AD Vertrauenstellung nur lokale Gruppen möglich

[speer 19]

Hallo zusammen,

zwei bisher separat werkelnde Domänen sind über eine Bidirektionale und transitive Vertrauensstellung verbunden.

Die Gruppenaufteilung ist bei beiden Domänen identisch. Globale Gruppen dienen zur logischen Zuordnung. Während Domänenlokalegruppe für die zu setzenden Berechtigungen eingesetzt sind.

Mein Problem ist nun, möchte ich in Domäne B eine globale Gruppe hinzufügen, bietet mir der Ad Dialog nur Domäne B zur Auswahl an. Dies tritt auch bei einer universellen Gruppe auf. Nur bei den domänenlokalen Gruppen erscheint tatsächlich die Möglichkeit, in der Gesamtstruktur auch Domäne A auszuwählen.

 

Als AD Server ist ein 2012 und ein 2008R2 im Einsatz.

 

Mein Ziel ist es, die Exchange Univerellen Gruppen aus beiden Domänen zu füllen. Wieso funktioniert das nicht?

[NilsK 2.930]

Moin,

 

noch mal langsam. Was genau möchtest du in was für Gruppen aufnehmen?

 

In deinem Szenario dürften für die Zuweisung von Berechtigungen nur Domänenlokale Gruppen geeignet sein, wenn Berechtigungen an Mitglieder beider Domänen erteilt werden sollen.

 

Gruß, Nils

[speer 19]

Hallo,

mir fehlt momentan das Verständnis weshalb ich keine globale bzw. universelle Gruppen in die andere Domäne hinzufügen kann. Im AD Dialog fehlt schlicht der Pfad zur anderen Domäne.

Unser MCSA Ausbilder meinte Universelle Gruppen sind überall uneingeschränkt verwendtbar (Replikationthema mal ausgeschlossen).

[NilsK 2.930]

Moin,

 

Globale Gruppen sind immer domänenintern, es kann dort nur Mitglieder aus derselben Domäne geben. Es muss ja einen Gruppentyp geben, bei dem man sich darauf verlassen kann, dass er nur die eigene Domäne betrifft.

Daher wird bei einer Globalen Gruppe nur die eigene Domäne angezeigt, wenn man Mitglieder verwaltet. Sie können in jeder Domäne, auch in vertrauten Domänen anderer Forests, Berechtigungen erhalten.

 

Domänenlokale Gruppen können Mitglieder aus allen vertrauten (!) Domänen enthalten. Sie können aber nur in der eigenen Domäne Berechtigungen bekommen.

 

Universalgruppen können Mitglieder aus allen Domänen des eigenen Forests (!) enthalten. Sie können in jeder Domäne, auch in vertrauten Domänen anderer Forests, Berechtigungen erhalten.

 

Da deine Domänen nicht demselben Forest angehören, kannst du keine Universalgruppen nutzen, um Mitglieder aus beiden Domänen zusammenzufassen.

 

[Group scope: Active Directory]
https://technet.microsoft.com/en-us/library/cc755692%28v=ws.10%29.aspx
 

[Windows-Gruppen richtig nutzen | faq-o-matic.net]
http://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/

 

Für Exchange ist das ohnehin nicht geeignet, weil die Exchange-Grenze der Forest ist.

 

Gruß, Nils

bearbeitet 9. Dezember 2015 von NilsK

[speer 19]

Hallo Nils,

irgendwie verwirft es mir jetzt mein ganzes Verständnis. Also ich habe eine Domäne A.local und eine Domäne B.local. Durch die Vertrauensstellung führe ich mittels bidirektionaler, Gesamtstrukturweite Authentifizierung beide einzelnen Domänen zu einer Gesamtstruktur (Forest) zusammen. Nun sollte es doch möglich sein aus einer universellen Gruppe aus Domäne A ein Objekt aus Domäne B aufzunehmen?

Glaube ich muß erstmals meine Wissenslücken schließen. :)

[NilsK 2.930]

Moin,

 

nein, das ist nicht so. Du hast zwei Forests. Durch den Trust bleiben es immer noch zwei getrennte Forests. Die Forestgrenze ist unverrückbar.

 

Gruß, Nils