Benutzern einer AD Subdomain die Anmeldung an der Hauptdomain verbieten ?
Hallo liebe IT´ler,
ich habe eine Haupdomain in einem AD nennen wir sie Test.de, darunter habe ich eine Subdomain erstellt sub1.
Ich möchte gern verhindern das sich Benutzer die es in Sub1 gibt an die Test.de Anmelden können.
Leider ist es eine Subdomain in einer Gesamtstruktur, dadurch wird ja die Automatisch eine Bidirectionale Transitive Vertrauensstellung erstellt, die man im ersten moment auch nicht verändern kann.
Mein Domain Level ist : Windows Server 2003 für die Gesamtstruktur und Domain.
Gruß
Mario
ich habe eine Haupdomain in einem AD nennen wir sie Test.de, darunter habe ich eine Subdomain erstellt sub1.
Ich möchte gern verhindern das sich Benutzer die es in Sub1 gibt an die Test.de Anmelden können.
Leider ist es eine Subdomain in einer Gesamtstruktur, dadurch wird ja die Automatisch eine Bidirectionale Transitive Vertrauensstellung erstellt, die man im ersten moment auch nicht verändern kann.
Mein Domain Level ist : Windows Server 2003 für die Gesamtstruktur und Domain.
Gruß
Mario
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 191610
Url: https://administrator.de/contentid/191610
Ausgedruckt am: 26.11.2024 um 00:11 Uhr
4 Kommentare
Neuester Kommentar
Hi,
ich hab so etwas zwar noch nie selbst eingerichtet, aber allein wenn man sich einmal die Einstellungen ansieht und in der Hilfe nachschlägt, findet man dort direkt die Lösung. Was du schreibst über die Vertrauensstellung ist korrekt, dies entspricht der Standardeinstellung, diese kann aber geändert werden.
Active Directory Domänen und Vertrauensstellungen, dann auf die Domäne | Eigenschaften und unter Vertrauensstellungen eine neue Vertrauensstellung einrichten.
Hier auch der Auszug aus der Hilfe:
Vertrauensstellungen in den Betriebssystemen Windows Server 2003 und Windows 2000 Server
Alle Vertrauensstellungen in einer Windows 2000- und Windows Server 2003-Gesamtstruktur sind transitive, bidirektionale Vertrauensstellungen. Deshalb wird beiden Domänen in einer Vertrauensstellung vertraut. Aus der folgenden Abbildung ist Folgendes ersichtlich: Wenn Domäne A Domäne B vertraut und Domäne B Domäne C vertraut, können Benutzer aus Domäne C auf Ressourcen in Domäne A zugreifen (sofern sie über die entsprechenden Berechtigungen verfügen).
Der Vertrauenstyp und die zugehörige Richtung beeinflussen den Vertrauenspfad, der für die Authentifizierung verwendet wird. Im Vertrauenspfad sind die Vertrauensstellungen zusammengefasst, die Authentifizierungsanforderungen zwischen Domänen durchlaufen müssen. Bevor ein Benutzer auf eine Ressource einer anderen Domäne zugreifen kann, muss durch das Sicherheitssystem auf Domänencontroller unter Windows Server 2003 festgestellt werden, ob zwischen der vertrauenden Domäne (in der die Ressource enthalten ist, auf die der Benutzer zugreifen möchte) und der vertrauenswürdigen Domäne (der Anmeldedomäne des Benutzers) eine Vertrauensstellung besteht. Zu diesem Zweck wird der Vertrauenspfad zwischen einem Domänencontroller in der vertrauenden Domäne und einem Domänencontroller in der vertrauenswürdigen Domäne vom Sicherheitssystem berechnet. In der folgenden Abbildung sind die Vertrauenspfade durch Pfeile gekennzeichnet. Diese geben an, in welche Richtung der Vertrauenspfad verläuft:
Ich hoffe das hilft dir schon mal weiter... die Hilfe ist an der Stelle recht ausführlich.
Gruß
ich hab so etwas zwar noch nie selbst eingerichtet, aber allein wenn man sich einmal die Einstellungen ansieht und in der Hilfe nachschlägt, findet man dort direkt die Lösung. Was du schreibst über die Vertrauensstellung ist korrekt, dies entspricht der Standardeinstellung, diese kann aber geändert werden.
Active Directory Domänen und Vertrauensstellungen, dann auf die Domäne | Eigenschaften und unter Vertrauensstellungen eine neue Vertrauensstellung einrichten.
Hier auch der Auszug aus der Hilfe:
Vertrauensstellungen in den Betriebssystemen Windows Server 2003 und Windows 2000 Server
Alle Vertrauensstellungen in einer Windows 2000- und Windows Server 2003-Gesamtstruktur sind transitive, bidirektionale Vertrauensstellungen. Deshalb wird beiden Domänen in einer Vertrauensstellung vertraut. Aus der folgenden Abbildung ist Folgendes ersichtlich: Wenn Domäne A Domäne B vertraut und Domäne B Domäne C vertraut, können Benutzer aus Domäne C auf Ressourcen in Domäne A zugreifen (sofern sie über die entsprechenden Berechtigungen verfügen).
Der Vertrauenstyp und die zugehörige Richtung beeinflussen den Vertrauenspfad, der für die Authentifizierung verwendet wird. Im Vertrauenspfad sind die Vertrauensstellungen zusammengefasst, die Authentifizierungsanforderungen zwischen Domänen durchlaufen müssen. Bevor ein Benutzer auf eine Ressource einer anderen Domäne zugreifen kann, muss durch das Sicherheitssystem auf Domänencontroller unter Windows Server 2003 festgestellt werden, ob zwischen der vertrauenden Domäne (in der die Ressource enthalten ist, auf die der Benutzer zugreifen möchte) und der vertrauenswürdigen Domäne (der Anmeldedomäne des Benutzers) eine Vertrauensstellung besteht. Zu diesem Zweck wird der Vertrauenspfad zwischen einem Domänencontroller in der vertrauenden Domäne und einem Domänencontroller in der vertrauenswürdigen Domäne vom Sicherheitssystem berechnet. In der folgenden Abbildung sind die Vertrauenspfade durch Pfeile gekennzeichnet. Diese geben an, in welche Richtung der Vertrauenspfad verläuft:
Ich hoffe das hilft dir schon mal weiter... die Hilfe ist an der Stelle recht ausführlich.
Gruß
Zitat von @mariofu:
ich habe eine Haupdomain in einem AD nennen wir sie Test.de, darunter habe ich eine Subdomain erstellt sub1.
Ich möchte gern verhindern das sich Benutzer die es in Sub1 gibt an die Test.de Anmelden können.
ich habe eine Haupdomain in einem AD nennen wir sie Test.de, darunter habe ich eine Subdomain erstellt sub1.
Ich möchte gern verhindern das sich Benutzer die es in Sub1 gibt an die Test.de Anmelden können.
Es ist zwar schon etwas länger her, dass ich mich eingehender mit der Administration von Windows-Domänen beschäftigt habe, aber ich vermute, dass Du Dich hier ungenau ausdrückst. Wenn ich mich recht entsinne, melden sich die Benutzer der Subdomain eben nicht an der Hauptdomain an, sondern an der Subdomain. Jedoch kann ein Benutzer aus der Subdomain aufgrund der Vertrauensstellung auch Ressorcen der Hauptdomain nutzen, wenn (und nur soweit) ihm die Berechtigung dazu erteilt wurde. Ich vermute, dass Du lediglich die Benutzung eines PCs der Hauptdomain unter Authentifizierung gegenüber der Subdomain verhindern möchtest. Dieses Recht sollte sich per Gruppenrichtlinie implizit entziehen und/oder explizit verweigern lassen.
An den Default-mäßigen Vertrauenstellungen solltest Du möglichst nichts ändern!
Gruß
sk