moblong 10 Geschrieben 8. März 2005 Melden Teilen Geschrieben 8. März 2005 Hi, IST-Zustand: deutschland.lan bonn.deutschland.lan koeln.deutschland.lan Alle DomainController vertrauen sich transistiv. Die User sind in der entsprechenden Domäne angesiedelt. (z.B.: User in Bonn ist im DomianConrtoller in Bonn erstellt) Alle Gruppen für alle User der Gesamtstruktur sind in der Haubtdomäne deutschland.lan angesiedelt. Es wird ein URL-Filter eingesetzt, der mittels NTLM Singel Sign On realisiert. Der Rechner mit dem URL-Filter befindet sich in der HaubtDomäne deutschland.lan. Problem: Wenn mittels NTLM die Gruppen der User ausgelesen werden bekommt man für User in der Haubtdomäne alle Gruppen zurück. (Beispiel: Fibu, Vertrieb, Domänen-Benutzer) Für User aus SubDomänen bekommt man nur die Gruppe Domänen-Benutzer zurück. Hat hier jemand eine Lösung ? Gruß Maik Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 8. März 2005 Melden Teilen Geschrieben 8. März 2005 Hi und willkommen Also mit NTLM hat das IMHO nichts zu tun. Handelt es sich bei den Gruppen um Domänen lokale? Wenn ja, das ist die Erklärung, denn Domänen lokale Gruppen sind für andere Domänen nicht sichtbar. Gruss Velius Zitieren Link zu diesem Kommentar
moblong 10 Geschrieben 9. März 2005 Autor Melden Teilen Geschrieben 9. März 2005 Es werden dort Universele Gruppen genutzt. Gruß Maik Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 9. März 2005 Melden Teilen Geschrieben 9. März 2005 Irgendwelche Firewalls zwischen den Domänen? Zitieren Link zu diesem Kommentar
moblong 10 Geschrieben 9. März 2005 Autor Melden Teilen Geschrieben 9. März 2005 Nein keine Firewall. Ich habe gerade nocheinmal ein paar tests gemacht. Es werden Universelle Gruppen verwendet. Die Gruppen Objekte sind in der Haubtdomäne deutschland.lan für alle User angesiedelt. Die User Objekte sind in den jeweiligen subdomänen eingerichtet. Nur Universele Gruppen haben die Möglichkeit User aus anderen subDomänen mit aufzunehmen. Mit Sicherheitsgruppen geht dies nicht. Aber NTLM kennt anscheinend keine Univesellen Gruppen nur Sicherheitsgruppen. Dadurch werden die Gruppen nicht angzeigt. Gibt es eine Lösung das man auch in Sicherheitsgruppen user von subdomänen aufnehmen kann. Gruß Maik Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 9. März 2005 Melden Teilen Geschrieben 9. März 2005 Man vergiss doch einfach mal das NTLM, das hat mit Authentifizierung zu tun und findet vor dem Anmelden statt! ;) Das mit den unviversellen Gruppen und Domänen übergreiffende Verschachtelung ist klar. Das ist der Hauptgrund wieso es überhaupt universelle Gruppen gibt. Aber normalerweise müsstest du mindestens auch globale Gruppen sehen können. Domänen lokale können wie gesagt aus anderen Domänen nicht gesehen werden. Gruss Velius Zitieren Link zu diesem Kommentar
moblong 10 Geschrieben 9. März 2005 Autor Melden Teilen Geschrieben 9. März 2005 Ja, aber... es ist nicht aber nicht möglich in globale Gruppe der haubtdomäne user von subdomänen hinzu zufügen. Gruß Maik Zitieren Link zu diesem Kommentar
Ritchie 10 Geschrieben 9. März 2005 Melden Teilen Geschrieben 9. März 2005 Hallo Nur Universele Gruppen haben die Möglichkeit User aus anderen subDomänen mit aufzunehmen.Mit Sicherheitsgruppen geht dies nicht. Universelle Gruppen sind auch Sicherheitsgruppen. Einzig Verteilergruppen sind keine Sicherheitsgruppen. NTLM ist die Authentifizierung für Windows NT, für Windows 2000 und 2003 ist da Kerberos zuständig Gruss Ritchie Zitieren Link zu diesem Kommentar
moblong 10 Geschrieben 9. März 2005 Autor Melden Teilen Geschrieben 9. März 2005 Hallo Universelle Gruppen sind auch Sicherheitsgruppen. Einzig Verteilergruppen sind keine Sicherheitsgruppen. NTLM ist die Authentifizierung für Windows NT, für Windows 2000 und 2003 ist da Kerberos zuständig Gruss Ritchie Ja, aber es lässt sich keine Universelle Gruppe, als Sicherheitsgruppe erstellen nur als Verteilergruppe. Als Sicherheitsgruppe ist die Universelle Gruppe grau und nicht anklickbar. Gruß Maik Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 9. März 2005 Melden Teilen Geschrieben 9. März 2005 Dann bist du nicht im native Mode. Zitieren Link zu diesem Kommentar
moblong 10 Geschrieben 9. März 2005 Autor Melden Teilen Geschrieben 9. März 2005 Dann bist du nicht im native Mode. Ich bin im einheitlichem Mode. Wieso gibt es den im gemischten mode unterschieden in den Gruppen? Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 9. März 2005 Melden Teilen Geschrieben 9. März 2005 Nesting in Mixed ModeThis topic lists the restrictions of security groups in a mixed-mode domain. Security groups in a mixed-mode domain have the following restrictions: * Universal groups cannot be created in mixed-mode domains because the universal scope is supported only in Windows 2000 native-mode domains. * A global group can contain accounts from the same domain to which the group belongs. A global group cannot contain any universal groups, any global group, or an account from another domain. * A domain local group can contain global groups and accounts from any domain or forest. A domain local group cannot contain any other domain local group. Be aware that distribution groups can be nested according to the nesting rules for native mode. http://msdn.microsoft.com/library/default.asp?url=/library/en-us/ad/ad/nesting_in_mixed_mode.asp Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.