Имеем лес 1, в нем 5 доменов. В моем домене на winserver 2012r2

В домене 1 (не мой ) есть экселевский файл, которым пользуются сотрудники нашего домена 2. Доступ к этому файлу предоставляется путем добавления в группу безопасности, расположенной в домене 1. Пользователям домена 2 батником подключается шара, в которой этот файл.

Этот файл нельзя пересоздать, перенести или еще какие либо манипуляции. Файл крайне важный.

Мы создали свой лес, в нем один домен. Перед миграцией в него, проверяем все сервисы.

Доверительные отношения между лесами настроены.

Есть ли рабочий вариант, чтобы пользоваться файлом из старого леса домена 1 в новом лесу?

А в чем собственно вопрос? Выдаете нужный доступ на этот файл нужным пользователям в новом домене, судя по описанию - это read-only.

Проблема в том, что группы работают на уровне леса.
Доступ предоставляю в старом лесу, а новый лес об этом никак не узнает
Это read-only, это два полноценных леса

В доверяющем лесу создаете домен-локальную группу для доступа к ресурсу. В нее добавляете глобальную группу из доверительного домена в другом лесе. В глобальную группу добавляете необходимых пользователей. Вот картинка (http://www.enterprisedaddy.com/wp-content/uploads/2014/12/Capture12.png) еще.

Спасибо за наводку. Сейчас попробую, отпишусь

ko4evneg, я правильно понял?
Лес1 (старый)
Лес2 (новый)
В лесу1 уже есть группа доступа (глобальная). Она в домене1 леса1, мы этой группой/файлом пользуемся в домене2 леса1
По вашему решению.
В лесу1 в имеющуюся универсальную группу, добавляем глобальную группу леса2. Так?
Но при таком раскладе я сам буду определять кто имеет право пользоваться в лесу2 общим ресурсом, который расположен в лесу1.
Я думаю мне админы леса1 домена1 перекроют кислород.
Или я ошибся?

В лесу1 в имеющуюся универсальную группу, добавляем глобальную группу леса2. Так? »
Вместо универсальной нужна домен-локальная.
Но при таком раскладе я сам буду определять кто имеет право пользоваться в лесу2 общим ресурсом, который расположен в лесу1. »
Ну вообщем то да
Я думаю мне админы леса1 домена1 перекроют кислород. »
Если нужно добавить не группу а юзера, то вместо глобальной группы нужно добавить именно юзера из другого леса.

ko4evneg, Админу из леса1 домена1 нужны какие либо права в лесу2 домена1 ?
Группу "Локальная в домене" создана. в "размещении" виден новый лес, его выбираем. Указываем юзера, он находится. Но при нажатии кнопки "ОК" выходит предупреждение.

Похоже на сетевую проблему. Попробуйте эту операцию с контроллера сделать и проверьте работает ли траст.

С контроллера тоже не добавляет. Хотя у меня права энтерпрайз в лесу.
C консоли AD домены и доверие с обеих сторон все хорошо, без ошибок

Я в обоих лесах энтерпрайз админ.
С стороны старого леса могу в оснастке "Домены и доверие" сменить лес
А со стороны нового леса не могу "Не удалось сметить домен имядомена по следующей причине: Произошла локальная ошибка"
Можете подсказать механизм проверки с обоих сторон, помимо оснастки

Что еще нашел
В AD "Домены и довери". В лесу1 в домене1 (корневой в лесу), ПКМ свойства, на вкладке "Отношения доверия" выбираю свойства.
В появившемся окне на вкладке "Маршрутизация суффикса имен" есть ошибка см скрин
Мой домен2 в лесу1 имеет имя: corp.mall.ru, в нем есть суффикс - *corpmall.ru
имя нового леса - vld.corpmall.ru
Из за этого суффикса может быть косяк? Можно как то это исправить?

скрин

Проблема по замене экрана блокировки оказывается известная.
https://social.technet.microsoft.com/Forums/ru-RU/5954b594-5226-4adc-ae9b-672e17e68b2d/-?forum=win10itprogeneralRU Здесь велось основное решение вопросов.
В итоге: Майкрософт знает о проблеме по замене экрана блокировке и в ближайшее время в сборке 1709 выпустит исправление

Если коротко то:
Резюме от Майкрософта

Данное обращение будет заархивировано. Если появится необходимость возобновить работу по текущему обращению, пожалуйста, сообщите нам об этом, и мы переоткроем кейс в любое время. На Ваш электронный адрес может быть направлено приглашение пройти небольшой опрос о качестве предоставленной технической поддержки. Мы будем очень признательны Вам за Ваш отзыв. Обратная связь помогает нам постоянно повышать уровень сервиса. Вы также можете связаться со мной или моим руководителем напрямую, используя контактную информацию, указанную в моей подписи, чтобы обсудить Ваши комментарии, замечания или пожелания относительно моей работы над обращением. Ниже направляю Вам краткое резюме работы по данному обращению: Описание проблемы: GPO "logotip_1703" is not taking effect on "test" windows 10 Pro after upgrade from 1511 version to 1607. Соглашение о масштабе работ: Once the above mentioned scope is met issue is said to be resolved, Unless ruled out to be due to a product limitation or third party issue. Also, if we lose contact with you & you are not available for 3 consecutive days, we would consider the case to be resolved and move ahead with its closure.



Scope Agreement: Once we are able to resolve the issue defined in “Issue definition” given above, we will consider this case as resolved. Any other issue will be assisted separately on another ticket. Please note, that according to Microsoft Policy each support incident can only address one problem.



Support Incident: An incident is a problem that cannot be broken down into subordinate problems. For a request with subordinate problems, each problem is considered a separate incident, and therefore must be submitted as a separate support request. An incident may require multiple interactions and off-line research to resolve it. Please note that an incident involving a Microsoft product bug will not be applied against your account.

Причина: Known Lock Screen issue Решение: No solution provided.

Cx is free to choose between waiting the fix to become available or to revert to the previous OS Дополнительная информация: Known Lock Screen issues with Creator’s Update (1703)

https://blogs.technet.microsoft.com/kimberj/2017/05/05/known-lock-screen-issues-1703/