Por que um grupo local de domínio confiável de AD não consegue acessar um NAS via SMB?
Os grupos locais de domínio confiável de AD não conseguem acessar um NAS via SMB devido à natureza das especificações de MSDN.
Veja o diagrama seguinte:
Nesse diagrama, o NAS é um servidor membro do AD do domínio A do Windows AD (DOM_A) e tem uma relação de confiança de floresta com o domínio B do Windows AD (DOM_B). Nesse caso, o NAS identifica o DOM_A como seu próprio domínio e o grupo do DOM_A pode acessar o NAS. O NAS identifica o DOM_B como um domínio confiável, mas o grupo do DOM_B NÃO pode acessar o NAS. Esse comportamento é consistente com as especificações de MSDN.
Para permitir que os grupos do DOM_B acessem o NAS, use um dos dois métodos seguintes.
- Para DOM_B, não use o escopo de grupo Local de Domínio para acessar o NAS.
Em vez disso, use Global ou Universal.
- Junte o NAS ao DOM_B em vez do DOM_A.
Observação: As permissões de pasta compartilhada podem precisar de reconfiguração depois de se juntarem ao NAS em um domínio diferente do AD.
Para obter mais informações, visite os seguintes recursos do MSDN para obter detalhes sobre o escopo do grupo de Local de Domínio.
- Grupos locais de domínio:
Esses grupos podem conter membros de qualquer domínio confiável, mas só podem receber permissão para acessar recursos em seu próprio domínio.
https://msdn.microsoft.com/en-us/library/cc246065.aspx - Escopo do grupo:
As permissões de membro só podem ser atribuídas no mesmo domínio que o grupo local do domínio primário.
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc755692(v=ws.10) - Acesso aos recursos em florestas:
Para permitir que usuários de diferentes florestas acessem os recursos de um determinado domínio, você pode criar grupos locais de domínio com base em recursos em cada domínio e atribuir permissões de acesso no nível de grupo para os recursos no domínio de destino.
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc772808(v=ws.10)
