Gesamtstrukturvertrauensstellung
Hi,
richtet man eine Gesamtstrukturvertrauensstellung zwischen 2 Domänen in unterschiedlichen Gesamtstrukturen ein, kann ein Benutzer aus einer Domäne Zugriff auf alle Ressourcen der beiden Gesamststrukturen erhalten. Das liegt daran, da diese Art der Vertrauensstellung transitiv ist, d.h. der Benutzer erhält nicht nur Zugriff auf die Ressourcen der Domäne mit der die Vertrauensstellung explizit eingerichtet worden ist, sondern auch zu den vertrauenden Domänen, was in einer Gesamtstruktur bekanntlich alle sind.
Muss dabei die Gesamtstrukturvertrauensstellung zwischen den beiden Stammdomänen der Gesamtstrukturen eingerichtet werden oder geht das auch mit Unterdomänen? Aufgrund der Tatsache, dass sich in einer Gesamtstruktur alle Domänen untereinander vertrauen, müsste es doch auch mit den Unterdomänen gehen oder?
Danke.
richtet man eine Gesamtstrukturvertrauensstellung zwischen 2 Domänen in unterschiedlichen Gesamtstrukturen ein, kann ein Benutzer aus einer Domäne Zugriff auf alle Ressourcen der beiden Gesamststrukturen erhalten. Das liegt daran, da diese Art der Vertrauensstellung transitiv ist, d.h. der Benutzer erhält nicht nur Zugriff auf die Ressourcen der Domäne mit der die Vertrauensstellung explizit eingerichtet worden ist, sondern auch zu den vertrauenden Domänen, was in einer Gesamtstruktur bekanntlich alle sind.
Muss dabei die Gesamtstrukturvertrauensstellung zwischen den beiden Stammdomänen der Gesamtstrukturen eingerichtet werden oder geht das auch mit Unterdomänen? Aufgrund der Tatsache, dass sich in einer Gesamtstruktur alle Domänen untereinander vertrauen, müsste es doch auch mit den Unterdomänen gehen oder?
Danke.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 63737
Url: https://administrator.de/forum/gesamtstrukturvertrauensstellung-63737.html
Ausgedruckt am: 19.04.2025 um 09:04 Uhr
4 Kommentare
Neuester Kommentar
Ja, das funktioniert auch mit unterdomänen. Die GS-Vertrauensstellung sollte man sowieso nur verwenden wenn zb. ein Unternehmen aufgekauft/Eingegliederd wurde um den Ressourcenzugriff und die Verwaltung zu erleichtern.
Du solltest dir Gedanken machen ob du 2 Domänen einander vertrauen lassen möchtest oder alle Domänen in eine/beiden Gesammtstrukturen.
Ich persönlich verwende GS Vertrauensstellungen möglichst selten. Wenn User aus 3 Domänen in 10 Domänen einer anderen GS Zugriff benötigen, richte ich lieber 10 unidirektionale Vertrauensstellungen zwischen den Domänen ein als beiden Gesammtstrukturen zu vertrauen. Mir schmeckt der Gedanke nicht so richtig das User aus GS1 sich an jedem Server in GS2 Authentifizieren können. Es reicht ja schon wenn man nen Win2K Server default laufen hat und ne freigabe auf d: mit Jeder:F angelegt hat. Wenn es nur eine Domänen-Vertrauensstellung ist, kann man fix noch einmal sämtliche Berechtigungen prüfen ob User aus der anderen GS nicht doch irgendwo Zugreifen können wo sie nicht sollten.
ich entscheide meistens nach folgendem Schema (ist nicht ganz die empfohlene MS-Methode, schmeckt mir aber besser):
Scenario 1:
Mehrere User in Domäne1 in GS1 möchten auf Ressourcen in Domäne1 in GS2 zugreifen.
Domänen-Vertrauensstellung, unidirektional eingehend
Scenario 2:
Mehrere User in Domäne 1 in GS1 möchten Ressource in Domäne1 in GS2 zugreifen und umgekehrt.
Domänen-Vertrauensstellung, bidirektional.
Scenario 3:
Mehrere User in mehreren Domänen in GS1 möchten auf Ressourcen in Domäne2 in GS2 zugreifen.
Mehrere unidirektionale Vertrauensstellungen.
Scenario 4:
Mehrere User in allen Domänen aus GS1 möchten auf Ressourcen in allen Domänen in GS2 zugreifen und umgekehrt.
Gesammtstrukturvertrauensstellung
Du solltest dir Gedanken machen ob du 2 Domänen einander vertrauen lassen möchtest oder alle Domänen in eine/beiden Gesammtstrukturen.
Ich persönlich verwende GS Vertrauensstellungen möglichst selten. Wenn User aus 3 Domänen in 10 Domänen einer anderen GS Zugriff benötigen, richte ich lieber 10 unidirektionale Vertrauensstellungen zwischen den Domänen ein als beiden Gesammtstrukturen zu vertrauen. Mir schmeckt der Gedanke nicht so richtig das User aus GS1 sich an jedem Server in GS2 Authentifizieren können. Es reicht ja schon wenn man nen Win2K Server default laufen hat und ne freigabe auf d: mit Jeder:F angelegt hat. Wenn es nur eine Domänen-Vertrauensstellung ist, kann man fix noch einmal sämtliche Berechtigungen prüfen ob User aus der anderen GS nicht doch irgendwo Zugreifen können wo sie nicht sollten.
ich entscheide meistens nach folgendem Schema (ist nicht ganz die empfohlene MS-Methode, schmeckt mir aber besser):
Scenario 1:
Mehrere User in Domäne1 in GS1 möchten auf Ressourcen in Domäne1 in GS2 zugreifen.
Domänen-Vertrauensstellung, unidirektional eingehend
Scenario 2:
Mehrere User in Domäne 1 in GS1 möchten Ressource in Domäne1 in GS2 zugreifen und umgekehrt.
Domänen-Vertrauensstellung, bidirektional.
Scenario 3:
Mehrere User in mehreren Domänen in GS1 möchten auf Ressourcen in Domäne2 in GS2 zugreifen.
Mehrere unidirektionale Vertrauensstellungen.
Scenario 4:
Mehrere User in allen Domänen aus GS1 möchten auf Ressourcen in allen Domänen in GS2 zugreifen und umgekehrt.
Gesammtstrukturvertrauensstellung