2012 R2 - Использование доменной базы пользователей на сервере не входящем в домен

paranoya · Отправлено: **10:16, 21-02-2020** | #2

Active Directory Federation Services (AD FS) должно помочь.
Можно ещё Active Directory Lightweight Directory Services (AD LDS) с синхронизацией юзеров из AD, но это думать.

Dicot · Отправлено: **13:08, 21-02-2020** | #3

AD FS требует, чтобы компьютер был членом домена. А мне нужно, чтобы на компьютере не входящем в домен можно было авторизоваться по доменным учеткам.

Busla · Отправлено: **12:13, 22-02-2020** | #4

Цитата paranoya:

Active Directory Federation Services (AD FS) должно помочь. »

не должно

Цитата Dicot:

AD FS требует, чтобы компьютер был членом домена. »

не требует
просто оно не для файл-серверов

Цитата Dicot:

Можно ли как-то настроить авторизацию доменных пользователей для доступа к файлам\папкам по сети и права на доступ на эти папки\файлы.
Samba вроде так может, но использовать Linux не очень удобно. »

вы путаете авторизацию и аутентификацию

Лучше поясните тайный смысл всего этого. Сейчас это звучит как "включить в домен не включая".

Dicot · Отправлено: **11:19, 25-02-2020** | #5

Цитата Busla:

вы путаете авторизацию и аутентификацию »

Видимо, нужно и то и другое.

Цитата Busla:

Лучше поясните тайный смысл всего этого. Сейчас это звучит как "включить в домен не включая". »

Я понимаю, что требования несколько странные, но смысл в том, чтобы предоставить ТОЛЬКО доступ к файлам доменным пользователям не давая прав на сервер админам домена.

Цитата zai:

Можно, если ты заведешь, этих пользователей локально »

Пользователи периодически меняют пароли (в AD). Как синхронизировать локальную базу учеток с доменной?

Busla · Отправлено: **13:29, 25-02-2020** | #6

Чтобы все вбивали доменные пароли в неподконтрольный администраторам домена сервер? - так себе затея.

Dicot · Отправлено: **15:08, 25-02-2020** | #7

Цитата Busla:

Чтобы все вбивали доменные пароли в неподконтрольный администраторам домена сервер? - так себе затея. »

Так я ж этого и пытаюсь избежать.
Пусть все учетки/пароли хранятся/меняются в AD. И файловый сервер при аутентификации/авторизации пользователей пусть тоже обращается к AD, но сам при этом членом AD не является.
Можно так сделать?

paranoya · Отправлено: **15:36, 25-02-2020** | #8

Цитата Dicot:

Пусть все учетки/пароли хранятся/меняются в AD. И файловый сервер при аутентификации/авторизации пользователей пусть тоже обращается к AD, но сам при этом членом AD не является.
Можно так сделать? »

Можно. Делай файловый сервер на Линуксе. Возьми какой-нибудь дистрибутив типа FreeNAS, разработанный специально под помойку для файлов.

Dicot · Отправлено: **16:00, 25-02-2020** | #9

Цитата paranoya:

Делай файловый сервер на Линуксе »

Винда интересует

Busla · Отправлено: **17:30, 25-02-2020** | #10

Цитата Dicot:

Пусть все учетки/пароли хранятся/меняются в AD. И файловый сервер при аутентификации/авторизации пользователей пусть тоже обращается к AD, но сам при этом членом AD не является.
Можно так сделать? »

нельзя

Либо выводить это файловый сервер в отдельный лес и настраивать доверие. Тогда получится и пользователей авторизовывать через Kerberos, и доменным админам не дать никаких возможностей управления.

Цитата paranoya:

Можно. Делай файловый сервер на Линуксе. »

в таком случае при входе на файл-сервер пользователи будут передавать свои доменные пароли этому линуксовому серверу, а тот в свою очередь будет их проверять по LDAPs