vertrauensstellung

[newbee2003 10]

Hallo Zusammen!

 

Ich habe folgendes Problem:

 

Ich habe letztens folgende Domäne aufgebaut:

 

Dc: unternehmen.de untergeortneter DC verwaltung.unternehmen.de so das unterordnen hat wunderbar geklappt. Mein Problem liegt in der Vertrauensstellung der beiden Domänen. Diese Vertrauen sich gegenseitig (ich glaube das nennt man bidirektional) d.h. einen Benutzer den ich der Domäne unternehmen.de erstellt habe kann sich auch bei der domäne verwaltung.unternehmen.de anmelden (dieser Effekt war gewünscht) so nun kann aber auch ein Benutzer der in der Domäne verwaltung.unternehmen.de erstellt wurde sich an der Domäne unternehmen.de anmelden diese Effekt sollte nicht sein. Wie bekommt man das weg ?

Als nächstes steht noch eine untergeordnete Domäne an versand.unternehmen.de wie sieht das hier mit den transitiven Vertrauensstellungen aus? Kann nachher ein Benutzer aus verwaltung.unternehmen.de sich an der Domäne versand.unternehmen.de anmelden ? ( die Domäne versand.unternehmen.de liegt in einem anderen Netz)

 

Danke für eure Hilfe

[dmetzger 10]

Du bist auch einer dieser Scherzbolde, die nicht einmal das Betriebssystem nennen, von dem sie schwatzen. Wahrscheinlich W2K3, oder?

 

In Active Directory kannst Du unter "Active Directory Domänen und Vertrauensstellungen" die Eigenschaften der Domäne konfigurieren. Dazu gehören, der Name sagt es, auch die Vertrauensstellungen.

[dmetzger 10]

Was mir noch einfällt: Was sind die guten Gründe für mehrere Domänen?

[newbee2003 10]

Auf die Idee wäre ich nicht gekommen!

 

Leider hat man keinen Zugriff auf die Eigenschaften der Vertrauensstellung.

 

Es ist übrigens win2000

[dmetzger 10]

Bevor wir an dieser Stelle fortfahren, würden mich doch die Gründe interessieren, weshalb Du mehrere Domänen einrichtest. Vieles liesse sich möglicherweise mit Organisationseinheiten (und Sites) der gleichen Domäne lösen.

[newbee2003 10]

Folgendes:

 

Wir haben zwei Bereiche, nennen wir diese Verwaltung und Entwicklung. Nun haben wir Benutzer die in beiden Bereichen aktive sein müssen. Allerdings ist einer der Bereiche sehr Sicherheitskritisch d.h. nicht alle Nutzer sollen Zugriff darauf haben. Sprich sollen eine andere Domäne haben. Somit hätte man das Problem der redundanten Kontoführung (wenn beide Domänen getrennt wären) Eine weiter Lösung wäre die beiden einzel Domänen über eine Vertrauensstellung zu verbinden. Hierbei treten aber Probleme bei der Authentifikation für die Internetnutzung auf. Ein weitere Teil (und gewünscht ) ist eine einheitliche Namensgebung (der Unternehmensstruktur) entsprechend. Ein weiterer Vorteil ist die Selbstverwaltung der einzelnen Bereiche selbst ein Administrator der root-Domäne kann nur nach freigabe Änderungen an den untergeordneten Domänen vornehmen. Noch ein Grund ist die Replikation. Bei untergeordneten Domänen weitaus weniger als z.b. einem zusätzlichen 2. DC Mein Problem ist nur die automatisch Eingerichtete transitiven Vertrauensstellung. Ich möchte nicht das sich Benuter aus der Verwaltung an der Root Domäne anmelden. Anders herum aber schon.

 

also bis dann und gute Nacht

[WSUSPraxis 48]

Bevor wir an dieser Stelle fortfahren, würden mich doch die Gründe interessieren, weshalb Du mehrere Domänen einrichtest. Vieles liesse sich möglicherweise mit Organisationseinheiten (und Sites) der gleichen Domäne lösen.

 

@newbee2003

 

Wie es dmetger schreibt geht es doch deutlich einfacher und an Sicherheit verlierts du dabei auch nix.

[dmetzger 10]

Wenn das Ziel die Isolierung oder teilweise Isolierung einer Domäne mit absolut getrennter Administration sein soll, ist das Anlegen mehrerer Domänen berechtigt.

 

Die Frage bleibt, ob mit OUs, Sicherheitsgruppen und NTFS-Berechtigungen nicht der gewünschte Effekt zu erzielen wäre.

 

Sollte das nicht gewünscht sein, komme ich zur nächsten Frage: Warum baust Du nicht eine "leere" Root-Domain mit zwei untergeordneten Domänen der gleichen Ebene für Verwaltung und Entwicklung?

[newbee2003 10]

Das Problem hierbei ist, dass sich die Benutzer trotzdem an der entsprechenden anderen Domäne authentifizieren können. Dieses soll aber unterbunden werden. Nur eine Gruppe, die in der Root Domäne soll sich an allen Domänen Authentifizieren können. Eigendlich eine ganz normale hirachische Strucktur alledings Haben untergeordnete Objekte genausoviel "Rechte" wie Mitglieder der Root Domäne. (Was ich erlich gesagt nicht verstehe) denn logisch wär das die Berechtigungen von oben nach unten abnehmen.

 

Also wenn noch jemand eine Idee hat ........

[dmetzger 10]

Die Eigenschaften von Vertrauensstellungen werden, wie schon erwähnt, in -> Active Directory-Domänen und -Vertrauenstellungen -> Eigenschaften -> Vetrauensstellungen festgelegt. Hier kannst Du aus einer bidirektionalen Vertrauensstellung eine unidirektionale machen oder sie vollständig entfernen. Allerdings funktioniert das nur für explizit eingerichtete Vertrauensstellungen, nicht für standardmässig eingerichtete transitive Vertrauensstellungen zwischen Domänen einer Gesamtstruktur. Deshalb hast Du auch keinen Zugriff.

 

Vielleicht noch zwei interessante Links:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/e36ceae6-ff36-4a1b-9895-75f0eacfe94c.mspx

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/517b4fa4-5266-419c-9791-6fb56fabb85e.mspx