Verständnisfragen zur Gesamtstruktur
Hallo miteinander,
ich mache gerade eine Weiterbildung zum Netzwerkadministrator (Windows Server 2019), und komme ganz gut mit der Materie zurecht. Allerdings beschäftigen mich jetzt schon länger zwei Fragen, die ich nicht lösen kann. Ich hoffe, es ist OK hier im Forum solche (theoretischen) Fragen zu stellen. Zumindest habe ich schon einige Beiträge dieser Art hier gesehen. Hier nun die Fragen:
Frage 1.
Alle Domänen vertrauen sich in einer Gesamtstruktur gegenseitig. Die Benutzer aus einer Domäne sollen aus Sicherheitsgründen nicht mehr auf die Ressourcen einer anderen Domäne innerhalb der Gesamtstruktur zugreifen können, und auch das Anmelden an anderen Domänen soll nicht möglich sein. Wie kann dieses Problem gelöst werden?
Hier ist das Stichwort wohl Vertrauensstellung in einer Gesamtstruktur, die den Zugriff auf Ressourcen und die Anmeldung zwischen den Domänen ermöglicht. Allerdings können diese automatisch erstellten Vertrauensstellungen in einer Gesamtstruktur meines Wissens nicht gelöscht werden. Wie soll man aber dann das Problem lösen?
Frage 2.
Vorliegend ist eine Gesamtstruktur mit mehreren Domänen. Auf einem Domänencontroller soll der Exchange Server installiert werden, wodurch auch die Eigenschaften der Benutzer verändert werden. Das Schema darf aber aus Sicherheitsgründen in dieser Gesamtstruktur nicht verändert werden. Wie kann dieses Problem gelöst werden?
Meine Gedankengänge dazu sind folgende:
Vorüberlegung zu Frage 1:
Das es laut Aufgabenstellung eine bestehende Gesamtstruktur gibt, in der sich Domänen gegenseitig vertrauen und die Benutzer auf die Ressourcen in anderen Domänen zugreifen können, kann ich auch davon ausgehen, dass es Universelle Gruppen gibt, denen die verschiedenen Benutzer der Domains zugeordnet sind.
Globale Gruppen -- Sind überall in der Gesamtstruktur sichtbar, können aber nur Mitglieder aus der eigenen Domäne enthalten.
Universelle Gruppen sind in allen Domänen der Gesamtstruktur verfügbar und können Mitglieder aus allen Domänen enthalten
Ich lege für die Benutzer in „meinem Netzwerk“ eine globale Gruppe an. Diesen Benutzern ordne ich dann eine Mitgliedschaft in dieser Globalen Gruppe zu. Dann prüfe ich zusätzlich, ob es Benutzer aus meinem Netzwerk gibt, die auch in Universellen Gruppen, der Gesamtstruktur, noch Mitgliedschaften haben. Wenn das der Fall ist, entferne ich die Mitgliedschaft dieser Benutzer aus diesen Universellen Gruppen. Außerdem entferne ich, aus der Ersten Domain der Gesamtstruktur, die Benutzer meines Netzwerks aus der Mitgliedschaft „Authentifizierte Benutzer“.
Somit sind abschließend zwar alle Benutzer meiner Globalen Gruppe überall in der Gesamtstruktur sichtbar, können sich aber nur noch in „meinem Netzwerk“ anmelden und auf Ressourcen zugreifen.
Zu Frage 2 habe ich keinen richtigen Ansatz.
Vielen lieben Dank für eure Antworten.
ich mache gerade eine Weiterbildung zum Netzwerkadministrator (Windows Server 2019), und komme ganz gut mit der Materie zurecht. Allerdings beschäftigen mich jetzt schon länger zwei Fragen, die ich nicht lösen kann. Ich hoffe, es ist OK hier im Forum solche (theoretischen) Fragen zu stellen. Zumindest habe ich schon einige Beiträge dieser Art hier gesehen. Hier nun die Fragen:
Frage 1.
Alle Domänen vertrauen sich in einer Gesamtstruktur gegenseitig. Die Benutzer aus einer Domäne sollen aus Sicherheitsgründen nicht mehr auf die Ressourcen einer anderen Domäne innerhalb der Gesamtstruktur zugreifen können, und auch das Anmelden an anderen Domänen soll nicht möglich sein. Wie kann dieses Problem gelöst werden?
Hier ist das Stichwort wohl Vertrauensstellung in einer Gesamtstruktur, die den Zugriff auf Ressourcen und die Anmeldung zwischen den Domänen ermöglicht. Allerdings können diese automatisch erstellten Vertrauensstellungen in einer Gesamtstruktur meines Wissens nicht gelöscht werden. Wie soll man aber dann das Problem lösen?
Frage 2.
Vorliegend ist eine Gesamtstruktur mit mehreren Domänen. Auf einem Domänencontroller soll der Exchange Server installiert werden, wodurch auch die Eigenschaften der Benutzer verändert werden. Das Schema darf aber aus Sicherheitsgründen in dieser Gesamtstruktur nicht verändert werden. Wie kann dieses Problem gelöst werden?
Meine Gedankengänge dazu sind folgende:
Vorüberlegung zu Frage 1:
Das es laut Aufgabenstellung eine bestehende Gesamtstruktur gibt, in der sich Domänen gegenseitig vertrauen und die Benutzer auf die Ressourcen in anderen Domänen zugreifen können, kann ich auch davon ausgehen, dass es Universelle Gruppen gibt, denen die verschiedenen Benutzer der Domains zugeordnet sind.
Globale Gruppen -- Sind überall in der Gesamtstruktur sichtbar, können aber nur Mitglieder aus der eigenen Domäne enthalten.
Universelle Gruppen sind in allen Domänen der Gesamtstruktur verfügbar und können Mitglieder aus allen Domänen enthalten
Ich lege für die Benutzer in „meinem Netzwerk“ eine globale Gruppe an. Diesen Benutzern ordne ich dann eine Mitgliedschaft in dieser Globalen Gruppe zu. Dann prüfe ich zusätzlich, ob es Benutzer aus meinem Netzwerk gibt, die auch in Universellen Gruppen, der Gesamtstruktur, noch Mitgliedschaften haben. Wenn das der Fall ist, entferne ich die Mitgliedschaft dieser Benutzer aus diesen Universellen Gruppen. Außerdem entferne ich, aus der Ersten Domain der Gesamtstruktur, die Benutzer meines Netzwerks aus der Mitgliedschaft „Authentifizierte Benutzer“.
Somit sind abschließend zwar alle Benutzer meiner Globalen Gruppe überall in der Gesamtstruktur sichtbar, können sich aber nur noch in „meinem Netzwerk“ anmelden und auf Ressourcen zugreifen.
Zu Frage 2 habe ich keinen richtigen Ansatz.
Vielen lieben Dank für eure Antworten.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2363422039
Url: https://administrator.de/forum/verstaendnisfragen-zur-gesamtstruktur-2363422039.html
Ausgedruckt am: 10.06.2025 um 15:06 Uhr
8 Kommentare
Neuester Kommentar
Frage 2 wäre für mich relativ einfach. Auf DCs installiert man keinen Exchange und da man das nicht macht braucht man auch das Schema nicht erweitern.
/Thomas
Moin,
wirkt irgendwie extrem spamverdächtig, nahezu eine 1:1-Kopie dieses Threads vom vergangenen Jahr im MCSE-Board. Die Antworten, die dort stehen würde ich ebenfalls unterschreiben. Oder @Tituzzz ist das im anderen Board auch Dein Thread?
Gruß
cykes
wirkt irgendwie extrem spamverdächtig, nahezu eine 1:1-Kopie dieses Threads vom vergangenen Jahr im MCSE-Board. Die Antworten, die dort stehen würde ich ebenfalls unterschreiben. Oder @Tituzzz ist das im anderen Board auch Dein Thread?
Gruß
cykes
moin...
ich hoffe die bringen euch nicht bei, auf DC´s einen Exchange zu Installieren!
wenn ja... suche dir besser eine andere ausbildungsstätte!
Frank
Auf einem Domänencontroller soll der Exchange Server installiert werden, wodurch auch die Eigenschaften der Benutzer verändert werden
ich hoffe die bringen euch nicht bei, auf DC´s einen Exchange zu Installieren!
wenn ja... suche dir besser eine andere ausbildungsstätte!
Frank
@cykes:
den hatte ich auch gelesen. Ich bin aber in der exakt gleichen Situation. Deshalb habe ich die Fragen übernommen. Danke für den Hinweis. Die Antwort zu Frage 1 sind dann aber natürlich meine eigenen Gedanken. Was mich wieder zur Ausgangsfrage kommen lässt. Kann jemand helfen? Bzw. sind meine Gedanken dazu richtig? Danke
den hatte ich auch gelesen. Ich bin aber in der exakt gleichen Situation. Deshalb habe ich die Fragen übernommen. Danke für den Hinweis. Die Antwort zu Frage 1 sind dann aber natürlich meine eigenen Gedanken. Was mich wieder zur Ausgangsfrage kommen lässt. Kann jemand helfen? Bzw. sind meine Gedanken dazu richtig? Danke
Beide Fragen sind - wie im MCSE-Forum bereits erwähnt - eher theoretischer Natur oder anders ausgedrückt eher praxisfern. In der Praxis stellt sich die Frage nicht, ob man einen Exchange auf einen DC installiert nicht oder sollte sich nicht stellen, auch wenn es theoretisch möglich ist.
Auch Frage 1 ist eher theoretischer Natur, wenn man die Vetrauenstellungen so einrichtet und dann diese Einschränkungen braucht, müsste man die Vertrauensstellung eigentlich wieder aufheben.
Wobei die Vertrauensstellung natürlich (siehe auch MCSE-Board) nur für die Authentifizierung zuständig ist, der Zugriff auf Ressourcen wird nicht darüber geregelt. Das würde ich ebenfalls mit Gruppen und GPOs lösen.
Die Frage(n) sind so schwammig formuliert, dass man nicht genau weiß, was die hören wollen. Das ist häufig das Problem bei MS-Prüfungsfragen.
Auch Frage 1 ist eher theoretischer Natur, wenn man die Vetrauenstellungen so einrichtet und dann diese Einschränkungen braucht, müsste man die Vertrauensstellung eigentlich wieder aufheben.
Wobei die Vertrauensstellung natürlich (siehe auch MCSE-Board) nur für die Authentifizierung zuständig ist, der Zugriff auf Ressourcen wird nicht darüber geregelt. Das würde ich ebenfalls mit Gruppen und GPOs lösen.
Die Frage(n) sind so schwammig formuliert, dass man nicht genau weiß, was die hören wollen. Das ist häufig das Problem bei MS-Prüfungsfragen.
Wenn man im server manager die vertrauensstellungen öffnet, kann man ausgewählte Authentifizierung auswählen. Somit kann man steuern welche domäne sich gegenüber einer anderen authentifizieren kann.
Hui, alter Thread. Mal gucken ob hier noch was geht.
Zu Frage1:
Ich befinde mich in derselben Situationm diese teils sehr praxisfernen Fragen beantworten zu müssen.
Wie hast du das denn gelöst bekommen? Gehst du über GPO oder die Vertrauenseinstellungen?
Zu Frage 2:
Auch hier fehlt mir der Ansatz. Ich weiss dass man einen Exchange nicht auf einem DC installiert. Aber so ist nun mal die Aufgabe. Und bei der Installation des Exchange ändert sich das Schema. Wie soll man das verhindern können? Mir ist weder die Aufgabenstellung noch die mögliche Antwort irgendwie klar
Zu Frage1:
Ich befinde mich in derselben Situationm diese teils sehr praxisfernen Fragen beantworten zu müssen.
Wie hast du das denn gelöst bekommen? Gehst du über GPO oder die Vertrauenseinstellungen?
Zu Frage 2:
Auch hier fehlt mir der Ansatz. Ich weiss dass man einen Exchange nicht auf einem DC installiert. Aber so ist nun mal die Aufgabe. Und bei der Installation des Exchange ändert sich das Schema. Wie soll man das verhindern können? Mir ist weder die Aufgabenstellung noch die mögliche Antwort irgendwie klar
Moin...
Zu Frage 2:
Auch hier fehlt mir der Ansatz. Ich weiss dass man einen Exchange nicht auf einem DC installiert. Aber so ist nun mal die Aufgabe.
dann lehne den Auftrag schlicht und einfach ab!
das ist schlicht und ergreifen falsch, auf einem DC den Exchange zu Installieren!
Frank
Zitat von @tylers07:
Hui, alter Thread. Mal gucken ob hier noch was geht.
Zu Frage1:
Ich befinde mich in derselben Situationm diese teils sehr praxisfernen Fragen beantworten zu müssen.
wer fagt dich das?Hui, alter Thread. Mal gucken ob hier noch was geht.
Zu Frage1:
Ich befinde mich in derselben Situationm diese teils sehr praxisfernen Fragen beantworten zu müssen.
Zu Frage 2:
Auch hier fehlt mir der Ansatz. Ich weiss dass man einen Exchange nicht auf einem DC installiert. Aber so ist nun mal die Aufgabe.
das ist schlicht und ergreifen falsch, auf einem DC den Exchange zu Installieren!
Und bei der Installation des Exchange ändert sich das Schema. Wie soll man das verhindern können?
das kannst du nicht verhindern, die erweiterung wird ja auch gebraucht!Mir ist weder die Aufgabenstellung noch die mögliche Antwort irgendwie klar
da ich die genaue Aufgabenstellung nicht kenne, kann ich dazu auch nix sagen!Frank
