Ressourcenzugriff bei Domän-Trust
Hallochen Gemeinde,
gegeben sind zwei Domänen (DomAlt und DomNeu), die für die Migration über einen bidirektionalem transitiven Trust miteinander verbunden sind. Die DNS-Auflösung funktioniert in beiden Domänen betreffend die jeweils andere ordnungsgemäß. Der Trust ist beidseitig überprüft und auf den DC's kann jeweils auf die Verzeichnisstruktur der vertrauten Domäne zugriffen werden. Per ADMT-/PES-Tool wurde zunächst ein Benutzer aus DomAlt nach DomNeu einschließlich SIDHistory migriert. In DomAlt ist eine domänenlokale Gruppe erstellt, in der der migrierte Account DomNeu\Benutzer sowie der weitere (originäre) Account DomNeu\Admin als Mitglieder aufgenommen sind. Ferner ist eine domänenlokale Gruppe in DomNeu mit dem (originären) Account DomAlt\Admin als Mitglied vorhanden. Aufgrund dieser domänenlokalen Gruppe(n), kann sich das jeweilige Gruppenmitglied in der vertrauenden Domäne an Clients / Servern anmelden.
Dazu gibt es folgende Fragestellung:
Auf einem Windows Client existiert für den Ursprungsaccount DomAlt\Benutzer bereits ein Profil. Bei der Anmeldung als DomNeu\Benutzer wird jedoch ein neues Profil angelegt. Wünschenswert wäre natürlich, wenn der Windows Client die beiden Anmeldungen einem einzigen Profil zuordnen würde. Gibt es hierfür eine Möglichkeit?
Das war jedenfalls meine Erwartungshaltung mit Blick auf die SIDHistory, zumal das SID Filtering in beiden Domänen über netdom trust /enableSIDhistory:yes deaktiviert wurde.
Vielen Dank im Voraus
HansDampf06
UPDATE:
Hinsichtlich der Lösung der Fragestellung neben dem Beitrag von Peter bitte auch meinen Beitrag vom 19. März 2021 berücksichtigen.
gegeben sind zwei Domänen (DomAlt und DomNeu), die für die Migration über einen bidirektionalem transitiven Trust miteinander verbunden sind. Die DNS-Auflösung funktioniert in beiden Domänen betreffend die jeweils andere ordnungsgemäß. Der Trust ist beidseitig überprüft und auf den DC's kann jeweils auf die Verzeichnisstruktur der vertrauten Domäne zugriffen werden. Per ADMT-/PES-Tool wurde zunächst ein Benutzer aus DomAlt nach DomNeu einschließlich SIDHistory migriert. In DomAlt ist eine domänenlokale Gruppe erstellt, in der der migrierte Account DomNeu\Benutzer sowie der weitere (originäre) Account DomNeu\Admin als Mitglieder aufgenommen sind. Ferner ist eine domänenlokale Gruppe in DomNeu mit dem (originären) Account DomAlt\Admin als Mitglied vorhanden. Aufgrund dieser domänenlokalen Gruppe(n), kann sich das jeweilige Gruppenmitglied in der vertrauenden Domäne an Clients / Servern anmelden.
Dazu gibt es folgende Fragestellung:
Auf einem Windows Client existiert für den Ursprungsaccount DomAlt\Benutzer bereits ein Profil. Bei der Anmeldung als DomNeu\Benutzer wird jedoch ein neues Profil angelegt. Wünschenswert wäre natürlich, wenn der Windows Client die beiden Anmeldungen einem einzigen Profil zuordnen würde. Gibt es hierfür eine Möglichkeit?
Das war jedenfalls meine Erwartungshaltung mit Blick auf die SIDHistory, zumal das SID Filtering in beiden Domänen über netdom trust /enableSIDhistory:yes deaktiviert wurde.
Vielen Dank im Voraus
HansDampf06
UPDATE:
Hinsichtlich der Lösung der Fragestellung neben dem Beitrag von Peter bitte auch meinen Beitrag vom 19. März 2021 berücksichtigen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 662780
Url: https://administrator.de/forum/ressourcenzugriff-bei-domaen-trust-662780.html
Ausgedruckt am: 31.03.2025 um 14:03 Uhr
3 Kommentare
Neuester Kommentar
Hallo,
https://social.technet.microsoft.com/Forums/en-US/41ebf561-afb7-4e10-ab9 ...
Nur ein umbenennen der Neuen Domäne hilft dir nicht, da auch der Client (PC) nur nach der SID geht, also neues Profil.
Vielleicht findest du hier etwas was dir helfen kann. https://www.forensit.com/
Gruß,
Peter
Zitat von @HansDampf06:
Das war jedenfalls meine Erwartungshaltung mit Blick auf die SIDHistory, zumal das SID Filtering in beiden Domänen über netdom trust /enableSIDhistory:yes deaktiviert wurde.
Da du schon mehrfach den Begriff SID genommen hast, eine Domäne ist auch nur eine SID, welche beim Erstellen der Domäne generiert wird und einmalih sein sollte. Die chance das 2 SIDs zweier Domänen identisch sind ist eher ausgeschlossen. Der Name der Domäne müsste hierbei auch noch gleich sein - und dann funktioniert auch keine Vertrauensstellung oder sonstiges mehr.Das war jedenfalls meine Erwartungshaltung mit Blick auf die SIDHistory, zumal das SID Filtering in beiden Domänen über netdom trust /enableSIDhistory:yes deaktiviert wurde.
https://social.technet.microsoft.com/Forums/en-US/41ebf561-afb7-4e10-ab9 ...
Nur ein umbenennen der Neuen Domäne hilft dir nicht, da auch der Client (PC) nur nach der SID geht, also neues Profil.
Vielleicht findest du hier etwas was dir helfen kann. https://www.forensit.com/
Gruß,
Peter