10
AGDLP zu AGUDLP - Wie funktionierts?
Hallo,
ich habe zwei Domänen, bei der einen ist die Berechtigungsstruktur nach dem AGDLP Prinzip aufgebaut. Die beiden Domänen haben eine bidirektionale externe Vertrauensstellung zueinander. Jetzt möchte ich das AGDLP Prinzip erweitern, sodass ich Benutzer bzw. Gruppen der zweiten Domäne für Ressourcen der ersten Domäne berechtige.
Da gibt es dann ja das AGUDLP Prinzip, also eine Universale Gruppe die "zwischengeschaltet" wird.
Ich bin auf folgende Anleitung gestoßen:
https://www.computerweekly.com/de/ratgeber/So-setzen-Sie-verschachtelte- ...
Dort wird beschrieben, dass ich die Globalen Gruppen der Universalen hinzufügen soll ( würde ja auch der Reihenfolge AGUDLP entsprechen). Das funktioniert allerdings nicht, ich kann nur Domänenlokale Gruppen der anderen Domäne finden, was mich irritiert hat, nach kurzer Recherche bin ich dann auf folgende Fragestellung gestoßen:
https://social.technet.microsoft.com/Forums/windowsserver/en-US/b87bee97 ...
Also, den Antworten entsprechend ist es ja nur möglich Domainlokale Gruppen der anderen Domäne hinzuzufügen.
Jetzt die Frage, ist das so oder habe ich etwas nicht verstanden? Weil dann macht das AGUDLP Prinzip ja gar keinen Sinn, also das lässt sich ja so nicht umsetzen, oder?
ich habe zwei Domänen, bei der einen ist die Berechtigungsstruktur nach dem AGDLP Prinzip aufgebaut. Die beiden Domänen haben eine bidirektionale externe Vertrauensstellung zueinander. Jetzt möchte ich das AGDLP Prinzip erweitern, sodass ich Benutzer bzw. Gruppen der zweiten Domäne für Ressourcen der ersten Domäne berechtige.
Da gibt es dann ja das AGUDLP Prinzip, also eine Universale Gruppe die "zwischengeschaltet" wird.
Ich bin auf folgende Anleitung gestoßen:
https://www.computerweekly.com/de/ratgeber/So-setzen-Sie-verschachtelte- ...
Dort wird beschrieben, dass ich die Globalen Gruppen der Universalen hinzufügen soll ( würde ja auch der Reihenfolge AGUDLP entsprechen). Das funktioniert allerdings nicht, ich kann nur Domänenlokale Gruppen der anderen Domäne finden, was mich irritiert hat, nach kurzer Recherche bin ich dann auf folgende Fragestellung gestoßen:
https://social.technet.microsoft.com/Forums/windowsserver/en-US/b87bee97 ...
Also, den Antworten entsprechend ist es ja nur möglich Domainlokale Gruppen der anderen Domäne hinzuzufügen.
Jetzt die Frage, ist das so oder habe ich etwas nicht verstanden? Weil dann macht das AGUDLP Prinzip ja gar keinen Sinn, also das lässt sich ja so nicht umsetzen, oder?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4652588827
Url: https://administrator.de/contentid/4652588827
Printed on: April 25, 2024 at 01:04 o'clock
10 Comments
Latest comment
Hi,
nein, das ist Quatsch, sorry.
Verschachtle die Benutzerrollen (Globale Gruppen) der 2. Domäne in die Berechtigungsgruppen (Domänenlokale Gruppen) der 1. Domäne, um den Benutzern der 2. Domäne auf Ressourcen der 1. Domäne Berechtigungen zu erteilen. Und umgekehrt.
Universelle Gruppen können gar keine Mitglieder aus extern vertrauten Domänen haben.
E.
nein, das ist Quatsch, sorry.
Verschachtle die Benutzerrollen (Globale Gruppen) der 2. Domäne in die Berechtigungsgruppen (Domänenlokale Gruppen) der 1. Domäne, um den Benutzern der 2. Domäne auf Ressourcen der 1. Domäne Berechtigungen zu erteilen. Und umgekehrt.
Universelle Gruppen können gar keine Mitglieder aus extern vertrauten Domänen haben.
E.
1
Moin,
erstmal die Gültigkeit der Gruppen:
Domainlokale Gruppen sind nur in der Domain gültig.
Globale Gruppen sind im gesamten Wald (nicht Baum) gültig.
Universale Gruppen sind in der gesamten Welt (nicht Wald) gültig.
Inhalt der Gruppen:
Domainlokale Gruppen bekommen die Rechte und enthalten als Mitglieder globale und universale Gruppen.
Globale Gruppen enthalten User und Computer.
Universale Gruppen enthalten globale Gruppen.
Willst Du nun einem User Rechte an Ressourcen einer Domain in einem anderen Wald geben, dann erstellst Du in der Domain des Users eine universale Gruppe. In diese Gruppe nimmst Du die globale Gruppe auf, in der der User ist. Die universale Gruppe wird nun in die lokale Gruppe der anderen Domain des anderen Waldes aufgenommen. Damit erbt die universale Gruppe die Rechte der lokalen. Damit erbt wieder die globale die Rechte der universalen. Und am Ende erbt der User die Rechte aus seiner globalen Gruppe und kann auf die Ressourcen der Domain im anderen Baum zugreifen.
Schlussbemerkung: Man kann auch User direkt in universale Gruppen aufnehmen. Aber das ist nicht empfehlenswert, da dann bei jeder Änderung die Gruppe in der gesamten Welt repliziert werden muss.
hth
Erik
erstmal die Gültigkeit der Gruppen:
Domainlokale Gruppen sind nur in der Domain gültig.
Globale Gruppen sind im gesamten Wald (nicht Baum) gültig.
Universale Gruppen sind in der gesamten Welt (nicht Wald) gültig.
Inhalt der Gruppen:
Domainlokale Gruppen bekommen die Rechte und enthalten als Mitglieder globale und universale Gruppen.
Globale Gruppen enthalten User und Computer.
Universale Gruppen enthalten globale Gruppen.
Willst Du nun einem User Rechte an Ressourcen einer Domain in einem anderen Wald geben, dann erstellst Du in der Domain des Users eine universale Gruppe. In diese Gruppe nimmst Du die globale Gruppe auf, in der der User ist. Die universale Gruppe wird nun in die lokale Gruppe der anderen Domain des anderen Waldes aufgenommen. Damit erbt die universale Gruppe die Rechte der lokalen. Damit erbt wieder die globale die Rechte der universalen. Und am Ende erbt der User die Rechte aus seiner globalen Gruppe und kann auf die Ressourcen der Domain im anderen Baum zugreifen.
Schlussbemerkung: Man kann auch User direkt in universale Gruppen aufnehmen. Aber das ist nicht empfehlenswert, da dann bei jeder Änderung die Gruppe in der gesamten Welt repliziert werden muss.
hth
Erik
Moin,
danke für die ausführliche Antwort.
Es ist aber kein Forest, sondern zwei einzelne Domänen, die mit einer externen Vertrauensstellung verbunden sind.
Ich kann wie gesagt, keine globalen oder universalen Gruppen der anderen Domäne finden, ausschließlich die Domänenlokalen Gruppen.
danke für die ausführliche Antwort.
Es ist aber kein Forest, sondern zwei einzelne Domänen, die mit einer externen Vertrauensstellung verbunden sind.
Ich kann wie gesagt, keine globalen oder universalen Gruppen der anderen Domäne finden, ausschließlich die Domänenlokalen Gruppen.
@emeriks
Danke, gilt dies nur für externe Vertrauensstellungen? Angenommen ich hätte einen Forest, könnte ich dann das AGUDLP Prinzip wie in der Anleitung beschrieben anwenden?
Danke, gilt dies nur für externe Vertrauensstellungen? Angenommen ich hätte einen Forest, könnte ich dann das AGUDLP Prinzip wie in der Anleitung beschrieben anwenden?
Am Rande:
Jede AD Domain ist in einem Forest. Die erste Domain, welche bei Erstellung keinem vorhandenen Forest beitritt, erstellt einen neuen Forest und ist deswegen auch dessen Root Domain.
Auch innerhalb nur eines Forest werden deswegen kein U-Gruppen gebraucht. Hier gilt genauso AGDLP.
Jede AD Domain ist in einem Forest. Die erste Domain, welche bei Erstellung keinem vorhandenen Forest beitritt, erstellt einen neuen Forest und ist deswegen auch dessen Root Domain.
Auch innerhalb nur eines Forest werden deswegen kein U-Gruppen gebraucht. Hier gilt genauso AGDLP.
Zitat von @emeriks:
Am Rande:
Jede AD Domain ist in einem Forest. Die erste Domain, welche bei Erstellung keinem vorhandenen Forest beitritt, erstellt einen neuen Forest und ist deswegen auch dessen Root Domain.
Auch innerhalb nur eines Forest werden deswegen kein U-Gruppen gebraucht. Hier gilt genauso AGDLP.
Am Rande:
Jede AD Domain ist in einem Forest. Die erste Domain, welche bei Erstellung keinem vorhandenen Forest beitritt, erstellt einen neuen Forest und ist deswegen auch dessen Root Domain.
Auch innerhalb nur eines Forest werden deswegen kein U-Gruppen gebraucht. Hier gilt genauso AGDLP.
Da hast Du recht. Da habe ich einen Fehler gemacht. Ich korrigiere das mal gleich.
<edit>Wie war noch gleich der Tag für durchstreichen?</edit>
Zitat von @erikro:
Moin,
erstmal die Gültigkeit der Gruppen:
Domainlokale Gruppen sind nur in der Domain gültig.
Globale Gruppen sind im gesamten Wald (nicht Baum) gültig.
Universale Gruppen sind in der gesamten Welt (nicht Wald) gültig.
Inhalt der Gruppen:
Domainlokale Gruppen bekommen die Rechte und enthalten als Mitglieder globale und universale Gruppen.
Globale Gruppen enthalten User und Computer (der eigenen Domain).
Universale Gruppen enthalten globale Gruppen.
Willst Du nun einem User Rechte an Ressourcen einer Domain in einem anderen Wald geben, dann erstellst Du in der Domain des Users eine universale Gruppe. In diese Gruppe nimmst Du die globale Gruppe auf, in der der User ist. Die universale Gruppe wird nun in die lokale Gruppe der anderen Domain des anderen Waldes aufgenommen. Damit erbt die universale Gruppe die Rechte der lokalen. Damit erbt wieder die globale die Rechte der universalen. Und am Ende erbt der User die Rechte aus seiner globalen Gruppe und kann auf die Ressourcen der Domain im anderen Baum zugreifen.
Schlussbemerkung: Man kann auch User direkt in universale Gruppen aufnehmen. Aber das ist nicht empfehlenswert, da dann bei jeder Änderung die Gruppe in der gesamten Welt repliziert werden muss.
hth
Erik
Moin,
erstmal die Gültigkeit der Gruppen:
Domainlokale Gruppen sind nur in der Domain gültig.
Globale Gruppen sind im gesamten Wald (nicht Baum) gültig.
Universale Gruppen sind in der gesamten Welt (nicht Wald) gültig.
Inhalt der Gruppen:
Domainlokale Gruppen bekommen die Rechte und enthalten als Mitglieder globale und universale Gruppen.
Globale Gruppen enthalten User und Computer (der eigenen Domain).
Universale Gruppen enthalten globale Gruppen.
Willst Du nun einem User Rechte an Ressourcen einer Domain in einem anderen Wald geben, dann erstellst Du in der Domain des Users eine universale Gruppe. In diese Gruppe nimmst Du die globale Gruppe auf, in der der User ist. Die universale Gruppe wird nun in die lokale Gruppe der anderen Domain des anderen Waldes aufgenommen. Damit erbt die universale Gruppe die Rechte der lokalen. Damit erbt wieder die globale die Rechte der universalen. Und am Ende erbt der User die Rechte aus seiner globalen Gruppe und kann auf die Ressourcen der Domain im anderen Baum zugreifen.
Schlussbemerkung: Man kann auch User direkt in universale Gruppen aufnehmen. Aber das ist nicht empfehlenswert, da dann bei jeder Änderung die Gruppe in der gesamten Welt repliziert werden muss.
hth
Erik
Habe das jetzt so umgesetzt wie @emeriks im ersten Kommentar beschrieben hat.
Anders ist das auch nicht möglich, die Namensgebung ist aber irritierend, kann man mir erzählen was man will.
Scopes und mögliche Gruppenmitgliedschaften:
Universal = Universale und Globale Gruppen der eigenen Domäne
Global = Globale Gruppen der eigenen Domäne
Lokal ( in Domäne) = Lokale, Globale und universale Gruppen der eigenen Domäne + Globale und Universale Gruppen der entfernten Domäne.
Es bleibt also beim AGDLP Prinzip.
Falls Falsch unbedingt intervenieren.
Anders ist das auch nicht möglich, die Namensgebung ist aber irritierend, kann man mir erzählen was man will.
Scopes und mögliche Gruppenmitgliedschaften:
Universal = Universale und Globale Gruppen der eigenen Domäne
Global = Globale Gruppen der eigenen Domäne
Lokal ( in Domäne) = Lokale, Globale und universale Gruppen der eigenen Domäne + Globale und Universale Gruppen der entfernten Domäne.
Es bleibt also beim AGDLP Prinzip.
Falls Falsch unbedingt intervenieren.
Zitat von @Mindestens6:
... die Namensgebung ist aber irritierend, kann man mir erzählen was man will.
Man muss das aus der Historie betrachten. Dann passt das. ... die Namensgebung ist aber irritierend, kann man mir erzählen was man will.
Scopes und mögliche Gruppenmitgliedschaften:
Nicht ganz richtig.- Universelle Gruppen
- Mitglieder aus der eigenen Gesamtstruktur
- Universale Gruppen
- Globale Gruppen
- Benutzer
- Computer
- Global Gruppen
- Mitglieder aus der eigenen Domäne
- Globale Gruppen
- Benutzer
- Computer
- Domänenlokale Gruppen
- Mitglieder aus der eigenen Domäne
- Domänenlokale Gruppen
- Globale Gruppen
- Universelle Gruppen
- Benutzer
- Computer
- Mitglieder aus allen vertrauten Domänen
- Globale Gruppen
- Universelle Gruppen
- Benutzer
- Computer
1
Top Administrator, gerne wieder.
5*
5*
