Einrichten eines RODCs unter W2k8

[gnoovy 10]

hi leutz,

 

habe einen RODC unter W2k8 in einer Testumgebung eingerichtet. Gesamtstrukturebene ist rein Windows 2008. Habe als Kennwortreplizierungsgruppe nur die standardmäßig aktivierte RODC-Gruppe belassen und für die Kontenverwaltung eine Gruppe RODC-Verwaltung angelegt. Unter dem RODC-Konto in der OU Domain-Controllers ist unter Verwaltung meine erstellte Gruppe auch eingetragen. Wenn ich hier den Administrator hinzufüge und dann ebenfalls über "Active-Directory Benutzer und Computer" auf das RODC-Konto mit rechter Maustaste klicke und Verwalten aufrufe sagt er mir, dass der RODC nicht erreichbar sei. Oder ist hier mit Verwalten etwas anderes gemeint? Genauso wenn ich den Administrator dieser standardmäßig zugelassenen Kennwortreplizierungsgruppe zuordne kann der Administrator sich nur am RODC anmelden wenn der beschreibbare DC erreichbar ist. Sollte ja aber durch die Gruppe auch ohne schreibbaren DC gehen, oder? Kann es sein, dass der Administrator hier aus Sicherheitsgründen nichts darf oder mache ich hier noch etwas falsch?

 

Habe es auch mal mit einem normalen Domänenbenutzer versucht. Als ich das mit dem Verwalten testen wollte habe ich jedoch festgestellt, dass dieser sich nicht lokal am schreibbaren DC anmelden konnte. Unter der lokalen Sicherheitsrichtline wollte ich Lokal anmelden als Gruppenrichtline aktivieren und dort den User eintragen. Leider ist hier alles ausgegraut. Die Aktivierung der Richtline in anderen Gruppenrichtlinienobjekten hatte ebenfalls nicht gegriffen. Was mache ich hier noch falsch?

[NilsK 2.938]

Moin,

 

leider wird aus deinen Angaben nicht so richtig klar, was du eigentlich willst. Bitte versuch es noch mal deutlicher zu formulieren.

 

Zunächst: Die Kennwortreplizierung gibt nur an, für welche Benutzer die Kennwörter auf den RODC repliziert werden. Mit Verwalten oder lokal Anmelden hat das nichts zu tun.

 

Das "Verwalten" auf der Registerkarte im Eigenschaftenfenster des RODC bezieht sich auf lokale Administratorrechte. Wenn du Rechtsklick/Verwalten aufrufst, versucht Windows die Computerverwaltung mit Fokus auf dem Server aufzurufen - das ist was anderes. War denn dein RODC in diesem Moment online?

 

Gruß, Nils

[Daim 12]

Salut,

 

Genauso wenn ich den Administrator dieser standardmäßig zugelassenen Kennwortreplizierungsgruppe zuordne kann der Administrator sich nur am RODC anmelden wenn der beschreibbare DC erreichbar ist. Sollte ja aber durch die Gruppe auch ohne schreibbaren DC gehen, oder?

 

wenn es sich hierbei um den Domänen-Administrator handelt, hast du diesen denn aus der Gruppe "Abgelehnte RODC-Kennwortreplikationsgruppe" entfernt? Denn falls ein Benutzer in der abgelehnten- sowie zulässigen RODC-Kennwortreplikationsgruppe Mitglied ist, so hat die abgelehnte Gruppe immer Vorrang! Demnach kann sich der Admin nur am RODC anmelden, wenn der beschreibbare DC erreichbar ist.

 

 

Kann es sein, dass der Administrator hier aus Sicherheitsgründen nichts darf oder mache ich hier noch etwas falsch?

 

Ich gehe von "zweitem" aus.

 

 

Habe es auch mal mit einem normalen Domänenbenutzer versucht. Als ich das mit dem Verwalten testen wollte habe ich jedoch festgestellt, dass dieser sich nicht lokal am schreibbaren DC anmelden konnte.

 

Hm... ich vermute du hast etwas missverstanden. Lies dir doch den folgenden Artikel durch, dann sollte es klarer werden.

 

Yusufs Directory Blog - Die Installation eines RODC

[gnoovy 10]

hi leutz,

 

ok, vielen Dank für eure Antworten. Habe in der Zwischenzeit auch etwas mehr Licht ins Dunkel bringen können.

 

1. Der Administrator konnte sich nur bei Erreichbarkeit des schreibenden DCs amelden, da in der Gruppe "Abgelehnte RODC-Kennwortreplikationsgruppe" die Gruppe der Domänen-Admins, etc. aufgeführt sind. Also durchaus korrekt so ;-)

 

2. Bei der Installation des RODCs kann ja eine Gruppe oder ein User, welcher den RODC verwalten soll, angegeben werden. Der User / die Gruppe steht ja dann unter "Active-Directory Benutzer -und Computer - Domain Controllers - <RODC> - Eigenchaften - Verwalten von" drin.

 

Mir war hier noch nicht ganz klar wie die Verwaltung ansich nun aussieht. Habe aber herausgefunden, dass der User / die Gruppe nun die Berechtigung auf den Server-Manager des RODCs hat. Also es können Rollen / Features, etc. hinzugefügt werden, Verwaltung des Geräte-Managers, etc. Aber:

Warum haben dann andere User oder der Administrator welche nicht direkt in der Verwaltungsgruppe enthalten sind trotzdem die Möglichkeit über "Active-Directory Benutzer -und Computer - Domain Controllers - <RODC> - rechte Maustast - Verwalten" auf dem schreibbaren DC hier an den Gerätemanager, Datenträgerverwaltung, etc. zu gelangen?

 

Bei letzterem Aufruf der Verwaltung ist mir noch aufgefallen, dass einige Bereiche durch die Firewall von Windows geschützt werden. In wie weit muss ich hier die Firewall anpassen um auf einzelne Teilbereiche wie Datenträgerverwaltung, etc. richtig zugreifen zu können?

 

Hoffe ich habe mich nicht zu umständlich ausgedrückt... ;-)

[Daim 12]

Mir war hier noch nicht ganz klar wie die Verwaltung ansich nun aussieht. Habe aber herausgefunden, dass der User / die Gruppe nun die Berechtigung auf den Server-Manager des RODCs hat.

 

Der Benutzer bzw. die Gruppe die im Feld "Verwaltet von", genauer im Attribut ManagedBy des RODC-Computerkonto angegeben wurde, ist der lokale Administrator der Maschine. Derjenige kann sich dann lokal mit seinem Benutzernamen an dem RODC anmelden und administrative Tätigkeiten durchführen (z.B. Treiber bzw. Software installieren), ohne das der Benutzer/die Gruppe weitere Rechte auf die Domäne bzw. andere DCs erhält.

 

Der RODC wurde speziell für Aussenstandorte entwickelt. Denn oftmals besteht die Anforderung die Maschine lokal vor Ort von jemandem betreuen zu lassen, so das derjenige irgendwelche Wartungsarbeiten an der Maschine durchführen kann, aber dafür keine Rechte im Active Directory benötigt. Genau für dieses Szenario bietet sich der RODC an.

 

 

Warum haben dann andere User oder der Administrator welche nicht direkt in der Verwaltungsgruppe enthalten sind trotzdem die Möglichkeit über "Active-Directory Benutzer -und Computer - Domain Controllers - <RODC> - rechte Maustast - Verwalten" auf dem schreibbaren DC hier an den Gerätemanager, Datenträgerverwaltung, etc. zu gelangen?

 

Weil im Fall des Domänen-Admins dieser eben standardmäßig auf jeder Maschine in der Domäne Administrator-Rechte besitzt, auch auf dem RODC. Das Feld "Verwaltet von" in den Eigenschaften eines RODC-Computerkontos, ist eine Möglichkeit einen speziell für diese Maschine, lokalen Administrator zu definieren.

[gnoovy 10]

Warum haben dann andere User oder der Administrator welche nicht direkt in der Verwaltungsgruppe enthalten sind trotzdem die Möglichkeit über "Active-Directory Benutzer -und Computer - Domain Controllers - <RODC> - rechte Maustast - Verwalten" auf dem schreibbaren DC hier an den Gerätemanager, Datenträgerverwaltung, etc. zu gelangen?

 

Weil im Fall des Domänen-Admins dieser eben standardmäßig auf jeder Maschine in der Domäne Administrator-Rechte besitzt, auch auf dem RODC. Das Feld "Verwaltet von" in den Eigenschaften eines RODC-Computerkontos, ist eine Möglichkeit einen speziell für diese Maschine, lokalen Administrator zu definieren.

 

Mir ist das Phänomen auch mit einem Domänenbenutzer, welcher sich am schreibbaren Dc angemeldet hat, ebenso aufgefallen. Dieser konnte auch das "Verwalten" aufrufen. Allerdings ist mir aufgefallen, dass generell Teilbereiche wie Datenträgerverwaltung, etc. noch durch die Firewall gesperrt zu sein scheinen. Wie können diese durch die Firewall trotzdem bedienbar werden?