loeneberger
Goto Top

SBS2003 und Windows 7 Vertrauensstellung erneuern

Vertrauenstellung für einen bereits Domainintegrierten Clienten erneuern?

Aloa face-smile

Ich stoße in meiner Ereignisanzeige auf folgendes Problem:
Einer meiner Windows 7 Prof. Client (an SBS2003 Sp2 R2 Premium) hat die Vertrauenststellung anscheinend verloren, zumindest soll ich diese wieder erneuern.
Der Client wurde anstandslos in die Domäine übernommen, ISA-Client melde sich auch ohne mosern an.
Datenzugriff und Druckerdienste: Perfekt...

Nun "dachte" ich, das eine Vertrauensstellung durch die Anbindung an die Domain entsteht. (??)

Content-ID: 137788

Url: https://administrator.de/forum/sbs2003-und-windows-7-vertrauensstellung-erneuern-137788.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

Pjordorf
Pjordorf 09.03.2010 um 15:12:19 Uhr
Goto Top
Hallo loeneberger,

Zitat von @Loeneberger:
Ich stoße in meiner Ereignisanzeige auf folgendes Problem:
Einer meiner Windows 7 Prof. Client (an SBS2003 Sp2 R2 Premium) hat die Vertrauenststellung anscheinend verloren, zumindest soll
ich diese wieder erneuern.
Das steht so bei dir in der Ereignisanzeige drin? das glaub ich nicht.
Was ist also dein problem?

Der Client wurde anstandslos in die Domäine übernommen
Übernommen? Was meinst du genau und wie hast du das @@---gemeint**gemacht

Nun "dachte" ich, das eine Vertrauensstellung durch die Anbindung an die Domain entsteht. (??)
Vetrauensstellung Active Directory

Peter
Stephan.Betken
Stephan.Betken 09.03.2010 um 23:27:02 Uhr
Goto Top
Zitat von @Loeneberger:
Nun "dachte" ich, das eine Vertrauensstellung durch die Anbindung an die Domain entsteht. (??)
Moin,

ist korrekt. Entweder netdom bemühen oder Client einmal aus der Domäne raus und wieder rein.
Bei Fehlern in den Protokollen bitte immer Fehlerquelle, -ID und -beschreibung mit angeben.
Stephan.Betken
Stephan.Betken 09.03.2010 um 23:30:29 Uhr
Goto Top

Hallo Peter,

falscher Artikel. Da geht´s nur um Vertrauensstellungen zwischen Domänen und nicht um die Vertrauensstellung eines Domain-Clients zur Domäne. ;)
Loeneberger
Loeneberger 10.03.2010 um 15:21:25 Uhr
Goto Top
Danke Stephan face-smile

eine erneute Anmeldung an die Domain würde wieder bedeuten, dass ich alle Einstellungen neu tätigen müsste...
Ich werde zum Wochenende mal den Eintag der Ereignisanzeige hier hineinsetzen.

Sag mal:
Ich habe den SBS2003 neu aufgesetzt mit den gleichen Domain- und Servernamen, gleiche Benutzer und gleiches Kennwort.
Meinen WIN7 Client musste ich neu in die Domain einbinden, da ich diesen neu Installiert hatte.

Jetzt meine Frage:
Meine beiden Notebooks konnten OHNE erneute Anbindung mit den Server kommunizieren.
Also Anmelden, Datenzugriff auf Freigaben, ISA-ServerClient arbeitet... ohne erneute Anmeldung an die "neue" Domain.
Ist das normal? MUSS sich nicht der neue Client IMMER an der Domain anmelden um SEINE eindeutige eNummer zu erhalten?
Danke nochmal für die Antwort.

Loeneberger
Pjordorf
Pjordorf 10.03.2010 um 15:57:59 Uhr
Goto Top
Hi Leoneberger,

auf Freigaben greift ja dein "alter" Client per Domäne\Benutzer und Passwort zu. Das hast du gleich eingerichtet. das klappt dann schon. Was aber die Domänenzugehörigkeit betrifft, sind deine "alten" Clients nicht mehr mitglieder deiner "neu aufgesetzten Domäne, auch wenn sich alles gleich nennt". Deine DC bekommt beim erstellen der Domäne eine eindeutiger Server GUID. Daraus leitet sich dann auch die Domänen GUID ab. Die Domänen GUID geht auch in die Client ID ein. Domänen GUID nicht mit SID verwechseln. Ermitteln der Server GUID ist hier. Deine "alten" Clients haben dann also eine falsche Domänen GUID. Nehme die Clients neu in der Domäne auf um probleme zu vermeiden. (Client vom Netz trennen. In einer Arbeitsgruppe übernehmen, Rechner name ändern und neu starten. Ans Netz hängen und per Connectcomputer (du hast einen SBS) in der Domäne aufnehmen.). Servergespeicherte Profile?

Die anmeldung an der Domäne geschieht nicht per Domänen GUID.

Domänen Controller vergleichen von Yusuf.

Artikel von Mark Russinovich über SID (retirement) und Domäne GUID

Peter
Loeneberger
Loeneberger 10.03.2010 um 17:19:28 Uhr
Goto Top
Vielen Dank für Deine Antwort, Peter!

Ja, genau das verstehe ich ja nicht - okay ich guck mir gleich die LINKS von dir an...

Der SBS wurde neu installiert. Dann die Benutzer angelegt - und die haben doch jetzt eine
neu erstellte GUID/SID.

Die Notebooks können sich an der Domain anmelden und können dazu auch noch auf
die Verzeichnisse zugreifen, die auf dem SBS per Sicherheit-Zugriffsrechte fur den entsprechenden
Benutzer "Vollzugriff" haben.

Bei "normalen" Freigaben kann ich das ja noch verstehen, wieso jedoch die funktionierende
Anmeldung und die funktionierende Rechtevergabe? Gerade die Rechtevergabe mus doch an
eine eindeutige SID geknüpft sein, gell?

Dann würde es für mich ja keinen Sinn machen, die NB an die Domain anzumelden, da die
Datenzugriffsrechte funktionieren

- ODER gibt es Nachteile, welche ich gerade nicht sehe?

Wichtig ist doch die Anmeldung und der Datenzugriff. ISA funktioniert ja auch, Drucker sind auch
erreichbar. Serverseitige Profile benötige ich für die NB nicht.

Danke für deine Mühe!!! - und einen schönen Abend
Loeneberger
Pjordorf
Pjordorf 10.03.2010 um 18:31:14 Uhr
Goto Top
Hallo,

Zitat von @Loeneberger:
Der SBS wurde neu installiert. Dann die Benutzer angelegt - und die haben doch jetzt eine
neu erstellte GUID/SID.
Klar haben die Benutzer neue GUIDs bekommen. Die Anmeldung erfolgt aber per Domäne/Benutzer / Passwort.
Die SID ist jeweils die "lokale" SID im Computer. Die Domänen GUID geht in deiner GUID des Computerskontos und in das Benutzerkonto ein.
Benutzerkonto <> Computerkonto.

Die Notebooks können sich an der Domain anmelden und können dazu auch noch auf
die Verzeichnisse zugreifen, die auf dem SBS per Sicherheit-Zugriffsrechte fur den entsprechenden
Benutzer "Vollzugriff" haben.
Nicht das Notebook (Computerkonto) sondern der BENUTZER meldet sich an und verwendet die Freigaben.
Deine existierenden "alten" Computerkonten haben aber trotzdem eine abweichende GUID zu den von dir eventuell schon erstellten "neuen" Computerkonten. Du kannst dich anmelden und Freigaben verwenden, auch wenn du KEINE Computerkonten erstellt hast. Sonst könnte sich ja niemand an einer fremden Domäne per Domäne/Benutzername und Passwort anmelden.

Bei "normalen" Freigaben kann ich das ja noch verstehen, wieso jedoch die funktionierende
Anmeldung und die funktionierende Rechtevergabe? Gerade die Rechtevergabe mus doch an
eine eindeutige SID geknüpft sein, gell?
Klar, eindeutig im AD. Dort findest du zum BENUTZER auch eine GUID.
Die SID = LOKALE Rechner ist die Computer System Identifikation. Die SID kann in einer Domäne sogar an allen Clients (Computerkonton) gleich sein. Je nach verwendeter Software / Funktion wird das niemals stören. Kann aber auch wie im Beispiel mit dem WSUS dir mächtig Probleme bereiten. Da darf die SID nicht gleich sein (Klonen), wenn der Computer in der Domäne aufgenommen wird, Wer kein WSUS nutzt wird es nie merken.

Dann würde es für mich ja keinen Sinn machen, die NB an die Domain anzumelden, da die
Datenzugriffsrechte funktionieren. Nochmal, die Computer melden sich NICHT an.
In einer Domäne gibt es noch weitaus mehr als nur Zugriff auf Freigaben!

- ODER gibt es Nachteile, welche ich gerade nicht sehe?
Ja. Der zugriff vom Server (Diverse Domänen Resourcen greifen auf Computerkonten zu) auf die Computer funktioniert nicht unbedingt richtig. Diverse Software Hersteller verwenden die GUID in ihren Produkten.

ISA funktioniert ja auch,
ISA hat unter anderem dafür einen eigenen Client. ISA Regeln Per Benutzer und/oder IP (Computer, Computersätze, Computerbereiche usw). Ob der ISA überhaupt auf eine GUID zurückgreift?

Drucker sind auch erreichbar.
Zugriff per Benutzername/Passwort da es eine Freigabe ist!

Serverseitige Profile benötige ich für die NB nicht.
Ob die eine GUID benötigen? Ob Offline dateien auf die GUID zugreifen? Du wirst hier kaum eine Liste finden, wo alle Software (auch OS) oder Hardware aufgeführt ist welche auf eine eindeutige GUID zugreifen/ angewiesen sind. Selbst bei MS ist man sich da über alle produkte gesehen nicht einig.

Also, im zweifelsfall, mach es richtig und erstelle neue Computerkonten und nehme die Computer in der Domäne auf. Weisst du ob dein Antivirus nicht auf die GUID zurückgreift? Oder dein Email Programm oder deine banking Software usw.

Peter
Loeneberger
Loeneberger 10.03.2010 um 20:26:46 Uhr
Goto Top
Hi Peter.

Vielen vielen DANK für deine Ausarbeitung und Mühe!!!
bei einen großen Auktionskaufhaus würd ich schreiben:

POSITIVE BEWERTUNG : TOP Beratung, netter Kontakt, gerne wieder!! TOP *

Mal im Ernst: Danke!
Ich werde die NB neu einbinden.

viele Grüße
Michael
Pjordorf
Pjordorf 10.03.2010 um 20:57:17 Uhr
Goto Top
Gern geschehen.

Peter

xxxxxxxxxxxxxxxxxxxxxxxx(30 zeichen sind voll)