SBS2003 und Windows 7 Vertrauensstellung erneuern
Vertrauenstellung für einen bereits Domainintegrierten Clienten erneuern?
Aloa
Ich stoße in meiner Ereignisanzeige auf folgendes Problem:
Einer meiner Windows 7 Prof. Client (an SBS2003 Sp2 R2 Premium) hat die Vertrauenststellung anscheinend verloren, zumindest soll ich diese wieder erneuern.
Der Client wurde anstandslos in die Domäine übernommen, ISA-Client melde sich auch ohne mosern an.
Datenzugriff und Druckerdienste: Perfekt...
Nun "dachte" ich, das eine Vertrauensstellung durch die Anbindung an die Domain entsteht. (??)
Aloa
Ich stoße in meiner Ereignisanzeige auf folgendes Problem:
Einer meiner Windows 7 Prof. Client (an SBS2003 Sp2 R2 Premium) hat die Vertrauenststellung anscheinend verloren, zumindest soll ich diese wieder erneuern.
Der Client wurde anstandslos in die Domäine übernommen, ISA-Client melde sich auch ohne mosern an.
Datenzugriff und Druckerdienste: Perfekt...
Nun "dachte" ich, das eine Vertrauensstellung durch die Anbindung an die Domain entsteht. (??)
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 137788
Url: https://administrator.de/forum/sbs2003-und-windows-7-vertrauensstellung-erneuern-137788.html
Ausgedruckt am: 22.12.2024 um 17:12 Uhr
9 Kommentare
Neuester Kommentar
Hallo loeneberger,
Was ist also dein problem?
Peter
Zitat von @Loeneberger:
Ich stoße in meiner Ereignisanzeige auf folgendes Problem:
Einer meiner Windows 7 Prof. Client (an SBS2003 Sp2 R2 Premium) hat die Vertrauenststellung anscheinend verloren, zumindest soll
ich diese wieder erneuern.
Das steht so bei dir in der Ereignisanzeige drin? das glaub ich nicht.Ich stoße in meiner Ereignisanzeige auf folgendes Problem:
Einer meiner Windows 7 Prof. Client (an SBS2003 Sp2 R2 Premium) hat die Vertrauenststellung anscheinend verloren, zumindest soll
ich diese wieder erneuern.
Was ist also dein problem?
Der Client wurde anstandslos in die Domäine übernommen
Übernommen? Was meinst du genau und wie hast du das @@---gemeint**gemachtNun "dachte" ich, das eine Vertrauensstellung durch die Anbindung an die Domain entsteht. (??)
Vetrauensstellung Active DirectoryPeter
Zitat von @Loeneberger:
Nun "dachte" ich, das eine Vertrauensstellung durch die Anbindung an die Domain entsteht. (??)
Moin,Nun "dachte" ich, das eine Vertrauensstellung durch die Anbindung an die Domain entsteht. (??)
ist korrekt. Entweder netdom bemühen oder Client einmal aus der Domäne raus und wieder rein.
Bei Fehlern in den Protokollen bitte immer Fehlerquelle, -ID und -beschreibung mit angeben.
Hallo Peter,
falscher Artikel. Da geht´s nur um Vertrauensstellungen zwischen Domänen und nicht um die Vertrauensstellung eines Domain-Clients zur Domäne. ;)
Hi Leoneberger,
auf Freigaben greift ja dein "alter" Client per Domäne\Benutzer und Passwort zu. Das hast du gleich eingerichtet. das klappt dann schon. Was aber die Domänenzugehörigkeit betrifft, sind deine "alten" Clients nicht mehr mitglieder deiner "neu aufgesetzten Domäne, auch wenn sich alles gleich nennt". Deine DC bekommt beim erstellen der Domäne eine eindeutiger Server GUID. Daraus leitet sich dann auch die Domänen GUID ab. Die Domänen GUID geht auch in die Client ID ein. Domänen GUID nicht mit SID verwechseln. Ermitteln der Server GUID ist hier. Deine "alten" Clients haben dann also eine falsche Domänen GUID. Nehme die Clients neu in der Domäne auf um probleme zu vermeiden. (Client vom Netz trennen. In einer Arbeitsgruppe übernehmen, Rechner name ändern und neu starten. Ans Netz hängen und per Connectcomputer (du hast einen SBS) in der Domäne aufnehmen.). Servergespeicherte Profile?
Die anmeldung an der Domäne geschieht nicht per Domänen GUID.
Domänen Controller vergleichen von Yusuf.
Artikel von Mark Russinovich über SID (retirement) und Domäne GUID
Peter
auf Freigaben greift ja dein "alter" Client per Domäne\Benutzer und Passwort zu. Das hast du gleich eingerichtet. das klappt dann schon. Was aber die Domänenzugehörigkeit betrifft, sind deine "alten" Clients nicht mehr mitglieder deiner "neu aufgesetzten Domäne, auch wenn sich alles gleich nennt". Deine DC bekommt beim erstellen der Domäne eine eindeutiger Server GUID. Daraus leitet sich dann auch die Domänen GUID ab. Die Domänen GUID geht auch in die Client ID ein. Domänen GUID nicht mit SID verwechseln. Ermitteln der Server GUID ist hier. Deine "alten" Clients haben dann also eine falsche Domänen GUID. Nehme die Clients neu in der Domäne auf um probleme zu vermeiden. (Client vom Netz trennen. In einer Arbeitsgruppe übernehmen, Rechner name ändern und neu starten. Ans Netz hängen und per Connectcomputer (du hast einen SBS) in der Domäne aufnehmen.). Servergespeicherte Profile?
Die anmeldung an der Domäne geschieht nicht per Domänen GUID.
Domänen Controller vergleichen von Yusuf.
Artikel von Mark Russinovich über SID (retirement) und Domäne GUID
Peter
Hallo,
Die SID ist jeweils die "lokale" SID im Computer. Die Domänen GUID geht in deiner GUID des Computerskontos und in das Benutzerkonto ein.
Benutzerkonto <> Computerkonto.
Deine existierenden "alten" Computerkonten haben aber trotzdem eine abweichende GUID zu den von dir eventuell schon erstellten "neuen" Computerkonten. Du kannst dich anmelden und Freigaben verwenden, auch wenn du KEINE Computerkonten erstellt hast. Sonst könnte sich ja niemand an einer fremden Domäne per Domäne/Benutzername und Passwort anmelden.
Die SID = LOKALE Rechner ist die Computer System Identifikation. Die SID kann in einer Domäne sogar an allen Clients (Computerkonton) gleich sein. Je nach verwendeter Software / Funktion wird das niemals stören. Kann aber auch wie im Beispiel mit dem WSUS dir mächtig Probleme bereiten. Da darf die SID nicht gleich sein (Klonen), wenn der Computer in der Domäne aufgenommen wird, Wer kein WSUS nutzt wird es nie merken.
Also, im zweifelsfall, mach es richtig und erstelle neue Computerkonten und nehme die Computer in der Domäne auf. Weisst du ob dein Antivirus nicht auf die GUID zurückgreift? Oder dein Email Programm oder deine banking Software usw.
Peter
Zitat von @Loeneberger:
Der SBS wurde neu installiert. Dann die Benutzer angelegt - und die haben doch jetzt eine
neu erstellte GUID/SID.
Klar haben die Benutzer neue GUIDs bekommen. Die Anmeldung erfolgt aber per Domäne/Benutzer / Passwort.Der SBS wurde neu installiert. Dann die Benutzer angelegt - und die haben doch jetzt eine
neu erstellte GUID/SID.
Die SID ist jeweils die "lokale" SID im Computer. Die Domänen GUID geht in deiner GUID des Computerskontos und in das Benutzerkonto ein.
Benutzerkonto <> Computerkonto.
Die Notebooks können sich an der Domain anmelden und können dazu auch noch auf
die Verzeichnisse zugreifen, die auf dem SBS per Sicherheit-Zugriffsrechte fur den entsprechenden
Benutzer "Vollzugriff" haben.
Nicht das Notebook (Computerkonto) sondern der BENUTZER meldet sich an und verwendet die Freigaben.die Verzeichnisse zugreifen, die auf dem SBS per Sicherheit-Zugriffsrechte fur den entsprechenden
Benutzer "Vollzugriff" haben.
Deine existierenden "alten" Computerkonten haben aber trotzdem eine abweichende GUID zu den von dir eventuell schon erstellten "neuen" Computerkonten. Du kannst dich anmelden und Freigaben verwenden, auch wenn du KEINE Computerkonten erstellt hast. Sonst könnte sich ja niemand an einer fremden Domäne per Domäne/Benutzername und Passwort anmelden.
Bei "normalen" Freigaben kann ich das ja noch verstehen, wieso jedoch die funktionierende
Anmeldung und die funktionierende Rechtevergabe? Gerade die Rechtevergabe mus doch an
eine eindeutige SID geknüpft sein, gell?
Klar, eindeutig im AD. Dort findest du zum BENUTZER auch eine GUID.Anmeldung und die funktionierende Rechtevergabe? Gerade die Rechtevergabe mus doch an
eine eindeutige SID geknüpft sein, gell?
Die SID = LOKALE Rechner ist die Computer System Identifikation. Die SID kann in einer Domäne sogar an allen Clients (Computerkonton) gleich sein. Je nach verwendeter Software / Funktion wird das niemals stören. Kann aber auch wie im Beispiel mit dem WSUS dir mächtig Probleme bereiten. Da darf die SID nicht gleich sein (Klonen), wenn der Computer in der Domäne aufgenommen wird, Wer kein WSUS nutzt wird es nie merken.
Dann würde es für mich ja keinen Sinn machen, die NB an die Domain anzumelden, da die
Datenzugriffsrechte funktionieren. Nochmal, die Computer melden sich NICHT an.
In einer Domäne gibt es noch weitaus mehr als nur Zugriff auf Freigaben!Datenzugriffsrechte funktionieren. Nochmal, die Computer melden sich NICHT an.
- ODER gibt es Nachteile, welche ich gerade nicht sehe?
Ja. Der zugriff vom Server (Diverse Domänen Resourcen greifen auf Computerkonten zu) auf die Computer funktioniert nicht unbedingt richtig. Diverse Software Hersteller verwenden die GUID in ihren Produkten.ISA funktioniert ja auch,
ISA hat unter anderem dafür einen eigenen Client. ISA Regeln Per Benutzer und/oder IP (Computer, Computersätze, Computerbereiche usw). Ob der ISA überhaupt auf eine GUID zurückgreift?Drucker sind auch erreichbar.
Zugriff per Benutzername/Passwort da es eine Freigabe ist!Serverseitige Profile benötige ich für die NB nicht.
Ob die eine GUID benötigen? Ob Offline dateien auf die GUID zugreifen? Du wirst hier kaum eine Liste finden, wo alle Software (auch OS) oder Hardware aufgeführt ist welche auf eine eindeutige GUID zugreifen/ angewiesen sind. Selbst bei MS ist man sich da über alle produkte gesehen nicht einig.Also, im zweifelsfall, mach es richtig und erstelle neue Computerkonten und nehme die Computer in der Domäne auf. Weisst du ob dein Antivirus nicht auf die GUID zurückgreift? Oder dein Email Programm oder deine banking Software usw.
Peter