Remove From My Forums

Testlab: Externe Vertrauensstellung zwischen 2 Domänen. Gruppen werde nicht gefunden

Frage
0

Anmelden

Hallo zusammen,

ich habe auf einem Hyper-V System folgende Umgebung aufgebaut um mich in das Thema Vertrauensstellungen zwischen Domänen einzuarbeiten.

Netz-A: 192.168.1.0 (domaene-a.com mit a-pfsense, a-dc, a-fileserver, a-win7)

Netz-B: 192.168.2.0 (domaene-b.com mit b-pfsense, b-dc, b-fileserver, b-win7)

Netz-C: 192.168.100.0 (WAN für a-pfsense und b-pfsense)

Netz-A und Netz-B sind per VPN verbunden - Regel zwischen den Netzen: Any-Any-Allow.

Für die Erstellung der Externen Vertrauensstellung habe ich mich an u.a. Anleitung gehalten.

http://www.privalnetworx.de/ad-trust-einrichten

Die Überprüfung der Trusts ist erfolgreich.

Nslookup zwischen den Domänen funktioniert.

Net use auf eine Freigabe per DNS-Name funktioniert ebenfalls.

Die Basiskonfiguration steht also, ich bekomme es nun aber nicht hin, Sicherheitsgruppen aus der anderen Domäne auszuwählen.

Wenn ich unter AD-Benutzer und Computer von a-dc.domaene.com den Sicherheits-Reiter von a-fileserver auswähle und als Suchpfad die domaene-b.com auswähle, werden dort liegende Sicherheitsgruppen nicht gefunden.

Ziel ist es im ersten Schritt, dass Benutzer von domaene-b auf Dateifreigaben von a-fileserver.domaene-a.com zugreifen können.

Hat jemand einen Tipp für mich?

Vielen Dank

Daniel

Samstag, 20. Mai 2017 11:16

Antworten

|

Zitieren

Antworten

1

Anmelden
Moin,

welchen Scope haben Deine Gruppen? Wenn sie nicht universal sind, dann ist das Verhalten wie erwartet.

Good Practice wäre, Berechtigungen nur an (domain-lokale) Gruppen aus der gleichen Domain wie die Ressource zu vergeben und dann fremde Sicherheitsprinzipale per Gruppenmitgleidschaft dort aufzunehmen. Das ganze nennt sich "AGDLP-Prinzip".

Siehe auch https://technet.microsoft.com/en-us/library/cc755692(v=ws.10).aspx
Evgenij Smirnov

I work @ msg services ag, Berlin -> http://www.msg-services.de
I blog (in German) @ http://it-pro-berlin.de
my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
Exchange User Group, Berlin -> http://exusg.de
Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com
- Als Antwort vorgeschlagen Mihaela ParedesMicrosoft contingent staff, Moderator Freitag, 2. Juni 2017 11:13
- Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Montag, 5. Juni 2017 13:49
Samstag, 20. Mai 2017 12:21

Antworten

|

Zitieren
1

Anmelden
Moin,

nein, grundsätzlich hast Du keinen Denkfehler und in meinem Testlabor funktioniert es auch einwandfrei.

ABER. Mein User aus der Ressourcendomäne hat keinerlei Rechte in der User-Domäne (kann auch nicht, der Trust ist unidirektional), so dass ich für das Auflisten der Namen eine explizite Authentifizierung aus der User-Domäne verwende. Wenn Dein Trust bidirektional ist, musst Du natürlich schauen, dass der User aus der Ressourcen-Domäne, mit dem Du nach Gruppen suchst, auch das Recht hat, sich dort zu authentifizieren. Kann z.B. auf Domain-Ebene angewandt werden.
Evgenij Smirnov

I work @ msg services ag, Berlin -> http://www.msg-services.de
I blog (in German) @ http://it-pro-berlin.de
my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
Exchange User Group, Berlin -> http://exusg.de
Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com
- Als Antwort vorgeschlagen Mihaela ParedesMicrosoft contingent staff, Moderator Freitag, 2. Juni 2017 11:13
- Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Montag, 5. Juni 2017 13:49
Montag, 22. Mai 2017 17:18

Antworten

|

Zitieren
1

Anmelden
Hallo Klaus,

ergänzend zu Evgenij, Wenn Du in den Einstellungen der Vertrauensstellung die Option "Ausgewählte Authentifizierung" aktivierst, dann muss für den Zugriff auf eine Ressource in der jeweils anderen Domain im AD am betreffenden Computer Objekt das Recht zur Authentifizierung für die Gruppen aus dem jeweils anderen AD erteilt werden.

Was die Verschachtelung von Gruppen betrifft, hat Evgenij Recht.

Server in der Ziel Domain --> Recht erteilen für eine domainlocale Gruppe der Zieldomain --> globale oder universelle Gruppe der Quell Domain zum Mitglied der domainlocal Gruppe der Zieldomain machen. Anschliessend das Recht "Authetifizierung zulassen" für die Gruppe aus der Quelldomain am Computerobjekt in der Quelldomain erteilen.

Gruß Malte
- Als Antwort vorgeschlagen Mihaela ParedesMicrosoft contingent staff, Moderator Freitag, 2. Juni 2017 11:13
- Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Montag, 5. Juni 2017 13:49
Dienstag, 23. Mai 2017 17:41

Antworten

|

Zitieren
1

Anmelden
> welchen Scope haben Deine Gruppen? Wenn sie nicht universal sind, dann ist das Verhalten wie erwartet.

"Global" reicht :-)))

AGDLP und AGGUDLP bei Google führt dann weiter.
- Als Antwort vorgeschlagen Mihaela ParedesMicrosoft contingent staff, Moderator Freitag, 2. Juni 2017 11:13
- Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Montag, 5. Juni 2017 13:49
Mittwoch, 24. Mai 2017 18:00

Antworten

|

Zitieren

Alle Antworten

1

Anmelden
Moin,

welchen Scope haben Deine Gruppen? Wenn sie nicht universal sind, dann ist das Verhalten wie erwartet.

Good Practice wäre, Berechtigungen nur an (domain-lokale) Gruppen aus der gleichen Domain wie die Ressource zu vergeben und dann fremde Sicherheitsprinzipale per Gruppenmitgleidschaft dort aufzunehmen. Das ganze nennt sich "AGDLP-Prinzip".

Siehe auch https://technet.microsoft.com/en-us/library/cc755692(v=ws.10).aspx
Evgenij Smirnov

I work @ msg services ag, Berlin -> http://www.msg-services.de
I blog (in German) @ http://it-pro-berlin.de
my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
Exchange User Group, Berlin -> http://exusg.de
Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com
- Als Antwort vorgeschlagen Mihaela ParedesMicrosoft contingent staff, Moderator Freitag, 2. Juni 2017 11:13
- Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Montag, 5. Juni 2017 13:49
Samstag, 20. Mai 2017 12:21

Antworten

|

Zitieren
0

Anmelden

Hallo und Danke für Deinen Beitrag!

Gruppen aus der anderen Domäne werden nur gefunden wenn ich in den Eigenschaften der Vertrauensstellung die Authentifizierung auf "Domänenweite Authentifizierung" umstelle.

Ich würde lieber die "Ausgewählte Authentifizierung verwenden da es sich im späteren Betrieb um 2 eigenständige Gesellschaften handelt. Beide sind zwar Töchter einer AG, arbeiten jedoch unabhängig voneinander.

Oder habe ich da einen Denkfehler?

Vielen Dank!

Montag, 22. Mai 2017 10:39

Antworten

|

Zitieren
1

Anmelden
Moin,

nein, grundsätzlich hast Du keinen Denkfehler und in meinem Testlabor funktioniert es auch einwandfrei.

ABER. Mein User aus der Ressourcendomäne hat keinerlei Rechte in der User-Domäne (kann auch nicht, der Trust ist unidirektional), so dass ich für das Auflisten der Namen eine explizite Authentifizierung aus der User-Domäne verwende. Wenn Dein Trust bidirektional ist, musst Du natürlich schauen, dass der User aus der Ressourcen-Domäne, mit dem Du nach Gruppen suchst, auch das Recht hat, sich dort zu authentifizieren. Kann z.B. auf Domain-Ebene angewandt werden.
Evgenij Smirnov

I work @ msg services ag, Berlin -> http://www.msg-services.de
I blog (in German) @ http://it-pro-berlin.de
my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
Exchange User Group, Berlin -> http://exusg.de
Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com
- Als Antwort vorgeschlagen Mihaela ParedesMicrosoft contingent staff, Moderator Freitag, 2. Juni 2017 11:13
- Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Montag, 5. Juni 2017 13:49
Montag, 22. Mai 2017 17:18

Antworten

|

Zitieren
1

Anmelden
Hallo Klaus,

ergänzend zu Evgenij, Wenn Du in den Einstellungen der Vertrauensstellung die Option "Ausgewählte Authentifizierung" aktivierst, dann muss für den Zugriff auf eine Ressource in der jeweils anderen Domain im AD am betreffenden Computer Objekt das Recht zur Authentifizierung für die Gruppen aus dem jeweils anderen AD erteilt werden.

Was die Verschachtelung von Gruppen betrifft, hat Evgenij Recht.

Server in der Ziel Domain --> Recht erteilen für eine domainlocale Gruppe der Zieldomain --> globale oder universelle Gruppe der Quell Domain zum Mitglied der domainlocal Gruppe der Zieldomain machen. Anschliessend das Recht "Authetifizierung zulassen" für die Gruppe aus der Quelldomain am Computerobjekt in der Quelldomain erteilen.

Gruß Malte
- Als Antwort vorgeschlagen Mihaela ParedesMicrosoft contingent staff, Moderator Freitag, 2. Juni 2017 11:13
- Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Montag, 5. Juni 2017 13:49
Dienstag, 23. Mai 2017 17:41

Antworten

|

Zitieren
1

Anmelden
> welchen Scope haben Deine Gruppen? Wenn sie nicht universal sind, dann ist das Verhalten wie erwartet.

"Global" reicht :-)))

AGDLP und AGGUDLP bei Google führt dann weiter.
- Als Antwort vorgeschlagen Mihaela ParedesMicrosoft contingent staff, Moderator Freitag, 2. Juni 2017 11:13
- Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Montag, 5. Juni 2017 13:49
Mittwoch, 24. Mai 2017 18:00

Antworten

|

Zitieren

Produkte

Resources

Solutions

Updates

Testversionen

Verwandte Websites

Training

Zertifizierungen

Weitere Ressourcen

Für Produkte

Mehr Support

Kein IT-Experte?

Benutzer mit den meisten Antworten

Testlab: Externe Vertrauensstellung zwischen 2 Domänen. Gruppen werde nicht gefunden

Frage

Antworten

Alle Antworten