Vertrauensstellung zwischen Domänen wirkt nicht?!

[DeathAndPain 10]

Ich habe eine neue NT 4.0-Domäne (mit neuem PDC) aufgesetzt und eine wechselseitige Vertrauensstellung mit meiner bereits bestehenden Domäne eingerichtet. Die Vorgehensweise war lehrbuchmäßig: Erst auf beiden Seiten die jeweils andere als "Berechtigt, dieser Domäne zu vertrauen" eingetragen und dann auf beiden Seiten die jeweils andere unter "Vertraute Domänen" eingetragen. Das System hat auch in beiden Fällen gemeldet, daß die Vertrauensstellung korrekt eingerichtet wurde.

 

Dennoch stelle ich fest, daß ich als Administrator der einen Domäne keine Berechtigung habe, auf Verzeichnisse zuzugreifen, deren Zugriffsrechte Vollzugriff für "Administratoren" und "Domänen-Admins" vorsehen. Habe ich irgendwas übersehen?

[Ritchie 10]

Hallo

 

eine Vertrauensstellung bedeutet nicht, dass Du jetzt Zugriffsberechtigungen auf die andere Domäne hast.

Hast Du den jeweils den Domänen-Admin von der einen Domäne auch zu der Gruppe Domänen-Admins der anderen Domäne hinzugefügt ?

 

Gruss

Ritchie

[DeathAndPain 10]

Wie soll ich das genau tun? Wenn ich in den Eigenschaften eines Benutzers die Gruppen auswähle, zu denen er gehören soll, dann werden mir nur die Gruppen der jeweiligen Domäne angeboten, nicht die anderer Domänen. Ich bin bislang davon ausgegangen, daß, wenn der Administrator einer Domäne Mitglied von "Domänen-Admins" in seiner Domäne ist, er dann auch die Privilegien dieser Gruppe in anderen Domänen genießt, mit denen eine wechselseitige Vertrauensstellung besteht. Wenn das nicht so ist, wo und vor allem wie muß ich ihn dann eintragen?

 

Zur Veranschaulichung: Die FIBU-DOMÄNE und die SRV-DOMÄNE stehen in wechselseitiger Vertrauensstellung. Der Administrator der FIBU-DOMÄNE möchte auf eine Datei in der SRV-DOMÄNE zugreifen. Seine Gruppenmitgliedschaften sind wie folgt:

 

 

Er navigiert jetzt in der SRV-DOMÄNE zu einer Datei und ruft dort Eigenschaften -> Sicherheit -> Berechtigungen auf:

 

 

Hier bekommt er die Meldung, daß er die Sicherheitseigenschaften nur anzeigen darf. Das darf er offenbar, weil "Jeder" auf RX steht. Nur sollte er meiner Meinung nach eigentlich die DOMÄNEN-ADMINS-Rechte besitzen...

 

Auffallen tut natürlich, daß in obiger Rechteliste ausdrücklich "SRV-DOMÄNE\DOMÄNEN-ADMINS" steht. Das macht schon den Eindruck, als ob es (trotz der Vertrauensstellung?) einen Unterschied zu "FIBU-DOMÄNE\DOMÄNEN-ADMINS" gibt. Aber wenn das so ist und wenn das der Grund für die fehlenden Zugriffsrechte ist, wie bekomme ich dann den Administrator (FIBU) in die Gruppe "SRV-DOMÄNE\DOMÄNEN-ADMINS"?

[msdtp 13]

Hy,

du mußt schon beim anmelden beide Dom. angezeigt bekommen. Sonst stimmt etwas mit deiner Vertrauesstellung nicht.

Aber ich kenne das Problem, bei mir war es unter NT so, dass ich die Vertrauensstellung mehrmals erstellen mußte bis es funzte...

[DeathAndPain 10]

Wenn ich mich an einem Endanwender-Rechner, der zu einer der beiden Domänen gehört, anmelden möchte, dann bekomme ich im Dropdown beide Domänen für die Anmeldung zur Auswahl. Allerdings hat das mit der oben geschilderten Problematik nichts zu tun.

[Ritchie 10]

Hallo

 

habe mich ein bisschen falsch ausgedrückt.

In globale Gruppen kann man gar keine globalen Gruppen hinzufügen. (Wenigstens unter NT nicht)

In der Gruppe Administratoren musst Du die Gruppe Domain Admins von der anderen Domäne hinzufügen.

In der Gruppe Administratoren von der Domäne FIBU müssen als die Gruppen Domain Admins von der Domäne FIBU und die Gruppe Domain Admins von der Domäne SRV drin stehen. Und umgekehrt auf der anderen Domäne. Damit haben beide Domain Admins auf beide Domänen Zugriff.

 

Gruss

Ritchie

[DeathAndPain 10]

Du bist ein Engel! Das hat funktioniert. Daß man Benutzer in Gruppen mit bestimmten Berechtigungen zusammenfassen kann hatte ich verstanden, aber daß man auch Gruppen in Gruppen reinpacken kann, war mir nicht klar.

 

Jetzt funktioniert alles. Vielen Dank!

[Ritchie 10]

Gern geholfen :) :)

 

Gruss

Ritchie