5
GPOs unterschiedlicher Domänen innerhalb eines Domänentrusts
Moin,
wird haben aktuell ein GPO Problem. Wir haben zwei Firmen, die sich mehrere Ressourcen teilen und wo die Domänen sich gegenseitig (transitiv) vertrauen. Bisher wurden alle Rechner und Benutzer auf einer Domäne erstellen und haben sich die Freigaben und Ressourcen von zweiten Server hinzugemappt. Die GPO waren auch nur auf dem ersten Server vorhanden.
Jetzt soll aufgrund von Datenschutz doch eine größere Trennung erfolgen. D.h. es gibt Benutzerkonten in beiden Domänen. Die Rechner (sollen) aber in der alten Domäne bleiben. Wenn ich nun ein Nutzer auf der zweiten Domäne anlege und dort auch eine GPO erstelle für eine Freigabe in der zweiten Domäne (Berechtigung passt), wird diese beim Anmelden nicht gezogen, obwohl alles analog zu der ersten Domäne angelegt wurde, wo die GPO gezogen werden.
Es handelt sich hier um NLW per GPO, diese werden im User Kontext ausgeführt. D.h ja, dass der neue User in der neuen Domäne die GPO der neuen Domäne ja auch ziehen sollte... Tut er aber (offensichtlich) nicht.
Jemand ne Idee, wo hier der Fehler ist...?
cheers,
tob
wird haben aktuell ein GPO Problem. Wir haben zwei Firmen, die sich mehrere Ressourcen teilen und wo die Domänen sich gegenseitig (transitiv) vertrauen. Bisher wurden alle Rechner und Benutzer auf einer Domäne erstellen und haben sich die Freigaben und Ressourcen von zweiten Server hinzugemappt. Die GPO waren auch nur auf dem ersten Server vorhanden.
Jetzt soll aufgrund von Datenschutz doch eine größere Trennung erfolgen. D.h. es gibt Benutzerkonten in beiden Domänen. Die Rechner (sollen) aber in der alten Domäne bleiben. Wenn ich nun ein Nutzer auf der zweiten Domäne anlege und dort auch eine GPO erstelle für eine Freigabe in der zweiten Domäne (Berechtigung passt), wird diese beim Anmelden nicht gezogen, obwohl alles analog zu der ersten Domäne angelegt wurde, wo die GPO gezogen werden.
Es handelt sich hier um NLW per GPO, diese werden im User Kontext ausgeführt. D.h ja, dass der neue User in der neuen Domäne die GPO der neuen Domäne ja auch ziehen sollte... Tut er aber (offensichtlich) nicht.
Jemand ne Idee, wo hier der Fehler ist...?
cheers,
tob
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 577772
Url: https://administrator.de/contentid/577772
Ausgedruckt am: 26.11.2024 um 11:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
ich würde da mal bei der Vertrauensstellung ansetzen, wenn die GPOs tatsächlich passen.
Grüße
Maxblank
ich würde da mal bei der Vertrauensstellung ansetzen, wenn die GPOs tatsächlich passen.
Grüße
Maxblank
Moin,
Was heißt das? Ist sie bei gpresult nicht vorhanden oder steht da, dass sie abgelehnt wurde, oder irgend eine andere Fehlermeldung? Oder wird sie korrekt verarbeitet, der Zugriff aber dennoch verweigert?
Liebe Grüße
Erik
Zitat von @tobitobsn:
Jetzt soll aufgrund von Datenschutz doch eine größere Trennung erfolgen. D.h. es gibt Benutzerkonten in beiden Domänen. Die Rechner (sollen) aber in der alten Domäne bleiben. Wenn ich nun ein Nutzer auf der zweiten Domäne anlege und dort auch eine GPO erstelle für eine Freigabe in der zweiten Domäne (Berechtigung passt), wird diese beim Anmelden nicht gezogen, obwohl alles analog zu der ersten Domäne angelegt wurde, wo die GPO gezogen werden.
Jetzt soll aufgrund von Datenschutz doch eine größere Trennung erfolgen. D.h. es gibt Benutzerkonten in beiden Domänen. Die Rechner (sollen) aber in der alten Domäne bleiben. Wenn ich nun ein Nutzer auf der zweiten Domäne anlege und dort auch eine GPO erstelle für eine Freigabe in der zweiten Domäne (Berechtigung passt), wird diese beim Anmelden nicht gezogen, obwohl alles analog zu der ersten Domäne angelegt wurde, wo die GPO gezogen werden.
Was heißt das? Ist sie bei gpresult nicht vorhanden oder steht da, dass sie abgelehnt wurde, oder irgend eine andere Fehlermeldung? Oder wird sie korrekt verarbeitet, der Zugriff aber dennoch verweigert?
Liebe Grüße
Erik
gpresult liefert bei einem Benutzer aus der neuen Domäne keine verarbeiteten GPOs. Sie werden also scheinbar nicht gezogen. Keine Fehlermeldung oder ähnliches. Zugriffsberechtigung sind gesetzt. Ein manueller Zugriff auf den Pfad ist problemlos möglich.
Weiteren Test durchgeführt: Sobald der Rechner aus der Domäne X abgemeldet und in der Domäne Y angemeldet ist, ziehen die GPOs aus Domäne Y problemlos. D.h. die GPO aus Domäne Y werden nicht auf einem PC aus Domäne X ausgeführt, wenn sich ein User aus Domäne Y anmeldet, obwohl Domäne X und Y eine transitive Vertrauensstellung haben.
Kann man dies irgendwie ermöglichen?
mfg
Kann man dies irgendwie ermöglichen?
mfg
Hi,
das muss man erst explizit erlauben.
Allow cross-forest user policy and roaming user profiles
E.
Edit:
Diese Richtlinie müssen die Computer dann von einer Domäne ihres eigenen Forest via GPO verpasst bekommen, damit sie nach deren Anwendung dann auch GPO's aus dem anderen Forest verarbeiten dürfen.
das muss man erst explizit erlauben.
Allow cross-forest user policy and roaming user profiles
E.
Edit:
Diese Richtlinie müssen die Computer dann von einer Domäne ihres eigenen Forest via GPO verpasst bekommen, damit sie nach deren Anwendung dann auch GPO's aus dem anderen Forest verarbeiten dürfen.
