has 0 Geschrieben 19. Dezember 2013 Melden Teilen Geschrieben 19. Dezember 2013 Guten Abend liebe Community, ich habe folgende Problemstellung: Ca. 5 unterschiedliche, einzelne Domänen, die vollkommen unabhängig voneinander vor ewigen Zeiten eingerichtet wurden. Nun möchte ich über eine zentrale Domäne Backups erstellen, Antivirensoftware verteilen, ... (nur hierfür gibt es in dieser Domäne Benutzer). Ich habe nun in einer Testumgebung (2x 2008R2) eine Vertrauensstellung zwischen 2 Domänen eingerichtet (habe das erste mal damit zu tun). Und zwar handelt es sich um eine externe, nicht transistive, unidirektionale Vertrauensstellung. Damit auch die Namensauflösung funktioniert habe ich vorher den jeweils anderen DNS-Bereich als Stubzone eingerichtet. Nun stellt sich mir die Frage: Wie bekomme ich es hin, dass ein Domänen-Admin-Benutzer ("Zentral-Backup") aus der zentralen Domäne auch Domänen-Admin-Rechte in der vertrauenden Domäne hat? Bisher kann ich mich dort zwar an Terminalservern etc. anmelden, habe aber keine Admin-Rechte (c$-Freigabe, ...) Über ein paar Tipps wäre ich sehr dankbar. Habe schon Bücher und das Internet durchsucht, bekomme das aber nicht gebacken... Schönen Abend. Gruß Michael Zitieren Link zu diesem Kommentar
has 0 Geschrieben 20. Dezember 2013 Autor Melden Teilen Geschrieben 20. Dezember 2013 Hat sich erledigt :) Bin nicht drauf gekommen, dass die Nutzer der zentralen (vertrauten) Domäne in eine lokale Gruppe der vertrauenden Domäne stecken muss (habe es immer mit globalen/universalen probiert) Schöne Weihnachten Zitieren Link zu diesem Kommentar
has 0 Geschrieben 10. Januar 2014 Autor Melden Teilen Geschrieben 10. Januar 2014 Liebe Community, ich war wohl etwas zu voreilig...Es funktioniert nicht. Anscheinend wurden im Hintergrund nur passende Anmeldeinformationen gecached. Ich zweifle mittlerweile daran, ob das überhaupt möglich ist. Also nochmal die grundlegende Frage: Wie schaffe ich es, dass Domänen-Admins (oder eine andere Gruppe) von Domäne A zum Domänen-Admin in Domäne B werden. Die Vertrauensstellung steht. Wie läuft das nun mit den Gruppen? Müssen doch schon mehr Leute versucht haben... Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 10. Januar 2014 Melden Teilen Geschrieben 10. Januar 2014 Also nochmal die grundlegende Frage: Wie schaffe ich es, dass Domänen-Admins (oder eine andere Gruppe) von Domäne A zum Domänen-Admin in Domäne B werden. Die Vertrauensstellung steht. Wie läuft das nun mit den Gruppen? Hallo, ist es dir möglich, der Gruppe der Domänen-Admins B hinzuzufügen die Gruppe der Domänen-Admins A? Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 10. Januar 2014 Melden Teilen Geschrieben 10. Januar 2014 Nein, eine solche Schachtelung ist nicht möglich. Er kann maximal die Domainadmins A in die Gruppe der Administratoren B hinzufügen. Zitieren Link zu diesem Kommentar
MurdocX 949 Geschrieben 10. Januar 2014 Melden Teilen Geschrieben 10. Januar 2014 Hallo, eine gedachte (nicht getestete!!) Lösung wäre es eine Dach-Domäne zu erstellen, unidirektionale Vertrauensstellungen der Firmen-Domänen mit der Dach-Domäne zu erstellen, eine lokale Sicherheitsgruppe auf den Domänen zu erstellen und diese mit dem Admin-Benutzer der Dach-Domäne zu füllen und dann über eine GPO "Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Eingeschränkte Gruppen" die lokalen Administratoren der Clients / Server zu überschreiben. Was meint ihr dazu? Gruß Zitieren Link zu diesem Kommentar
has 0 Geschrieben 13. Januar 2014 Autor Melden Teilen Geschrieben 13. Januar 2014 Guten Morgen, @lefg: Eine solche Gruppenzugehörigkeit über Domänen hinweg lässt sich nicht einrichten. Die Auswahl der möglichen Gruppen-Mitglieder schränkt Windows je nach Gruppe (lokal, global, ...) nämlich schon ein. @NorbertFe/MurdocX: Genau von dieser Möglichkeit habe ich auch schon gelesen. Die User der Dach-Domäne nur zum Admin zu machen und diesen dann per GPO lokale Admin-Rechte zuweisen. Ist nicht ganz so schön, da es viele verschiedene (halbwissende) Admins in den Unterdomänen gibt. Wenn es anders nicht geht, wird dies wohl die einzige Möglichkeit sein. Es geht hier eigentlich nur um die zentrale Verwaltung/Verteilung von AntiViren-Software (Avira) und der Realisierung eines zentralen Backups. Die bisher angefragten Hersteller von Backup-Software meinten immer ich bräuchte eine Vertrauensstellung. Die habe ich, aber ohne solche zentralen Admin-User wird das keinen Sinn machen?! (wie löst man Best-practice ein zentrales Multi-Domain-Backup?) Gruß Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 13. Januar 2014 Melden Teilen Geschrieben 13. Januar 2014 Schau dir diesen Artikel an, evtl. ist das ein Schups in die richtige Richtung: http://www.gruppenrichtlinien.de/artikel/lokaler-administrator-install-agent-delegation-pro-computer/ Zitieren Link zu diesem Kommentar
has 0 Geschrieben 13. Januar 2014 Autor Melden Teilen Geschrieben 13. Januar 2014 Pro Gerät ein Benutzerkonto wäre wohl Horror :nene: Allerdings die GPO, dass Benutzer zum Admin werden ist genau die von Murdoc beschriebene Variante. Wer nutzt denn noch zentrale Backups in einer Multi-Domain-Umgebung? Eventuell braucht es diese Verrenkungen garnicht, ich habe ja in allen Domänen einen Dom-Admin-Account. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 13. Januar 2014 Melden Teilen Geschrieben 13. Januar 2014 (bearbeitet) Wer nutzt denn noch zentrale Backups in einer Multi-Domain-Umgebung? Zentral für zwei Domänen kenne ich ein paar Fälle, allerdings dafür keine extra Domäne, kein extra DC, keine extra Serverlizenzen, keine extra CALs, ..... . Backups gehen auf ein Linux-NAS. Ob zentral überhaupt nötig? Wozu? Begründung, Konzept überdenken!. bearbeitet 13. Januar 2014 von lefg Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 13. Januar 2014 Melden Teilen Geschrieben 13. Januar 2014 Pro Gerät ein Benutzerkonto wäre wohl Horror :nene: Allerdings die GPO, dass Benutzer zum Admin werden ist genau die von Murdoc beschriebene Variante. Damit geht das allerdings einfacher und Du bestimmst wer auf welchem Client zu welcher Zeit Admin ist. Zitieren Link zu diesem Kommentar
has 0 Geschrieben 14. Januar 2014 Autor Melden Teilen Geschrieben 14. Januar 2014 Also es ist wie folgt: Es handelt sich um einen Verbund aus 4-5 Schulen (je eine Domäne) und eine Verwaltungs-Domäne (durch alle Schulen genutzt; Schulleiter, Sekretariat, ...). Diese Netze werden durch eine Firewall gegeneinander abgeschottet. Da alle Geräte von einer Stelle aus administriert werden, wäre eine komplette, einheitliche Backupübersicht (deshalb eine zentrale Lösung für alle) wünschenswert. Pro Schule ergibt das 1-3 Server (+ ein paar Workstations) und ein paar Geräte aus der Verwaltungs-Domäne. Eine monatliche Sichtung aller Backup-Logs bei Einzellösungen ist da eher aufwendig. Um das ganze möglichst sicher zu halten, dürfen Schul- und Verwaltungsnetz nicht miteinander in Berührung kommen. Bei einer zwischengeschalteten Domäne, die sich um die Backup kümmert, sehe ich das eher als unkritisch an. Kosten für DC, Win-Server, CALS ist einer virtualisierten Schulumgebung eher zu vernachlässigen (DC ging mit auf einen ESX und Lizenz war noch eine übrig) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.