Rechte in vertrauter Domäne über Gruppenmitgliedschaft erteilen

Alle Antworten

• 

  

  0

  Anmelden

  Hallo,

  die Gruppenbereiche sollten Dir hier weiterhelfen. In einer Universellen Gruppe können nur Mitglieder sein gem. folgendem Schema:

  - Konten aus allen Domänen innerhalb der Gesamtstruktur, in der sich diese „Universal“-Gruppe befindet

  - „Global“-Gruppen aus allen Domänen innerhalb der Gesamtstruktur, in der sich diese „Universal“-Gruppe befindet

  - „Universal“-Gruppen aus allen Domänen innerhalb der Gesamtstruktur, in der sich diese „Universal“-Gruppe befindet

  Wie ich Dich aber verstehe soll der Benutzer der anderen Gesamtstruktur Mitglied werden.

  Siehe auch http://technet.microsoft.com/de-de/library/cc755692(WS.10).aspx

  ---

  Best regards

  Meinolf Weber
  MVP, MCP, MCTS
  Microsoft MVP - Directory Services
  My Blog: http://msmvps.com/blogs/mweber/

  Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

  
  

  • Bearbeitet Meinolf Weber Freitag, 29. Juni 2012 16:21

  Freitag, 29. Juni 2012 16:21

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo Meinolf,

  es gibt nur eine Gesamtstruktur. In dieser Gesamtstruktur gibt es zwei Domänen.

  Die Gesamtstruktur lautet Firma.de.

  Die Domänen in der Gesamtstruktur heißen Firma.local und intern.Firma.de

  Noch Ideen?

  Freitag, 29. Juni 2012 18:01

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

   

  > es gibt nur eine Gesamtstruktur. In dieser Gesamtstruktur gibt es zwei

  > Domänen.

   

  In Deinem ersten Post schreibst Du "2 Forests mit BiDi-Trust"... Damit

  sollten die Infos von Meinolf weiterhelfen.

   

  mfg Martin

   

  ---

  NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
  Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!

  Samstag, 30. Juni 2012 12:15

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Am 29.06.2012 14:38, schrieb Mike Volkmann:

  > aber ich kann von intern.firma.de immer nur die Domänlokalen Gruppen der

  > Domäne firma.local auswählen.

   

  Zur Not hilft immer noch das uralte AGDLP

  Accounnt in Globalgroup die in DomainLocal und dann Permissions setzen.

   

  Tschö

  Mark

  --

  Mark Heitbrink - MVP Windows Server - Group Policy

   

  Homepage:       www.gruppenrichtlinien.de - deutsch

  GPO Tool:       www.reg2xml.com - Registry Export File Converter

  NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

   

  Sonntag, 1. Juli 2012 18:59

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Ok...dann habe ich da die komplett falsche Denkweise gehabt.

  Ich formuliere neu.

  Ist es möglich auf der Gesamtstrukturebene eine Gruppe einzurichten die zum einen Mitlied einer Domänengruppen (universell Sicherheit) der Domäne Firma.local ist und zum anderen ein Mitglied aus der Domäne intern.Firma.de (z.B. den Domänenadministrator oder die Gruppe der Domänadministratoren) aufnehmen kann?

  Montag, 2. Juli 2012 11:08

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Wie Mark das schon angedeutet hat greift bei dir AGUDLP.

  Du packst den Account in eine Global-Gruppe, die du dann in eine Universal-Gruppe packst, von da wanderst du in die andere Domäne, und packst deine universelle Gruppe in eine Domain Local-Gruppe, dieser Gruppe gibst du die Permission. In die Domain Local-Gruppe kannst du natürlich auch eine andere Gruppe packen, wobei man da dann besser nach der Microsoft-Strategie wohl vor die DL noch eine Global-Gruppe packst, in die du dann die Universal-Gruppe und deine lokalen User der Domäne intern.firma.de packst.

  ---

  Guido Over MCITP Server Administrator 2008 & MCSA Windows 2008

  • Als Antwort markiert Mike Volkmann Mittwoch, 4. Juli 2012 06:47

  Montag, 2. Juli 2012 14:41

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hi, mal eine dumme Frage, du schreibst: "...Der DC in der Domäne firma.local ist ein W2k8 R2-Server mit Exchange 2010..." ist das nen SBS? Wenn ja kannste alle Tipps abhaken, der SBS kann keine Trusts. Du kannst die zwar erstellen, funktionieren aber nicht.

  Dienstag, 3. Juli 2012 11:38

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hi,

  es ist kein SBS.

  Es ist ein W2K8 R2 mit SP1

  Dieses komische Konstrukt ist aus vorangegangenen Installation und betreiben von Win NT Servern in Umgebungen mit W2k und W2k3 durch andere Dienstleister entstanden und jetzt müssen wir ein paar Dinge aufarbeiten da aus politischen Gründen kein Exchangeserver in die Domäne inter.firma.local darf.

  Ich werde mit den Grupenverschachtelungen arbeiten und entsprechende Berechtigungen erteilen.

  
  

  • Bearbeitet Mike Volkmann Mittwoch, 4. Juli 2012 06:47

  Dienstag, 3. Juli 2012 13:09

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Das wird wohl das Beste sein, jedoch hat mich das mit dem DC mit installierten Exchange stutzig gemacht. Du weisst aber das dass nicht supportet wird?

  Mittwoch, 4. Juli 2012 06:18

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Das ist nicht richtig. Exchange 2010 auf einem DC ist supported. Aber definitiv nicht empfohlen.

  Allerdings kann nachdem Exchange 2010 installiert wurde kein DCPROMO ausgeführt werden. Also werde DC werden noch herabgestuft werden.

  Siehe: http://technet.microsoft.com/en-us/library/aa996719

  Installing Exchange 2010 on Directory Servers

  ---

  For security and performance reasons, we recommend that you install Exchange 2010 only on member servers and not on Active Directory directory servers. However, you can't run DCPromo on a computer running Exchange 2010. After Exchange 2010 is installed, changing its role from a member server to a directory server, or vice versa, isn't supported.

  • Als Antwort vorgeschlagen Meinolf Weber Mittwoch, 4. Juli 2012 06:53

  Mittwoch, 4. Juli 2012 06:46

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  das versteh ich unter nicht supportet ;).

  Mittwoch, 4. Juli 2012 08:27

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Wie Mark das schon angedeutet hat greift bei dir AGUDLP.

  Du packst den Account in eine Global-Gruppe, die du dann in eine Universal-Gruppe packst, von da wanderst du in die andere Domäne, und packst deine universelle Gruppe in eine Domain Local-Gruppe, dieser Gruppe gibst du die Permission. In die Domain Local-Gruppe kannst du natürlich auch eine andere Gruppe packen, wobei man da dann besser nach der Microsoft-Strategie wohl vor die DL noch eine Global-Gruppe packst, in die du dann die Universal-Gruppe und deine lokalen User der Domäne intern.firma.de packst.

  ---

  Guido Over MCITP Server Administrator 2008 & MCSA Windows 2008

  Ich muss doch noch mal fragen.

  dieser Gruppe gibst du die Permission...

  Welche Permission? Wie? Ich hab doch nun eine domänlokale Gruppe auf dem Exchangeserver. Die Berechtigungen die ich benötige liegen aber bei globalen Gruppen. Und Domänlokal kann ja nicht Mitglied bei global werden...

  
  

  • Bearbeitet Mike Volkmann Donnerstag, 5. Juli 2012 14:46

  Donnerstag, 5. Juli 2012 14:46

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Am 05.07.2012 16:46, schrieb Mike Volkmann:

  > dieser Gruppe gibst du die Permission...

  > Welche Permission?

   

  Die, die er haben soll :-)

   

  - du verwendest diese Gruppe im Dateisystem

  - du integrierst sie auf den betreffenden Maschinen in die Lokale Admin

    Gruppe

  - du verwendest sie wie jede andere Sicherheistgruppe auch

   

  Du berechtigst sie also genauso wie eine der Gruppen, die du schon

  verwendest.

   

  Tschö

  Mark

  --

  Mark Heitbrink - MVP Windows Server - Group Policy

   

  Homepage:       www.gruppenrichtlinien.de - deutsch

  GPO Tool:       www.reg2xml.com - Registry Export File Converter

  NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

   

  Freitag, 6. Juli 2012 08:18

  Antworten

  |

  Zitieren