tituzzz

Verständnisfragen zur Gesamtstruktur

Hallo miteinander,

ich mache gerade eine Weiterbildung zum Netzwerkadministrator (Windows Server 2019), und komme ganz gut mit der Materie zurecht. Allerdings beschäftigen mich jetzt schon länger zwei Fragen, die ich nicht lösen kann. Ich hoffe, es ist OK hier im Forum solche (theoretischen) Fragen zu stellen. Zumindest habe ich schon einige Beiträge dieser Art hier gesehen. Hier nun die Fragen:

Frage 1.

Alle Domänen vertrauen sich in einer Gesamtstruktur gegenseitig. Die Benutzer aus einer Domäne sollen aus Sicherheitsgründen nicht mehr auf die Ressourcen einer anderen Domäne innerhalb der Gesamtstruktur zugreifen können, und auch das Anmelden an anderen Domänen soll nicht möglich sein. Wie kann dieses Problem gelöst werden?


Hier ist das Stichwort wohl Vertrauensstellung in einer Gesamtstruktur, die den Zugriff auf Ressourcen und die Anmeldung zwischen den Domänen ermöglicht. Allerdings können diese automatisch erstellten Vertrauensstellungen in einer Gesamtstruktur meines Wissens nicht gelöscht werden. Wie soll man aber dann das Problem lösen?


Frage 2.

Vorliegend ist eine Gesamtstruktur mit mehreren Domänen. Auf einem Domänencontroller soll der Exchange Server installiert werden, wodurch auch die Eigenschaften der Benutzer verändert werden. Das Schema darf aber aus Sicherheitsgründen in dieser Gesamtstruktur nicht verändert werden. Wie kann dieses Problem gelöst werden?



Meine Gedankengänge dazu sind folgende:

Vorüberlegung zu Frage 1:

Das es laut Aufgabenstellung eine bestehende Gesamtstruktur gibt, in der sich Domänen gegenseitig vertrauen und die Benutzer auf die Ressourcen in anderen Domänen zugreifen können, kann ich auch davon ausgehen, dass es Universelle Gruppen gibt, denen die verschiedenen Benutzer der Domains zugeordnet sind.


Globale Gruppen -- Sind überall in der Gesamtstruktur sichtbar, können aber nur Mitglieder aus der eigenen Domäne enthalten.

Universelle Gruppen sind in allen Domänen der Gesamtstruktur verfügbar und können Mitglieder aus allen Domänen enthalten

Ich lege für die Benutzer in „meinem Netzwerk“ eine globale Gruppe an. Diesen Benutzern ordne ich dann eine Mitgliedschaft in dieser Globalen Gruppe zu. Dann prüfe ich zusätzlich, ob es Benutzer aus meinem Netzwerk gibt, die auch in Universellen Gruppen, der Gesamtstruktur, noch Mitgliedschaften haben. Wenn das der Fall ist, entferne ich die Mitgliedschaft dieser Benutzer aus diesen Universellen Gruppen. Außerdem entferne ich, aus der Ersten Domain der Gesamtstruktur, die Benutzer meines Netzwerks aus der Mitgliedschaft „Authentifizierte Benutzer“.

Somit sind abschließend zwar alle Benutzer meiner Globalen Gruppe überall in der Gesamtstruktur sichtbar, können sich aber nur noch in „meinem Netzwerk“ anmelden und auf Ressourcen zugreifen.

Zu Frage 2 habe ich keinen richtigen Ansatz.


Vielen lieben Dank für eure Antworten.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 2363422039

Url: https://administrator.de/forum/verstaendnisfragen-zur-gesamtstruktur-2363422039.html

Ausgedruckt am: 10.06.2025 um 15:06 Uhr

Th0mKa
Th0mKa 31.03.2022 um 22:40:23 Uhr
Goto Top
Zitat von @Tituzzz:
Zu Frage 2 habe ich keinen richtigen Ansatz.

Frage 2 wäre für mich relativ einfach. Auf DCs installiert man keinen Exchange und da man das nicht macht braucht man auch das Schema nicht erweitern.

/Thomas
cykes
cykes 01.04.2022 aktualisiert um 06:15:23 Uhr
Goto Top
Moin,

wirkt irgendwie extrem spamverdächtig, nahezu eine 1:1-Kopie dieses Threads vom vergangenen Jahr im MCSE-Board. Die Antworten, die dort stehen würde ich ebenfalls unterschreiben. Oder @Tituzzz ist das im anderen Board auch Dein Thread?

Gruß

cykes
Vision2015
Vision2015 01.04.2022 um 07:34:54 Uhr
Goto Top
moin...
Auf einem Domänencontroller soll der Exchange Server installiert werden, wodurch auch die Eigenschaften der Benutzer verändert werden

ich hoffe die bringen euch nicht bei, auf DC´s einen Exchange zu Installieren!
wenn ja... suche dir besser eine andere ausbildungsstätte!

Frank
Tituzzz
Tituzzz 01.04.2022 um 09:13:21 Uhr
Goto Top
@cykes:

den hatte ich auch gelesen. Ich bin aber in der exakt gleichen Situation. Deshalb habe ich die Fragen übernommen. Danke für den Hinweis. Die Antwort zu Frage 1 sind dann aber natürlich meine eigenen Gedanken. Was mich wieder zur Ausgangsfrage kommen lässt. Kann jemand helfen? Bzw. sind meine Gedanken dazu richtig? Danke
cykes
cykes 01.04.2022 um 12:41:01 Uhr
Goto Top
Beide Fragen sind - wie im MCSE-Forum bereits erwähnt - eher theoretischer Natur oder anders ausgedrückt eher praxisfern. In der Praxis stellt sich die Frage nicht, ob man einen Exchange auf einen DC installiert nicht oder sollte sich nicht stellen, auch wenn es theoretisch möglich ist.

Auch Frage 1 ist eher theoretischer Natur, wenn man die Vetrauenstellungen so einrichtet und dann diese Einschränkungen braucht, müsste man die Vertrauensstellung eigentlich wieder aufheben.
Wobei die Vertrauensstellung natürlich (siehe auch MCSE-Board) nur für die Authentifizierung zuständig ist, der Zugriff auf Ressourcen wird nicht darüber geregelt. Das würde ich ebenfalls mit Gruppen und GPOs lösen.

Die Frage(n) sind so schwammig formuliert, dass man nicht genau weiß, was die hören wollen. Das ist häufig das Problem bei MS-Prüfungsfragen.
Ripper510
Ripper510 18.06.2022 um 12:31:30 Uhr
Goto Top
Wenn man im server manager die vertrauensstellungen öffnet, kann man ausgewählte Authentifizierung auswählen. Somit kann man steuern welche domäne sich gegenüber einer anderen authentifizieren kann.
tylers07
tylers07 16.11.2023 um 10:07:25 Uhr
Goto Top
Hui, alter Thread. Mal gucken ob hier noch was geht.


Zu Frage1:
Ich befinde mich in derselben Situationm diese teils sehr praxisfernen Fragen beantworten zu müssen.
Wie hast du das denn gelöst bekommen? Gehst du über GPO oder die Vertrauenseinstellungen?

Zu Frage 2:
Auch hier fehlt mir der Ansatz. Ich weiss dass man einen Exchange nicht auf einem DC installiert. Aber so ist nun mal die Aufgabe. Und bei der Installation des Exchange ändert sich das Schema. Wie soll man das verhindern können? Mir ist weder die Aufgabenstellung noch die mögliche Antwort irgendwie klar
Vision2015
Vision2015 16.11.2023 um 13:02:07 Uhr
Goto Top
Moin...
Zitat von @tylers07:

Hui, alter Thread. Mal gucken ob hier noch was geht.


Zu Frage1:
Ich befinde mich in derselben Situationm diese teils sehr praxisfernen Fragen beantworten zu müssen.
wer fagt dich das?

Zu Frage 2:
Auch hier fehlt mir der Ansatz. Ich weiss dass man einen Exchange nicht auf einem DC installiert. Aber so ist nun mal die Aufgabe.
dann lehne den Auftrag schlicht und einfach ab!
das ist schlicht und ergreifen falsch, auf einem DC den Exchange zu Installieren!
Und bei der Installation des Exchange ändert sich das Schema. Wie soll man das verhindern können?
das kannst du nicht verhindern, die erweiterung wird ja auch gebraucht!
Mir ist weder die Aufgabenstellung noch die mögliche Antwort irgendwie klar
da ich die genaue Aufgabenstellung nicht kenne, kann ich dazu auch nix sagen!

Frank