surfcontrol 10 Geschrieben 27. Juni 2005 Melden Teilen Geschrieben 27. Juni 2005 Hi, ich glaube ich habe da ein gewaltiges problem mit den Begriffen und suche micht zutode im Netz und finde nirgends eine beschreibung, mit der ich etwas anfangen kann. Meine frage: Ich habe eine Domäne firma1.local installiert Ich habe eine zweite Domäne firma2.local installiert Die beiden Domänen habe ich über eine Vertrauensstellung (nicht transitiv) eingerichtet. Alles auf Windows 2003 Standard Server Die steht auch, aber jetzt mein Verständnisproblem: ich möchte mich an meinem PC mit der Benutzerkennung Benutzer1@firma1 anmelden. Das gleiche möchte ich auch auf der anderen Domäne mit Benutzer1@firma2 machen. Die Auswahl für beide Domänen erhalte ich ja, wenn ich mich mit Alt+Strg anmelden möchte. An der Domäne firma1 geht das, weil ich da ja schon in Active Directory angelegt bin. Bei firma2 jedoch nicht. Das geht aber nicht, weil die Fehlermeldung kommt, dass der Benutzer nicht anglegt sei. ich kann aber auf die laufwerke zugreifen denen ich berechtigungen erteilt habe. ABer eine Anmeldung geht nicht. Habe ich da etwas falsch verstanden? Es wird doch gesagt, dass ich durch den Golbalen Katalog dann über Kerberos weiter gereicht werde usw... Wer kann mir den Durchblick verschaffen? surfcontrol Zitieren Link zu diesem Kommentar
Melmak69 10 Geschrieben 27. Juni 2005 Melden Teilen Geschrieben 27. Juni 2005 Ich habe eine Domäne firma1.local installiert Ich habe eine zweite Domäne firma2.local installiert Die beiden Domänen habe ich über eine Vertrauensstellung (nicht transitiv) eingerichtet. Alles auf Windows 2003 Standard Server Hi, Schau mal unter Eigenschaften in AD-Vertrausenstellung. Dort liest man folgendes: Diese Vertrauensstellung ist nicht transitiv. Nur Benutzer der direkt vertrauenswürdigen Domäne können sich in der vertrauenden Domäne authentifizieren. OK Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 27. Juni 2005 Melden Teilen Geschrieben 27. Juni 2005 Verstehe ich das richtig, dass du beide Domains in getrennte Gesamtstrukturen eingerichtet hast und dann Trusts von firma1 nach firma2 eingerichtet hast? Hast Du auch einen Trust von Firma2 nach Firma1 eingerichtet? Oder gleich als beidseitigen Trust? Wenn ja, hast du evtl. selektive Authentifizierung gewählt? Und der Benutzer1 ist ja wohl nur in Firma1 eingerichtet, also kannst du dich mit benutzer1@firma1 an einem rechner der domain firma2 anmelden. Benutzer1@firma2 wäre ein anderes userkonto. Christoph Zitieren Link zu diesem Kommentar
surfcontrol 10 Geschrieben 27. Juni 2005 Autor Melden Teilen Geschrieben 27. Juni 2005 Hi christoph, ja so ist es. Es sind getrennt Strukturen. Der Trust ist auch vom anderen Gerät aus eingerichtet. Zuvor hatte ich es auch mit einer transitiven Vertrausensstellung versucht (ich bastle noch etwas). Da hat die Anmeldung aber euch nicht geklappt. surfcontrol Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 27. Juni 2005 Melden Teilen Geschrieben 27. Juni 2005 Hast du mal versucht, was ich in meinem Nachtrag geschrieben habe? Btw. hast du wirklich einen AD-Namen ohne Punkt gewählt? Gibt Probleme. Hier im Board gibts dazu schon den einen oder anderen Thread. Christoph Zitieren Link zu diesem Kommentar
surfcontrol 10 Geschrieben 27. Juni 2005 Autor Melden Teilen Geschrieben 27. Juni 2005 Hi christoph, die Domäne 1 lautet firma1.local, also mit Punkt. Dort bin ich als Benutzer angelegt. Wenn ich es jetzt verstanden habe, so kann ich micht mit diesem Konto (wenn die Domänenauswahl hochklappt) bei der firma2.local anmelden? Aber gerade das klappt nicht. Übrigens habe ich inzwischen die Vertrauensstellung auf transitiv gestellt aber ohne Änderungen der Problematik. surfcontrol Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 27. Juni 2005 Melden Teilen Geschrieben 27. Juni 2005 Du mußt an einem Rechner, der der Domäne firma2.local angehört im Login Fenster eingeben: User: benutzer1 Pw: dein pw Domäne: firma1 oder: benutzer1@firma1.local und dein passwort wenn das nicht klappt, stimmt noch irgendwas mit dem Trust nicht. Christoph Zitieren Link zu diesem Kommentar
surfcontrol 10 Geschrieben 27. Juni 2005 Autor Melden Teilen Geschrieben 27. Juni 2005 Hi christoph, jetzt sieht die SAche schon anders aus. Leider habe ich bisher die 2 PC nur in der Domäne 1 Registriert. Jetzt müsste ich - deiner meinung nach - einen davon an der Domäne 2 registrieren und dann könnte ich die Anmeldung durchführen? Also das werde ich probieren. Die Anmeldung firma1@firma1.local die geht ja. Ich habe die Artikel die mir vorliegen noch einmal genau studiert. So steht das nirgends beschrieben. Kein Wunder wenn man verzweifelt und nciht mehr weiter kommt. Vielen Dank schon mal. surfcontrol Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 27. Juni 2005 Melden Teilen Geschrieben 27. Juni 2005 Naja, du könntest versuchen dem Benutzer1 auch am DC der Domain2 das Recht zu geben, sich dort lokal anzumelden. Ist aber nur für Testumgebungen sinnvoll. Ansonsten: du mußt natürlich einen Rechner haben, der in der Domain firma2 steht, damit du das vernünftig testen kannst. Christoph Zitieren Link zu diesem Kommentar
surfcontrol 10 Geschrieben 27. Juni 2005 Autor Melden Teilen Geschrieben 27. Juni 2005 Hi christoph, du hast geschrieben: du könntest versuchen dem Benutzer1 auch am DC der Domain2 das Recht zu geben, sich dort lokal anzumelden. Ist aber nur für Testumgebungen sinnvoll. Wie würde das gehen, wenn ich dort nicht an der domäne registriert bin oder habe ich wieder etwas falsches verstanden? Ich kann ja meinen Benutzer 1 da gar nicht auswählen. surfcontrol Zitieren Link zu diesem Kommentar
herakles99 10 Geschrieben 27. Juni 2005 Melden Teilen Geschrieben 27. Juni 2005 Hallo zusammen, ich bin ja überwiegend in Sachen Novell unterwegs. Hier kann ich in der Netware NDS mehrere Bäume zusammenführen und mich dann jederzeit an einem x-beliebigen Server anmelden. Das sollte doch auch da so funktionieren. Waren nicht die Entwickler der AD von Novell gekommen. Falls ich mich täusche nehme ich gerne etwas Belehrung entgegen. Gruß herakles99 Zitieren Link zu diesem Kommentar
dippas 10 Geschrieben 27. Juni 2005 Melden Teilen Geschrieben 27. Juni 2005 Hallo Leute, entweder kann ich nicht mehr richtig lesen, oder ihr denkt zu speziell: Eine Vertrauensstellung von Domänen dient unter anderem dazu, das es den jeweiligen Benutzern der "eigenen" (Heim-) Domäne möglich ist, auf Resourcen der anderen Domäne (Drucker, Fileshares etc.) zugreifen kann. Nehmen wir jetzt mal Herrn Meier, mittleres Alter, verheiratet, 2 Kinder, Benutzername: meier (alle Namen von Redaktion geändert ;-) arbeitet bei der Firma Müller. Die Domäne der Firma Müller (firma1.local) hat eine Vertrauensstellung zur Firma Schulze (firma2.local). Jedem wird einleuchten, dass sich Herr Meier mit seinem Kennwort an der eigenen Domäne (Fa. Müller) anmelden kann. Auch wird jedem klar sein, dass Herr Meier bei der Fa. Schulze KEIN Benutzkonto hat, oder? Er arbeitet da ja nicht. Das ist der Grund, warum benutzername@firma2.local nach Deinem Beispiel nicht klappt. Aufgrund der Vertrauenstellung ist unser Herr Meier (als externer Mitarbeiter sagen wir mal) aber durchaus dazu in der Lage sich ÜBER die Hardware der Domäne von Firma Schulze an SEINER Heimdomäne Fa. Müller anzumelden. Gleichzeitig kann er den Netzwerkdrucker von Schulze benutzen. Um noch mehr Verwirrung zu stiften: Bei Firma Schulze gibt es die Frau Meier: Jung, :D attraktiv, :D ledig, :D Benutzername: meier Jetzt soll mir mal einer Erklären, ob es einen Unterschied zwischen Herrn und Frau Meier gibt. Trotz gleicher Benutzernamen sind die Benutzer nicht gleich, da Sie aus anderen Domänen mit anderen SIDs kommen. Deshalb kann man sich auch nicht als (Herr) "meier" von Fa. Müller mit seinem Passwort an der Domäne Schulze anmelden. Da würde vielleicht ne OP helfen, die aus Herrn Meier die Frau Meier macht. Davon würde ich aber abraten, denn das Ergebnis kann nicht besser werden als die original Frau Meier ;-) grüße dippas Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 27. Juni 2005 Melden Teilen Geschrieben 27. Juni 2005 Jetzt müsste ich - deiner meinung nach - einen davon an der Domäne 2 registrieren und dann könnte ich die Anmeldung durchführen? Hallo, ein Client(Rechner) kann nur einer Domäne angehören, er kann nur von einer Domäne bei Anlegen des Computerkontos die SID(Computerkonto, nicht lokale SID) erhalten. Vertrauensstellungen zwischen Domänen betreffen die Computer, nicht die Benutzer. Lege den Benutzer auch in der zweiten Domäne an! Gruß Edgar Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 27. Juni 2005 Melden Teilen Geschrieben 27. Juni 2005 Hi christoph, du hast geschrieben: du könntest versuchen dem Benutzer1 auch am DC der Domain2 das Recht zu geben, sich dort lokal anzumelden. Ist aber nur für Testumgebungen sinnvoll. Wie würde das gehen, wenn ich dort nicht an der domäne registriert bin oder habe ich wieder etwas falsches verstanden? Ich kann ja meinen Benutzer 1 da gar nicht auswählen. surfcontrol Doch, wenn Du die Vertrauensstellung eingerichtet hast, muß das gehen. Du mußt nur im Dialog, wo du den User oder (im produktiven Umfeld besser) die Gruppe auswählst, vorher festlegen, aus welchem Verzeichnis er die Konten anzeigen soll. @Dippas: sehr anschauliches Beispiel :D Christoph Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 27. Juni 2005 Melden Teilen Geschrieben 27. Juni 2005 @lefg: Das kann man natürlich machen, aber wozu brauche ich dann die Vertrauensstellung?! Sinn und Zweck ist doch, dass ein User aus firma1 sich über Rechner von firma1 und auch über Rechner der Domain firma2 an firma1 anmelden kann und Zugriffsrechte auf Ressourcen in Firma1 und Firma2 bekommt, oder habe ich das jetzt irgendwie falsch verstanden Christoph Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.