PdmHomer 10 Geschrieben 3. August 2011 Melden Teilen Geschrieben 3. August 2011 Hallo liebe Forums-Mitglieder, ich habe folgende Ausgangssituation: Domäne A: DC-Win2008 Domäne B: DC-Win2003 mit Exchange2003 Clients in Domäne A: XP, Vista und Win7 Benutzer von Domäne A nutzen Exchange von Domäne B. Die Anmeldung erfolgt über seperaten Benutzer von Domäne B. Ich möchte eine Vertrauenstellung aufbauen, damit die Benutzer von Domäne A sich per Windows-Authentifizierung an Domäne B anmelden können. (speziell gedacht für Outlook und MailArchivierung) Ich möchte aber nicht, dass die Benutzer sich beim Anmelden die Domäne auswählen können. Anmeldung soll nur in Domäne A möglich sein! Wie setze ich es am Besten um und welche Vertrauensstellung wäre geeignet? Ich bedanke mich vorab schon mal für Eure Bemühungen. Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 3. August 2011 Melden Teilen Geschrieben 3. August 2011 Moin, wenn du eine Vertrauensstellung aufbaust, steht den Anwendern eine Auswahl zur Verfügung. Vertrauen heißt schließlich Vertrauen. In deinem Fall müsste die Domäne B der Domäne A vetrauen. Das bedeutet, dass Domäne B alle Anwender der Domäne A akzeptiert. Daher wird der Anwender auch die Möglichkeit haben, sich direkt an Domäne B anzumelden - nichts anderes passiert ja in dem Moment, in dem ein User der Domäne A auf Ressourcen (z.B. Exchange) in Domäne B zugreift. Was ist denn die genaue Anforderung, wegen derer du eine Einschränkung haben möchtest? Vielleicht könnte man mit selektiver Authentisierung arbeiten, aber sei gewarnt: Das macht die Sache komplex. Gruß, Nils Zitieren Link zu diesem Kommentar
PdmHomer 10 Geschrieben 3. August 2011 Autor Melden Teilen Geschrieben 3. August 2011 Momentan hat der Benutzer in Domäne A ein Account, mit Serverprofil und freier Passwortwahl. Den gleichen Benutzer gibt es in Domäne B mit festem Passwort. Öffnet der Benutzer in Dom. A sein Outlook, meldet er sich mit dem Benutzer von Dom. B an. Mein Ziel ist: Windows-Auth. von Benutzer A in Domäne B und ich(Dom.B) möchte Remoteunterstützung anbieten ohne mich in Dom. A anzumelden. Also muss ja Dom. A Dom. B vertrauen. Mir ist aber bekannt, dass wenn ich eine Vertrauensstellung aufbaue, ich bei der Windowsanmeldung auswählen kann an welcher Domäne ich mich anmelden will. Diese Auswahl möchte ich nicht haben, damit die Benutzer in Domäne A sich nicht ausversehen in Domäne B anmelden und sich wundern, dass Ihr Profil nicht da ist. Ich hoffe es ist vertändlich. :D Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 3. August 2011 Melden Teilen Geschrieben 3. August 2011 Moin, da denkst du falsch. In beiden Fällen meldet sich der User mit demselben Konto an. Die jetzige Konten-Dopplung müsstest du aufheben, d.h. der User hat nur noch das Konto in Domäne A. Damit gibt es auch nur ein Profil. Gruß, Nils Zitieren Link zu diesem Kommentar
PdmHomer 10 Geschrieben 3. August 2011 Autor Melden Teilen Geschrieben 3. August 2011 Genau das will ich ja. Ich mache jetzt eine Gesamtstrukturvertrauensstellung - Bidirektional Mache ich dann "Domänenweite" oder "ausgewählte" Authentifizierung? Und habe ich so das Problem mit der Domänenauswahl gelöst? In meiner Testumgebung habe ich eine Vertauensstellung eingerichtet und kann jetzt am XP-Client zwischen DOm A und B auswählen. Genau diese Auswahl will ich ja nicht haben. Ich möchte das sich die Benutzer von Dom. A auch nur an Dom. A anmelden können. Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 3. August 2011 Melden Teilen Geschrieben 3. August 2011 Moin, ja, aber wo ist denn das Problem mit der Auswahl? Benenne deine Anforderungen konkret und genau. Auf Basis von "ich will aber nicht" brauchen wir hier nicht zu diskutieren. Gruß, Nils Zitieren Link zu diesem Kommentar
PdmHomer 10 Geschrieben 5. August 2011 Autor Melden Teilen Geschrieben 5. August 2011 Ich möchte mein Problem noch mal erläutern. Ich habe jetzt eine Vertrauensstellung zwischen den Domänen. Alles funktioniert wie gewollt. Problem: Melde ich mich jetzt an einem XP-Client an, kann ich auswählen an welcher Domäne ich mich anmelden möchte. Ich würde aber gerne dem Benutzer vorschreiben, dass er sich nur an Domäne A anmelden kann. Vielleicht weiß ja einer, wie ich das anstellen kann, per GPO vielleicht? Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 5. August 2011 Melden Teilen Geschrieben 5. August 2011 Moin, wenn du nichts Neues nennst, können wir auch nichts Neues beitragen. Alles Nötige dazu ist gesagt. Gruß, Nils Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 5. August 2011 Melden Teilen Geschrieben 5. August 2011 Du musst etwas beachten: Wenn du möchtest, dass User A aus Domäne A sich nicht an Domäne B anmelden kann, bist du mit einer Vertrauensstellung, die ja genau diesen Zweck hat, falsch. Du möchtest ja dass der User sich dort *authentifizieren* kann, damit er die Ressourcen nutzen kann. Was du jetzt genau möchtest, denke ich, ist dass, der Benutzer sich nicht an einem Client anmelden kann. Warum genau? Was tut da weh? Wenn die User serverbased Profiles haben, sollen sie sich doch anmelden wo sie wollen, verhindern kannst du es, meines Wissens nach mit Bordmitteln nicht. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.