Jump to content

vertrauensstellung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Zusammen!

 

Ich habe folgendes Problem:

 

Ich habe letztens folgende Domäne aufgebaut:

 

Dc: unternehmen.de untergeortneter DC verwaltung.unternehmen.de so das unterordnen hat wunderbar geklappt. Mein Problem liegt in der Vertrauensstellung der beiden Domänen. Diese Vertrauen sich gegenseitig (ich glaube das nennt man bidirektional) d.h. einen Benutzer den ich der Domäne unternehmen.de erstellt habe kann sich auch bei der domäne verwaltung.unternehmen.de anmelden (dieser Effekt war gewünscht) so nun kann aber auch ein Benutzer der in der Domäne verwaltung.unternehmen.de erstellt wurde sich an der Domäne unternehmen.de anmelden diese Effekt sollte nicht sein. Wie bekommt man das weg ?

Als nächstes steht noch eine untergeordnete Domäne an versand.unternehmen.de wie sieht das hier mit den transitiven Vertrauensstellungen aus? Kann nachher ein Benutzer aus verwaltung.unternehmen.de sich an der Domäne versand.unternehmen.de anmelden ? ( die Domäne versand.unternehmen.de liegt in einem anderen Netz)

 

Danke für eure Hilfe

Link zu diesem Kommentar

Folgendes:

 

Wir haben zwei Bereiche, nennen wir diese Verwaltung und Entwicklung. Nun haben wir Benutzer die in beiden Bereichen aktive sein müssen. Allerdings ist einer der Bereiche sehr Sicherheitskritisch d.h. nicht alle Nutzer sollen Zugriff darauf haben. Sprich sollen eine andere Domäne haben. Somit hätte man das Problem der redundanten Kontoführung (wenn beide Domänen getrennt wären) Eine weiter Lösung wäre die beiden einzel Domänen über eine Vertrauensstellung zu verbinden. Hierbei treten aber Probleme bei der Authentifikation für die Internetnutzung auf. Ein weitere Teil (und gewünscht ) ist eine einheitliche Namensgebung (der Unternehmensstruktur) entsprechend. Ein weiterer Vorteil ist die Selbstverwaltung der einzelnen Bereiche selbst ein Administrator der root-Domäne kann nur nach freigabe Änderungen an den untergeordneten Domänen vornehmen. Noch ein Grund ist die Replikation. Bei untergeordneten Domänen weitaus weniger als z.b. einem zusätzlichen 2. DC Mein Problem ist nur die automatisch Eingerichtete transitiven Vertrauensstellung. Ich möchte nicht das sich Benuter aus der Verwaltung an der Root Domäne anmelden. Anders herum aber schon.

 

also bis dann und gute Nacht

Link zu diesem Kommentar
Bevor wir an dieser Stelle fortfahren, würden mich doch die Gründe interessieren, weshalb Du mehrere Domänen einrichtest. Vieles liesse sich möglicherweise mit Organisationseinheiten (und Sites) der gleichen Domäne lösen.

 

@newbee2003

 

Wie es dmetger schreibt geht es doch deutlich einfacher und an Sicherheit verlierts du dabei auch nix.

Link zu diesem Kommentar

Wenn das Ziel die Isolierung oder teilweise Isolierung einer Domäne mit absolut getrennter Administration sein soll, ist das Anlegen mehrerer Domänen berechtigt.

 

Die Frage bleibt, ob mit OUs, Sicherheitsgruppen und NTFS-Berechtigungen nicht der gewünschte Effekt zu erzielen wäre.

 

Sollte das nicht gewünscht sein, komme ich zur nächsten Frage: Warum baust Du nicht eine "leere" Root-Domain mit zwei untergeordneten Domänen der gleichen Ebene für Verwaltung und Entwicklung?

Link zu diesem Kommentar

Das Problem hierbei ist, dass sich die Benutzer trotzdem an der entsprechenden anderen Domäne authentifizieren können. Dieses soll aber unterbunden werden. Nur eine Gruppe, die in der Root Domäne soll sich an allen Domänen Authentifizieren können. Eigendlich eine ganz normale hirachische Strucktur alledings Haben untergeordnete Objekte genausoviel "Rechte" wie Mitglieder der Root Domäne. (Was ich erlich gesagt nicht verstehe) denn logisch wär das die Berechtigungen von oben nach unten abnehmen.

 

Also wenn noch jemand eine Idee hat ........

Link zu diesem Kommentar

Die Eigenschaften von Vertrauensstellungen werden, wie schon erwähnt, in -> Active Directory-Domänen und -Vertrauenstellungen -> Eigenschaften -> Vetrauensstellungen festgelegt. Hier kannst Du aus einer bidirektionalen Vertrauensstellung eine unidirektionale machen oder sie vollständig entfernen. Allerdings funktioniert das nur für explizit eingerichtete Vertrauensstellungen, nicht für standardmässig eingerichtete transitive Vertrauensstellungen zwischen Domänen einer Gesamtstruktur. Deshalb hast Du auch keinen Zugriff.

 

Vielleicht noch zwei interessante Links:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/e36ceae6-ff36-4a1b-9895-75f0eacfe94c.mspx

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/517b4fa4-5266-419c-9791-6fb56fabb85e.mspx

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...