Hoe kunnen we u vandaag helpen?
MyWorkDrive Active Directory Trust-ondersteuning
De informatie en richtlijnen in dit artikel zijn alleen van toepassing bij gebruik van MyWorkDrive op een server die lid is van een Active Directory-domein met Active Directory voor de gebruikersgegevens. Het is niet van toepassing bij het installeren van MyWorkDrive in een directoryloze omgeving met Entra ID-identiteit voor de gebruikersdatabase.
MyWorkDrive ondersteunt plaatsing in een Active Directory Trust Resource Domain met de volgende beperkingen. SAML/SSO werkt alleen met Two-Way trusts. Met One-Way-vertrouwensrelaties kunnen gebruikers alleen inloggen met gebruikersnaam/wachtwoord. SAML/SSO wordt niet ondersteund, omdat het vereist is dat de gebruiker wordt nagebootst in het vertrouwde accountdomein door de MWD-server in het brondomein, wat niet is toegestaan. Two Way trusts hebben de voorkeur. Tweerichtingsvertrouwensrelaties ondersteunen selectieve authenticatie om machtigingen van het brondomein op het vertrouwde accountdomein te beperken en kunnen indien nodig worden aangepast. *In dit artikel wordt ervan uitgegaan dat de vertrouwensrelaties al actief zijn en dat eventuele voorwaardelijke DNS-doorstuurservers aanwezig zijn.
Vereiste MyWorkDrive-serveropties:
- Lokale groepen worden niet ondersteund en moeten worden verwijderd uit NTFS-machtigingen of -shares. Gebruik alleen op domein gebaseerde gebruikersbeveiligingsgroepen of gebruikers.
- Domeingroepen in het brondomein die gebruikers of groepen in het vertrouwde domein bevatten (groepen in een groep) worden niet ondersteund of zijn niet nodig - voeg de vertrouwde domeingroepen rechtstreeks toe aan NTFS-machtigingen op de share en in MyWorkDrive.
- Om de inlogsnelheden te verbeteren, verplaatst u het domein van de vertrouwde account naar de top van de zoekvolgorde van domeinen op elke MWD-server (instellingen, zoekvolgorde domeinen).
- Om de inlogsnelheden te verbeteren, moet een Trusted Account-domeincontroller toegankelijk zijn via een snelle netwerkverbinding met lage latentie.
Inhoud
Instellingen voor tweerichtingsbosvertrouwen
In dit geval wordt het vertrouwen gecreëerd op de Trusted Account Domain DC (de klant) die verwijst naar het Resource Domain (waar de MWD-server zich bevindt). Tweerichtingsvertrouwensrelaties ondersteunen selectieve authenticatie om machtigingen van het brondomein op het vertrouwde accountdomein te beperken.
Met Two-Way trusts kunnen gebruikers inloggen met gebruikersnaam/wachtwoord of SAML/SSO. SAML/SSO wordt ondersteund wanneer de juiste Delegatie is zo ingesteld dat de MWD-server zich kan voordoen als gebruikers op alle bestandsservers die zich in het brondomein bevinden.
Ondersteunde aanmeldingsnaamformaten: FWA\Gebruikersnaam, gebruikersnaam@fwa.local, SamAccountName zonder domein: "Gebruikersnaam" – wanneer het domein van de gebruiker wordt toegevoegd aan de MWD-domeinzoekopdracht, e-mailadres (alternatieve UPN-achtervoegsels).
Voor de toepassing van dit artikel zijn de Active Directory-domeinen als volgt:
Vertrouwd accountdomein: "FWA" FWA.local, filewebaccess.net
Brondomein: MWF, MWF.local
Voorbeeld instellingen voor tweerichtingsvertrouwen:
Eenrichtingsinstellingen voor extern domeinvertrouwen
Eenrichtingsvertrouwensrelaties werken alleen met gebruikersnaam/wachtwoordaanmelding en vereisen de volgende opties/beheerinstellingen:
- Het is vereist dat MyWorkDrive-serverbeheer wordt uitgevoerd met een account van het vertrouwde accountdomein (de brondomeinaccount heeft geen machtigingen om gebruiker/NTFS-share Gebruiker/groepen te lezen bij het bewerken/maken van nieuwe shares).
- Voor eenrichtingsvertrouwensrelaties is het noodzakelijk om het beheerdersgebruikersaccount van het vertrouwde domein toe te voegen dat zal worden gebruikt om MyWorkDrive te beheren aan de lokale beheerdersgroep op de MWD-server om inloggen op het MWD-beheerpaneel toe te staan en shares te beheren
- Voor eenrichtingsvertrouwen moet het beheer worden uitgevoerd nadat u bent ingelogd op het MWD-beheerderspaneel om shares toe te voegen/bewerken als het Trusted Account Domain User Administration-account
In dit geval stellen we een uitgaande vertrouwensrelatie in één richting op naar het MWD-brondomein met behulp van een externe domeinvertrouwensrelatie.
Met eenrichtingsvertrouwensrelaties kunnen gebruikers alleen inloggen met gebruikersnaam/wachtwoord - SAML/SSO wordt niet ondersteund omdat het vereist dat de gebruiker zich voordoet in het vertrouwde accountdomein door de MWD-server die zich in het brondomein bevindt, wat niet is toegestaan.
Ondersteunde aanmeldingsnaamformaten: FWA\Gebruikersnaam, gebruikersnaam@fwa.local, SamAccountName zonder domein: "Gebruikersnaam" - wanneer Trusted Account Domain wordt toegevoegd aan de MWD Domain Search Order en gebruikersnaam uniek is voor beide domeinen.
Indelingen aanmeldingsnaam niet ondersteund: e-mailadres tenzij het overeenkomt met het hoofddomein van het accountdomein (alternatieve UPN-achtervoegsels worden niet ondersteund omdat er geen manier is om domeinnaamachtervoegsels te routeren met externe domeinvertrouwensrelaties)
Voorbeeld instellingen voor eenrichtingsvertrouwen in eenrichtingsdomein:
Dit is gemaakt vanuit het perspectief van het MWD Resource-domein DC om het gebruikersdomein te vertrouwen.
Voorbeeld gebruikersdomein Eenrichtingsverkeer Inkomende vertrouwensinstellingen:
Dit is gemaakt vanuit het perspectief van het FWA Trusted Account-domein DC om het Resource-domein te vertrouwen.