Authentifzierung über Stammdomain bei Clients in Subdomain - Frage zum Ablauf
Hallo,
kleine Subdomain an einer großen Stammdomain in welcher die Accounts zentral vorgehalten sind.
derzeit nutzen nur 50 Client mit 50usern (jeder User hat i.d.r. einen eigenen PC) die Domain... es sollen mittelfristig weitere 500 Clients in
die Subdomain.. Ich habe eine Verständnisfrage:
Wir haben hier zwei DCs welche die Subdomain SUB.AD zu unserer zentralen Domain AD zur verfügung stellen
Auf dem ersten DC ist der GC, RID; Infrastructure und PDC wie auch DNS (die Schemarolle und Domainowner liegen natürlich bei einem AD-DC
Der zweite DC hat "nur" DNS
Zusätzlich besteht ein Fileserver welcher WSUS und einen Antivirenconsole für die Clients zur Verfügung stellt.
So...
nun haben wir auch schon zig Clients an der SUB.AD und ich bin mir nicht sicher ob das was mir vorschwebt überhaupt sinnvoll ist:
wir wollen auch alle weiteren Clients in unsere SUB.AD Subdomain packen aber auch noch alle folgenden User werden sich bis auf wenige Ausnahmen *stets mit den Konten
aus der Stammdomain* authenfizieren. (Eigene Kontenhaltung ist nicht erwünscht weil in ein Zwei Jahren eh das Identitiymanagement (?) zentral
erfolgen soll. Vermutlich eben mit eben diesen Konten aus der Stammdomain AD.)
Meine erste Frage hierzu :
...ist das überhaupt sinnvoll eine Subdomain zu halten wenn die Authenfizierung über die Stammdomain läuft (sagt ja, da hängt mein Arbeitsplatz dran)
...wie erfolgt denn da nun die Authentifizierung wenn diese auf den Clients unserer Subdomain ausschließlich gegen Konten der Stammdomain geschieht:
gegen unseren DC? gegen einen/unseren Globalen Catalog? Oder gegen den DC von drüben?
Eingetragen ist bei den Clients an erster Stelle der zweite DC von uns der ja nur über DNS verfügt und nicht der DC1 (jener mit dem GC) gefolgt von zwei DCs aus der Stammdomain...
Welche Rolle spielen in unserem Szenario die DCs aus der Stammdomain?
Viele Grüße und Danke!
kleine Subdomain an einer großen Stammdomain in welcher die Accounts zentral vorgehalten sind.
derzeit nutzen nur 50 Client mit 50usern (jeder User hat i.d.r. einen eigenen PC) die Domain... es sollen mittelfristig weitere 500 Clients in
die Subdomain.. Ich habe eine Verständnisfrage:
Wir haben hier zwei DCs welche die Subdomain SUB.AD zu unserer zentralen Domain AD zur verfügung stellen
Auf dem ersten DC ist der GC, RID; Infrastructure und PDC wie auch DNS (die Schemarolle und Domainowner liegen natürlich bei einem AD-DC
Der zweite DC hat "nur" DNS
Zusätzlich besteht ein Fileserver welcher WSUS und einen Antivirenconsole für die Clients zur Verfügung stellt.
So...
nun haben wir auch schon zig Clients an der SUB.AD und ich bin mir nicht sicher ob das was mir vorschwebt überhaupt sinnvoll ist:
wir wollen auch alle weiteren Clients in unsere SUB.AD Subdomain packen aber auch noch alle folgenden User werden sich bis auf wenige Ausnahmen *stets mit den Konten
aus der Stammdomain* authenfizieren. (Eigene Kontenhaltung ist nicht erwünscht weil in ein Zwei Jahren eh das Identitiymanagement (?) zentral
erfolgen soll. Vermutlich eben mit eben diesen Konten aus der Stammdomain AD.)
Meine erste Frage hierzu :
...ist das überhaupt sinnvoll eine Subdomain zu halten wenn die Authenfizierung über die Stammdomain läuft (sagt ja, da hängt mein Arbeitsplatz dran)
...wie erfolgt denn da nun die Authentifizierung wenn diese auf den Clients unserer Subdomain ausschließlich gegen Konten der Stammdomain geschieht:
gegen unseren DC? gegen einen/unseren Globalen Catalog? Oder gegen den DC von drüben?
Eingetragen ist bei den Clients an erster Stelle der zweite DC von uns der ja nur über DNS verfügt und nicht der DC1 (jener mit dem GC) gefolgt von zwei DCs aus der Stammdomain...
Welche Rolle spielen in unserem Szenario die DCs aus der Stammdomain?
Viele Grüße und Danke!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 146156
Url: https://administrator.de/forum/authentifzierung-ueber-stammdomain-bei-clients-in-subdomain-frage-zum-ablauf-146156.html
Ausgedruckt am: 22.12.2024 um 09:12 Uhr
2 Kommentare
Neuester Kommentar
Servus,
nochmal zum mitschreiben: Die Clients, also die Computerkonten befinden sich in der Subdomäne und die Benutzerkonten aber in der Root-Domäne.
Die Benutzer aus der Root-Domäne könnten sich dann an den Clients aus der Subdomäne, aber nur an der Root-Domäne authentisieren.
Die Benutzer können sich nicht an der Subdomäne anmelden, denn die Benutzerkonten existieren doch nur in der Root- und nicht in der Subdomäne.
Ich stelle das Konzept sehr in Frage! Und sinnvoll ist was anderes.
Wie oben geschrieben. Garnicht! Die Benutzer können sich zwar an den Clients authentisieren, dafür aber nur an der Root-Domäne.
Nur an einem DC aus der Root-Domäne! Der DC aus der Subdomäne kennt die Benutzer doch garnicht.
Euer Konstrukt ist mir bisher noch nicht begegnet. Ich kenne die Szenarien mit einer "leeren" Root-Domäne, oder das sich die Ressourcen ausschließlich
in der Root-Domäne und die Konten sich in der Subdomäne befinden. Aber das in der Root die Benutzer und die Clients sich in der Subdomäne befinden,
ist mir neu. Warum ihr dieses Design gewählt habt und welche Rolle die DCs aus der Root-Domäne haben müsst ihr doch wissen.
Viele Grüße
/ > Yusuf Dikmenoglu
Zitat von @dankon7goo:
Meine erste Frage hierzu :
...ist das überhaupt sinnvoll eine Subdomain zu halten wenn die Authenfizierung über die Stammdomain läuft (sagt
ja, da hängt mein Arbeitsplatz dran)
Meine erste Frage hierzu :
...ist das überhaupt sinnvoll eine Subdomain zu halten wenn die Authenfizierung über die Stammdomain läuft (sagt
ja, da hängt mein Arbeitsplatz dran)
nochmal zum mitschreiben: Die Clients, also die Computerkonten befinden sich in der Subdomäne und die Benutzerkonten aber in der Root-Domäne.
Die Benutzer aus der Root-Domäne könnten sich dann an den Clients aus der Subdomäne, aber nur an der Root-Domäne authentisieren.
Die Benutzer können sich nicht an der Subdomäne anmelden, denn die Benutzerkonten existieren doch nur in der Root- und nicht in der Subdomäne.
Ich stelle das Konzept sehr in Frage! Und sinnvoll ist was anderes.
...wie erfolgt denn da nun die Authentifizierung wenn diese auf den Clients unserer Subdomain ausschließlich gegen Konten
der Stammdomain geschieht:
der Stammdomain geschieht:
Wie oben geschrieben. Garnicht! Die Benutzer können sich zwar an den Clients authentisieren, dafür aber nur an der Root-Domäne.
gegen unseren DC? gegen einen/unseren Globalen Catalog? Oder gegen den DC von drüben?
Nur an einem DC aus der Root-Domäne! Der DC aus der Subdomäne kennt die Benutzer doch garnicht.
Welche Rolle spielen in unserem Szenario die DCs aus der Stammdomain?
Euer Konstrukt ist mir bisher noch nicht begegnet. Ich kenne die Szenarien mit einer "leeren" Root-Domäne, oder das sich die Ressourcen ausschließlich
in der Root-Domäne und die Konten sich in der Subdomäne befinden. Aber das in der Root die Benutzer und die Clients sich in der Subdomäne befinden,
ist mir neu. Warum ihr dieses Design gewählt habt und welche Rolle die DCs aus der Root-Domäne haben müsst ihr doch wissen.
Viele Grüße
/ > Yusuf Dikmenoglu