Benutzer aus andere Domäne einer Gruppe hinzufügen

[psychodaddy 10]

Hallo,

 

ich möchte einen Benutzer von der Unterdomäne1 der Unterdomäne2 zuordnen. Beide Domänen gehören zur Hauptdomäne.

Wenn ich nun in AD Benutzer und Computer die betreffende Gruppe aufrufe steht unter Objekttyp: nur "Benutzer, Gruppen oder Andere Objekte". Ich kann zwar unter Suchpfad: "unterdomäne1.hauptdomäne.de" die Unterdomäne1 auswählen, aber selbst wenn ich den kompletten Benutzernamen horst.mustermann@unterdomäne1.hauptdomäne.de eingebe kennt er den nicht. Wenn ich nun direkt ein Verzeichnis freigeben möchte, steht bei Objekttyp: "Benutzer, Gruppen oder Integrierte Sicherheitsprinzipale". Dann kennt er den Nutzer auch. Dies ist aber irgendwie nicht zielführend es für jede Freigabe so auszuwählen wenn die schon über eine Gruppenberechtigung verfügt.

Wie kann ich den Nutzer aus der Unterdomäne1 einer Gruppe in der Unterdomäne2 zuordnen?

 

Jens

[Cybquest 36]

Ist es denn eine globale oder universale Gruppe?

[Stephan Betken 43]

Hallo Jens,

 

beschäftige dich mal mit den Gruppenarten. Globale Gruppen können nur Mitglieder aus der eigenen Domäne enthalten.

Für dein Szenario ist AGDLP das richtige (und sollte auch sonst (fast immer) eingesetzt werden).

 

Gruppen

LDAP://Yusufs.Directory.Blog/ - Gruppen

[psychodaddy 10]

Hey ich danke Euch beiden. Das waren die entschedenden Hinweise. Mit einer universalen Gruppe klappt es.

 

Jens

[Stephan Betken 43]

Und wofür brauchst du bei AGDLP eine universale Gruppe? ;)

Wenn du Accounts der einen Domain direkt Gruppen einer anderen Domain hinzufügst, dann kann es schnell unübersichtlich werden.

[psychodaddy 10]

Das ist nur für ein paar ausgewählte user, die standortübergreifend tätig sein müssen und dazu Netzlaufwerke vom anderen Standort eingebunden haben. In den Laufwerken ist aber eine relativ komplexe Berechtigungsstruktur hinterlegt, was eine Einzelzuweisung ziemlich aufwendig macht.

[Stephan Betken 43]

In den Laufwerken ist aber eine relativ komplexe Berechtigungsstruktur hinterlegt, was eine Einzelzuweisung ziemlich aufwendig macht.

Ähh, warum liest du dir nicht erst mal die geposteten Linkd genau durch?

Deiner Aussage nach würde ich vermuten, dass du das noch nicht getan hast.

[psychodaddy 10]

Doch lesen kann ich schon.

Nur wurde die eine Domäne bisher nicht von mir administriert. So wurden dort zwar Domänenlokale Gruppen erstellt, die NTFS-Berechtigungen aber den globalen Gruppen zugewiesen. Die lokalen wären somit überflüssig. Ich musste also die globale Gruppe zur universellen Gruppe machen, um die Mitglieder "meiner" Domäne hinzufügen zu können.

Die Überarbeitung der Berechtigungen wird noch erfolgen, aber ich bin kein Freund von Schnellschüssen.

Aber danke für Deinen Hinweis.

[Stephan Betken 43]

Okay, dann kann man das noch mal gelten lassen (obwohl ich dennoch die DL Gruppe zusätzlich berechtigt hätte).

Eine universelle Gruppe (die auf den GCs gespeichert ist) sollte man dafür nicht benutzen. (Das ist also eher der Schnellschuss!)

[psychodaddy 10]

Da ich aber im Moment nur weiß, daß die Berechtigungen den globalen Gruppen zugeordnet sind und wie ich schon erwähnte die verschiedenen Freigaben und Berechtigungen sehr komplex aufgebaut sind wollte ich im ersten Schritt nur den Zugriff. Der Rest Bedarf einer Analyse und ich werde erst dann die Berechtigungen neu aufbauen (das meinte ich mit Schnellschuß).

Ich denke zu dem Thema ist nun alles geschrieben.

Danke noch mal für die Hilfe.