7
Frage zur Kaskadierung AD-DS
Guten Tag,
Ist es irgendwie möglich, folgendes Szenario in die Realität umzusetzen?
Zur Erklärung: Das Mutterunternehmen hat zwei Tochterunternehmen aquiriert. Die AD-Domäne dieses Mutterunternehmens heisst ad.Unternehemnsname.de. Die eine Tochterfirma ist bereits über eine Subdomäne an das AD des Mutterunternehmens angebunden (Hinzufügen einer neuen Domäne in eine bestehende Gesamtstruktur).
Teilfrage1)
Ist es dadurch irgendwie möglich, dass die Mutterfirma in ihrem AD einige OUs anlegt, die die jeweiligen Tochterfirmen repräsentieren? Aus der Sicht der Tochterfirmen ist es aber ein vollständiges AD.
Teilfrage2)
Wie ist es bei der zweiten Tochterfirma, die noch ihr eigenständiges AD betreibt? Ist es bei dem auch möglich (wenn überhaupt) dass dieses AD aus Sicht der Mutterfirma nur eine OU ist?
Grüße
Phil
Ist es irgendwie möglich, folgendes Szenario in die Realität umzusetzen?
Zur Erklärung: Das Mutterunternehmen hat zwei Tochterunternehmen aquiriert. Die AD-Domäne dieses Mutterunternehmens heisst ad.Unternehemnsname.de. Die eine Tochterfirma ist bereits über eine Subdomäne an das AD des Mutterunternehmens angebunden (Hinzufügen einer neuen Domäne in eine bestehende Gesamtstruktur).
Teilfrage1)
Ist es dadurch irgendwie möglich, dass die Mutterfirma in ihrem AD einige OUs anlegt, die die jeweiligen Tochterfirmen repräsentieren? Aus der Sicht der Tochterfirmen ist es aber ein vollständiges AD.
Teilfrage2)
Wie ist es bei der zweiten Tochterfirma, die noch ihr eigenständiges AD betreibt? Ist es bei dem auch möglich (wenn überhaupt) dass dieses AD aus Sicht der Mutterfirma nur eine OU ist?
Grüße
Phil
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 520341
Url: https://administrator.de/contentid/520341
Ausgedruckt am: 23.11.2024 um 22:11 Uhr
7 Kommentare
Neuester Kommentar
Hi,
zu 1)
Nein, da kann man nichts "mappen". Du könntest nur neue Parallel-Konten erstellen.
Das wäre aber nicht notwendig, denn
Laut Bild haben beide Töchter ein eigenes AD. Was denn nun?
E.
zu 1)
Nein, da kann man nichts "mappen". Du könntest nur neue Parallel-Konten erstellen.
Das wäre aber nicht notwendig, denn
- Kann man bei entsprechenden Vertrauensstellungen mit den Konten "überkreuz" arbeiten.
- Wenn, dann könnte man die Konten mittels ADMT migrieren und das alte AD der eingekauften Fa. dann einstanzen.
Laut Bild haben beide Töchter ein eigenes AD. Was denn nun?
E.
Moin,
Diese Aussage ist schonmal falsch. Die Tochter1 hat weiterhin ihr eigenes vom AD der Mutter unabhängiges AD. Lediglich globale (und universelle) Gruppen sind in beiden gegenseitig sichtbar und können verwendet werden. Es besteht eine implizite bidirektionale Vertrauensstellung, da die Tocher1 eine Subdomain der Mutter ist. Die beiden ADs sind aber weiterhin getrennt.
Daraus ergibt sich auch sofort die Antwort auf Deine Frage: Nein, das ist nicht möglich und auch nicht notwendig.
Ich vermute mal, dass sie auch nicht Teil des Forest ist. Dann ist überhaupt nichts möglich. Entweder wird das Teil des forest. Dann kannst Du explizite Vertrauensstellungen einrichten. Oder Es wird auch eine Subdomain. Dann gilt wieder das, was oben steht.
Hier noch was zum Lesen: http://openbook.rheinwerk-verlag.de/windows_server_2012r2/08_001.html#d ...
Liebe Grüße
Erik
Zitat von @IT-Pro:
Ist es irgendwie möglich, folgendes Szenario in die Realität umzusetzen?
Zur Erklärung: Das Mutterunternehmen hat zwei Tochterunternehmen aquiriert. Die AD-Domäne dieses Mutterunternehmens heisst ad.Unternehemnsname.de. Die eine Tochterfirma ist bereits über eine Subdomäne an das AD des Mutterunternehmens angebunden (Hinzufügen einer neuen Domäne in eine bestehende Gesamtstruktur).
Ist es irgendwie möglich, folgendes Szenario in die Realität umzusetzen?
Zur Erklärung: Das Mutterunternehmen hat zwei Tochterunternehmen aquiriert. Die AD-Domäne dieses Mutterunternehmens heisst ad.Unternehemnsname.de. Die eine Tochterfirma ist bereits über eine Subdomäne an das AD des Mutterunternehmens angebunden (Hinzufügen einer neuen Domäne in eine bestehende Gesamtstruktur).
Diese Aussage ist schonmal falsch. Die Tochter1 hat weiterhin ihr eigenes vom AD der Mutter unabhängiges AD. Lediglich globale (und universelle) Gruppen sind in beiden gegenseitig sichtbar und können verwendet werden. Es besteht eine implizite bidirektionale Vertrauensstellung, da die Tocher1 eine Subdomain der Mutter ist. Die beiden ADs sind aber weiterhin getrennt.
Teilfrage1)
Ist es dadurch irgendwie möglich, dass die Mutterfirma in ihrem AD einige OUs anlegt, die die jeweiligen Tochterfirmen repräsentieren? Aus der Sicht der Tochterfirmen ist es aber ein vollständiges AD.
Ist es dadurch irgendwie möglich, dass die Mutterfirma in ihrem AD einige OUs anlegt, die die jeweiligen Tochterfirmen repräsentieren? Aus der Sicht der Tochterfirmen ist es aber ein vollständiges AD.
Daraus ergibt sich auch sofort die Antwort auf Deine Frage: Nein, das ist nicht möglich und auch nicht notwendig.
Teilfrage2)
Wie ist es bei der zweiten Tochterfirma, die noch ihr eigenständiges AD betreibt? Ist es bei dem auch möglich (wenn überhaupt) dass dieses AD aus Sicht der Mutterfirma nur eine OU ist?
Wie ist es bei der zweiten Tochterfirma, die noch ihr eigenständiges AD betreibt? Ist es bei dem auch möglich (wenn überhaupt) dass dieses AD aus Sicht der Mutterfirma nur eine OU ist?
Ich vermute mal, dass sie auch nicht Teil des Forest ist. Dann ist überhaupt nichts möglich. Entweder wird das Teil des forest. Dann kannst Du explizite Vertrauensstellungen einrichten. Oder Es wird auch eine Subdomain. Dann gilt wieder das, was oben steht.
Hier noch was zum Lesen: http://openbook.rheinwerk-verlag.de/windows_server_2012r2/08_001.html#d ...
Liebe Grüße
Erik
Moin
Naja... Eine Vetrauensstellung einzurichten setzt nicht voraus, dass die Domänen Teil einer Gesamtstruktur sind. Dort sind tansitive Vertrauensstellungen ja bereits Teil der Grundimplementierung.
Was ist hier aber überhaupt die Zielvorstellung? Für "Tochterfirma 1" ist doch ohnehin alles kein Problem. Da sie als Subdomäne eingerichtet ist, kann sie auch durch die Stammdomäne mit administriert werden. Die automatisch vorhandene Vertrauensstellung erlaubt den gegenseitigen Zugriff.
Für "Tochterfirma 2" wird eine Vertrauensstellung eingerichtet und irgendwann einmal wird bei einer Migration das dann in die eigene Gesamtstruktur überführt. Ob als Teil der Stammdomäne oder weitere Subdomäne muss man von den Begebenheiten abhängig machen.
Gruß
Hubert
(...), dass sie auch nicht Teil des Forest ist. Dann ist überhaupt nichts möglich. Entweder wird das Teil des forest. Dann kannst Du explizite Vertrauensstellungen einrichten. Oder Es wird auch eine Subdomain.
Naja... Eine Vetrauensstellung einzurichten setzt nicht voraus, dass die Domänen Teil einer Gesamtstruktur sind. Dort sind tansitive Vertrauensstellungen ja bereits Teil der Grundimplementierung.
Was ist hier aber überhaupt die Zielvorstellung? Für "Tochterfirma 1" ist doch ohnehin alles kein Problem. Da sie als Subdomäne eingerichtet ist, kann sie auch durch die Stammdomäne mit administriert werden. Die automatisch vorhandene Vertrauensstellung erlaubt den gegenseitigen Zugriff.
Für "Tochterfirma 2" wird eine Vertrauensstellung eingerichtet und irgendwann einmal wird bei einer Migration das dann in die eigene Gesamtstruktur überführt. Ob als Teil der Stammdomäne oder weitere Subdomäne muss man von den Begebenheiten abhängig machen.
Gruß
Hubert
Sers,
warum nicht direkt von der Quelle?
Microsoft Docs: Active Directory-Verbunddienste (AD FS)
Auf WindowsPro gibt es eine nette Zusammenfassung
Grüße,
Philip
warum nicht direkt von der Quelle?
Microsoft Docs: Active Directory-Verbunddienste (AD FS)
Auf WindowsPro gibt es eine nette Zusammenfassung
Grüße,
Philip
Hallo @Hubert.N:^^
Moin
Und hier setzt meine Frage an, ob es irgendwie möglich ist, die Tochter2 in Form einer OU in die Stammdomäne zu integrieren und es für den bisherigen Admin der Tochter2 noch immer eine (scheinbar) eigenständige Domäne ist. Bzw. Er nur den Teil der Tochter2 sehen kann.
LG
Phil
Moin
Für "Tochterfirma 2" wird eine Vertrauensstellung eingerichtet und irgendwann einmal wird bei einer Migration das dann in die eigene Gesamtstruktur überführt. Ob als Teil der Stammdomäne oder weitere Subdomäne muss man von den Begebenheiten abhängig machen.
Und hier setzt meine Frage an, ob es irgendwie möglich ist, die Tochter2 in Form einer OU in die Stammdomäne zu integrieren und es für den bisherigen Admin der Tochter2 noch immer eine (scheinbar) eigenständige Domäne ist. Bzw. Er nur den Teil der Tochter2 sehen kann.
LG
Phil
Hi,
siehe z.B.
ADMT -Active Directory Migration Toolkit
https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/dele ...
Zitat von @IT-Pro:
Und hier setzt meine Frage an, ob es irgendwie möglich ist, die Tochter2 in Form einer OU in die Stammdomäne zu integrieren und es für den bisherigen Admin der Tochter2 noch immer eine (scheinbar) eigenständige Domäne ist. Bzw. Er nur den Teil der Tochter2 sehen kann.
Ja, mittels Migration der Benutzer, Computer und Gruppen mit ADMT in eine OU und der Delegierung der Verwaltungsberechtigungen für eine OU und deren Unterobjekte.Und hier setzt meine Frage an, ob es irgendwie möglich ist, die Tochter2 in Form einer OU in die Stammdomäne zu integrieren und es für den bisherigen Admin der Tochter2 noch immer eine (scheinbar) eigenständige Domäne ist. Bzw. Er nur den Teil der Tochter2 sehen kann.
siehe z.B.
ADMT -Active Directory Migration Toolkit
https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/dele ...
Danke an alle für eure Hilfe und Zeit! Hat mich gefreut.
