morro 10 Geschrieben 15. Januar 2010 Melden Teilen Geschrieben 15. Januar 2010 Hallo zusammen, ich würde gern meinem administrativen User das Replizieren über die MMC Standorte ud DIenste Delegieren, habe es aber leider noch nicht hinbekommen? Bekomme die Meldung das ich nicht die BErechtogng dazu habe. Hat jemand einen Tipp für mich? Finde nicht die erforderlichen Berechtigungen. Danke vorab. LG Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 15. Januar 2010 Melden Teilen Geschrieben 15. Januar 2010 Salut, kannst du uns noch die Infos geben, was du bisher versucht hast? Du kannst z.B. im ADSIEdit die Sicherheitseinstellungen einer Verzeichnispartition aufrufen und dem Benutzer im unteren Bereich, die entsprechenden Replikationsberechtigungen erteilen. Zitieren Link zu diesem Kommentar
morro 10 Geschrieben 15. Januar 2010 Autor Melden Teilen Geschrieben 15. Januar 2010 Ola Yusuf, ich hab dem user bzw. die gruppe in der der USer ist im ADSI Edit auf configuration und Schema testweise vollzugriff erteilt, ohne erfolg! Auf Domain hat er ändern. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 15. Januar 2010 Melden Teilen Geschrieben 15. Januar 2010 Entferne den Vollzugriff. Das ist quark. Versuche es doch einmal so wie ich es vorgeschlagen habe. Funktioniert es dann? Zitieren Link zu diesem Kommentar
morro 10 Geschrieben 17. Januar 2010 Autor Melden Teilen Geschrieben 17. Januar 2010 Nabend, werde es morgen mal direkt nochmal testen und ne Rückmeldung geben. Danke schonmal für die nette Unterstützung :-) Zitieren Link zu diesem Kommentar
morro 10 Geschrieben 18. Januar 2010 Autor Melden Teilen Geschrieben 18. Januar 2010 (bearbeitet) Moin, haben dem User im ADSIedit auf configuration alle Berechtiungen die mit Replikation zu tun haben gegeben. (5) Als Fehler bekomme ich immer noch, Beim versuch den Namneskontext "DomainDnsZones.dom.tld" von DC "DC" nach DC "DC2" zu syncen, ist der folgende fehler aufgetretetn: Der Replikationszugriff wurde verweigert. Dieser vorgang wird nich fortgesetzt. bearbeitet 18. Januar 2010 von morro Zitieren Link zu diesem Kommentar
morro 10 Geschrieben 18. Januar 2010 Autor Melden Teilen Geschrieben 18. Januar 2010 Keiner noch ne Idee, was man probieren könnte? :) Zitieren Link zu diesem Kommentar
P.Foeckeler 11 Geschrieben 18. Januar 2010 Melden Teilen Geschrieben 18. Januar 2010 Doch, ich habe noch eine Idee :cool: Also, was Du brauchst sind erstmal Rechte in allen AD-Partitionen, die in Deiner AD-Replikation ein Rolle spielen. Nicht nur Domänen-Partition und Configuration plus Schema, sondern auch die Application Partitions, in denen evtl. DNS-Daten gelagert werden (deshalb auch Deine Fehlermeldung mit DomainDnsZones...) Wenn Deine domäne also "dom.tld" heißt und Dein Forest aus dieser einen Domäne besteht, dann brauchst du Rechte in DC=dom,DC=tld DC=Configuration,DC=dom,DC=tld DC=Schema,DC=Configuration,DC=dom,DC=tld DC=ForestDnsZones,DC=Configuration,DC=dom,DC=tld DC=DomainDnsZones,DC=Configuration,DC=dom,DC=tld die Rechte werden an eine globale Gruppe vergeben, sagen wir sie heißt "RepOperators". Wenn du AD-Replikationen anstoßen willst, benötigst Du nun spezielle Rechte, so genannte Extended Rights oder auch Control Access Permissions. Die sind intern im AD definiert, wer schonmal in einer Exchange-Umgebung die "SendAs" und "ReceiveAs" Rechte gesehen hat: Das sind ebenfalls Control Access Rights. Oder das Recht "ChangePassword". Naja, bei uns ist es etwas komplizierter: Du brauchst diese drei Rechte hier: Replication Synchronization Replicating Directory Changes Replicating Directory Changes All Bei den letzten beiden bin ich mir nicht ganz sicher, ob die tatsächlich benötigt werden, ich persönlich nehme Sie immer dazu, klingt ja auch irgendwie logisch. Außerdem ist noch sinnvoll, das Recht Monitor Active Directory Replication für Deine Gruppe zu setzen, dann können Sie später auch REPADMIN /showrep und ähnliches veranstalten... Also, dann mal los. Du setzt das ganze besser mit DSACLS-Kommandos auf der Eingabeauffordernug an einem DC, und zwar als Enterprise-Admin! DSACLS DC=dom,DC=tld /I:T /G DOM\RepOperators:CA;"Replication Synchronization" DSACLS DC=dom,DC=tld /I:T /G DOM\RepOperators:CA;"Replicating Directory Changes" DSACLS DC=dom,DC=tld /I:T /G DOM\RepOperators:CA;"Replicating Directory Changes All" DSACLS DC=dom,DC=tld /I:T /G DOM\RepOperators:CA;"Monitor Active Directory Replication" DSACLS DC=Configuration,DC=dom,DC=tld /I:T /G DOM\RepOperators:CA;"Replication Synchronization" DSACLS DC=Configuration,DC=dom,DC=tld /I:T /G DOM\RepOperators:CA;"Replicating Directory Changes" DSACLS DC=Configuration,DC=dom,DC=tld /I:T /G DOM\RepOperators:CA;"Replicating Directory Changes All" DSACLS DC=Configuration,DC=dom,DC=tld /I:T /G DOM\RepOperators:CA;"Monitor Active Directory Replication" ...und dann das gleiche noch für die drei anderen Partitionen. Ächz, mir ist ganz schwindlig...jaja o kommt's wenn man so komplizierte Wünsche hat :p Wenn Du noch mehr über spezielle Delegation im AD wissen willst, hier gibt's Anregungen: Microsoft Best Practices Whitepaper for Delegating Active Directory Administration Viele Spaß beim Replizieren, Philipp Zitieren Link zu diesem Kommentar
morro 10 Geschrieben 19. Januar 2010 Autor Melden Teilen Geschrieben 19. Januar 2010 Moin, danke für deine Mühe, werde es gleich mal probieren hatte es auch mal auf die anderen Partitionen vergeben hatte aber die dnszones vergessen....melde mich später nochmal LG Zitieren Link zu diesem Kommentar
morro 10 Geschrieben 19. Januar 2010 Autor Melden Teilen Geschrieben 19. Januar 2010 Moin, hat soweit geklappt, nur das es DC=ForestDNSZones,DC=dom,DC=tld ist ohne configuration selbe gilt für DomainDNSZones. Gruß Zitieren Link zu diesem Kommentar
P.Foeckeler 11 Geschrieben 19. Januar 2010 Melden Teilen Geschrieben 19. Januar 2010 Yep, war ein Schreibfehler, sorry :shock: Natürlich heißt es immer DC=ForestDnsZones,DC=rootdomain,DC=com DC=DomainDnsZones,DC=rootdomain,DC=com Gruß, Philipp Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.