Juhdas 10 Geschrieben 17. August 2009 Autor Melden Teilen Geschrieben 17. August 2009 (bearbeitet) Hallo, vielen vielen Danke für euren schnellen Antworten und die Geduld die Ihr mit mir habt!!! Um zuerst die Frage zu beantworten "Warum ein AD ohne Built-In Gruppen": Also es wird von mir aus als durchaus sicherer erachtet und zum Anderen versuche ich gerade das Ganze (Server 200X, AD, etc) ein Wenig zu verstehn und da kann das ja nichts schaden, das mal auszuprobieren. Nochmals vielen Dank für die schnellen und guten Antworten. Die Whitepapers bzw. gepostenen Dokumente werde ich mir heute abend zu Gemüte führen. Erlaubt mir bitte nochmal den Versuch eine verständliche Frage zu formulieren: Welche Rechte bzw. Berechtigungen muss ich einem User, der nicht Mitglied in den Standardgruppen (Domain-Admin, Server_Admin, etc.) ist, zuweisen, damit dieser die Möglichkeit hat ein ganz "normale" AD-Replikation durchzuführen / per Hand anzustoßen? Entspricht dies evtl. Folgendem: Implementing the Replication Management Admins Role To implement the one recommended instance of the Replication Management Admins role 1. Create a Domain Local Group called <Forest-Name> Replication Management Admins in the Service Management OU (ou=Service Management, dc=<Forest Root Domain>). 2. Grant this group the following extended rights: a. Grant the DS-Replication-Manage-Topology (Manage Replication Topology) extended right on CN=Configuration, DC=<Forest Root Domain> b. Grant the DS-Replication-Manage-Topology (Manage Replication Topology) extended right on CN=Schema, CN=Configuration, DC=<Forest Root Domain> c. Grant the DS-Replication-Manage-Topology (Manage Replication Topology) extended right on all domain partition heads including forest root domain 3. Grant this group the following permissions on the Sites container (CN=Sites, CN=Configuration, DC=<Forest-Root-Domain>: • Create Site objects (non-inheritable) • Delete Site objects (non-inheritable) • Create Connection objects (inheritable) • Delete Connection objects (inheritable) • Write All Properties on this object and all child objects (inheritable) 4. Grant this group the following permissions on the Subnets container (CN=Subnets, CN=Sites, CN=Configuration, DC=<Forest-Root-Domain>: • Create Subnet objects (inheritable) • Delete Subnet objects (inheritable) • Write All Properties on Subnet objects (inheritable) 5. Grant this group the following permissions on the Inter-Site Transports container (CN= Inter-Site Transports , CN=Sites, CN=Configuration, DC=<Forest-Root-Domain>: • Create Site Link objects (non-inheritable) • Delete Site Link objects (non-inheritable) • Write All Properties on Site Link objects (inheritable) Bitte habt Verständnis für die vielen Fragen und unklatren Formulierungen, ich bin nicht nur DAU sondern auch absoluter Win-Server-Neuling... Danke J. bearbeitet 17. August 2009 von Juhdas EDIT: Rechtschreibung Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 17. August 2009 Melden Teilen Geschrieben 17. August 2009 Um zuerst die Frage zu beantworten "Warum ein AD ohne Built-In Gruppen": Also es wird von mir aus als durchaus sicherer erachtet und zum Anderen versuche ich gerade das Ganze (Server 200X, AD, etc) ein Wenig zu verstehn und da kann das ja nichts schaden, das mal auszuprobieren. J. Dein Vorgehen ist weder sicher, noch sinnvoll. Sondern das absolute Gegenteil! Wenn du dir Knowhow aufbauen willst, besorg dir vernünftige Literatur, geh auf Kurs oder sieh dich online unter http://www.microsoft.com um. d.h. wenn noch ein einziges mal die Frage nach den Benutzerrechten für die AD-Replikation von dir kommt, schliesse ich den Post wegen Sinnlosigkeit und Beratungsresistenz Danke für dein Verständnis blub Zitieren Link zu diesem Kommentar
NorbertFe 2.016 Geschrieben 17. August 2009 Melden Teilen Geschrieben 17. August 2009 Um zuerst die Frage zu beantworten "Warum ein AD ohne Built-In Gruppen": Also es wird von mir aus als durchaus sicherer erachtet Wie jetzt? Das war keine Antwort auf meine Frage. ;) Du hast ein AD ohne Built-In Gruppen, oder du verwendest die Built-In Gruppen nicht? und zum Anderen versuche ich gerade das Ganze (Server 200X, AD, etc) ein Wenig zu verstehn und da kann das ja nichts schaden, das mal auszuprobieren. bin nicht nur DAU sondern auch absoluter Win-Server-Neuling... Nix gegen einen gesunden Wissensdurst, aber meinst du nicht, dass du erstmal die Grundlagen des AD und Windows verstanden und am Laufen haben solltest, bevor du dich mit den OPs am offenen Herzen beschäftgst? Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.919 Geschrieben 17. August 2009 Melden Teilen Geschrieben 17. August 2009 Moin, halt mich für borniert, aber ich weiß immer noch nicht, was das soll. Warum sollte AD sicherer sein, wenn man die vordefinierten Berechtigungen nicht verwendet? Weißt du überhaupt, von welchen "Builtin"-Gruppen du die ganze Zeit redest? Ich weiß es nämlich (immer noch) nicht. Und ich befasse mich seit 11 Jahren mit Active Directory. Nimm es mir nicht übel, aber ich habe den Eindruck, dass du über das Windows-Sicherheitssystem urteilst, ohne es überhaupt einschätzen zu können. Warum soll darüber hinaus in deiner Umgebung ein User in der Lage sein, das AD zu replizieren? Welches Szenario steht dahinter? Handelt es sich um eine Lernumgebung? Eine Testumgebung (wofür)? Oder eine Produktionsumgebung? Und: Wenn du dir ein neues Auto (oder was auch immer) kaufst, machst du es dann auch erst mal kaputt und versuchst ohne nähere Kenntnis es wieder zusammenzubauen? Die AD-Replikation ist sehr robust aufgebaut, sodass es im Normalfall keines Eingriffs bedarf. Dabei ist sie aber so komplex, dass man eben auch besser nicht an irgendeiner Stelle eingreifen sollte. Es sei denn, wie auch die anderen richtig betonen, man weiß genau, was man tut. Außerdem wäre es nett, wenn du deine Quellen genau angibst. Wo hast du diese Rollenbeschreibung "Replication Management Admins Role" her und für welchen Zusammenhang wird diese empfohlen? Gruß, Nils Zitieren Link zu diesem Kommentar
Juhdas 10 Geschrieben 17. August 2009 Autor Melden Teilen Geschrieben 17. August 2009 So damit der blub nicht tätig werden muss, danke ich euch allen für eure Hilfe und probier mein Glück halt einfach weiter! hab nich gedacht, dass es so schwer sein würde eine zufriedenstellende Antwort zu bekommen, aber ich habe ja nun auch gemerkt, dass mir sämtliche Grundlagen fehlen! Es sei mir abschließend bitte noch die Frage gestattet ob das oben gepostete nun meinem Wunsch einer Aufstellung der nötigen Rechte entspricht? Bitte spart euch die Belehrungen und antwortet nur, wenn es der Frage dienlich ist - mir ist durchaus bewusst, dass ich eine Menge Nachholbedarf habe, aber daher poste ich meine Frage im Forum und nerve nicht den MS-Support! Danke für eure Zeit J. Zitieren Link zu diesem Kommentar
NorbertFe 2.016 Geschrieben 17. August 2009 Melden Teilen Geschrieben 17. August 2009 habe, aber daher poste ich meine Frage im Forum und nerve nicht den MS-Support! Off-Topic:Wäre aber für alle die bessere Idee gewesen. MS verdient Geld Du verplemperst weniger Zeit (da Zeit=Geld) Wir müssen nicht "sinnfreie Postings versuchen zu verstehen. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.