lukasj
Goto Top

Verständisfragen zu Active Directory Vertrauensstellungen

Hallo zusammen,

ich muss mich aktuell mit dem Thema AD Vertrauensstellungen beschäftigen. Dazu hab ich mir auch eine kleine Testumgebung mit 2 verschiedenen Domänen aufgebaut (Aktuell habe ich eine bidirektionale, transitive Vertrauensstellung). Nun sind für mich allerdings einige Dinge nachwievor unklar. Ich formuliere meine Fragen einfach mal:

1. Wenn ich mich mit einem Account aus Domain-A an einem PC der anderen Domain-B anmelden will, muss ich dann zwangsläufig beim Anmeldenamen immer den Domänennamen mit angeben, also domain-a\username bzw. username@domain-a.local oder geht das auch ohne? Wenn Benutzer an 2 Standorten arbeiten und sich dadurch an 2 verschiedenen Domänen anmelden müssen ist es immer schwierig ihnen beizubringen, dass sie an der "fremden" Domäne den Domänennamen in dem ihr Benutzer angelegt ist mitgeben müssen.

2. Wenn ich nun versuche einen Account welcher in Domain-A angelegt ist vom Active Directory der Domain-B aus zu verwalten, ist es dann möglich, dem Benutzer beispielsweise in Domain-B einen anderen Pfad zum Logon-Skript zu hinterlegen wie in Domain-A oder geht das dann nur über GPO? Hintergrund ist, dass wir 2 Standorte haben und an beiden Standorten unterschiedliche IT-Anfoderungen herrschen, welche sich aktuell nicht vereinheitlichen lassen. Die Benutzer welche zwischen beiden Standorten wechseln sollen allerdings nur einen Account haben.

3. Ich habe in Domain-B eine universelle Gruppe angelegt. Wenn ich diese nun öffne und auf Mitglieder -> Hinzufügen gehe kann ich als Suchpfad lediglich die lokale Domäne auswählen, in welcher die Gruppe angelegt ist, allerdings nicht die Domäne der vertraut wird. Es muss doch möglich sein hier auch domänenfremde Benutzer hinzuzufügen, sonst bringt mir die universelle Gruppe doch garnichts???

4. Kann ich im Active Directory-Benutzer und -Computer die "fremde Domäne" welcher vertraut wird zusätzlich als Baum anzeigen? Ich habe da irgendwie nichts gefunden. Ich konnte auf die Ressourcen der anderen Domäne lediglich über die Suche zugreifen.

Das wären erstmal meine wichtigsten Fragen. Ich hoffe ihr könnt mir da weiterhelfen.

Gruß und Dank
Lukas

Content-ID: 223124

Url: https://administrator.de/contentid/223124

Ausgedruckt am: 24.11.2024 um 03:11 Uhr

Onitnarat
Onitnarat 28.11.2013 um 10:48:54 Uhr
Goto Top
Hallo Lukuas,
ich werde mich mal versuchen:

1. Wenn ich mich mit einem Account aus Domain-A an einem PC der anderen Domain-B anmelden will, muss ich dann zwangsläufig
beim Anmeldenamen immer den Domänennamen mit angeben, also domain-a\username bzw. username@domain-a.local oder geht das auch
ohne? Wenn Benutzer an 2 Standorten arbeiten und sich dadurch an 2 verschiedenen Domänen anmelden müssen ist es immer
schwierig ihnen beizubringen, dass sie an der "fremden" Domäne den Domänennamen in dem ihr Benutzer angelegt
ist mitgeben müssen.

Nein, der Domänenname muss immer mitgegeben werden, weil Du ja in beiden Domänen auch den gleichen Benutzernamen verwenden könntest, also ist es möglich die User fritz.maier@domain-a.local und fritz.maier@domain-b.local zu haben. Beide heißen zwar gleich, sind aber zwei unterschiedliche Benutzerkonten.


2. Wenn ich nun versuche einen Account welcher in Domain-A angelegt ist vom Active Directory der Domain-B aus zu verwalten, ist es
dann möglich, dem Benutzer beispielsweise in Domain-B einen anderen Pfad zum Logon-Skript zu hinterlegen wie in Domain-A oder
geht das dann nur über GPO? Hintergrund ist, dass wir 2 Standorte haben und an beiden Standorten unterschiedliche
IT-Anfoderungen herrschen, welche sich aktuell nicht vereinheitlichen lassen. Die Benutzer welche zwischen beiden Standorten
wechseln sollen allerdings nur einen Account haben.

Hier kann Dir eventuell das ADMT (Active-Directory-Migration-Tool) helfen. Dieses kann sogar SIDs migrieren bzw. es möglich machen, dass Zugriffsrechte migriert werden, aber das erfordert schon etwas an Einarbeitung bzw. Tests oder Erfahrung damit. Das Tool lässt sich auf über die Kommandozeile steuern, so dass ein "Synch" regelmäßig automatisch laufen kann.
Da Du aber nach wie vor zwei verschiedene Benutzerkonten hast, kannst Du natürlich verschiedene Profilpfade verwenden.


3. Ich habe in Domain-B eine universelle Gruppe angelegt. Wenn ich diese nun öffne und auf Mitglieder -> Hinzufügen
gehe kann ich als Suchpfad lediglich die lokale Domäne auswählen, in welcher die Gruppe angelegt ist, allerdings nicht
die Domäne der vertraut wird. Es muss doch möglich sein hier auch domänenfremde Benutzer hinzuzufügen, sonst
bringt mir die universelle Gruppe doch garnichts???

Die universellen Gruppen bringen Dir nur etwas wenn Du EINEN Forrest mit mehreren Domänen hast. Du hast aber zwei Forrests mit je einer Domäne darin. Lege in Domäne-B einfach eine domänenlokale Gruppe an und füge die Benutzer aus Domäne-A hinzu.


4. Kann ich im Active Directory-Benutzer und -Computer die "fremde Domäne" welcher vertraut wird zusätzlich
als Baum anzeigen? Ich habe da irgendwie nichts gefunden. Ich konnte auf die Ressourcen der anderen Domäne lediglich
über die Suche zugreifen.

Nein, aber Du könntest Dir eine eigene MMC-Console erstellen mit beiden Domänen. Oder Du musst halt immer hin- und herspringen.


So, nun zu meiner Frage:
1. Warum migriert Ihr die Domänen nicht zu einer Gesamtdomäne bzw. erstellt EINEN Forrest mit zwei Subdomänen?
Beides würde die Verwaltbarkeit drastisch steigern und sowohl die Komplexität als auch das Gebastel drastisch senken.

Viele Grüße
Marcus
lukasj
lukasj 28.11.2013 aktualisiert um 12:54:51 Uhr
Goto Top
Hallo Marcus,
vielen Dank für deine Antworten.

Zu Punkt 1 ist technisch soweit klar. Zu deiner prinzipiellen Frage, warum wir nicht zu einer Gesamtdomäne (einem Forrest) wechseln: Das ganze Konstrukt mit unseren beiden Standorten ist höchst kompliziert. Unser zusätzlicher Standort wurde aus einer bestehenden Firma herausgelöst und organisatorisch mit unserer Firma fusioniert, allerdings wird dieser Standort verwaltungs- und it-technisch weiterhin von der Firma betreut, aus welcher er herausgelöst wurde. Erschwerend kommt hinzu dass wir eine total heterogene Systemlandschaft haben (sprich 2 unterschiedliche Systeme mit welchen gearbeitet wird, welche wieder über Schnittstellen vernetzt sind) und Mitarbeiter teilweise mal an Standort 1 und mal an Standort 2 arbeiten. Aktuell haben diese Mitarbeiter 2 Accounts (für jeden Standort einen) und dadurch ihre Dateien auch mal hier und mal da gespeichert.
Ob es nun möglich ist, die IT der anderen Firma dazu zu bringen auf eine gemeinsamen Forrest zu gehen wird sehr schwierig. Deshalb versuche ich nun eine handhabbare Lösung zu finden bzw. falls dies aus technischen Gründen (deshalb frage ich hier nach) nicht möglich ist, genug Argumente für einen gemeinsamen Forrest zu finden. Wenn ihr mir hierfür konkrete Pros und Contras liefern könnt wäre ich euch extrem dankbar!
ich hoffe ich konnte dies verständlich darstellen face-wink

Zu Punkt 2 muss ich noch sagen, dass es eben nicht sein soll, dass ein User 2 verschiedene Accounts hat. Der Wunschzustand wäre ein Account (in einer der beiden Domänen angelegt), welcher allerdings je nach Anmeldung an Domain-A oder Domain-B unterschiedlich behandelt wird (Beispielsweise ein unterschiedliches Logon-Skript ausgeführt wird). Dazu bräuchte ich eine klare Aussage.

Zu Punkt 3 hast du Recht. Wenn ich eine domänenlokale Gruppe anlege kann ich nun auch Benutzer aus der anderen Domäne hinzufügen. Hier habe ich allerdings noch ein Problem. Wir haben an unserem Standort Gruppen bisher generell immer als globale Gruppen angelegt (beispielsweise für Berechtigungen auf Filservern). Bedeutet dies für mich, dass ich sämtliche Gruppen nochmal als domänenlokale Gruppe anlegen muss und diese zusätzlich unseren Fileservern und Freigaben entsprechend zuweisen muss? Die lokale Gruppe einfach als Mitglied der globalen eintragen geht ja logischerweise nicht. Oder gibt es da noch eine andere Möglichkeit? Wir reden hier leider von hunderten Freigaben und Sicherheitsberechtigungen die angepackt werden müssten.

Zu Punkt 4 Kannst du mir kurz auf die Sprünge helfen wie ich im MMC-Snapin ein Objekt von einem entfernten Server hinzufügen kann (Windows Server 2008 R2)? Ich kann bei mir irgendwie nur die lokalen auswählen.

Aufjedenfall möchte ich mich schon einmal bei dir bedanken, da du mir in einigen Punkte schon etwas weiterhelfen konntest.
Onitnarat
Onitnarat 28.11.2013 um 13:29:31 Uhr
Goto Top
Zu Punkt 1 ist technisch soweit klar. Zu deiner prinzipiellen Frage, warum wir nicht zu einer Gesamtdomäne (einem Forrest)
wechseln: Das ganze Konstrukt mit unseren beiden Standorten ist höchst kompliziert. Unser zusätzlicher Standort wurde
aus einer bestehenden Firma herausgelöst und organisatorisch mit unserer Firma fusioniert, allerdings wird dieser Standort
verwaltungs- und it-technisch weiterhin von der Firma betreut, aus welcher er herausgelöst wurde. Erschwerend kommt hinzu
dass wir eine total heterogene Systemlandschaft haben (sprich 2 unterschiedliche Systeme mit welchen gearbeitet wird, welche
wieder über Schnittstellen vernetzt sind) und Mitarbeiter teilweise mal an Standort 1 und mal an Standort 2 arbeiten. Aktuell
haben diese Mitarbeiter 2 Accounts (für jeden Standort einen) und dadurch ihre Dateien auch mal hier und mal da gespeichert.
Ob es nun möglich ist, die IT der anderen Firma dazu zu bringen auf eine gemeinsamen Forrest zu gehen wird sehr schwierig.
Deshalb versuche ich nun eine handhabbare Lösung zu finden bzw. falls dies aus technischen Gründen (deshalb frage ich
hier nach) nicht möglich ist, genug Argumente für einen gemeinsamen Forrest zu finden. Wenn ihr mir hierfür
konkrete Pros und Contras liefern könnt wäre ich euch extrem dankbar!
ich hoffe ich konnte dies verständlich darstellen face-wink

Ob nun mehrere Domänen in einem Forrest oder eine große Domäne in einem Forrest müsst Ihr wissen. Ich weiß nicht um welche Dimensionen es geht, aber ich würde eine Domäne in einem Forrest vorziehen. Wenn es aber darum geht, einen bestimmten Bereich sowohl sicherheitsrechtlich wie auch strukturell abzugrenzen sind wohl zwei Domänen in einem Forrest vorzuziehen.
Pros und Contras ergeben sich je nach Zeilstruktur verschieden.
Von der Zielstruktur unabhängige Pros:
- Bessere Administration durch technisch korrekte Konfiguration der ActiveDirectory-Infrastruktur
- Bessere Rechte-Delegation an Dritte
- Keine Doppelpflege von Benutzerkonten nötig
- Lizenztechnische Vorteile (CALs)


Zu Punkt 2 muss ich noch sagen, dass es eben nicht sein soll, dass ein User 2 verschiedene Accounts hat. Der Wunschzustand
wäre ein Account (in einer der beiden Domänen angelegt), welcher allerdings je nach Anmeldung an Domain-A oder Domain-B
unterschiedlich behandelt wird (Beispielsweise ein unterschiedliches Logon-Skript ausgeführt wird). Dazu bräuchte ich
eine klare Aussage.

Ich würde ein und dasselbe Loginskript für alle ausführen und dem Skript beibringen zu unterscheiden an welchem Standort es ausgeführt wird.


Zu Punkt 3 hast du Recht. Wenn ich eine domänenlokale Gruppe anlege kann ich nun auch Benutzer aus der anderen Domäne
hinzufügen. Hier habe ich allerdings noch ein Problem. Wir haben an unserem Standort Gruppen bisher generell immer als
globale Gruppen angelegt (beispielsweise für Berechtigungen auf Filservern). Bedeutet dies für mich, dass ich
sämtliche Gruppen nochmal als domänenlokale Gruppe anlegen muss und diese zusätzlich unseren Fileservern und
Freigaben entsprechend zuweisen muss? Die lokale Gruppe einfach als Mitglied der globalen eintragen geht ja logischerweise nicht.
Oder gibt es da noch eine andere Möglichkeit? Wir reden hier leider von hunderten Freigaben und Sicherheitsberechtigungen die
angepackt werden müssten.

Nein, leider sehe ich hier keine andere Möglichkeit, was mich wieder zu Punkt 1 bringt und einen weiteren DICKEN Punkt auf die Proliste!


Zu Punkt 4 Kannst du mir kurz auf die Sprünge helfen wie ich im MMC-Snapin ein Objekt von einem entfernten Server
hinzufügen kann (Windows Server 2008 R2)? Ich kann bei mir irgendwie nur die lokalen auswählen.

Start -> Ausführen -> "mmc" -> "OK"
File -> Add/Remove Snap-In -> ActiveDirectory Users and Computers auswählen -> OK (das machst Du zweimal, so dass Du zwei ADUC in der Konsole hast)
Rechtsklick auf eine von beiden "Change Domain", dort den Domainnamen eintragen und auf OK klicken
Die richtigen Rechte vorrausgesetzt, hast Du nun beide ADUC-Konsolen verfügbar


Aufjedenfall möchte ich mich schon einmal bei dir bedanken, da du mir in einigen Punkte schon etwas weiterhelfen konntest.

Bitte, gern geschehen!

Gruß
Marcus