alexander74
Goto Top

Schema Master - Lösung oder Totalschaden?

Hallo zusammen,

ich hätte gerne mal eine Einschätzung ob folgendes möglich ist.

Ich habe hier zwei 2003 Domänen wobei ich sie mal D1 (Tree root) und D2 nenne.

In der D1 befindet sich der Schema Master und der Domain Master (Betriebsmaster), jedoch ist diese Domäne nicht mehr von meiner D2 Domain aus erreichbar.

An dem Standort an dem ich mich befinde (D2) sollen alle Beziehungen zur D1 abgebrochen werden (OHNE noch Zugriff auf D1 zu haben)

Dazu wollte ich den Schema Master auf meinen DC in der D2 Domain übertragen, nur leider teilt mir das Seize Kommando mit, daß dazu meine Rechte nicht ausreichen.

So - gibt es nun eine Möglichkeit den User meiner DC2 Domain, der zur Administration benutzt wird zu befähigen das Seize Kommando durchzuführen?

Oder einfacher: Wie füge ich meinen Admin zur Gruppe der Schema Admins hinzu? Denn die Gruppe "Schema Admins" existiert ja leider nicht face-smile

Über den Operations Master hab ich mir auch noch keine Gedanken gemacht ....

Oder wärs einfacher die Domain platt zu machen und meine 80 Clients neu von Hand zu verbinden... oder gibts einen einfacheren Weg? Eure Einschätzung reicht mir vorerst - einen Lösungsweg finde ich dann schon - aber Lösungen werden bevorzugt genommen face-smile face-smile

Gruß
Alexander
P.S.: Und ich hatte gedacht mein Urlaub wär Urlaub face-smile

Content-ID: 178409

Url: https://administrator.de/forum/schema-master-loesung-oder-totalschaden-178409.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

lenny4me
lenny4me 05.01.2012 um 05:40:05 Uhr
Goto Top
Guten morgen,

ich kann auch nicht schlafen face-wink

Also wenn du via ntdsutil die Rollen nicht übernehmen kannst wird es sicher etwas eng.
Wo ist denn die Gruppe Schema-admin? die muss doch auf den DC2 repliziert worden sein?
Natürlich kann man rummannipulieren, damit man in diese Gruppe kommt, aber dazu braucht man mindestens ein Konto das das Recht hat , genannte User in diese Gruppe hinzuzufügen (auch wenn nur ein anderer dieses Konto hat). (was ich hier aber aufgrund der Forenregeln nicht austreten werde)

Meine Frage wäre wo diese Gruppe abgeblieben ist?
ob die Übernahme auch nur mit DomAdmin Rechten funktioniert weis ich ehrlichgesagt nicht weil ich hab noch ne SchemaGruppe in der sich mein User sehr wol fühlt...

Grüße Lenny

PS: Wie kommt man in so eine Situation? Haben sich die Geschäftsführer gestritten und dann die Filliale D1 offline genommen?
Alexander74
Alexander74 05.01.2012 um 13:28:39 Uhr
Goto Top
Hallo Lenny,

tja - wie kommt man in eine solche Situation. Stell dir vor du bist ein kleines Unternehmen mit 150 People und gehörst zu einem Konzern á la Siemens Bosch xy (ich nenne ihn mal besser net).

Dann trennt man sich wieder und das große Netz is plötzlich wech (Company Connect Standleitung)... und deine Schema Gruppe auch und der Admin ist nur noch verstümmelt face-smile

Klar wärs einfacher, wenn man sich mit dem Konzern einigen würde, jedoch ist es extrem schwiegrig mit den (nur englisch sprechenden) Technikern klar zu kommen bzw. jemanden zu finden der sich zuständig fühlt. Meist trifft man auf viele Leute, die die Verantwortlichkeit gerne auf den nächsten schieben wollen.

Aber immerhin ist man die Restriktionen los ... ist auch was wert.

Gruß
Alex
P.S.: die Schema Gruppe ist nicht auffindbar... warum auch immer....
lenny4me
lenny4me 05.01.2012 um 14:15:10 Uhr
Goto Top
Hallo,

das ist natürlich bitter...
Aber sowas sollte man vorher in Angriff nehmen und ned erst wenns keine Möglichkeit mehr gibt bzw die Vertrauensstellung zur Root Domain weg ist.

Mein Vorschlag fürs neu Aufsetzen...
DC mit neuer Domain aufsetzen
Vertrauensstellung bauen
mit ADMT die User und PCs Syncen
SID History einschalten (wegen der NTFS Rechte)
gescripted Clients in die Domain joinen.

Eine Möglichkeit dein AD zu retten gibt es vielleicht. Aber mir fällt spontan keiner ein.

Grüße Lenny