Jump to content

Probleme mit ADS und NTLM


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

IST-Zustand:

 

deutschland.lan

bonn.deutschland.lan

koeln.deutschland.lan

 

Alle DomainController vertrauen sich transistiv.

Die User sind in der entsprechenden Domäne angesiedelt. (z.B.: User in Bonn ist im DomianConrtoller in Bonn erstellt)

Alle Gruppen für alle User der Gesamtstruktur sind in der Haubtdomäne deutschland.lan angesiedelt.

Es wird ein URL-Filter eingesetzt, der mittels NTLM Singel Sign On realisiert.

Der Rechner mit dem URL-Filter befindet sich in der HaubtDomäne deutschland.lan.

 

Problem:

Wenn mittels NTLM die Gruppen der User ausgelesen werden bekommt man für User in der Haubtdomäne alle Gruppen zurück. (Beispiel: Fibu, Vertrieb, Domänen-Benutzer)

Für User aus SubDomänen bekommt man nur die Gruppe Domänen-Benutzer zurück. :cry:

 

Hat hier jemand eine Lösung ?

 

Gruß Maik

Link zu diesem Kommentar

Nein keine Firewall.

 

Ich habe gerade nocheinmal ein paar tests gemacht.

 

Es werden Universelle Gruppen verwendet.

Die Gruppen Objekte sind in der Haubtdomäne deutschland.lan für alle User angesiedelt.

Die User Objekte sind in den jeweiligen subdomänen eingerichtet.

 

Nur Universele Gruppen haben die Möglichkeit User aus anderen subDomänen mit aufzunehmen.

Mit Sicherheitsgruppen geht dies nicht.

Aber NTLM kennt anscheinend keine Univesellen Gruppen nur Sicherheitsgruppen.

Dadurch werden die Gruppen nicht angzeigt.

 

Gibt es eine Lösung das man auch in Sicherheitsgruppen user von subdomänen aufnehmen kann.

 

Gruß Maik

Link zu diesem Kommentar

Man vergiss doch einfach mal das NTLM, das hat mit Authentifizierung zu tun und findet vor dem Anmelden statt! ;)

 

Das mit den unviversellen Gruppen und Domänen übergreiffende Verschachtelung ist klar. Das ist der Hauptgrund wieso es überhaupt universelle Gruppen gibt. Aber normalerweise müsstest du mindestens auch globale Gruppen sehen können. Domänen lokale können wie gesagt aus anderen Domänen nicht gesehen werden.

 

 

Gruss

Velius

Link zu diesem Kommentar

Hallo

 

Nur Universele Gruppen haben die Möglichkeit User aus anderen subDomänen mit aufzunehmen.

Mit Sicherheitsgruppen geht dies nicht.

 

Universelle Gruppen sind auch Sicherheitsgruppen. Einzig Verteilergruppen sind keine Sicherheitsgruppen.

 

NTLM ist die Authentifizierung für Windows NT, für Windows 2000 und 2003 ist da Kerberos zuständig

 

Gruss

Ritchie

Link zu diesem Kommentar
Hallo

 

 

 

Universelle Gruppen sind auch Sicherheitsgruppen. Einzig Verteilergruppen sind keine Sicherheitsgruppen.

 

NTLM ist die Authentifizierung für Windows NT, für Windows 2000 und 2003 ist da Kerberos zuständig

 

Gruss

Ritchie

 

Ja, aber es lässt sich keine Universelle Gruppe, als Sicherheitsgruppe erstellen nur als Verteilergruppe.

 

Als Sicherheitsgruppe ist die Universelle Gruppe grau und nicht anklickbar.

 

Gruß Maik

Link zu diesem Kommentar
Nesting in Mixed Mode

This topic lists the restrictions of security groups in a mixed-mode domain.

 

Security groups in a mixed-mode domain have the following restrictions:

 

* Universal groups cannot be created in mixed-mode domains because the universal scope is supported only in Windows 2000 native-mode domains.

* A global group can contain accounts from the same domain to which the group belongs. A global group cannot contain any universal groups, any global group, or an account from another domain.

* A domain local group can contain global groups and accounts from any domain or forest. A domain local group cannot contain any other domain local group.

 

Be aware that distribution groups can be nested according to the nesting rules for native mode.

 

 

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/ad/ad/nesting_in_mixed_mode.asp

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...