Reality 10 Geschrieben 6. Oktober 2004 Melden Teilen Geschrieben 6. Oktober 2004 Hallo zusammen... Ich habe ein Problem mit dem Zugriff in verschiedenen Domänen. Hier mal der Ist-Zustand: Ich habe 2 W2k3-Server (DomäneA und DomäneB) und einen 3.ten W2k-Server (DomäneC). Die Domänen A und B vertrauen sich vollständig. Auch ist zwischen diesen Domänen ein DFS eingerichtet. Nun habe ich eine Vertrauensstellung zwischen Domäne B und C eingerichtet, so dass Domäne B der Domäne C vertraut (nur eine Richtung). Im DNS der Domäne B habe ich eine Weiterleitung für Domäne C eingerichtet und in Domäne C habe ich eine Forward-Zone im DNS für Domäne B eingerichtet. Zudem habe ich die Domänenbenutzer der Domäne C in die Domänen-Benutzer der Domäne B hinzugefügt. Nun das Problem: Ich kann als User der Domäne C auf die Domäne B zugreifen. Leider aber nur eingeschränkt. Mein Hauptproblem ist das DFS. Ich möchte von Domäne C aus auf das DFS zugreifen. hier bekomme ich dauernd eine Fehlermeldung "Falscher Benutzer oder falsches Kennwort bei der Anmeldung..." Wie schaffe ich hier eine Zugriffsmöglichkeit? Eigentlich sollte es doch funktionieren, da alle Benutzer der Domäne B auf das DFS zugreifen können und die Benutzer der Domäne C auch Bestandteil der Benutzer in Domäne B sind... Wer kann mir helfen?? Was mache ich falsch?? Vielen Dank im voraus Reality Zitieren Link zu diesem Kommentar
hsi 10 Geschrieben 6. Oktober 2004 Melden Teilen Geschrieben 6. Oktober 2004 Hallo Reality, Du kannst keine Benutzer einer Domäne X einer anderen Domäne Y hinzufügen. Du musst Die Rechte für die jeweiligen Benutzer in jeder Domäne einrichten (z. B. für Shares, DFS, etc.). Gruß Daniel Zitieren Link zu diesem Kommentar
Reality 10 Geschrieben 7. Oktober 2004 Autor Melden Teilen Geschrieben 7. Oktober 2004 Hallo Daniel, danke für die Antwort. Wenn aber die DomänenC-Benutzer Mitglied der DomänenB-Benutzer-Gruppe sind, müsste doch der Zugriff funktionieren, oder etwa nicht?? Auf normale Freigaben kann ich ja zugreifen.... Nur der Zugriff auf das DFS macht Probleme. Kann es evtl. daran liegen, dass der DFS-Stamm in der DomäneA liegt? Ich kann unter Sicherheit, in der Eigenschaften des DFS-Root, nur auf die DomäneA und DomäneB zugreifen, nicht auf die der DomäneC... Im ActiveDirectory-Benutzer und -Computer der DomäneB kann ich auf die DomäneC zurückgreifen... Gruß und Danke Reality Zitieren Link zu diesem Kommentar
hsi 10 Geschrieben 7. Oktober 2004 Melden Teilen Geschrieben 7. Oktober 2004 Hallo Reality, soweit ich weiß ist es nicht möglich DomänenC-Benutzer zu Mitgliedern von DomänenC-Benutzergruppen zu machen. Du müsstest bei dem Versuch auch eine Meldung im AD-Manager für Benutzer & ... erhalten, das 'an dieser Stelle keine Objekte verfügbar sind', oder so ähnlich. Da der DFS-Stamm in DomäneA liegt, muss aber auch die DomäneA der DomäneC vertrauen. Ggf. müssen dann in den Sicherheitseigenschaften des DFS-Root noch Zugriffsrechte für die DomäneC erteilt werden. Viel Erfolg! Gruß Daniel Zitieren Link zu diesem Kommentar
Jurai 10 Geschrieben 7. Oktober 2004 Melden Teilen Geschrieben 7. Oktober 2004 @ ALL Sagt ruhig wenn ich mich irre. Der mir bekannte Weg ist der: - Einrichten der Vertrauenstellung - Einrichten einer universellen Gruppe im ADS - Hinzufügen der universellen Gruppe zu einer globalen Gruppe in der Domäne, auf deren Resourcen zugegriffen werden soll. Gruß Jurai :cool: Zitieren Link zu diesem Kommentar
DeLiRiUm 10 Geschrieben 7. Oktober 2004 Melden Teilen Geschrieben 7. Oktober 2004 Nicht ganz! Microsoft sagt, man soll ein Account anlegen, diesen in eine globale Gruppe packen, die globale Gruppe wiederum in ein lokale Domänengruppe und auf diese lokale Domänengruppe die Berechtigungen setzen, auch A-G-DL-P Strategie genannt. Universelle Gruppen können Benutzerkonten aus allen Domänen enthalten und können auf alle Ressourcen in allen Domänen zugreifen. Globale Gruppen enthalten Benutzerkonten aus der Domäne, wo die globale Gruppe erstellt wird und greifen auf allen Ressourcen in allen Domänen zu. Lokale Domänengruppen enthalten Benutzerkonten aus allen anderen Domänen und greifen auf Ressourcen in der Domäne zu, wo die lokale Domänengruppe erstellt wurde. In deinem Fall solltest du vielleicht die universelle Gruppe in éine lokale Domänengruppe der Domäne B bzw. C aufnehmen und dann die Berechtigungen setzen. :D Ob man das jetzt so umsetzt, oder man findet einen anderen Weg, ist ja jedem selbst überlassen... :D Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 7. Oktober 2004 Melden Teilen Geschrieben 7. Oktober 2004 Ich habe mal nur den Anfang gelesen und nicht alle Beiträge im Thread, ist unüblich für mich, aber da ist von Anfang an einiges unklar und völlig unklar: Ich habe 2 W2k3-Server (DomäneA und DomäneB) und einen 3.ten W2k-Server (DomäneC). Über Forests und die arten der Vertrauensstellungen hast du gar nicht ausgesagt. Von daher schon mal keine Ausage möglich. Zudem habe ich die Domänenbenutzer der Domäne C in die Domänen-Benutzer der Domäne B hinzugefügt. Das kannst du nicht geatn haben, technisch absolut unmöglich! Und dann lese ich gerade das hier noch quer: Zitat: DeLiRiUm Universelle Gruppen können Benutzerkonten aus allen Domänen enthalten und können auf alle Ressourcen in allen Domänen zugreifen.Das gilt innerhealb eines Forest. bei mehr als einem Forest nicht. Wie schon erwähnt, das Thema Forest ist hier völlig unterblieben, von daher :suspect: grizzly999 Zitieren Link zu diesem Kommentar
Reality 10 Geschrieben 7. Oktober 2004 Autor Melden Teilen Geschrieben 7. Oktober 2004 Hallo nochmal, danke für die Antworten... leider muss ich gestehen, dass ich bei der Umsetzung Probleme habe.... Ich habe versucht auf dem w2k3-Server (DomäneB) eine "Verteilergruppe - Lokal (in Domäne)" anzulegen. In diese kann ich Benutzer von allen 3 Domänen und die "Verteilergruppe - Universal" aufnehmen. Nur kann ich diese weder bei einer anderen Gruppe als Mitglied hinzufügen, noch kann ich diese Gruppe beim DFS unter Sicherheit auswählen... Lege ich eine andere Gruppe an, kann ich nicht mehr auf die entfernten Domänen zugreifen... Was also muss ich genau anlegen, in welcher Domäne?? (bin jetzt etwas verwirrt) Nochmal kurz der Zusammenhang: DomäneA ist DFS-Stamm und Vertraut DomäneB vollständig Die Vertrauensstellung ist biderektional und nicht transitiv. DomäneB vertraut DomäneC (nur eingehend) und ist der DFS-Partner der DomäneA Die Vertrauensstellung ist nur ausgehend und nicht transitiv. DomäneC soll auf DFS über DomäneB zugreifen können... Bitte helft mir mal auf die Sprünge... Vielen Dank im voraus Reality Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 7. Oktober 2004 Melden Teilen Geschrieben 7. Oktober 2004 Immer noch keine Aussage zu Forests. Ausserdem können Verteilergruppen keine Permissions zugewiesen werden, die sind nur als email Verteiler gedacht, daher auch ein anderer Name als Sicherheitsgruppe. Warum nicht diese :rolleyes: grizzly999 Zitieren Link zu diesem Kommentar
Reality 10 Geschrieben 8. Oktober 2004 Autor Melden Teilen Geschrieben 8. Oktober 2004 Hallo grizzly999, darf ich mal ganz unwissend Fragen, was Du mit Forests meinst ??? Danke Reality Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 8. Oktober 2004 Melden Teilen Geschrieben 8. Oktober 2004 englisch: forst deutsch: Gesamtstruktur grizzly999 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.