Domänenübergreifende Admingruppen

[chille 10]

Hallo,

 

wir sind hier gerade in der Testphase einer Domänenmigration. Wir haben erstmal die neue Domäne erstellt und eine Vertrauensstellung zwischen den beiden errichtet.

Jetzt kommt meine grosse Frage - wie ist der empfohlene Weg die Admins aus der einen Domäne auch zu Admins in der anderen Domäne zu machen?

Die Gruppen Domänen-Admins sind ja globale Gruppen, denen kann ich ja keine Gruppen aus der anderen Domäne hinzufügen. Den Weg, eine lokale Gruppe zu erstellen, die Domänen Admins aus der anderen Dom. hier hinzufügen, und diese Gruppe der lokalen Gruppe Domänen-Admins hinzufügen finde ich ein bischen zu konstruiert und ich kann mir nicht vorstellen das dieses der richtige Weg ist.

Hat jemand eine Idee?????

 

Vielen Dank

 

Gruss

 

Carsten

[Theo Dor 10]

Ich nehme mal an, es handelt sich um zwei Domänen aus verschiedenen Gesamtstrukturen?

 

Die Frage ist dann noch, ob Du wirklich Domänen-Admins brauchst oder Administratoren der Domäne?

 

Falls es nur darauf ankommt, dass die Admins überkreuz die andere Domäne administrieren können müssen, dann musst Du nur jeweils die Gruppe Domänen-Admins zu den Administratoren der jeweils anderen Domäne hinzufügen.

 

Kommt es darauf an, dass die Admins überkreuz auch Adminrechte auf den Memberserver und PC's haben sollen, dann erstelle einfach eine GPO für die Verwaltung der lokalen Administratoren-Gruppen ("eingeschränkte Gruppen"). Aber bitte vorsichtig. Falls Du dies noch nie gemacht haben solltest, dann belese Dich dazu bitte vorher genau.

Standardmäßig werden auf allen Domainmembern bei Domänenbeitritt die Domänen-Admins zur Gruppe der lokalen Administratoren hinzugefügt. Wenn es keine weiteren speziellen Mitglieschaften in diesen lokalen Gruppen gibt, dann könnstest Du also über eine GPO die Mitgliedschaften erweitern auf

- Administrator

- DOMAIN01\Domänen-Admins

- DOMAIN02\Domänen-Admins

Standardmäßig müssten dann nach spätestens 90 min. alle Domainmember die Gruppenmitgliedschaften entsprechend aktualisiert haben.

Wenn Du die GPO an der Domäne verlinkst dann gilt sie auch für Domaincontroller und damit für die Domäne.

Vorbehaltlich der konkreten Situation (andere GPO's, Vererbungseinstellungen usw.)

 

mfg

Theo

[grizzly999 11]

Ja genau so macht man das ;)

Zum Thema "Eingeschränkte Gruppen" gibt es hier ein HowTo: Windows Server How-To Guides: Lokale Gruppenmitgliedschaften in der Domäne (Restricted Groups) - ServerHowTo.de

 

 

grizzly999

[chille 10]

Hallo,

 

danke erstmal für die Antworten.

Ich habe noch eine prinzipielle Frage, die Gruppe Domänen-admins ist eine globale Gruppe - der kann ich also keine Mitglieder aus einer anderen Domäne hinzufügen - wie bekomme ich denn die anderen Domänen admins da hinein??

Es ist eine komplett neue Gesamtstruktur - alle Ressourcen sollen mittelfristig migriert werden, aber bis dahin sollen halt alle Domänen-admins beide Domänen ohne sich anders anzumelden verwalten können.

 

Danke für Eure Hilfe

 

Gruss

 

Carsten

[Theo Dor 10]

Missverstanden!

Die "Domänen-Admins"-Gruppen zu Mitgliedern der jeweils anderen "Administratoren"-Gruppen machen. Die findest Du im Container "Builtin".

[chille 10]

Aaaahhh - mit Blindheit geschlagen!!!!!

Jetzt habe ich es - unter Builtin hatte ich noch gar nicht nachgesehen.

Ich war bislang davon ausgegangen das die Domänen-admins bzw enterprise admins die eigentlichen Hauptgruppen sind - and die built ins hatte ich noch gar nicht gedacht.

Man lernt halt nie aus!!

 

Vielen Dank

 

Gruss

 

Carsten