Jump to content

Benutzerreplizierung mittels AD?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Ich möchte für eine Schule ein verknüpfendes Netzwerk aufbauen, da es dort nur gewisse einzelne Netzwerke gibt und jeder Schüler jeweils pro Netz andere Benutzereinstellungen und Passwörter hat und auch auf seine Daten nicht global zugreifen kann.

Ich habe mir nun eine Testumgebung aufgebaut, um ein funktionierendes System nachzubauen.

Ich möchte erreichen, dass alle schüler auf einen gemeinsamen fileserver zugreifen und immer den gleichen LOGIN haben, allerdings nicht in jedem Raum die gleichen Berechtigungen! (alles unter Win2k)

 

Ich habe zu anfangs versucht, einen DC zu erstellen und mehrere Unterdomänen daranzuhängen, sodass sich jeder Schüler im jeweiligen System immer an der dazu passenden Unterdomäne anmelden muß, und so verschiedene Zugriffsrechte vom Unterdomänencontroller zugewiesen bekommt > allerdings habe ich es nicht geschafft, eine Replizierung der einzelnen User zwischen den Unterdomänen zu erreichen.

Meine Idee war, beispielsweise am Hauptdomänencontroller einen User anzulegen, ihn mit einer Gruppe (z.B.: Schüler) zu verknüpfen), und dann in alle Systeme replizieren zu lassen mittels Acitve Direcotry, wobei die Gruppe Schüler dann in jeder Unterdomäne andere Rechte enthält; der erstellte User jedoch immer die gleichen Zugangsdaten hat, allerdings immer unterdomänenabhängige Berechtigungen.

 

Allerdings habe ich es nicht zusammenbekommen, Benutzer zu replizieren und sozusagen universelle Gruppen anzulegen :( Mir ist durch Tests auch nicht die wahre sinnhaftigkeit von Unterdomänen klar geworden, da mir Vorteile, die ich dachte, welche sie mit sich bringen würden, bisher noch verborgen geblieben sind.

 

Habe dann noch versucht, mittels Gruppenrichtlinien zum Ziel zu kommen, allerdings war ich da auch erfolglos!

 

Nun meine Frage, ob jemand vielleicht zu einer Lösung meines Problemes beitragen könnte? Vielleicht ein Zusatztool, welches die Erfordernisse erfüllen könnte, vielleicht ein generell anderes Konzept, oder einen Hinweis, welchen Fehler ich in meiner Testreihe gemacht haben könnte??

 

Ich erbitte um Hilfe

 

MfG

Ronald

Link zu diesem Kommentar
  • 3 Wochen später...

Hallo Roland,

 

ich habe einmal versucht deinen Gedankengängen zu folgen, was mir total schwer gefallen ist. Aus diesem Grund bitte ich dich, mir folgende Fragen zu beantworten:

 

- wie viele Server gibt es in der Schulumgebung und welcher

davon ist ein DC?

- haben die einzelnen Benutzer schon ein festes Profil auf dem

Server?

- auf welchen Servern liegen die andere Domänen und wie sind

diese Server mit dem GC - Verbunden?

 

Da dies ein sehr komplexes Thema ist, bitte ich dich mir möglichst viele Informationen oder evt. auch Skripte an die Hand zu geben.

 

cue

 

Maik

Link zu diesem Kommentar

Nun in der Schulumgebung gibt es momentan 5 einzelne Netze mit jeweils einem Server.

Da es momentan noch einzelne, unabhängige Netze sind, ist jeder von ihnen ein DC.

3 dieser Netze sind für Schüleranwendungen konzipiert, daher gibt es auf diesen Servern auch jeweils Benutzerprofile der Schüler; in den anderen nur Benutzerprofile der Lehrer und Admins

 

Aber das momentan bestehende Konzept soll verworfen werden und alle Netze sozusagen unter einem Hut gebracht werden; wenn möglich mit einer zentralen Verwaltung, sodass ich Benutzerprofile nur einmal einzugeben habe. Ich wollte hierbei dass System von Unterdomänen (die die momentan vorhandenen Netze darstellen) anwenden, die unter einer Hauptdomäne (= zentraler DC mit DNS) zusammengefasst werden und wollte erreichen, dass zB.: ein neu angelegtes Profil eines Schülers im CAD-Saal auch in der Bücherei vorhanden ist, (also dass einzelne Profile dann in den Unterdomänen sozusagen ausgetauscht werden), aber der Schüler in der Bücherei andere Berechtigungen erhält als im CAD-Saal, was beispielsweise seine Verzeichnisse, den Internetzugang etc. betrifft.

 

Ich dachte mir, es wäre zB. möglich, einen Schüler als Profil anzulegen und so zu konfigurieren, dass er der Gruppe Schüler angehört. Dieser Benutzer wird dann in jede vorhandene Unterdomäne repliziert; aber jede Unterdomäne soll ihre eigene Gruppe Schüler mit spezifischen Berechtigungen haben, die dann jeweils angewandt werden, wenn der Schüler sich im jeweiligen Netz anmeldet.

 

Es ist leider nicht so leicht, das ganze in Worte zu fassen, ich hoffe, es war jetzt ein wenig verständlicher.

Skripten zu dem ganzen gibt es leider nicht, da ich wie gesagt dass ganze ja erst planen sollte. Das Thema ist wirklich relativ komplex; beisher konnte mir leider keiner noch weiterhelfen, einem Gerücht zufolge soll mein Problem nicht lösbar sein, erst ab Win2003 Server, aber ich wäre sehr froh, wenn man hier vielleicht eine Lösung parat hat (wenn auch vielleicht auf einem anderen Weg)

 

MfG

Ronald

Link zu diesem Kommentar

Was hälst du davon, anstatt mit mehreren Domänen mit mehreren Standorten zu arbeiten und für die Standorte entsprechende GPO's zu erstellen und verteilen? Damit erhält jeder User sein Profil, in welchem Netz er sich auch anmeldet. Und über die Standortrichtlinien kannst du unterschiedliche Einstellungen verteilen. Nachteil dieser Konfiguration ist, dass du mehrere Subnetze implementieren mußt. Dafür könnte die Zahl der DCs reduziert werden, da es keine langsame WAN-Verbindungen zwischen den einzelnen Netzen geben wird muß nicht in jedem Netz ein DC stehen.

 

Die Anforderung der unterschiedlichen Verzeichnisberechtigungen je nach Ort der Anmeldung wirst IMHO auf diese Art auch nicht erfüllen können. Ich frage mich, ob das überhaupt gelöst werden kann, da es letzendlich bedeuten würde, dass ein User bei der Anmeldung automatisch einer Gruppe zugewiesen werden müsste. Als einzigsten Workaround zur Lösung dieser Anforderung fällt mir momentan nur die Verwendung von unterschiedlichen Freigaben mit unterschiedlichen Berechtigungen ein, um auf die Daten zuzugreifen. Die Netzlaufwerke kannst du mit einem Logon-Skript in der jeweiligen Standort-GP mit der Freigabe mit den gewünschten Berechtigungen verbinden.

 

klaus

Link zu diesem Kommentar

Hallo nochmal,

 

ich denke das es das beste sein wird, wenn Ronald den Weg der verschiedenen Domänen geht und die Berechtigungen jeweils auf den entsprechenden DC´s vergibt. Das ist zwar ein gewisses mehr an Zeitaufwand, bringt aber auch eine gewisse Sicherheit mit sich. Wenn z.B. bei der Gestaltung einer einzigen Domäne für alle Bereiche das Netzwerk mal die Krätsche macht, kann keiner mehr was arbeiten. Bei verschiedenen Netzen mit verschiedenen DC´s, ist die Verfügbarkeit wesentlich höher. Mit einer Remotedesktopverbindung und mit der MMC, kann Ronald sich von seinem Arbeitsplatz aus in jede Domäne einklincken und diese Verwalten. Theoretisch brauch er zu Verwaltungszwecken seinen PC nicht zu verlassen (auch ohne Zusatztools).

 

Als Tip würde ich noch mal jemanden Fragen, der solche Schulungsbereiche regelmäßig einrichtet. Ich war jetzt mal bei NTC (Network Training Consulting). Dort gibt es auch ca. 10 - 20 Schulungsräume je Niederlassung in Deutschland. Dennoch wird die komplette Administration von Siegen aus gemacht. Vielleicht kann Ronald hier mal Kontakt aufnehmen und nachfragen, wie solche Umgebungen aufgebaut sind.

 

Viel Erfolg

 

cue

 

Maik

Link zu diesem Kommentar

Vielen Dank jedenfalls mal für eure Anregungen. Habe das Ganze auch schon mit verschiedenen Standorten getestet, aber wirklich befriedigend war es nicht gerade :( So wie Maik schon gesagt hat, die Domänenstruktur selbst möchte ich nicht ganz aufgeben.

 

Habe mich jetzt schon viele Stunden mit meinem Problem gequält, aber ich fürchte auch fast, genauso, wie ich mir das vorstelle, ist es nicht wirklich zu lösen. Das Zuweisen spezifischer Gruppen einer Unterdomäne zu replizierenden Profilen dürfte nicht so ganz realisierbar sein :(

Bin gespannt, ob Win2003 Server in dieser Hinsicht vielleicht Erleichterungen oder Möglichkeiten schaffen sollte.

Falls vielleicht jemand noch einen Hinweis zu meinem Problem hat, wäre ich sehr verbunden.

 

MfG

Ronald

Link zu diesem Kommentar

Hallo,

 

ob die verschiedenen Domänenstrukturen das Problem lösen können, weiß ich nicht.

 

Aber je nachdem, was gemacht werden soll, kann im login-script der ComputerName abgefragt werden und entsprechend verzweigt werden, (man könnte dazu auch eine Neue Variable 'STANDORT' benutzen - wir machen das mit unseren Druckermappings so und rufen ein script auf, das %STANDORT%.cmd heißt.).

Auch über Computer in verschiedenen OU kann einiges gesteuert werden.

 

Grutschmööhh

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...