Come possiamo aiutarvi oggi?

Supporto per il trust di Active Directory di MyWorkDrive

Tu sei qui:
< Indietro

Le informazioni e le linee guida contenute in questo articolo sono applicabili solo quando si utilizza MyWorkDrive su un server unito a un dominio Active Directory con Active Directory per i dati utente. Non sono applicabili quando si installa MyWorkDrive in un ambiente senza directory con identità Entra ID per il database utente.

MyWorkDrive supporta il posizionamento in un dominio di risorse trust di Active Directory con le seguenti limitazioni. SAML/SSO funziona solo con trust bidirezionali. Con i trust unidirezionali, gli utenti possono accedere solo utilizzando nome utente/password: SAML/SSO non è supportato poiché richiede la rappresentazione dell'utente nel dominio dell'account attendibile da parte del server MWD situato nel dominio delle risorse, operazione non consentita. I trust bidirezionali sono l'opzione preferita. I trust bidirezionali supportano l'autenticazione selettiva per limitare le autorizzazioni dal dominio delle risorse nel dominio dell'account attendibile e possono essere modificati in base alle esigenze. *Questo articolo presuppone che i trust siano già attivi e che siano presenti eventuali forwarder condizionali DNS.

 

Opzioni server MyWorkDrive richieste:

  1. I gruppi locali non sono supportati e devono essere rimossi da Autorizzazioni o condivisioni NTFS: utilizzare solo gruppi o utenti di sicurezza utente basati su dominio.
  2. I gruppi di dominio nel dominio delle risorse che contengono utenti o gruppi nel dominio attendibile (gruppi in un gruppo) non sono supportati o necessari: aggiungi i gruppi di dominio attendibili direttamente alle autorizzazioni NTFS sulla condivisione e in MyWorkDrive.
  3. Per migliorare la velocità di accesso, spostare il dominio dell'account attendibile in cima all'Ordine di ricerca del dominio su ciascun server MWD (impostazioni, Ordine di ricerca del dominio).
  4. Per migliorare la velocità di accesso, il controller di dominio di un account attendibile deve essere accessibile tramite una connessione di rete veloce e a bassa latenza.

Impostazioni di trust bidirezionale della foresta

In questo caso il trust viene creato sul Trusted Account Domain DC (il cliente) puntato al Resource Domain (dove risiede il Server MWD). I trust bidirezionali supportano l'autenticazione selettiva per limitare le autorizzazioni dal dominio delle risorse nel dominio dell'account attendibile.

Con i trust bidirezionali, gli utenti possono accedere utilizzando nome utente/password o SAML/SSO. SAML/SSO è supportato quando è corretto Delegazione è configurato per consentire al server MWD di rappresentare gli utenti su qualsiasi file server situato nel dominio delle risorse.

Formati nome utente supportati: FWA\Nome utente, nomeutente@fwa.local, SamAccountName senza dominio: “Nome utente” – quando il dominio dell'utente viene aggiunto all'inizio dell'ordine di ricerca del dominio MWD, indirizzo e-mail (suffissi UPN alternativi).

Ai fini di questo articolo i domini Active Directory sono i seguenti:

Dominio dell'account attendibile: "FWA" FWA.local, filewebaccess.net

Dominio delle risorse: MWF, MWF.local

Esempio di impostazioni di trust bidirezionale:

 

 

Impostazioni di trust del dominio esterno unidirezionale

I trust unidirezionali funzionano solo con l'accesso tramite nome utente/password e richiedono le seguenti opzioni/impostazioni di gestione:

  1. È necessario che l'amministrazione del server MyWorkDrive venga eseguita con un account del dominio dell'account attendibile (l'account del dominio delle risorse non dispone delle autorizzazioni per leggere utenti/gruppi di condivisione NTFS durante la modifica/creazione di nuove condivisioni).
  2. Per i trust unidirezionali, è necessario aggiungere l'account utente amministratore dal dominio attendibile che verrà utilizzato per amministrare MyWorkDrive al gruppo di amministratori locali sul server MWD per consentire l'accesso al pannello di amministrazione MWD e gestire le condivisioni
  3. Per i trust unidirezionali, l'amministrazione deve essere eseguita dopo aver effettuato l'accesso al pannello di amministrazione di MWD per aggiungere/modificare le condivisioni come account di amministrazione utente dominio account attendibile

 

In questo caso impostiamo un trust in uscita unidirezionale verso il dominio delle risorse MWD utilizzando un trust di dominio esterno.

Con i trust unidirezionali, gli utenti possono accedere solo utilizzando nome utente/password: SAML/SSO non è supportato poiché richiede la rappresentazione dell'utente nel dominio dell'account attendibile da parte del server MWD situato nel dominio delle risorse, operazione non consentita.

Formati nome utente supportati: FWA\Nome utente, nomeutente@fwa.local, SamAccountName senza dominio: "Nome utente" – quando il dominio dell'account attendibile viene aggiunto all'inizio dell'ordine di ricerca del dominio MWD e il nome utente è univoco in entrambi i domini.

Formati dei nomi di accesso non supportati: indirizzo e-mail a meno che non corrisponda al dominio principale del dominio dell'account (i suffissi UPN alternativi non sono supportati poiché non è possibile instradare i suffissi dei nomi di dominio con trust di dominio esterni)

Esempio di impostazioni di trust in uscita unidirezionale del dominio di risorse:

Questo viene creato dal punto di vista del controller di dominio del dominio delle risorse MWD per considerare attendibile il dominio degli utenti.

Impostazioni di trust in entrata unidirezionale del dominio degli utenti di esempio:

Questo viene creato dal punto di vista del controller di dominio del dominio dell'account attendibile FWA per considerare attendibile il dominio delle risorse.