smothy 0 Geschrieben 4. März 2023 Melden Teilen Geschrieben 4. März 2023 (bearbeitet) Hallo zusammen, zunächst versuche ich euch ein wenig die Struktur darzulegen in der Hoffnung das hilft bzw. ist aussagekräftig genug für euch Profils um es nachvollziehen zu können. Erläuterung: "Wir" = mein Team de.Frankfurt.net = Firma-Domäne net.primadora.de = unser Netz = interne "eigene" Domäne für "mein Team" ( eigene Domäne innerhalb der "Firma-Domäne" - selbst verwaltet - Active Directory DHCP etc. ) - ( unser Netz ) Die eigentliche Frage bzw. benötigtes Ziel: ein one-Way Trust ( Vertrauensstellung ) einer "externen"Domäne bzw. Benutzer auf "unsere" Domäne. ( Wir (bzw. unsere Domänen) soll der de.Frankfurt.net Domäne trauen, d.h. User der de.Frankfurt.net Domäne akzeptieren und auf bestimmte Ressourcen, wie z.B. bestimmte Ordner Rechte geben, mit dem Ziel, dass wir mit unseren Firma-Domäne ( de.Frankfurt.net )-Usern auf Dienste und Freigaben in unserem Netz zugreifen können An sich wurde auch bereits eine "Bedingte Weiterleitung" eingerichtet mit 2 IP-Adresse von de.Frankfurt.net ( < dies als Seit-Info falls es relevant sein sollte ) Ich hatte bereits versucht, im "Active Directory Verwaltungscenter" ein Knoten hinzuzufügen mit dem Domain-Namen dir Firma-Domäne = de.Frankfurt.net. Leider erfolglos. P.S. Ich habe kein Zugriff - keine Rechte auf den Active-Directory Bereich o.ä. der Firma-Domäne ( de.Frankfurt.net ) sollte aber für einen One-Way Trust nicht notwendig sein. Ich bedanke mich bereits im voraus für eure Unterstützung und Hilfestellung. Danke Viele Grüße bearbeitet 4. März 2023 von smothy Zitieren Link zu diesem Kommentar
daabm 1.356 Geschrieben 4. März 2023 Melden Teilen Geschrieben 4. März 2023 Altes Problem bei Oneway-Trusts - die erste Gruppenverschachtelung Eure Domain vertraut also de.frankfurt.net. Das bedeutet automatisch, daß Ihr nicht selbst in der Lage seid, Delegationen von Gruppen/Usern aus de.frankfurt.net einzurichten - das geht nur von dort aus. Und damit das geht, muß von dort aus (bzw. mit einem Account von dort) die erste administrative Verschachtelung in eine domain local Group bei Euch gemacht werden. Sinngemäß in Powershell, aus dem Gedächtnis und immer aus Sicht von net.primadora.de: $MyAdminGroup = Get-ADGroup xyz (domain local Group bei Euch) $RemoteCredentials = Get-Credential (hier muß jetzt ein Account aus de.frankfurt.net verwendet werden) $RemoteAdminGroup = Get-ADGroup abc -Server de.frankfurt.net -Credential $RemoteCredentials (globale Gruppe in der vertrauten Domäne) Add-ADGroupMember $MyAdminGroup -Members $RemoteAdminGroup Und ab jetzt - korrekte Delegation vorausgesetzt - können Mitglieder von $RemoteAdminGroup bei Euch administrieren. PS: Den Conditional Forwarder braucht Ihr natürlich auf beiden Seiten - beide Domänen müssen sich gegenseitig finden können. Zitieren Link zu diesem Kommentar
smothy 0 Geschrieben 4. März 2023 Autor Melden Teilen Geschrieben 4. März 2023 (bearbeitet) Hallo, zunächst, vielen Dank für deine schnelle Antwort. Ja, das ist richtig, ( Eure Domain vertraut also de.frankfurt.net. Das bedeutet automatisch, daß Ihr nicht selbst in der Lage seid, Delegationen von Gruppen/Usern aus de.frankfurt.net einzurichten ) Heisst das, dass ich einen Domain-Administrator kontaktieren muss, der mich dabei unterstützt bzw. dies entsprechend einrichtet in der Firmen-Domäne "de.Frankfurt.net" ? Die von dir angegebenen Commando´s müssten alle auf Seiten von "de.Frankfurt.net" ausgeführt werden ? Oder habe ich was falsch interpretiert ? Und ab jetzt - korrekte Delegation vorausgesetzt - können Mitglieder von $RemoteAdminGroup bei Euch administrieren. Mit dem Satz bzgl "administrieren" ist lediglich gemeint, dass diese Mitglieder/Benutzer entsprechend auf Freigaben etc. zugreifen könnte - richtig ? Conditional Forwarder ist bei beiden Seiten eingerichtet, ja. Nochmals vielen Dank Gruß bearbeitet 4. März 2023 von smothy Zitieren Link zu diesem Kommentar
daabm 1.356 Geschrieben 5. März 2023 Melden Teilen Geschrieben 5. März 2023 Wo Du das machst, ist egal. Du brauchst einen User, der in frankfurt lesen darf, und Du brauchst einen User, der die Gruppenmitgliedschaft bei Euch verwalten darf. Und bezüglich "bei Euch administrieren" - ja. Zitieren Link zu diesem Kommentar
smothy 0 Geschrieben 5. März 2023 Autor Melden Teilen Geschrieben 5. März 2023 (bearbeitet) Dann muss ich wohl doch einen Domänen-Admin seitens de.Frankfurt.net kontaktieren. Wobei lesen müsste ich können. Aber da stellt sich mir die Frage bzgl. der "Einstellung" im Bereich "Active Directory Domänen- und Vertrauensstellung" Es gibt ja den Bereich bei dem ein Passwort vergeben muss. Wie es aussieht muss ein Admin auf Seiten von "de.Frankfurt.net" das selbe Passwort eingeben wie ich auf meiner Seite Hier in dem Bereich meinte ich. Ist das richtig Oder würde es ausreichen, wenn ich einen Domänen-Admin auf Seiten de.Frankfurt.net nach einem User frage der dies dürfte - dann könnte ich es selbst komplett auf meiner/unserer Seite net.primadora.de ausführen ? Bzw. irgendwo in dem Prozess Active-Directory Domäne- und Vertrauensstellung heißt es mal, dass das Passwort welches man wählt auf beiden Seiten eingegeben werden muss. Oder habe ich da etwas falsch verstanden ? Danke nochmals. Viele Grüße bearbeitet 5. März 2023 von smothy Zitieren Link zu diesem Kommentar
daabm 1.356 Geschrieben 6. März 2023 Melden Teilen Geschrieben 6. März 2023 Warum ist der Screenshot so uralt? Du wirfst Dinge durcheinander... Hinter einem Trust steckt ein spezielles Konto, auf dessen Kennwort die Kerberos-Referals basieren. Dieses Konto kann auf beiden Seiten beim Einrichten des Trusts gleichzeitig erstellt werden - dazu brauchst Du aber ein Admin-Konto, das das in der anderen Domäne darf. Oder der Trust wird auf beiden Seiten jeweils nur dort eingerichtet - dann muß ein initiales Trustkennwort angegeben werden, das auf beiden Seiten identisch ist. Ich würde ja sagen "such Dir jemand, der das schon mal gemacht hat" Zitieren Link zu diesem Kommentar
smothy 0 Geschrieben 8. März 2023 Autor Melden Teilen Geschrieben 8. März 2023 Hallo daabm, ich danke dir nochmals für die erneute Antwort. Ich verstehe es "leider" immer noch so, dass ich definitiv ein Domain-Admin ( Kollege ) seitens de.Frankfurt.net benötige der ein Admin-Konto bereitstellt. Oder eben - wie du sagtest - und ich verstehe - das von dem "alten" Screenshot ( aus dem Netz gezogen - darum alt ) benötigte Kennwort auf beiden Seiten eingeben. Hoffe ich habe das nun etwas besser verstanden ? Danke Gruß Zitieren Link zu diesem Kommentar
daabm 1.356 Geschrieben 8. März 2023 Melden Teilen Geschrieben 8. März 2023 Zum Einrichten des Trusts: Korrekt. Du alleine kannst das nicht auf beiden Seiten machen - wäre ja noch schöner Zitieren Link zu diesem Kommentar
smothy 0 Geschrieben 9. März 2023 Autor Melden Teilen Geschrieben 9. März 2023 Na mir würde es nichts ausmachen :) Nochmals besten Dank dir. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.