Trust + local Admin

[Moped 11]

Hallo Zusammen,

 

hab hier eine herausfoderung.

ich habe hier zwei Domänen mit einer Externen Vertrauensstellung.

 

Beispiel

 

Domäne1: Test.Firma.net

Domäne2: Hallo.test.de

 

Jetzt habe ich in der Domäne Hallo.test.de einen Externen Trust eingerichtet.

heißt: Ausgehend: Benutzer in der angegebenen Domäne (Test.Firma.net) können sich in der lokalen Domäne Hallo.test.de)authentifizieren, aber Benutzer in der lokalen Domäne können sich nicht in der angegebenen Domäne authentifizieren.

 

Soweit so klar

Jetzt möchte ich einen User aus der Domäne Test.Firma.de auf einem Server in der Domäne Hallo.test.de als lokaler Admin einrichten.

 

Wenn ich jetzt versuche den user in die Gruppe der lokalen Adminsitratoren hinzuzufügen, kann ich die andere Domäne zwar auswählen, aber der User wird nicht gefunden

 

hab ich da einen Denkfehler??

[nobex 10]

Evtl. beschreibt dieser Artikel Dein Problem:

You cannot browse users in a trusted domain

[Moped 11]

bin jatzt mal ein stück weiter

Also was ich rausgefunden habe

 

bei den Builtin Gruppen kann ich User aus der anderen Domain hinzufügen

 

Wenn ich aber eine neue Gruppe erstelle bekomme ich gar keine Auswahl für die andere Domain :confused:

 

Ist das normal???

[StefanWe 14]

Hast du mal für den User eine Universelle Gruppe in seiner Domäne erstellt. Den User in die Gruppe hinzugefügt.

Und in der anderen Domäne dann mal geschaut, ob die Universelle Gruppe vorhanden ist, so dass du die Universelle Gruppe zu den lokalen Administratoren hinzufügen kannst.

[Moped 11]

Bei den BuiltIn Gruppen Z.B Administratoren kann ich ja einen User aus der anderen Domäne hinzufügen

 

Wenn ich mir einen neue Gruppe erstelle kann ich das nicht, weil ich dann noch nichtmal den Suchpfad zur anderen Domäne angeben kann. Ich kann dann im prinzip nur in der lokalen Domäne den User auswählen.

 

Eine Universelle Gruppe wird mir in der Domäne wo ich die Rechte vergeben möchte nicht angezeigt :confused:

[nobex 10]

Wenn ich mir einen neue Gruppe erstelle kann ich das nicht, weil ich dann noch nichtmal den Suchpfad zur anderen Domäne angeben kann. Ich kann dann im prinzip nur in der lokalen Domäne den User auswählen.

Was für eine Gruppe (global, lokal, universal) legst Du an?

 

Eine Universelle Gruppe wird mir in der Domäne wo ich die Rechte vergeben möchte nicht angezeigt :confused:

Wie ist die Funktionsebene der Domänenen bzw. der Gesamtstruktur?

[Moped 11]

Was für eine Gruppe (global, lokal, universal) legst Du an?

 

Global

 

 

Wie ist die Funktionsebene der Domänenen bzw. der Gesamtstruktur?

 

Die Domäne in der der User vorhanden ist, ist Windows 2003, die andere ist Windows 2008R2

[nobex 10]

Hier

MSXFAQ.DE - Windows Gruppen und Berechtigungen

findest Du im Abschnitt 'Gruppen und Berechtigungen' eine Abbildung, welche die möglichen domänenübergreifenden Verschachtelungen von Gruppen darstellt.

 

Edit: Die Grafik erst mal unter Vorbehalt betrachten, lt. Text handelt es sich um den Idealfall des Aufbaus.

 

Edit 2: ... und hier noch mal die Beschreibung von MS

Grundlegendes zu Gruppen

[StefanWe 14]

@moped: du hast also nun eine universelle gruppe in deiner domäne erstellt, in welcher der benutzer existiert?

Und in der zweiten Domäne, wo die Resource steht, kannst du diese Universelle Gruppe nicht finden ?

Wird die Domain denn überhaupt richtig gefunden bzw. aufgelößt ?

 

edit: Hast du in deiner Domäne wo die Resource steht eine Globale Gruppe angelegt? Und in dieser Gruppe dann versucht, die Universelle Gruppe hinzuzufügen?

[Moped 11]

Oh man, soll ich Euch was sagen *echtvomhockerfall*

 

 

Ich sagte ja, das es bei den BuiltIn Gruppen gefunzt hat.

 

Wenn ich jetzt eine neue gruppe als "lokale Domänengruppe" anlege, kann ich auch User hinzufügen. :confused:

 

Ich dachte immer es müssten Universelle sein

 

Da such ich den ganzen Tag den Fehler und was ist; so einfach *unglaublich*