Wie können wir Ihnen heute helfen?

MyWorkDrive Active Directory-Vertrauensunterstützung

Du bist da:
< Zurück

Die Informationen und Anleitungen in diesem Artikel gelten nur, wenn MyWorkDrive auf einem Server verwendet wird, der einer Active Directory-Domäne beigetreten ist und Active Directory für die Benutzerdaten verwendet. Sie gelten nicht, wenn MyWorkDrive in einer verzeichnislosen Umgebung mit Entra-ID-Identität für die Benutzerdatenbank installiert wird.

MyWorkDrive unterstützt die Platzierung in einer Active Directory Trust-Ressourcendomäne mit den folgenden Einschränkungen. SAML/SSO funktioniert nur mit bidirektionalen Vertrauensstellungen. Bei One-Way Trusts können sich Benutzer nur mit Benutzername/Passwort anmelden – SAML/SSO wird nicht unterstützt, da es erfordert, dass der MWD-Server, der sich in der Ressourcendomäne befindet, den Benutzer in der Domäne des vertrauenswürdigen Kontos imitiert, was nicht zulässig ist. Two Way Trusts sind die bevorzugte Option. Zwei-Wege-Vertrauensstellungen unterstützen die selektive Authentifizierung, um Berechtigungen von der Ressourcendomäne auf die Domäne des vertrauenswürdigen Kontos einzuschränken, und können nach Bedarf angepasst werden. *In diesem Artikel wird davon ausgegangen, dass die Vertrauensstellungen bereits aktiv sind und alle bedingten DNS-Weiterleitungen vorhanden sind.

 

Erforderliche MyWorkDrive-Serveroptionen:

  1. Lokale Gruppen werden nicht unterstützt und sollten aus NTFS-Berechtigungen oder Freigaben entfernt werden – Verwenden Sie nur domänenbasierte Benutzersicherheitsgruppen oder Benutzer.
  2. Domänengruppen in der Ressourcendomäne, die Benutzer oder Gruppen in der vertrauenswürdigen Domäne (Gruppen in einer Gruppe) enthalten, werden nicht unterstützt oder benötigt – fügen Sie die vertrauenswürdigen Domänengruppen direkt zu NTFS-Berechtigungen auf der Freigabe und in MyWorkDrive hinzu.
  3. Um die Anmeldegeschwindigkeit zu verbessern, verschieben Sie die Domäne des vertrauenswürdigen Kontos an die Spitze der Domänensuchreihenfolge auf jedem MWD-Server (Einstellungen, Domänensuchreihenfolge).
  4. Um die Anmeldegeschwindigkeit zu verbessern, sollte ein Domänencontroller für vertrauenswürdige Konten über eine schnelle Netzwerkverbindung mit geringer Latenz erreichbar sein.

Zwei-Wege-Gesamtstruktur-Vertrauenseinstellungen

In diesem Fall wird die Vertrauensstellung auf dem Domänen-DC des vertrauenswürdigen Kontos (dem Kunden) erstellt, der auf die Ressourcendomäne verweist (wo sich der MWD-Server befindet). Zwei-Wege-Vertrauensstellungen unterstützen die selektive Authentifizierung, um Berechtigungen von der Ressourcendomäne auf die Domäne des vertrauenswürdigen Kontos einzuschränken.

Mit Two-Way Trusts können sich Benutzer mit Benutzername/Passwort oder SAML/SSO anmelden. SAML/SSO wird unterstützt, wenn dies angemessen ist Delegation ist so eingerichtet, dass der MWD-Server die Identität von Benutzern auf allen Dateiservern annehmen kann, die sich in der Ressourcendomäne befinden.

Unterstützte Anmeldenamenformate: FWA\Benutzername, Benutzername@fwa.local, SamAccountName ohne Domäne: „Benutzername“ – wenn die Domäne des Benutzers am Anfang der MWD-Domänensuchreihenfolge, E-Mail-Adresse (alternative UPN-Suffixe) hinzugefügt wird.

Für die Zwecke dieses Artikels lauten die Active Directory-Domänen wie folgt:

Vertrauenswürdige Kontodomäne: „FWA“ FWA.local, filewebaccess.net

Ressourcendomäne: MWF, MWF.local

Beispiel für Two-Way-Trust-Einstellungen:

 

 

Vertrauenseinstellungen für unidirektionale externe Domänen

One-Way Trusts funktionieren nur mit Benutzername/Passwort-Login und erfordern die folgenden Optionen/Verwaltungseinstellungen:

  1. Es ist erforderlich, dass die MyWorkDrive-Serververwaltung mit einem Konto aus der vertrauenswürdigen Kontodomäne durchgeführt wird (das Ressourcendomänenkonto hat keine Berechtigungen zum Lesen von Benutzern/NTFS-Freigaben Benutzer/Gruppen beim Bearbeiten/Erstellen neuer Freigaben).
  2. Für unidirektionale Vertrauensstellungen ist es erforderlich, das Admin-Benutzerkonto aus der vertrauenswürdigen Domäne, das zum Verwalten von MyWorkDrive verwendet wird, zur lokalen Administratorgruppe auf dem MWD-Server hinzuzufügen, um die Anmeldung beim MWD-Admin-Panel zuzulassen und Freigaben zu verwalten
  3. Bei One-Way-Trusts sollte die Verwaltung nach der Anmeldung beim MWD-Admin-Panel erfolgen, um Freigaben als Domänenbenutzerverwaltungskonto des vertrauenswürdigen Kontos hinzuzufügen/zu bearbeiten

 

In diesem Fall richten wir eine unidirektionale ausgehende Vertrauensstellung zur MWD-Ressourcendomäne ein, indem wir eine externe Domänen-Vertrauensstellung verwenden.

Bei One-Way Trusts können sich Benutzer nur mit Benutzername/Passwort anmelden – SAML/SSO wird nicht unterstützt, da es erfordert, dass der MWD-Server, der sich in der Ressourcendomäne befindet, den Benutzer in der Domäne des vertrauenswürdigen Kontos imitiert, was nicht zulässig ist.

Unterstützte Anmeldenamenformate: FWA\Benutzername, Benutzername@fwa.local, SamAccountName ohne Domäne: „Benutzername“ – wenn die Domäne des vertrauenswürdigen Kontos am Anfang der MWD-Domänen-Suchreihenfolge hinzugefügt wird und der Benutzername in beiden Domänen eindeutig ist.

Anmeldenamenformate werden nicht unterstützt: E-Mail-Adresse, es sei denn, sie entspricht der Stammdomäne der Kontodomäne (alternative UPN-Suffixe werden nicht unterstützt, da es keine Möglichkeit gibt, Domänennamensuffixe mit externen Domänenvertrauensstellungen weiterzuleiten)

Beispiel für unidirektionale ausgehende Vertrauenseinstellungen der Ressourcendomäne:

Dies wird aus der Perspektive des MWD-Ressourcendomänen-DC erstellt, um der Benutzerdomäne zu vertrauen.

Beispieleinstellungen für unidirektionale eingehende Vertrauenswürdigkeit der Benutzerdomäne:

Dies wird aus der Perspektive des FWA Trusted Account-Domänen-DC erstellt, um der Ressourcendomäne zu vertrauen.

Benutzer-Home-OrdnerÜberblick über die SSO-Einrichtung