none
Verwendung der Gruppe DOMÄNENCONTROLLER DER ORGANISATION RRS feed

  • Frage

  • Hallo,

    die AD-Gruppe  „DOMÄNENCONTROLLER DER ORGANSIATION“ (Enterprise Domain Controller)  ist, seitdem sie in der CN (Configuration Naming)-Partition abgelegt ist, nicht mehr unter Active Directory Benutzer und Computer gelistet und somit bei Berechtigungseinstellungen auch nicht mehr wählbar.

    Aber selbst der Best Pratice Analyzer in Windows Server 2012R2 weist mich darauf hin, dass eben jener Gruppe in einer Richtlinie die Berechtigung fehlt (Auf diesen Computer vom Netzwerk aus zugreifen in der Default Domain Controller Policy).

    Auch in den Berechtigungseinstellungen des DNS-Servers sowie dessen Zonen weißt Microsoft auf einigen Technets-Seiten daraufhin, dass die Gruppe Zugriff haben muss (Unternehmensdomänencontroller):

    http://technet.microsoft.com/de-de/library/cc755193.aspx

    Kann mir jemand sagen, inwieweit die Informationen des BPA sowie der Microsoft Seiten noch zutreffen oder ob man diese Gruppe nicht mehr beachten muss?




    Mittwoch, 5. Februar 2014 14:11

Antworten

  • Am 09.02.2014 14:01, schrieb Marc Tschapek:

    Alles klar, vielen Dank für die Info. Da besteht sozusagen bei
    einigen Punkten Verständigungsbedarf zwischen den Teams. Gruß Marc

    So würde ich es jedenfalls interpretieren.
    Solche Fehler, sind nicht erklärbar und wenn an 2 Stellen unterschiedlich dokumentiert oder geprüft wird, dann ist es wohl eher ein Verständnisproblem.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    • Als Antwort markiert Marc Tschapek Sonntag, 9. Februar 2014 14:57
    Sonntag, 9. Februar 2014 13:26

Alle Antworten

  • Hi,

    Am 05.02.2014 15:11, schrieb Marc Tschapek:

    Kann mir jemand sagen, inwieweit die Informationen des BPA sowie der
    Microsoft Seiten noch zutreffen oder ob man diese Gruppe nicht mehr
    beachten muss?

    Das Problem mit dem "nicht mehr beachten" scheitert daran, das MS sie irgendwann mal veröffentlicht hat. Sobald es sowas gibt, gibt es auch jemanden der es verwendet.

    Ich habe mir ehrlich gesagt nie Gedanken drum gemacht, was passiert, wenn ich die Gruppe aus den GPOs entferne.
    Ohne zu testen würde ich behaupten, das ich dann div. Richtlinien nicht mehr von DC zu DC replizieren kann, auf denen auf die Auth.Benutzer entfernt sind. Der ComputerAccount muss sie ja lesen können ...
    Evtl. muss man jetzt anstelle der Gruppe die Gruppe "DomänenController"
    verwenden?

    Da sie in den GPO nativ gesetzt sind, habe ich es nie angezweifelt.
    Den TEst mit der Replikation kannst du ja mal machen und berichten.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Freitag, 7. Februar 2014 08:45
  • Hallo, vielen Dank erstmal für deine Antwort.

    Die Replikation zwischen den DCs funktioniert ohne Probleme.

    In der Richtlinie Auf diesen Computer vom Netzwerk aus zugreifen ist die Gruppe "Domänenname"\Domänencontroller bereits hinterlegt gewesen.

    Bei uns, hat auch niemand angezweifelt das die Gruppe in der Richtlinie Berechtigungen haben muss oder die Gruppe jemals entfernt, nur durch den BPA wurde ich darauf aufmerksam gemacht, dass sie fehlt.

    Nach meinen Informationen ist die Gruppe Enterprise Domain Controller nur noch in der CN-Partition hinterlegt (über ADSI Edit errreichbar).

    Ich habe die Gruppe händisch als Berechtigung eingetragen, danach erscheint die Meldung im BPA nicht mehr.

    Aber das kann ja nicht Sinn der Sache sein oder?

    Zumal das mein Problem mit dem DNS-Server, wo die Gruppe laut Microsoft auch Berechtigung haben soll, nicht löst.

    Gruß Marc

    Freitag, 7. Februar 2014 13:12
  • Hi,

    Am 07.02.2014 14:12, schrieb Marc Tschapek:

    Ich habe die Gruppe händisch als Berechtigung eingetragen, danach erscheint die Meldung im BPA nicht mehr.
    Aber das kann ja nicht Sinn der Sache sein oder?

    Doch natürlich. Es sind unterschiedliche Teams zuständig.
    Unterschiedliche Teams = unterschiedliche Ergebnisse

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Samstag, 8. Februar 2014 09:13
  • Was meinst du mit unterschiedlichen Teams? Kann leider damit nichts anfangen im Moment. Danke Gruß Marc

    Samstag, 8. Februar 2014 15:43
  • Am 08.02.2014 schrieb Marc Tschapek:

    Was meinst du mit unterschiedlichen Teams? Kann leider damit nichts anfangen im Moment.

    Es gibt ein Team für Active Directory Services bei MS in Redmond, und
    eines für den BPA. IMHO meint das Mark.


    Servus
    Winfried

    Gruppenrichtlinien
    WSUS Package Publisher
    HowTos zum WSUS Package Publisher
    NNTP-Bridge für MS-Foren

    Sonntag, 9. Februar 2014 12:12
  • Alles klar, vielen Dank für die Info. Da besteht sozusagen bei einigen Punkten Verständigungsbedarf zwischen den Teams. Gruß Marc

    Sonntag, 9. Februar 2014 13:01
  • Am 09.02.2014 14:01, schrieb Marc Tschapek:

    Alles klar, vielen Dank für die Info. Da besteht sozusagen bei
    einigen Punkten Verständigungsbedarf zwischen den Teams. Gruß Marc

    So würde ich es jedenfalls interpretieren.
    Solche Fehler, sind nicht erklärbar und wenn an 2 Stellen unterschiedlich dokumentiert oder geprüft wird, dann ist es wohl eher ein Verständnisproblem.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    • Als Antwort markiert Marc Tschapek Sonntag, 9. Februar 2014 14:57
    Sonntag, 9. Februar 2014 13:26