none
Administrator von Domäne A kann sich nicht auf Domänenkontroller von Domäne B anmelden

    Frage

  • Hallo Leute,

    ich stelle hier nun das erste Mal eine Frage. Bis jetzt habe ich es immer geschafft alles aus bereits vorhanden Themen herauszulesen. Nur hier komme ich nicht weiter.

    Ich habe folgendes Problem:

    Ich habe einen Forest namens hammerlm.com und zwei Domänen, die darin enthalten sind:

    hammerlm.com und knappt.com

    Logischerweise ist hammerlm.com die Rootdomäne und es besteht ein Transitive, two way, trust zwischen diesen beiden Domänen. (die eigentlich eigenständige Domänenbäume sind)

    Jetzt kommt das Erstaunliche: 

    Ich will mich mit dem Administratoraccount von Domäne hammerlm.com auf dem Domänencontroller von Domäne knappt.com anmelden. -> Resultat: Es geht

    ABER: Wenn ich mich mit dem Administratoraccount von Domäne knappt.com auf dem Domänencontroller von Domäne hammerlm.com anmelden will (Domänencontroller der Rootdomäne), dann kommt eine Meldung, dass dies eine unzulässige Anmeldemethode ist.

    Aber eines vorweg: Ihr seid eine super Community!!

    Donnerstag, 13. Februar 2014 19:28

Antworten

  • Hallo

    Kann es sein das der Domain Admin von hammerlm.com Enterprise Admin ist und darum Zurgiff auf die Domain knappt.com hat? Haben die beiden Domain Admins die gleichen Berechtigungen?

    Was aus Deiner Anfrage nicht ganz klar ist. Meldest Du Dich einfach von Domain A nach B und oder von B nach A von einem Client aus oder meldest Du Dich von Domain A auf einen DC von Domain B und umgekehrt an?

    Falls Du Dich an einem DC in einer anderen Domain anmelden möchtest muss dies auch berechtigt werden. Domain Admins haben jeweils nur in Ihrer "eigenen" Domain "Domain Admin" Rechte.

    Gruss Dani 

    Freitag, 14. Februar 2014 07:09

Alle Antworten

  • Ahh, eine kleine Info noch dazu:

    Jetzt habe ich es einmal anders probiert:

    Ich habe meinen virtuellen Windows 7 Client von Domain hammerlm.com hochgefahren und von dort aus versucht mich mit dem Administratoraccount von der Domäne knappt.com anzumelden. Das hat funktioniert.

    Jetzt kann man die Fehlersuche zumindest einmal darauf versuchen einzuschränken, dass es eventuell GPO-Einstellungen sind, die den Domänenkontroller von der Domäne hammerlm.com betreffen.

    Ich schau dann mal da nach und sag euch, ob das das Problem war.

    Donnerstag, 13. Februar 2014 20:50
  • Hallo

    Kann es sein das der Domain Admin von hammerlm.com Enterprise Admin ist und darum Zurgiff auf die Domain knappt.com hat? Haben die beiden Domain Admins die gleichen Berechtigungen?

    Was aus Deiner Anfrage nicht ganz klar ist. Meldest Du Dich einfach von Domain A nach B und oder von B nach A von einem Client aus oder meldest Du Dich von Domain A auf einen DC von Domain B und umgekehrt an?

    Falls Du Dich an einem DC in einer anderen Domain anmelden möchtest muss dies auch berechtigt werden. Domain Admins haben jeweils nur in Ihrer "eigenen" Domain "Domain Admin" Rechte.

    Gruss Dani 

    Freitag, 14. Februar 2014 07:09
  • Danke für die Antwort! Das hat mich wieder ein klein wenig weiter gebracht.

    OK, noch mal zum Mitschreiben.

    Auf den DCs:

    Ich will mich mit dem Administrator von der Domäne knappt.com auf dem DC von Domäne hammerlm.com anmelden. Das Resultat: Funktioniert nicht. Es kommt eine Meldung, dass dies keine zulässige Anmeldemethode ist.

    Ich will mich mit dem Administrator von der Domände hammerlm.com auf dem DC von Domäne knappt.com anmelden. Das Resultat: Es funktioniert wunderbar.

    Auf den Clients:

    Ich will mich mit dem Administrator von der Domäne knappt.com auf einem Client von Domäne hammerlm.com anmelden, der natürlicherweise auch mit der Domäne hammerlm.com gejoint/verbunden ist. Resultat: es geht.

    Ich will mich mit dem Administrator von der Domäne hammerm.com auf einem Client von Domäne knappt.com anmelden, der mit der Domäne knappt.com verbunden ist. Resultat: es geht auch.

    Was ich wissen will: Warum haut das erste Beispiel mit dem Admin von knappt.com auf dem DC von hammerlm.com nicht hin? Die Trusts müssten dies doch theoretischerweise erlauben, oder? :-)

    Ich weiß, dass ihr euch denken mögt, dass diese Ausprobiererein eigentlich wenig Sinn haben. Was will man bloß mit einem Administrator einer anderen Domäne auf einem Client-PC oder Domänencontroller machen? Ich weiß, das macht in der Tat wenig Sinn, aber ich will eben zur Vorbereitung auf meine Microsoft MCP Prüfung diese ganzen Dinge eben ausprobieren und herausfinden wie alles funktioniert. ;-)

    Ich hoffe, dass ich mich jetzt klarer habe ausdrücken können.

    Freitag, 14. Februar 2014 09:25
  • Danke für den Tipp oben mit Enterprise-Admins. Jetzt ist das Problem gelöst!! :-)
    Ich habe den Administrator von der anderen Domäne in die Enterprise-Admins Group hinzufügen müssen, dann hat es geklappt!
    Freitag, 14. Februar 2014 09:43
  • > Ich habe den Administrator von der anderen Domäne in die
    > Enterprise-Admins Group hinzufügen müssen, dann hat es geklappt!
     
    Du hättest stattdessen auch das Recht "lokale Anmeldung zulassen" auf
    den DCs der Root-Domäne untersuchen können :)
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Freitag, 14. Februar 2014 11:41