none
Arbeiten mit UPN-Suffixen - Problem bei 'Anmelden an' RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden
    Ein herzliches Hallo an alle Forenmitglieder,

    meine erste Frage beginnt schon mit einem (für mich kniffligem) Problem:

    Habe in meinem Domain Konzept eine Subdomain mit mehreren OUs, die auch Standorte bilden.
    Da kein user von einen anderen Standort wissen dürfte, wollte ich dies mit UPN-Suffixen umgehen.
    Jeder user sollte mit seiner EmailAdresse sich anmelden können.

    Mein Problem liegt nun an der Anmeldeseite eines jeden Clients.
    Sollte ein user nämlich nicht gleich seine Email-Adresse (UPN-Suffix) eingeben, könnte er unter 'Anmelden an'
    sich nicht nur lokal anmelden sondern auch alle anderen UPN-Suffixe sehen (was nicht gewollt ist).

    Stimmt meine Begründung und wie kann man dies über GPOs lösen?


    Bedanke mich schon für alle Antworten!
    Grüsse
    Victorianus

    Dienstag, 22. September 2009 09:24
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Servus,

    > Habe in meinem Domain Konzept eine Subdomain mit mehreren OUs, die auch Standorte bilden.

    ist denn eine Subdomäne tatsächlich auch notwendig?

    Denn der Nachteil bei mehreren Domänen wären:

    - Bei mehreren Domänen ist der adminstrative Aufwand (Updates,Virenscanner usw.) höher, da auch jede Domäne zwei DCs haben sollte.
    - Dadurch entstehen höhere Hardware- sowie Lizenzkosten.
    - Jeder DC sollte/muss vor Ort physikalisch geschützt sein.
    - Jede Domäne muss gesichert werden (Backup).

    Bei mehreren Domänen wären die Vorteile, wenn man z.B. unterschiedliche DNS-Namensräume haben möchte.
    Oder unterschiedliche Administratoren sollen "nur" ihre eigene Domäne verwalten. Mit mehreren Domänen kann man unterschiedliche Kennwortrichtlinien anwenden (bis Windows Server 2003. Ab Windows Server 2008 gibt es die "Password Settings Objects" kurz PSOs).

    Der Vorteil einer Domäne wäre z.B. das man nur eine DNS-Zone/Domäne verwalten muss. Mit einer Domäne hat man eine bessere Übersicht und leichtere Administration.
    Ich persönlich tendiere gerne zu dem Ein-Domänen-Modell, aber das kommt immer auf die Gegebenheiten darauf an.


    > Da kein user von einen anderen Standort wissen dürfte, wollte ich dies mit UPN-Suffixen umgehen.

    Wozu das denn? Ist das nun eine Fima oder wozu diese "geheimnistuherei"?


    > Sollte ein user nämlich nicht gleich seine Email-Adresse (UPN-Suffix) eingeben, könnte er unter 'Anmelden an'
    > sich nicht nur lokal anmelden sondern auch alle anderen UPN-Suffixe sehen (was nicht gewollt ist).

    1. Standardmäßig ist das UPN-Suffix der DNS-Name der Domäne, in der sich das Benutzerobjekt befindet.
    2. Der Benutzer kann sich nur dann lokal anmelden (Anmelden an (dieser Computer):) wenn ein lokales Benutzerkonto existiert (was nicht notwendig ist).
    3. Der Benutzer sieht nicht alle anderen "UPN-Suffixe" im Feld "Anmleden an", sondern lediglich die NetBIOS-Namen der Domänen, zu denen eine Vertrauensstellung existiert.
    Da innerhalb einer Gesamtstruktur bestehend aus mehreren Domänen standardmäßig eine bidirektionale Vertrauensstellung zwwischen allen Domänen existiert, erscheinen automatisch alle Domänen im Feld "Anmelden an".
    4. Ja, man kann abweichend von den vorgegebenen UPN-Suffixen noch eigene erstellen.


    > Stimmt meine Begründung und wie kann man dies über GPOs lösen?

    Ich bin mir zwar nicht sicher ob dich richtig verstanden habe, aber du kannst das Feld "Anmelden an" per GPO ausblenden.
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\<NoDomainUI> als Reg_DWORD mit dem Wert 1.
    Dann muss zukünftig die die Anmeldung über den UPN und nicht mehr über den sAMAccountName (Prä-Windows 2000) erfolgen.

    Mit diesem Reg.-Key kannst du dir ein ADM-Template basteln und das dann per GPO verteilen.


    Gruß, Yusuf

    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - MVP Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    • Als Antwort markiert Victorianus Mittwoch, 23. September 2009 08:32
    Dienstag, 22. September 2009 13:07
    |
    Moderator

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Servus,

    > Habe in meinem Domain Konzept eine Subdomain mit mehreren OUs, die auch Standorte bilden.

    ist denn eine Subdomäne tatsächlich auch notwendig?

    Denn der Nachteil bei mehreren Domänen wären:

    - Bei mehreren Domänen ist der adminstrative Aufwand (Updates,Virenscanner usw.) höher, da auch jede Domäne zwei DCs haben sollte.
    - Dadurch entstehen höhere Hardware- sowie Lizenzkosten.
    - Jeder DC sollte/muss vor Ort physikalisch geschützt sein.
    - Jede Domäne muss gesichert werden (Backup).

    Bei mehreren Domänen wären die Vorteile, wenn man z.B. unterschiedliche DNS-Namensräume haben möchte.
    Oder unterschiedliche Administratoren sollen "nur" ihre eigene Domäne verwalten. Mit mehreren Domänen kann man unterschiedliche Kennwortrichtlinien anwenden (bis Windows Server 2003. Ab Windows Server 2008 gibt es die "Password Settings Objects" kurz PSOs).

    Der Vorteil einer Domäne wäre z.B. das man nur eine DNS-Zone/Domäne verwalten muss. Mit einer Domäne hat man eine bessere Übersicht und leichtere Administration.
    Ich persönlich tendiere gerne zu dem Ein-Domänen-Modell, aber das kommt immer auf die Gegebenheiten darauf an.


    > Da kein user von einen anderen Standort wissen dürfte, wollte ich dies mit UPN-Suffixen umgehen.

    Wozu das denn? Ist das nun eine Fima oder wozu diese "geheimnistuherei"?


    > Sollte ein user nämlich nicht gleich seine Email-Adresse (UPN-Suffix) eingeben, könnte er unter 'Anmelden an'
    > sich nicht nur lokal anmelden sondern auch alle anderen UPN-Suffixe sehen (was nicht gewollt ist).

    1. Standardmäßig ist das UPN-Suffix der DNS-Name der Domäne, in der sich das Benutzerobjekt befindet.
    2. Der Benutzer kann sich nur dann lokal anmelden (Anmelden an (dieser Computer):) wenn ein lokales Benutzerkonto existiert (was nicht notwendig ist).
    3. Der Benutzer sieht nicht alle anderen "UPN-Suffixe" im Feld "Anmleden an", sondern lediglich die NetBIOS-Namen der Domänen, zu denen eine Vertrauensstellung existiert.
    Da innerhalb einer Gesamtstruktur bestehend aus mehreren Domänen standardmäßig eine bidirektionale Vertrauensstellung zwwischen allen Domänen existiert, erscheinen automatisch alle Domänen im Feld "Anmelden an".
    4. Ja, man kann abweichend von den vorgegebenen UPN-Suffixen noch eigene erstellen.


    > Stimmt meine Begründung und wie kann man dies über GPOs lösen?

    Ich bin mir zwar nicht sicher ob dich richtig verstanden habe, aber du kannst das Feld "Anmelden an" per GPO ausblenden.
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\<NoDomainUI> als Reg_DWORD mit dem Wert 1.
    Dann muss zukünftig die die Anmeldung über den UPN und nicht mehr über den sAMAccountName (Prä-Windows 2000) erfolgen.

    Mit diesem Reg.-Key kannst du dir ein ADM-Template basteln und das dann per GPO verteilen.


    Gruß, Yusuf

    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - MVP Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    • Als Antwort markiert Victorianus Mittwoch, 23. September 2009 08:32
    Dienstag, 22. September 2009 13:07
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden
    Hallo Yusuf,

    vielen Dank für deine Antwort!

    Mein erster Absatz muss vielleicht komisch klingen:
    Zum besseren Verständniss: Auch ich bin von einem Ein-Domänen-Modell ausgegangen, von Firmenpolitik und dem Problem, dass mehrere 'Tochterfirmen' auch integriert werden müssen, kam man dann aber auf dem Konzept einer Rootdomäne die auch Subdomänen beinhaltet.
    Die geheimnistuherei wird firmenpolitisch aufgesetzt...

    Bei Punkt 3 und 4 hast du mir einiges aufgeklärt!
    Den Reg. -Key werd ich in der Praxis testen.

    Vielen Dank nochmals
    und
    Beste Grüsse
    VICTORIANUS
    Mittwoch, 23. September 2009 08:31
    |