Printserver aus einer anderen Domäne nutzen OHNE Vertrauensstellung

[Reingucker 3]

Packen Sie in der Regel aber schon. Von zwei Printserver dürfte das jetzt nicht so das Problem werden.

 

Ich würde das genau so versuchen. Einstellungen inkl. Driver, IP-Adressen etc. kann man relativ einfach mit dem Druckmanager exportieren und wieder importieren. So wie das klingt isses ja eh nur kurz bis mittelfristig geplant.

 

Ha, stimmt, export/import gibts ja auch noch. Also noch einfacher.

[Reingucker 3]

@Oneil

 

Habt ihr es schon gelöst? Und wenn ja, wie? Interessiert mich schon weil so eine Situation öfters vorkommen kann denke ich.

[Oneil 0]

hey,

 

sorry war die letzten tage krank und bin nun wieder am thema dran ;-)

 

aktuell versuche ich das hier

 

 

Nach original Microsoft:

Empfohlene Verwendung von Gruppen mit dem Bereich "Global"

Gruppen mit dem Bereich "Global" sollten zur Verwaltung von Verzeichnisobjekten verwendet werden, die eine tägliche Wartung erfordern, z. B. Benutzer- und Computerkonten. Da Gruppen mit dem Bereich „Global“ nicht außerhalb ihrer eigenen Domäne repliziert werden, können Sie die in einer solchen Gruppe enthaltenen Konten häufig ändern, ohne dass dabei Replikationsdatenverkehr mit dem globalen Katalog entsteht. Weitere Informationen zu Gruppen und zur Replikation finden Sie unter Funktionsweise der Replikation.

Obwohl die zugewiesenen Rechte und Berechtigungen nur innerhalb der Domäne Gültigkeit haben, in der sie zugeordnet wurden, können Verweise auf Konten mit einem ähnlichen Verwendungszweck vereinheitlicht werden, indem Sie Gruppen mit dem Bereich "Global" gleichmäßig auf die entsprechenden Domänen verteilen. Auf diese Weise wird die domänenübergreifende Gruppenverwaltung vereinfacht und rationalisiert. Wenn z. B. in einem Netzwerk mit den beiden Domänen „Europa“ und „USA“ in der Domäne „USA“ eine „Global“-Gruppe mit der Bezeichnung „GLRechnungswesen“ vorhanden ist, sollten Sie auch in der Domäne „Europa“ eine „Global“-Gruppe mit der Bezeichnung „GLRechnungswesen“ erstellen (es sei denn, in der Domäne „Europa“ gibt es keine Abteilung „Rechnungswesen“).

Es wird dringend empfohlen, beim Festlegen von Berechtigungen für Verzeichnisobjekte der Domäne, die auf den globalen Katalog repliziert werden, statt „Lokale Domäne“-Gruppen „Global“- oder „Universal“-Gruppen zu verwenden. Weitere Informationen finden Sie unter Replikation des globalen Katalogs.


Dafür benötigt man übrigens keine "Vertrauensstellung" (Relikt aus NT 4). Vernünftig Eingerichtet funktioniert das, oder ähnliche Szenarien, übrigens schon seit (fast) Windows 2000. Gut wurde es unter Windows 2003. Von Novell (Wer kennt das noch?) möchte ich erst gar nicht Anfangen

Wobei das Thema wohl gezielter unsere AD-Spezies hier Beantworten können.

Der Nachteil könnte sein, das hier dann ggf. einiges an "händischer Arbeit" gefragt ist. Wobei man hier Natürlich wieder eine "local group" in eine "global group" verschachteln könnte

Das ist nur meine persönliche Meinung zu diesem Thema. Innert AD war ich nie Perfekt, aber ich war auch bestimmt nicht der Dümmste in meiner Klasse.


Viele liebe Grüsse
Ralph

Zum Belegen:

https://msdn.microsoft.com/de-de/library/cc755692(v=ws.10).aspx

[Reingucker 3]

Hm, und die Gruppe "Dom1\Test" soll die gleichen Rechte wie die Gruppe "Dom2\Test" haben wenn sich ein User aus der Gruppe "Dom1\Test" an einer Resource anmeldet in Dom2, auf die die Gruppe "Dom2\Test" zugriff hat? Kann ich mir irgendwie nicht vorstellen.  Wer autentifiziert denn den User? Die Dom2 hat doch keine Verbindung zur Dom1 um den User aus Dom1 zu überprüfen.

[lefg 276]

Hallo,

 

ob Du mit der Gruppengeschichte auf dem richtigen Schiff bist? Ich habe da Zweifel  Ob man diese ganze Geschichte nicht noch einmal neu denken sollte?

bearbeitet 26. März 2015 von lefg

[daabm 1.366]

Dafür benötigt man übrigens keine "Vertrauensstellung" (Relikt aus NT 4).

Wer auch immer das geschrieben hat, hat Active Directory und Kerberos nicht verstanden. Ohne Trust kein Shared Secret, ohne Shared Secret keine Authentifizierung in der vertrauenden Domäne.

Zum Nachlesen:

 

https://technet.microsoft.com/library/cc772815.aspx

 

IMHO immer noch der beste "Einführungsartikel" dazu.

[Oneil 0]

hat nicht funktioniert :-(

 

jetzt gehen uns solangsam die idee aus für mögliche umsetzungen

[Reingucker 3]

Na, wenn du am Ende deines Lateins bist, dann setze doch einfach meinen Vorschlag um :D

[Weingeist 159]

Ich find das reichlich kompliziert und nicht gerade toll. Mach es doch so wie es empfohlen wurde.

- Trust oder von mir aus nen One-Way-Trust

- Nen eigenen Print-Server für euch wo ihr den selben Drucker bedient (so würde ichs machen, auch lizenztechnisch sauber getrennt)

[Reingucker 3]

Ich find das reichlich kompliziert und nicht gerade toll. Mach es doch so wie es empfohlen wurde.

- Trust oder von mir aus nen One-Way-Trust

- Nen eigenen Print-Server für euch wo ihr den selben Drucker bedient (so würde ichs machen, auch lizenztechnisch sauber getrennt)

 

Die haben und wollen da keinen Trust. Ist aber auch nicht nötig. Verbindung zwischen den Dom ist auf IP-Ebene ist schon da. Und die Drucker sind keine AD-Mitglieder. Was eventuell noch nötig wäre ist ein VPN zwischen den Standorten - falls der Druckauftrag durchs öffentliche Netz gehen würde.

[Oneil 0]

die druckserver sind bei uns nur noch nicht in der neuen domäne ;-) naja ich hoffe das der splitt bald durch ist und dann irgendwann nach ostern die server ins richtige rz gehen können dann ist das thema von natur aus durch

[Dr.Melzer 191]

Werter Oneil,

 

willkommen bei MCSEboard.de, schön dass du uns gefunden hast.

 

Bitte achte darauf in deinen Beiträgen auch Großbuchstaben zu benutzen. Für uns sind Beiträge die konsequent in Kleinschreibung verfasst sind schwer lesbar und dadurch wird deine Fragestellung für uns auch schwerer verständlich. Wir können dir aber nur dann wirklich gut helfen, wenn wir dein Problem gut verstanden haben.

 

Je besser deine Beiträge für uns lesbar und verstehbar sind, umso besser können wir dir helfen.

 

Wie siehst Du das?

[Reingucker 3]

die druckserver sind bei uns nur noch nicht in der neuen domäne ;-) naja ich hoffe das der splitt bald durch ist und dann irgendwann nach ostern die server ins richtige rz gehen können dann ist das thema von natur aus durch

 

Du solltest ja auch einen neuen Druckserver erstellen. Aber ok, wirst schon irgendwie irgendwas schaffen.

[Oneil 0]

für einen neuen server fehlt uns noch die esx ;-) ... aktuell alles alte hardware

[Reingucker 3]

Aha. Für einen Software-Druckserver, welcher vielleicht nur für 2 Wochen bestehen muss, fehlt euch die Hardware. Und eure Firma umfasst im Moment mindestens 3 Domänen. Wie heißt die nochmal? Ah, wills gar nicht wissen. Bin raus.