadenas DN para los usuarios de otros dominios; sin embargo, el samAccountName sólo devolverá a los usuarios que existen en ese dominio secundario, porque sólo existen en esa partición secundaria.

Incluso si la raíz está completamente vacía, todavía tiene una partición completa de "sólo lectura" de todos los usuarios que existen en todos los dominios secundarios. Por lo tanto, la mejor manera de hacerlo es configurar un catálogo global (3268) a los controladores de dominio raíz, al mismo tiempo que se configura un LDAP (369) para los controladores de dominio raíz. Defina el ' Perfil de servidor ' en el objeto de asignación de grupo para utilizar el catálogo global configurado (de modo que se puedan ver todos los grupos de todos los dominios). Luego, cuando se ejecuta la consulta samAccountName, ocurrirá contra el dominio raíz y devolverá todos los usuarios de todos los dominios.

Propietario: jhillon