Gast Flipshot Geschrieben 5. August 2003 Melden Teilen Geschrieben 5. August 2003 Wir haben in unserer Institution bisher eine NT4-Domäne, an der sich alle Benutzer angemeldet haben. Nun sind wir dabei auf eine W2K-Domäne umzusteigen. Dabei ergibt sich trotzdem beidseitiger Vertrauensstellung folgendes Problem, dass die Personen, die sich in der W2K-Domäne anmelden nicht mehr auf Ressourcen der NT4-Domäne zugreiffen können, solange ich nicht explizit die Ordner-Sicherheitseinstellungen für die neue W2K-Domäne freigegeben hab. Da wir rund 2.500 Mitarbeiter haben, und auch dementsprechend viele Benutzergruppen ist eine Vergabe von Ordnerberechtigungen auszuschließen. Meine Frage ist jetzt, wie man das elegant lösen kann. Ich dachte bisher immer, dass der gegenseitig Domänen-Zugriff allein durch die Vertrauensstellungen geregelt wird. Gruß Flip Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 5. August 2003 Melden Teilen Geschrieben 5. August 2003 Da muss ich dir leider mitteilen, dass diese Vermutung falsch war. Eine Vertrauensstellung dienst lediglich dazu, Benutzern/Gruppen aus der einen Domäne Zugriffberechtigungen in der anderen Domäne geben zu KÖNNEN, was ohne eine Vertrauenstellung nicht möglich wäre. Die Berechtigungsvergabe ist aber immer noch Handarbeit. Aber um es dem Admin etwas leichter zu machen gibt es auch Tools, die helfen, wie z.B. permcopy aus dem ResKit oder securecopy (Löhnsoft). grizzly999 Zitieren Link zu diesem Kommentar
Gast Flipshot Geschrieben 5. August 2003 Melden Teilen Geschrieben 5. August 2003 Das Tool kenn ich! So viel ich noch weiss kann man damit aber lediglich "Freigabe"-Berechtigungen übertragen, keine "Ordner"-Berechtigungen. Oder hat sich da mittlerweile was dran geändert?! Gruß Flip Zitieren Link zu diesem Kommentar
Gast Flipshot Geschrieben 5. August 2003 Melden Teilen Geschrieben 5. August 2003 Bereits bestehende Ordner-Berechtigungen zu übernehmen ist eigentlich auch net mein Problem... dafür hätte ich schon den Windows Commander :-) Mein Problem ist "neue" Berechtigungen hinzuzufügen. Z. B.: In der NT-Domäne haben auf den Ordner "Test" folgende Gruppen Zugriff: - NTDOMAIN\Domänen-Admins (RWXDPO) - NTDOMAIN\PowerUsers (RXWD) - NTDOMAIN\Users (RX) Um jetzt als Mitglied der W2K-Domäne auf den Ordner zugreifen zu können benötige ich ja noch zusätzlich folgende Berechtigungen: - W2KDOMAIN\Domänen-Admins (RXWDPO) - W2KDOMAIN\PowerUsers (RWXD) - W2KDOMAIN\Users (RX) Diese Struktur kann sich natürlich auf unteren Ebenen komplett unterscheiden, so dass ich praktisch jede Verzeichnis-Ebene einzeln ändern müsste, um bereits bestehende Berechtigungen net zu überschreiben. Gruß Flip Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 5. August 2003 Melden Teilen Geschrieben 5. August 2003 Ja, das Tool geht nur für Freigabeberechtigungen, aber das kam mir dann auch, dass das mit den Tools überhaupt Blödsinn ist, wie du ja auch erkannt hast ;) Aber: wenn ihr dabei seid, auf W2k umzusteigen, dann solltet ihr vielleicht richtig migrieren. Ich meine die User mit entsprechenden Tools und nach entsprechender Planung und Testen mit ADMT in die neue Domäne migieren. Dann hat sich auch dank der SID-History das Zugriffsproblem auf die Resourcen der alten Domäne gelöst, der geht dann nämlich von alleine, wenn sich alle User in der neuen Domäne anmelden. Ich weiss aber nicht, ob dafür schon zu spät ist. grizzly999 Zitieren Link zu diesem Kommentar
Gast Flipshot Geschrieben 5. August 2003 Melden Teilen Geschrieben 5. August 2003 Nun sagen wirs mal so... "ich" bin bisher der Einzige in der neuen Domäne :-) Folglich könnte ich das mit der User-Migration und der SID mal ausprobieren. Darüber hab ich heut schonmal was im I-Net gelesen, ADMT hab ich auch schon installiert, bin leider nur noch net dazu gekommen das zu testen... Fleißaufgabe für morgen. Gruß Flip Zitieren Link zu diesem Kommentar
Gast Flipshot Geschrieben 6. August 2003 Melden Teilen Geschrieben 6. August 2003 Mit dem ADMT geht die Migration leider net, weil unser W2K-Server nicht im Einheitsmodus, sondern im gemischten Modus läuft. Bei den Windows Administration Tools hab ich ein Programm namens "SIDwalk" entdeckt, mit dem ich die Benutzer der NT4-Domäne in eine CSV-Datei schreiben kann, aber wie bekomme ich die jetzt in die W2K-Domäne importiert?! Gruß Flip Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 6. August 2003 Melden Teilen Geschrieben 6. August 2003 Gar nicht, solange die Domäne nicht im native mode läuft. Aber warum schaltest du sie nicht um in den einheitlichen Modus? grizzly999 Zitieren Link zu diesem Kommentar
Gast Flipshot Geschrieben 6. August 2003 Melden Teilen Geschrieben 6. August 2003 Warum die nicht im Einheitsmodus läuft weiss ich auch net. Unser "oberster" Admin is da leider auch net grad sehr hilfreich, da er gerne profilieren möchte und nicht grad viel Informationen rausrückt bzw. selber keine Ahnung hat. Gibts vielleicht noch andere Tools, oder Möglichkeiten?! Gruß Flip Zitieren Link zu diesem Kommentar
marc.scherer 10 Geschrieben 6. August 2003 Melden Teilen Geschrieben 6. August 2003 das mit dem admt is ganz einfach und man kann eigentlich wenn man sich an die anleitung hält nix falschmachen... danach klappt auch der domänenübergreifende zugriff dank übernommener sids... viel spaß Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 6. August 2003 Melden Teilen Geschrieben 6. August 2003 Hatte Flipshot nicht schon geschrieben, dass das nicht geht?!?! Und wie ihm bestätigt habe, hat er Recht. Oder hast du doch einen Weg gefunden, wie man ohne den einheitlichen Modus eine SID-History führen kann? grizzly999 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.