Manuel Roccon

ICT & Cyber Security Specialist

Creare un Trust tra 2 domini in Windows Server

Penso che tutte le persone che lavorano in ambito IT conoscano i domini e l’Active Directory di Windows.

Il dominio è una raccolta di risorse che si trovano nel database di Active Directory, questi oggetti possono essere utenti, computer, controller di dominio, gruppi di utenti, oggetti Criteri di gruppo, siti, ecc. 

Di norma puoi gestire solo risorse che si trovano nel tuo dominio, ma ci sono alcuni scenari in cui devi gestire risorse che non sono nel tuo dominio ma in un altro dominio

Queste ipotetici scenari potrebbero essere per esempio un acquisizione di un altra società da una compagnia, la quale deve accedere velocemente alle risorse della compagnia aquisita.

Il Trust potrebbe essere usato anche tra 2 o piu società di un gruppo di aziende, che vogliono tenere separate le risorse di AD ma al contempo poter codividere a determinate risorse (es. condivisioni)

Per spiegare la creazione di un trust e la sua utilità, ho preparato questo scenario in cui sono presenti 2 domini, CATCORP.local e DOGCORP.local, nel quale verrà creato un trust tra i rispettivi 2 domini per permettere la condivisione di alcune risorse, in questo caso una condivisione SMB e la possibiltà di far accedere in RDP un utente in un sistema dell’altro dominio.

CATCORP.localDOGCORP.local
Nome server AD: CATDCNome del server AD: DOGDC
Nome NetBIOS AD SERVER: CATDC.CATCORP.localNome NetBIOS del server AD: DOGDC.DOGCORP.local
Indirizzo IP: 192.168.0.230Indirizzo IP: 192.168.0.240
Sistema operativo: Windows Server 2019Sistema operativo: Windows Server 2019
Server DNS: CATDCServer DNS: DOGDC
Indirizzo IP del server DNS: 192.168.0.230Indirizzo IP del server DNS: 192.168.0.240

Verrà creato un Trust bidirezionale tra questi domini, questo vuol dire che i due domini potranno condividere reciprocamente le proprie risorse.

Per iniziare dovremmo configurare il DNS per permettere a ogni rispettivo dominio di risolvere l’altro.

Per fare ciò è necessario creare un server d’inolto condizionale in modo che catcorp.local riesca a risolvere dogcorp.local e viceversa. Ora configureremo CATCORP.local.

Per fare ciò accedere alla gestione DNS e creare un nuovo server d’inoltro condizionale.

Ora compiliamo i campi richiesti, inserendo Dominio DNS, e il rispettivo IP del dns che andrà a risolvere i DNS per DOGCORP.local, attiviamo anche “Archivia server d’inolto…” come visualizzato nell’immagine sottostante.

Come è possibile vedere, la maschera dara errore, una volta salvato e rientrando nella configurazione vedete che non visualizzerà piu l’errore.

Ora è necessario eseguire la stessa configurazione nel DNS di DOGCORP.local.

Una volta completato la configurazione degli inoltri DNS, possiamo passare alla configurazione del Trust tra i 2 domini.

Cerchiamo il pannello di configurazione “Domini e trust di Active Directory“, con il testo destro andiamo su Proprietà

Ora posizioniamoci in Trust e creaiamo una “Nuova relazione di trust…

Ora comparirà un wizard, le uniche informazioni che andremmo a inserire sono il dominio, in cui dobbiamo avviare la relazione di Trust, e le credenziali di accesso del dominio di destinazione.

Ci saranno ancuni step per poter personalizzare la nostra relazione di trust, noi in questo caso come descritto in precedenza, lo configureremo in modo che le risorse saranno disponibili in entrambi i domini.

Ora procediamo con la configurazione

Inseriamo il nome del dominio della foresta dove avviare la relazione (DOGCORP.local)

Selezionare trust tra foreste

Spuntiamo l’opzione bidirezionale e andiamo avanti

Indicare questo dominio e il dominio specificato

Inserire le credenziali del dominio dogcorp

Spuntare l’autenicazione estesa a tutta la foresta (foresta locale)

Spuntare l’autenicazione estesa a tutta la foresta (foresta specificata)

Ora verrà mostrato un resoconto, proseguendo verrano applicate le modifiche

Ora la relazione di trust è stata creata

Nelle prossime 2 schermate è necessario confermare la relazione di trust in uscita e entrata

Ora la relazione è conclusa

Ritornando alla schermata generale vedemmo che sono state create 2 voci

Ora che il trust è completato i 2 domini possono accedere e condividere le risorse l’un l’altro. Possiamo uscire dai pannelli di amministrazione del trust.

Ora verifichiamo se il trust funziona e i benefici di averlo attivato.

Per esempio dalla gestione Utenti e computer di Active Directory del server DCCAT.CATCORP.local, facendo tasto destro in Utenti e computer di Active Directory, possiamo cambiare il dominio e visualizzare gli oggetti di active directory di dogcorp.local

A questo punto possiamo vedere e modificare tutti gli oggetti ci AD di DOGCORP.local, bene il trust funziona.

Ora vediamo come condividere da dccat.catcorp.local una directory per far accedere l’utente Administrator di dogcorp.local, una funzionalità molto comune da usare con il trust.

Creiamo inanzi tutto una directory SHARED, andiamo nelle sue proprietà, poi codivisioni, premiamo aggiungi.

A questo punto verrà visualizzata la classica schermata per aggiungere un utente o gruppo dal nostro domain controllar.

Adesso però avendo attivat il trust, andiamo a selezionare un utente dell’altro dominio. Per cui possiamo cliccare su Percorsi… e selezionare la foresta dogcorp.local.

Dopo aver cambiato il percorso posso visualizzare tutti gli oggietti di dogcorp.local e quindi selezionare Administrator per permettere la condivisione

Come possiamo vedere sono presenti entrambi gli Administrator dei 2 domini

Ora la directory SHARED è condivisa per entrambi gli administrator dei 2 domini.

Ora proviamo ad accedere alla directory da DCDOG.dogcorp.local a DCCAT.catcorp.local/SHARED.

Come è possibile vedere la condivisione funziona perfettamente.

Il trust di domini non permette solo la condivisione di directory e file come visto in precendenza, ma praticamente posso utilizzare gli oggetti come ho sempre gestito gli utenti della mia foresta, anche con programmi di terze parti che utilizzano l’autenticazione di dominio.

Per esempio posso permette a un utente di CATCORP.local di accedere a un server o postazione che è in JOIN nel dominio DOGCORP.local come nel esempio sottostante.

Inanzi tutto è necessario autorizzare l’utente a accedere al sistama, essendo un domain controller imposto l’utente come administrator (tramite il comando netplwiz), se fosse un client (Windows 10) potrei impostare l’utente come User o Account Desktop remoto a seconda dei cadi.

Ora tentando di accedere a DCDOG.dogcorp.local con l’utente CATCORP\administrator, l’accesso mi verrà consentito.

Riassumendo, il trust di piu domini permette di condividere le risorse dell’active directory tra 2 o piu domini.

Come abbiamo visto è possibile far accedere sia a condivisioni da un utente di un dominio a risorse dell’altro, oppure anche far fare accesso a utenti di un dominio sul’altro.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.