Administratorberechtigungen werden von Hauptdomain nicht auf Subdomain übernommen
Hallo Zusammen,
ich habe folgendes Problem:
wir haben eine Haupt-und eine Subdomain in einer Windows Server 2k8 R2 Umgebung. Leider bekommen trotz Vertrauensstellung die Admins der Hauptdomain nicht die Rechte in der Subdomain. In der Administratorgruppe, der Subdomain, wurde die Gruppe der Administratoren von unserer Hauptdomain auch eingetragen....
Vl hat hier jemand noch eine Idee woran das liegen könnte.
VG
Hanuta
ich habe folgendes Problem:
wir haben eine Haupt-und eine Subdomain in einer Windows Server 2k8 R2 Umgebung. Leider bekommen trotz Vertrauensstellung die Admins der Hauptdomain nicht die Rechte in der Subdomain. In der Administratorgruppe, der Subdomain, wurde die Gruppe der Administratoren von unserer Hauptdomain auch eingetragen....
Vl hat hier jemand noch eine Idee woran das liegen könnte.
VG
Hanuta
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 289332
Url: https://administrator.de/forum/administratorberechtigungen-werden-von-hauptdomain-nicht-auf-subdomain-uebernommen-289332.html
Ausgedruckt am: 06.04.2025 um 01:04 Uhr
10 Kommentare
Neuester Kommentar
Hi,
Warum erwähnst Du die Vertrauensstellung, wenn Du gleichzeitig von "Subdomain" redest? Wenn es tatsächlich eine Subdomain ist, wie es - denke ich - die meisten verstehen werden, dann ist das eine Domain im selben Forest und Namespace. Falls ja, dann ist die Vertrauensstellung per default gegeben. Oder redest Du etwa von zwei Domains aus zwei Forest welche miteinander vertraut wurden? Falls ja, Forest Trust oder Domain Trust?
Mit "Hauptdomain" ist Root Domain gemeint (ein Forest) oder jene, in welcher sich die Admins anmelden (zwei Forest)?
Und was sind "die Rechte der Subdomain"?
Und dass man sich nochmal neu anmelden muss, damit geänderte Gruppenmitgliedschaften wirken, ist Dir bekannt?
E.
Warum erwähnst Du die Vertrauensstellung, wenn Du gleichzeitig von "Subdomain" redest? Wenn es tatsächlich eine Subdomain ist, wie es - denke ich - die meisten verstehen werden, dann ist das eine Domain im selben Forest und Namespace. Falls ja, dann ist die Vertrauensstellung per default gegeben. Oder redest Du etwa von zwei Domains aus zwei Forest welche miteinander vertraut wurden? Falls ja, Forest Trust oder Domain Trust?
Leider bekommen trotz Vertrauensstellung die Admins der Hauptdomain nicht die Rechte in der Subdomain.
Aha ....Mit "Hauptdomain" ist Root Domain gemeint (ein Forest) oder jene, in welcher sich die Admins anmelden (zwei Forest)?
Und was sind "die Rechte der Subdomain"?
In der Administratorgruppe, der Subdomain, wurde die Gruppe der Administratoren von unserer Hauptdomain auch eingetragen....
Redest Du von den BuiltIn-Gruppen, den Standard-Domänengruppen oder von selbst erstellten Gruppen?Und dass man sich nochmal neu anmelden muss, damit geänderte Gruppenmitgliedschaften wirken, ist Dir bekannt?
E.
wie kann ich das nachprüfen ob es wirklich eine zweite Domain oder eine richtige Subdomain ist ?
Willst Du mich jetzt veralbern? Eine "Subdomain" ist "sub". Also muss da doch noch ne andere Domain sein, unter der sie "sub" sein kann. Also sind da min. zwei, oder nicht?Wieso müssen Dir Deine Kollegen das erklären, wenn Du hier diese Fachfrage stellst?
Und Du hast nicht beantwortet: Und was sind "die Rechte der Subdomain"?
Ok. Und wie wurde nun konkret verschachtelt? Am besten an einem Beispiel.
Wenn Ihr es nicht sonderlich feingranular benötigt, dann sollte es ausreichen, Eure Benutzer zu Mitgliedern der Organisations-Admins (Enterprise Admins) zu machen. Das wäre aber nicht sehr schön, weil diese Benutzer dann alle sehr mächtig wären.
GPO's können standardmäßig erstellen:
GPO's können standardmäßig bearbeiten:
Beachte: Mitglieder der "Administratoren" einer Domäne, können mit dieser Mitgliedschaft allein zwar GPO's in dieser Domäne erstellen aber nicht bearbeiten, wenn sie nicht auch die GPO erstellt haben.
Wenn man also eine Gruppe aus einer Domäne A in die Gruppe "Administratoren" der Domäne B verschachtelt, dann können die Mitglieder dieser Gruppe zwar in B GPO erstellen und eigene auch bearbeiten, aber sie können keine vorhandenen GPO bearbeiten oder solche, die andere Benutzer dieser Gruppe erstellt haben.
Wenn Ihr es nicht sonderlich feingranular benötigt, dann sollte es ausreichen, Eure Benutzer zu Mitgliedern der Organisations-Admins (Enterprise Admins) zu machen. Das wäre aber nicht sehr schön, weil diese Benutzer dann alle sehr mächtig wären.
GPO's können standardmäßig erstellen:
- Administratoren
- Domänen-Admins
- Organisations-Admins
- Richtlinien-Ersteller-Besitzer
GPO's können standardmäßig bearbeiten:
- Domänen-Admins
- Organisations-Admins
- der Ersteller der Richtlinie (Benutzer, welcher die Richtline erstellt hat)
Beachte: Mitglieder der "Administratoren" einer Domäne, können mit dieser Mitgliedschaft allein zwar GPO's in dieser Domäne erstellen aber nicht bearbeiten, wenn sie nicht auch die GPO erstellt haben.
Wenn man also eine Gruppe aus einer Domäne A in die Gruppe "Administratoren" der Domäne B verschachtelt, dann können die Mitglieder dieser Gruppe zwar in B GPO erstellen und eigene auch bearbeiten, aber sie können keine vorhandenen GPO bearbeiten oder solche, die andere Benutzer dieser Gruppe erstellt haben.
Nein.
Ihr erstellt eine Gruppe "GPO Editoren" o.ä. und packt da Eure Admin-Konten rein.
Dann erweitert Ihr Euren Prozess zum Erstellen eine GPO um den Punkt, dass der Ersteller der GPO der o.g. Gruppe das Recht zum Bearbeiten der GPO erteilen muss.
Edit: Habe vergessen, es geht auch so: https://support.microsoft.com/en-us/kb/321476
Ihr erstellt eine Gruppe "GPO Editoren" o.ä. und packt da Eure Admin-Konten rein.
Dann erweitert Ihr Euren Prozess zum Erstellen eine GPO um den Punkt, dass der Ersteller der GPO der o.g. Gruppe das Recht zum Bearbeiten der GPO erteilen muss.
Edit: Habe vergessen, es geht auch so: https://support.microsoft.com/en-us/kb/321476