welle 11 Geschrieben 8. April 2004 Melden Teilen Geschrieben 8. April 2004 Hallo Leute! ICh habe folgendes Problem! Ich habe zwischen einer W2K Domäne und einer NT Domöne einer Vertrauenstellung eingerichtet. Realisiert werden sollte, bestimmte User aus der 2000 Dom sollen Zugriff auf bestimmte Daten auf dem NT Server haben. Funzt auch alles prima! Jetzt habe ich aber die Nebenwirkung, das bein Login alle Clients aus der W2K Dom auch die NT Dom zur auswahl haben! Eine Anmeldung ist zwar nicht möglich wegen Berechtigungen usw. Wie kann ich aber verhindern das die User diese Dom sehen? So nach dem Motto: "Was der User nicht weiß macht ihn nicht heiß"! Es sind auf den NT Server Dateien die nicht in die Hände der User fallen dürfen! Ich danke schon mal für Eure Hilfe! welle Zitieren Link zu diesem Kommentar
IvkovicD 10 Geschrieben 8. April 2004 Melden Teilen Geschrieben 8. April 2004 Original geschrieben von welle Eine Anmeldung ist zwar nicht möglich wegen Berechtigungen usw und Original geschrieben von welle Es sind auf den NT Server Dateien die nicht in die Hände der User fallen dürfen! das erste schliesst das zweite aus.... Hi welle, kommen wir zu deinem Problem: Auf der NT Seite kannst du mit Boardmittel nichts machen (macht auch nichts, ist ja hier nicht gefordert), auf der W2K Seite kannst du nur "alles-oder-nichts" spielen, d.h. du kannst die komplette Domainliste anzeigen lassen oder sperren. Im zweiten Fall müssen sich deine Anwender mittels dem UPN (User Principal Name) anmelden, da das eben eine Domäne beinhaltet (name@domäne) und somit das Fehlen dieser Liste nicht weiter stört. Dazu trägst du in der Registry folgenden Schlüssel ein: NoDomain UI (mit Freizeichen!) (REG_DWORD = 1) unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon gleich ein paar andere Keys dazu: Reg Key für Default Logon Domäne: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Value: DefaultDomainName Type: REG_SZ Data: <your domain name> Option-Button ausschalten: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Value: ShowLogonOptions Type: REG_DWORD Data: 1 to hide the button, 0 to show the button Alternativ kannst du dem System die Rechte auf %SystemRoot%\System32\Config\Netlogon.ftl file entziehen, dann wird nur die lokale Domäne angezeigt (nicht elegant, eher quick-and-dirty!), siehe dazu: http://support.microsoft.com/default.aspx?scid=kb;en-us;310611 Gruß Dejan Zitieren Link zu diesem Kommentar
welle 11 Geschrieben 8. April 2004 Autor Melden Teilen Geschrieben 8. April 2004 Hallo Dejan Erst mal Danke für die schnelle Antwort! Das mit dem User Principal Name habe ich auch schon in erwägung gezogen, ich wollte es wenn es geht aber verhindern. Es müssten sich dann 150 User umgewöhnen bei der Anmeldung. Aber wenn es nicht anders geht, werde ich diese Änderung unter den Deckmantel der Sicherheit bringen und somit wird der Chefetage keine andere Wahl bleiben. Dennoch werde ich das mit Reg mal testen! Danke noch mal welle Zitieren Link zu diesem Kommentar
welle 11 Geschrieben 8. April 2004 Autor Melden Teilen Geschrieben 8. April 2004 Alternativ kannst du dem System die Rechte auf %SystemRoot%\System32\Config\Netlogon.ftl file entziehen, dann wird nur die lokale Domäne angezeigt (nicht elegant, eher quick-and-dirty!), siehe dazu: http://support.microsoft.com/defaul...kb;en-us;310611 Wollte ich mal versuchen! Aber wenn ich bei der Netlogon.ftl auf Eigenschaften gehe, kann ich nirgens Berechtigungen vergeben! welle Zitieren Link zu diesem Kommentar
IvkovicD 10 Geschrieben 8. April 2004 Melden Teilen Geschrieben 8. April 2004 Original geschrieben von welle Alternativ kannst du dem System die Rechte auf %SystemRoot%\System32\Config\Netlogon.ftl file entziehen, dann wird nur die lokale Domäne angezeigt (nicht elegant, eher quick-and-dirty!), siehe dazu: http://support.microsoft.com/defaul...kb;en-us;310611 Wollte ich mal versuchen! Aber wenn ich bei der Netlogon.ftl auf Eigenschaften gehe, kann ich nirgens Berechtigungen vergeben! welle du musst die Vererbeung (Verzeichniss) für die Datei aufbrechen, dann kannst du separiert davon die Rechte anpassen... Gruß Dejan Zitieren Link zu diesem Kommentar
welle 11 Geschrieben 8. April 2004 Autor Melden Teilen Geschrieben 8. April 2004 I :( ch muß jetzt mal **** nachfragen :( Auf dem Server oder beim Clientrechner? Wo muß ich die Datei bearbeiten? Zitieren Link zu diesem Kommentar
IvkovicD 10 Geschrieben 8. April 2004 Melden Teilen Geschrieben 8. April 2004 Auf allen Clients der betroffenen W2K Domäne, die die NT-Domäne nicht sehen dürfen, allerdings würde ich an deiner Stelle diese Option nur dann machen, wenn die anderen Mittel versagen. Weiterhin hast du damit das Problem, dass es eine rechnerbezogene Lösung ist, und nicht eine benutzerbezogene... Falls sich ein "erlaubter" Benutzer an so einer Maschine verirrt, dann bekommt er die NT Domäne nicht zu sehen....(falls die Anmeldung direkt auf der NT Domäne verlaufen soll) Gruß Dejan Zitieren Link zu diesem Kommentar
welle 11 Geschrieben 8. April 2004 Autor Melden Teilen Geschrieben 8. April 2004 Danke! Aber Du hast Recht, das sollte wirklich der letzte Ausweg sein! Diese Aktion auf den DC´s ist mir zu heikel. Ich such mir schon mal einige Argumente, das es halt so ist! Danke! ;) welle Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.