Windows et les domaines - Windows & Software
Marsh Posté le 06-08-2001 à 15:41:01
Ca ne pose aucun problème (du moment que tu ai un compte (de préférence identique) dans chacun des PDC..je ne vois pas où est le pblème ?
C'est d'ailleurs le cas à ma boite où je me logue sur 2 rezo physiquemenent différents grace à 2 carte rezo.
Marsh Posté le 06-08-2001 à 16:10:40
Du meme compte tu te loggues sur deux domaines differents simultanement ?
Marsh Posté le 06-08-2001 à 16:16:22
Le compte de ta machine sera forcément sur un seul domaine (tu n'as qu'un seul SID à la fois). Quant à se loguer simultanément tu ne peux pas, sauf en utilisant après ton login primaire la fonction "run as" de Windows 2000 pour t'authentifier sur l'autre domaine.
La solution la plus propre est d'avoir un seul compte et de demander aux admins de tes réseaux de mettre une relation d'approbation entre leurs domaines.
[edtdd]--Message édité par Requin--[/edtdd]
Marsh Posté le 06-08-2001 à 16:16:54
affirmatif ! j'ai ensuite un script qui me mappe des lecteurs sur les partages des 2 serveurs.
sinon, dans le voisinage réseau...je vois bien mes deux serveurs.
tu peut sinon créer un compte différent sur les deux serveurs et, dans ton login script, créer un map qui pointe sur l'autre serveur (du style net use x: \\serveur_2\partage /user:Ton_compte Ton_mot_de_passe /persistent:no /yes ) de tel sorte qu'au démarrage, grace au script, tu sera automatiquement authentifié sur le serveur 2 (le revers de la médaille, ton password est en claire dans le script.)
[edtdd]--Message édité par Chewbacca--[/edtdd]
Marsh Posté le 06-08-2001 à 16:19:08
si ton rézo est son 2K, c'est encore + facile car il suffit d'inclure ton compte dans la réplication d'objets de l'AD sur les serveurs parent pour qu'il soit dupliqué sur les serveurs de la forêt.
[edtdd]--Message édité par Chewbacca--[/edtdd]
Marsh Posté le 06-08-2001 à 16:27:38
OK, je suis d'accord avec tout, mais je vais etre plus precis:
1. Je fais partie d'un domaine local avec qqs machines dedans.
2. J'ai une deuxieme carte reseau pour pouvoir faire des essais "de labo", mais pas de domaine sur cette partie la, mais un simple groupe de travail.
Hors, le pb que j'ai, c'est que quand je ne suis pas dans un domaine, mais dans un groupe de travail, et ben, je peux pas faire de tunnel IPSec en utilisant Kerberos...
C'est normal me direz vous, puisque normalement, il faut qu'il y ait un KDC dans le domaine...Alors quoi, il ne peut pas y avoir de KDC sans PDC ?
Sinon, j'utilise des tunnels IPSec en pre-shared secret, mais je bataille depuis tt a l'heure, et j'ai encore du mal...
Marsh Posté le 06-08-2001 à 16:29:45
Hello Belgarath,
Pour répondre au fond de ta question :
>Pourquoi n'est il pas possible d'etre dans deux groupes de travail/domaines si on a deux cartes reseaux ?
Tout simplement parce qu'une machine ne peut appartenir qu'à un seul domaine à la fois.
Ta machine est peut-être composée de deux cartes réseau, elle n'en reste pas moins unique en terme de machine physique.
Ceci est lié à la notion de sécurité de domaine.
Une machine est membre d'un domaine et un seul.
Enfin j'espère être clair.
WestWood.
Marsh Posté le 06-08-2001 à 16:35:51
westwood a écrit a écrit : Ceci est lié à la notion de sécurité de domaine. Une machine est membre d'un domaine et un seul. |
OK, donc si je veux faire partie de deux domaines, il faut que ce soit l'admin du réseau qui établisse une relation d'approbation entre les domaines...
Ca parait logique, mais du coup, moi ca ma fait chier pour mon réseau local à côté...
OK merci...
Marsh Posté le 06-08-2001 à 16:44:06
Attention !!!
La relation d'approbation n'intervient que sur le compte utilisateur.
Le compte machine reste dans le domaine dans lequel elle est enregistrée (sous NT4 j'entends).
Pour ce qui concerne la mise en oeuvre d'IPSec je te propose de te reporter au step by step M$, très bine fait d'ailleurs :
http://www.microsoft.com/windows20 [...] csteps.asp
Tu auras les exemples que tu souhaites avec ou sans domaine.
Avec la fameuse notion de pre-shared authentification keys.
Hope it helps,
WW
Marsh Posté le 06-08-2001 à 17:00:19
westwood a écrit a écrit : Attention !!! La relation d'approbation n'intervient que sur le compte utilisateur. |
On est d'accord, mais il faut que ce soit l'admin du domaine qui fasse la relation d'approbation pour mon compte...moi je peux rien faire...Hors la connexion au domaine est lente, et ca me gene pour les reboots que j'arrete pas de faire...
Merci pour le lien, je vais aller regarder ca.
Marsh Posté le 06-08-2001 à 17:09:50
Vi vi,
Seul l'admin peut effectuer des opérations d'administration sur le domaine, telle la création d'une trust. (mais cela me semblait évidant)
Je confirme
WW
Marsh Posté le 06-08-2001 à 15:36:08
Pourquoi n'est il pas possible d'etre dans deux groupes de travail/domaines si on a deux cartes reseaux ?
Ca paraitrait envisageable, non ?