Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Frage zur Kaskadierung AD-DS

Mitglied: IT-Pro

IT-Pro (Level 1) - Jetzt verbinden

29.11.2019, aktualisiert 02.12.2019, 314 Aufrufe, 7 Kommentare

Guten Tag,

Ist es irgendwie möglich, folgendes Szenario in die Realität umzusetzen?
adfrage - Klicke auf das Bild, um es zu vergrößern

Zur Erklärung: Das Mutterunternehmen hat zwei Tochterunternehmen aquiriert. Die AD-Domäne dieses Mutterunternehmens heisst ad.Unternehemnsname.de. Die eine Tochterfirma ist bereits über eine Subdomäne an das AD des Mutterunternehmens angebunden (Hinzufügen einer neuen Domäne in eine bestehende Gesamtstruktur).

Teilfrage1)
Ist es dadurch irgendwie möglich, dass die Mutterfirma in ihrem AD einige OUs anlegt, die die jeweiligen Tochterfirmen repräsentieren? Aus der Sicht der Tochterfirmen ist es aber ein vollständiges AD.

Teilfrage2)
Wie ist es bei der zweiten Tochterfirma, die noch ihr eigenständiges AD betreibt? Ist es bei dem auch möglich (wenn überhaupt) dass dieses AD aus Sicht der Mutterfirma nur eine OU ist?

Grüße
Phil
Mitglied: emeriks
29.11.2019 um 14:11 Uhr
Hi,
zu 1)
Nein, da kann man nichts "mappen". Du könntest nur neue Parallel-Konten erstellen.
Das wäre aber nicht notwendig, denn
  1. Kann man bei entsprechenden Vertrauensstellungen mit den Konten "überkreuz" arbeiten.
  2. Wenn, dann könnte man die Konten mittels ADMT migrieren und das alte AD der eingekauften Fa. dann einstanzen.
zu 2)
Laut Bild haben beide Töchter ein eigenes AD. Was denn nun?

E.
Bitte warten ..
Mitglied: erikro
LÖSUNG 29.11.2019 um 14:21 Uhr
Moin,
Zitat von IT-Pro:
Ist es irgendwie möglich, folgendes Szenario in die Realität umzusetzen?
adfrage - Klicke auf das Bild, um es zu vergrößern

Zur Erklärung: Das Mutterunternehmen hat zwei Tochterunternehmen aquiriert. Die AD-Domäne dieses Mutterunternehmens heisst ad.Unternehemnsname.de. Die eine Tochterfirma ist bereits über eine Subdomäne an das AD des Mutterunternehmens angebunden (Hinzufügen einer neuen Domäne in eine bestehende Gesamtstruktur).

Diese Aussage ist schonmal falsch. Die Tochter1 hat weiterhin ihr eigenes vom AD der Mutter unabhängiges AD. Lediglich globale (und universelle) Gruppen sind in beiden gegenseitig sichtbar und können verwendet werden. Es besteht eine implizite bidirektionale Vertrauensstellung, da die Tocher1 eine Subdomain der Mutter ist. Die beiden ADs sind aber weiterhin getrennt.

Teilfrage1)
Ist es dadurch irgendwie möglich, dass die Mutterfirma in ihrem AD einige OUs anlegt, die die jeweiligen Tochterfirmen repräsentieren? Aus der Sicht der Tochterfirmen ist es aber ein vollständiges AD.

Daraus ergibt sich auch sofort die Antwort auf Deine Frage: Nein, das ist nicht möglich und auch nicht notwendig.

Teilfrage2)
Wie ist es bei der zweiten Tochterfirma, die noch ihr eigenständiges AD betreibt? Ist es bei dem auch möglich (wenn überhaupt) dass dieses AD aus Sicht der Mutterfirma nur eine OU ist?

Ich vermute mal, dass sie auch nicht Teil des Forest ist. Dann ist überhaupt nichts möglich. Entweder wird das Teil des forest. Dann kannst Du explizite Vertrauensstellungen einrichten. Oder Es wird auch eine Subdomain. Dann gilt wieder das, was oben steht.

Hier noch was zum Lesen: http://openbook.rheinwerk-verlag.de/windows_server_2012r2/08_001.html#d ...

Liebe Grüße

Erik
Bitte warten ..
Mitglied: Hubert.N
LÖSUNG 29.11.2019 um 14:43 Uhr
Moin

(...), dass sie auch nicht Teil des Forest ist. Dann ist überhaupt nichts möglich. Entweder wird das Teil des forest. Dann kannst Du explizite Vertrauensstellungen einrichten. Oder Es wird auch eine Subdomain.

Naja... Eine Vetrauensstellung einzurichten setzt nicht voraus, dass die Domänen Teil einer Gesamtstruktur sind. Dort sind tansitive Vertrauensstellungen ja bereits Teil der Grundimplementierung.

Was ist hier aber überhaupt die Zielvorstellung? Für "Tochterfirma 1" ist doch ohnehin alles kein Problem. Da sie als Subdomäne eingerichtet ist, kann sie auch durch die Stammdomäne mit administriert werden. Die automatisch vorhandene Vertrauensstellung erlaubt den gegenseitigen Zugriff.
Für "Tochterfirma 2" wird eine Vertrauensstellung eingerichtet und irgendwann einmal wird bei einer Migration das dann in die eigene Gesamtstruktur überführt. Ob als Teil der Stammdomäne oder weitere Subdomäne muss man von den Begebenheiten abhängig machen.

Gruß

Hubert
Bitte warten ..
Mitglied: psannz
LÖSUNG 29.11.2019 um 16:10 Uhr
Sers,

warum nicht direkt von der Quelle?

Microsoft Docs: Active Directory-Verbunddienste (AD FS)

Auf WindowsPro gibt es eine nette Zusammenfassung

Grüße,
Philip
Bitte warten ..
Mitglied: IT-Pro
02.12.2019 um 17:12 Uhr
Hallo Hubert.N:^^

Moin

Für "Tochterfirma 2" wird eine Vertrauensstellung eingerichtet und irgendwann einmal wird bei einer Migration das dann in die eigene Gesamtstruktur überführt. Ob als Teil der Stammdomäne oder weitere Subdomäne muss man von den Begebenheiten abhängig machen.

Und hier setzt meine Frage an, ob es irgendwie möglich ist, die Tochter2 in Form einer OU in die Stammdomäne zu integrieren und es für den bisherigen Admin der Tochter2 noch immer eine (scheinbar) eigenständige Domäne ist. Bzw. Er nur den Teil der Tochter2 sehen kann.

LG
Phil
Bitte warten ..
Mitglied: emeriks
LÖSUNG 02.12.2019, aktualisiert um 17:17 Uhr
Hi,
Zitat von IT-Pro:
Und hier setzt meine Frage an, ob es irgendwie möglich ist, die Tochter2 in Form einer OU in die Stammdomäne zu integrieren und es für den bisherigen Admin der Tochter2 noch immer eine (scheinbar) eigenständige Domäne ist. Bzw. Er nur den Teil der Tochter2 sehen kann.
Ja, mittels Migration der Benutzer, Computer und Gruppen mit ADMT in eine OU und der Delegierung der Verwaltungsberechtigungen für eine OU und deren Unterobjekte.

siehe z.B.
ADMT -Active Directory Migration Toolkit
https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/dele ...
Bitte warten ..
Mitglied: IT-Pro
05.12.2019 um 15:40 Uhr
Danke an alle für eure Hilfe und Zeit! Hat mich gefreut.
Bitte warten ..
Ähnliche Inhalte
Windows Server
WinServer2016 AD DS
Frage von MaxHannoverWindows Server5 Kommentare

Hallo zusammen, ich habe eine Domäne, in dieser befinden sich mehrere Organisationseinheiten, die Struktur der OU steht also. Nun ...

Windows Userverwaltung
Azure AD jetzt mit AD DS ?
Frage von MichaMschWindows Userverwaltung5 Kommentare

Ich habe vorkurzem einen Mandaten in Azure mit einer Azure AD übernommen. Da wir schon einpaar Policies und Rollen ...

Windows Server

AD DS findet Domäne nicht, behebbar?

gelöst Frage von schapitzWindows Server46 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Visual Studio

Kaskadierung von Fehlermeldungen vermeiden

gelöst Frage von MarcoBornVisual Studio12 Kommentare

Hallo Forum, nachfolgend ein stark vereinfachter Beispiel-Code, der in der Sub-Prozedur einen Fehler erzeugt. Beim Starten der Main-Prozedur werden ...

Neue Wissensbeiträge
Viren und Trojaner
Trend Micro WFBS 10 SP1 Patch 2185
Tipp von Abramelin vor 7 StundenViren und Trojaner

Hi, Hab gerade gesehen das Patch 2185 für TM WFBS 10 SP1 erschienen ist! Werde mal Morgen den Patch ...

Viren und Trojaner

Neuer Virus lässt Windows im abgesicherten Modus starten

Tipp von transocean vor 11 StundenViren und Trojaner2 Kommentare

Moin, lest selbst. Grüße Uwe

Sicherheit
Böser Bug in Domänenkennwortrichtlinie!
Information von DerWoWusste vor 16 StundenSicherheit1 Kommentar

Ich spiegele mal Borncity: In Kürze: Nutzt Ihr eine Domänen-Kennwortrichtlinie der herkömmlichen Art (keine PSO-Richtlinie)? Ja? Und plant Ihr, ...

Windows Tools
7-Zip v19.0 MSI silent uninstall
Tipp von Dirmhirn vor 1 TagWindows Tools5 Kommentare

Hi, ich versuchte grade 7-Zip v19.0 MSI silent zu deinstallieren. mit msiexec /x stürzt mir immer der Explorer ab. ...

Heiß diskutierte Inhalte
Sicherheitsgrundlagen
Sperrung der IMAP Aktivierung: GMail für Apple Mail - in einer Schul-Google-Suite
Frage von lazylandSicherheitsgrundlagen15 Kommentare

Hallo, ich würde mich sehr über Eure Einschätzung und Rat freuen: Der Administrator einer Google Suite (Schule) löscht aus ...

Windows 10
Win10 Remote Desktop User anders
Frage von ludibubiWindows 1014 Kommentare

Folgende Situation: Auf meinem Rechner (Win10) in der Firma (Domänen-Netzwerk) starte ich abends bevor ich gehe einen Newsletterversand. Damit ...

Windows 8
Snipping Tool Alternative für bzw ab Windows 8.1
gelöst Frage von schmitziWindows 814 Kommentare

Hallo, ich suche für Windows 8.1 eine Alternative für das bordeigene Snipping Tool von MS, vielleicht weiss ja jemand ...

Server-Hardware
Anschaffung neuer Server
Frage von tschip1801Server-Hardware14 Kommentare

unsere Firma bekommt einen neuen Server, ich bin schon sehr lange nicht mehr so tief im geschehen um hier ...