8
SID vom Benutzer übertragen, hat jedoch keine Rechte in anderen Domäne
Hallo Zusammen!
Was ich gemacht habe:
Die Domäne ABC.de soll in die Dömäne DFG.net allmählich integriert werden.
Es besteht eine vertrauenstellung zwichen beiden Donänen.
Zugriff ist auf "allgemeine" Freigaben möglich.
Der Benutzer aus der ABC.de benkommt in der DFG.net einen neuen Benutzer-Namen.
Der Neue Benutzername hat die SID aus der ABC.de mitbekommen.
Es sollte mit Vertrauenstellung und der SID doch möglich sein, in der ABC.de die Zugriffrechte von DFG.net aus zu bekommen.
Jedoch fragt des jedesmal nach Benutzername und Passwort.
Beispiel:
ABC.de\test1 hat eine Freigabe. Die SID wurde dem neuen User DFG.net\Master1 mitgegeben.
Dennoch findet er über die SID nicht das Zugriffsrecht auf den ABC.de Servern.
Was habe ich hier falsch gemacht, bzw. wie bekomme ich die Rechte in der ABC.de Domäne auf die DFG.net umgelegt um die AD-Rechte und Gruppen über die SID zu nutzen?
Danke Vorab!
Grüße
Absurt
Was ich gemacht habe:
Die Domäne ABC.de soll in die Dömäne DFG.net allmählich integriert werden.
Es besteht eine vertrauenstellung zwichen beiden Donänen.
Zugriff ist auf "allgemeine" Freigaben möglich.
Der Benutzer aus der ABC.de benkommt in der DFG.net einen neuen Benutzer-Namen.
Der Neue Benutzername hat die SID aus der ABC.de mitbekommen.
Es sollte mit Vertrauenstellung und der SID doch möglich sein, in der ABC.de die Zugriffrechte von DFG.net aus zu bekommen.
Jedoch fragt des jedesmal nach Benutzername und Passwort.
Beispiel:
ABC.de\test1 hat eine Freigabe. Die SID wurde dem neuen User DFG.net\Master1 mitgegeben.
Dennoch findet er über die SID nicht das Zugriffsrecht auf den ABC.de Servern.
Was habe ich hier falsch gemacht, bzw. wie bekomme ich die Rechte in der ABC.de Domäne auf die DFG.net umgelegt um die AD-Rechte und Gruppen über die SID zu nutzen?
Danke Vorab!
Grüße
Absurt
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 336710
Url: https://administrator.de/forum/sid-vom-benutzer-uebertragen-hat-jedoch-keine-rechte-in-anderen-domaene-336710.html
Ausgedruckt am: 21.02.2025 um 11:02 Uhr
8 Kommentare
Neuester Kommentar
Hi,
E.
Der Neue Benutzername hat die SID aus der ABC.de mitbekommen.
Ich nehme an, mit ADMT migriert?Es sollte mit Vertrauenstellung und der SID doch möglich sein, in der ABC.de die Zugriffrechte von DFG.net aus zu bekommen.
Jedoch fragt des jedesmal nach Benutzername und Passwort.
Hast Du die SID-Filterung für diese Vertrauensstellung deaktiviert?Jedoch fragt des jedesmal nach Benutzername und Passwort.
E.
Hi, die SID-Filterung...deaktiviert.
Kann der Zielserver (ich nehme an, ein Memberserver?) die Namen (DNS) der anderen Domäne auflösen?
Neben DNS kann er auch Laufwerke Mappen, jedoch kommt dann die Authenifizierungsanforderung. Dies sollte jedoch nicht kommen! Das heißt, dass wohl die SID nicht durchgeschleift werden. Kann man das "prüfen"?
Alt-User wurde in neue Domäne als Neu-User migriert, und die alte SID in der sidHistory gespeichert?
Falls ja:
Neu-User ist angemeldet und versucht auf eine Freigabe in der Alt-Umgebung zuzugreifen, in welcher Alt-User Berechtigungen hat?
Falls auch ja:
Hat Alt-User da direkt Berechtigungen erteilt bekommen oder über Gruppen?
Falls über Gruppen:
Wurden diese auch migriert? Auch mit sidHistory?
Falls ja:
Neu-User ist angemeldet und versucht auf eine Freigabe in der Alt-Umgebung zuzugreifen, in welcher Alt-User Berechtigungen hat?
Falls auch ja:
Hat Alt-User da direkt Berechtigungen erteilt bekommen oder über Gruppen?
Falls über Gruppen:
Wurden diese auch migriert? Auch mit sidHistory?
nslookup ohne Probleme 
Werde dies Prüfen, bzw. prüfen lassen!
Danke erstmal Vorab!
Danke erstmal Vorab!
Nun habe wir die Lösung gefunden, zumindest den Grund:
Beide Server/Domänen müssen KERBERUS verwenden, da NTLM nicht die Verschlüsselung nach unten auflöst.
Klartext: NTLM kann nur eine SID verarbeiten, KERBERUS sogar eine domänenübergreifende SID-History auflösen und zuordnen.
Aber danke für die Untestützung!
Grüß
Beide Server/Domänen müssen KERBERUS verwenden, da NTLM nicht die Verschlüsselung nach unten auflöst.
Klartext: NTLM kann nur eine SID verarbeiten, KERBERUS sogar eine domänenübergreifende SID-History auflösen und zuordnen.
Aber danke für die Untestützung!
Grüß
