Penso che tutte le persone che lavorano in ambito IT conoscano i domini e l’Active Directory di Windows.
Il dominio è una raccolta di risorse che si trovano nel database di Active Directory, questi oggetti possono essere utenti, computer, controller di dominio, gruppi di utenti, oggetti Criteri di gruppo, siti, ecc.
Di norma puoi gestire solo risorse che si trovano nel tuo dominio, ma ci sono alcuni scenari in cui devi gestire risorse che non sono nel tuo dominio ma in un altro dominio
Queste ipotetici scenari potrebbero essere per esempio un acquisizione di un altra società da una compagnia, la quale deve accedere velocemente alle risorse della compagnia aquisita.
Il Trust potrebbe essere usato anche tra 2 o piu società di un gruppo di aziende, che vogliono tenere separate le risorse di AD ma al contempo poter codividere a determinate risorse (es. condivisioni)
Per spiegare la creazione di un trust e la sua utilità, ho preparato questo scenario in cui sono presenti 2 domini, CATCORP.local e DOGCORP.local, nel quale verrà creato un trust tra i rispettivi 2 domini per permettere la condivisione di alcune risorse, in questo caso una condivisione SMB e la possibiltà di far accedere in RDP un utente in un sistema dell’altro dominio.
| CATCORP.local | DOGCORP.local |
| Nome server AD: CATDC | Nome del server AD: DOGDC |
| Nome NetBIOS AD SERVER: CATDC.CATCORP.local | Nome NetBIOS del server AD: DOGDC.DOGCORP.local |
| Indirizzo IP: 192.168.0.230 | Indirizzo IP: 192.168.0.240 |
| Sistema operativo: Windows Server 2019 | Sistema operativo: Windows Server 2019 |
| Server DNS: CATDC | Server DNS: DOGDC |
| Indirizzo IP del server DNS: 192.168.0.230 | Indirizzo IP del server DNS: 192.168.0.240 |
Verrà creato un Trust bidirezionale tra questi domini, questo vuol dire che i due domini potranno condividere reciprocamente le proprie risorse.
Per iniziare dovremmo configurare il DNS per permettere a ogni rispettivo dominio di risolvere l’altro.
Per fare ciò è necessario creare un server d’inolto condizionale in modo che catcorp.local riesca a risolvere dogcorp.local e viceversa. Ora configureremo CATCORP.local.
Per fare ciò accedere alla gestione DNS e creare un nuovo server d’inoltro condizionale.
Ora compiliamo i campi richiesti, inserendo Dominio DNS, e il rispettivo IP del dns che andrà a risolvere i DNS per DOGCORP.local, attiviamo anche “Archivia server d’inolto…” come visualizzato nell’immagine sottostante.
Come è possibile vedere, la maschera dara errore, una volta salvato e rientrando nella configurazione vedete che non visualizzerà piu l’errore.
Ora è necessario eseguire la stessa configurazione nel DNS di DOGCORP.local.
Una volta completato la configurazione degli inoltri DNS, possiamo passare alla configurazione del Trust tra i 2 domini.
Cerchiamo il pannello di configurazione “Domini e trust di Active Directory“, con il testo destro andiamo su Proprietà
Ora posizioniamoci in Trust e creaiamo una “Nuova relazione di trust…“
Ora comparirà un wizard, le uniche informazioni che andremmo a inserire sono il dominio, in cui dobbiamo avviare la relazione di Trust, e le credenziali di accesso del dominio di destinazione.
Ci saranno ancuni step per poter personalizzare la nostra relazione di trust, noi in questo caso come descritto in precedenza, lo configureremo in modo che le risorse saranno disponibili in entrambi i domini.
Ora procediamo con la configurazione
Inseriamo il nome del dominio della foresta dove avviare la relazione (DOGCORP.local)
Selezionare trust tra foreste
Spuntiamo l’opzione bidirezionale e andiamo avanti
Indicare questo dominio e il dominio specificato
Inserire le credenziali del dominio dogcorp
Spuntare l’autenicazione estesa a tutta la foresta (foresta locale)
Spuntare l’autenicazione estesa a tutta la foresta (foresta specificata)
Ora verrà mostrato un resoconto, proseguendo verrano applicate le modifiche
Ora la relazione di trust è stata creata
Nelle prossime 2 schermate è necessario confermare la relazione di trust in uscita e entrata
Ora la relazione è conclusa
Ritornando alla schermata generale vedemmo che sono state create 2 voci
Ora che il trust è completato i 2 domini possono accedere e condividere le risorse l’un l’altro. Possiamo uscire dai pannelli di amministrazione del trust.
Ora verifichiamo se il trust funziona e i benefici di averlo attivato.
Per esempio dalla gestione Utenti e computer di Active Directory del server DCCAT.CATCORP.local, facendo tasto destro in Utenti e computer di Active Directory, possiamo cambiare il dominio e visualizzare gli oggetti di active directory di dogcorp.local
A questo punto possiamo vedere e modificare tutti gli oggetti ci AD di DOGCORP.local, bene il trust funziona.
Ora vediamo come condividere da dccat.catcorp.local una directory per far accedere l’utente Administrator di dogcorp.local, una funzionalità molto comune da usare con il trust.
Creiamo inanzi tutto una directory SHARED, andiamo nelle sue proprietà, poi codivisioni, premiamo aggiungi.
A questo punto verrà visualizzata la classica schermata per aggiungere un utente o gruppo dal nostro domain controllar.
Adesso però avendo attivat il trust, andiamo a selezionare un utente dell’altro dominio. Per cui possiamo cliccare su Percorsi… e selezionare la foresta dogcorp.local.
Dopo aver cambiato il percorso posso visualizzare tutti gli oggietti di dogcorp.local e quindi selezionare Administrator per permettere la condivisione
Come possiamo vedere sono presenti entrambi gli Administrator dei 2 domini
Ora la directory SHARED è condivisa per entrambi gli administrator dei 2 domini.
Ora proviamo ad accedere alla directory da DCDOG.dogcorp.local a DCCAT.catcorp.local/SHARED.
Come è possibile vedere la condivisione funziona perfettamente.
Il trust di domini non permette solo la condivisione di directory e file come visto in precendenza, ma praticamente posso utilizzare gli oggetti come ho sempre gestito gli utenti della mia foresta, anche con programmi di terze parti che utilizzano l’autenticazione di dominio.
Per esempio posso permette a un utente di CATCORP.local di accedere a un server o postazione che è in JOIN nel dominio DOGCORP.local come nel esempio sottostante.
Inanzi tutto è necessario autorizzare l’utente a accedere al sistama, essendo un domain controller imposto l’utente come administrator (tramite il comando netplwiz), se fosse un client (Windows 10) potrei impostare l’utente come User o Account Desktop remoto a seconda dei cadi.
Ora tentando di accedere a DCDOG.dogcorp.local con l’utente CATCORP\administrator, l’accesso mi verrà consentito.
Riassumendo, il trust di piu domini permette di condividere le risorse dell’active directory tra 2 o piu domini.
Come abbiamo visto è possibile far accedere sia a condivisioni da un utente di un dominio a risorse dell’altro, oppure anche far fare accesso a utenti di un dominio sul’altro.