rechtevergabe zwischen zwei vertrauenden domänen

[Wisi 12]

zwei domänen, die in vertrauensstellung zueinander sind. modus: windows 2000 pur, beides windows 2003 server

 

 

admin in domäne1 soll auch auf domäne2 administrative tasks ausführen können.

 

wie würdet ihr das problem lösen (hat sich bisher für uns nie gestellt...).

 

ist es am sinnvollsten auf der 2. domäne auch wieder ein administratives konto für die tasks anzulegen oder gibt es eine schönere möglichkeit?

[grizzly999 11]

Welche administrativen Aufgaben und wo?

 

 

grizzly999

[Wisi 12]

er soll die zweite domäne komplett verwalten können, genauso wie er es bei ersterer auch kann. also im zweifelsfall die rechte des domänen-admins.

 

inwiefern meinst du wo? das bisherige admin konto existiert in domäne1 und daher die frage, ob man irgendwie sinnvoll die rechte zuteilen kann (nicht für jeden dienst etc. einzeln), oder ob man auf domäne2 ein neues benutzerkonto mit eben den rechten anlegen sollte.

[grizzly999 11]

Die einzig sinnvolle Weg ist, der Admin bekommt einen zweiten Domänen-Admin Account in der vertrauenden Domäne. Da es sich offensichtlich um einen externen Trust handelt, könnte man auch hergehen und den Domänen-Admin in der vertrauenden Domäne mit gleichem Namen und Kennwort versehen wie in der vertrauten Domäne. Wegen der NTLM-Authentifizierung müsste er dann nicht einmal Benutzernamen und Kennwort bei der Administration angeben.

Im Sinne der Sicherheit ist das aber nicht, da wären zwei Accounts mit unterschiedlichen Kennwörtern dringend empfohlen.

 

 

grizzly999

[Wisi 12]

oki, habe ich fast vermutet, bedanke mich für die bestätigung

 

das mit den passwörtern und der sicherheit ist klar, aber nicht immer siegt die sicherheit vor bequemlichkeit ;) ich versuche derzeit schon hier ein bisschen sensibilität dafür zu schaffen.

 

demnächst werden unsere mitarbeiter sich auch mal auf komplexe passwörter einstellen dürfen, das wird auch ein heidenspaß :)