Jump to content

Domänenlokaler Gruppe nicht verfügbar (AGDLP)

lubiker

Von lubiker
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

lubiker Explorer

lubiker   10

Geschrieben
Geschrieben

Geschätzte Experten

 

Ich blicke bei den Gruppenverschachtelungen nicht mehr durch. Und zwar habe ich zwei W2K3 Server als DC's in einer gemischter Domäne (Mixed Mode), da noch eNTe Rechner rum stehen. Der Fileserver ist ein eigenständiger W2K3 Server.

 

Bis anhin wurde die Domänenlokale Gruppe nicht verwendet. Also anstatt nach der Regel AGDLP nur mit AGP gearbeitet (Account/Global/Permission). Da nun jedoch Gruppen ineinander Verschachtelt werden sollten wollte ich dies wie von Microsoft vorgesehen umsetzen.

 

Folgendermassen bin ich dabei vorgegangen:

 

- Testuser erstellt

- Globale Gruppe G_Test auf dem DC erstellt

- Testuser zu G_Test hinzugefügt

- Domänen Lokale Gruppe DL_Test auf dem DC erstellt

- G_Test zur Gruppe DL_Test hinzugefügt

 

Wenn ich nun auf dem Fileserver einer Recource die Gruppe DL_Test hinzufügen will, wird mir diese einfach nicht aufgelistet. Die Gruppe G_Test sehe ich jedoch. Mache ich dasselbe auf Recourcen der DC's, dann wird mir auch die Gruppe DL_Test aufgeführt (angemeldet als Domänenadministrator auf dem Fileserver wie auch von einem Client aus mit Admin Rechten).

 

Darauf dachte ich, es kann doch nicht sein, dass die Gruppe DL_Test nicht auf dem DC sondern auf dem Fileserver erstellt werden sollte (heisst ja schliesslich Domänen Lokal und nicht blos Lokal). Zum wirklich sicher sein erstelle ich dann dennoch auch auf dem Fileserver eine Gruppe L_Test. Doch auch diese wird mir bei Recourcenverwaltung auf dem Fileserver nicht angezeigt (angemeldet als Domänenadministrator auf dem Fileserver wie auch von einem Client aus).

 

Ist es nicht so, dass einfach auf einem DC die Teile AGDL erstellt werden können um danach auf dem Fileserver (entweder direkt am Fileserver angemeldet wie auch mit Admin Rechten von einem Client aus) die P's vergeben werden können?

 

Weshalb geht das bei mir nicht? Der Unterschied zur Einheitlichen Domäne (Native Mode) ist doch hauptsächlich die Möglichkeit der Universellen Gruppen wie auch das teilweise zusätzlich ermöglichte Verschachteln von Gruppen ineinander und nicht etwa ein Unterschied zur Grundlage AGDLP? Kann mir da jemand weiterhelfen? Ich wäre sehr dankbar.

 

Liebe Grüsse

 

 

lubiker

Link zu diesem Kommentar
Christoph35 Veteran

Christoph35   10

Geschrieben
Geschrieben

Hallo, und willkommen on Board!

 

Ich blicke bei den Gruppenverschachtelungen nicht mehr durch. Und zwar habe ich zwei W2K3 Server als DC's in einer gemischter Domäne (Mixed Mode), da noch eNTe Rechner rum stehen. Der Fileserver ist ein eigenständiger W2K3 Server.

 

1. File Server eigenständig heißt, nicht Mitglied der Domain, verstehe ich das richtig?

2. Sind unter den NT Rechnern auch DCs? Wenn nciht, kannst du den Domain Level umstellen.

 

Wenn ich nun auf dem Fileserver einer Recource die Gruppe DL_Test hinzufügen will, wird mir diese einfach nicht aufgelistet. Die Gruppe G_Test sehe ich jedoch. Mache ich dasselbe auf Recourcen der DC's, dann wird mir auch die Gruppe DL_Test aufgeführt (angemeldet als Domänenadministrator auf dem Fileserver wie auch von einem Client aus mit Admin Rechten).

 

Wenn ich mit meiner Vermutung recht habe, ist das logisch. Denn die Domain Local Group kann nur auf Domain-angehörigen Rechnern verwendet werden.

Domain local heißt, dass Berechtigungen für diese Gruppe nur innerhalb der Domain vergeben werden können, ihr können jedoch Mitglieder aus allen Domains eines Forests angehören.

 

/edit: bei Globalen Gruppen verhält es sich umgekehrt, du kannst sie überall verwenden, sie können aber nur Mitglieder aus der Domain haben.

 

 

Gruß

 

Christoph

Link zu diesem Kommentar
IThome Grand Master

IThome   10

Geschrieben
Geschrieben

Hab das mal nachgestellt, 1 * 2003 DC, Domäne im gemischten Modus, 1 * 2003 Server Member. Auf dem DC habe ich eine domänenlokale Sicherheitsgruppe TestDL und eine globale Sicherheitsgruppe TestGL erstellt. Ich kann auf dem Member nur die TestGL-Gruppe auswählen. Hebe ich die Domänenfunktionsebene auf Windows 2000 pur an, kann ich auf dem Member auch die TestDL-Gruppe anwählen.

Unter NT 4 war es so, dass die Lokalen Domänengruppen nur auf den DCs verfügbar waren, genauso kann ich im Windows 2003 Gemischt Modus (der ja auch noch NT4 BDCs unterstützt) diese Gruppen nur auf den DCs sehen und benutzen.

Dass die lokal auf dem Fileserver angelegte Gruppe nicht angezeigt, kann ich mir nur so erklären, dass Du den Suchpfad nicht angepasst hast ...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...