10
Administratorberechtigungen werden von Hauptdomain nicht auf Subdomain übernommen
Hallo Zusammen,
ich habe folgendes Problem:
wir haben eine Haupt-und eine Subdomain in einer Windows Server 2k8 R2 Umgebung. Leider bekommen trotz Vertrauensstellung die Admins der Hauptdomain nicht die Rechte in der Subdomain. In der Administratorgruppe, der Subdomain, wurde die Gruppe der Administratoren von unserer Hauptdomain auch eingetragen....
Vl hat hier jemand noch eine Idee woran das liegen könnte.
VG
Hanuta
ich habe folgendes Problem:
wir haben eine Haupt-und eine Subdomain in einer Windows Server 2k8 R2 Umgebung. Leider bekommen trotz Vertrauensstellung die Admins der Hauptdomain nicht die Rechte in der Subdomain. In der Administratorgruppe, der Subdomain, wurde die Gruppe der Administratoren von unserer Hauptdomain auch eingetragen....
Vl hat hier jemand noch eine Idee woran das liegen könnte.
VG
Hanuta
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 289332
Url: https://administrator.de/contentid/289332
Printed on: April 23, 2024 at 20:04 o'clock
10 Comments
Latest comment
Hi,
Warum erwähnst Du die Vertrauensstellung, wenn Du gleichzeitig von "Subdomain" redest? Wenn es tatsächlich eine Subdomain ist, wie es - denke ich - die meisten verstehen werden, dann ist das eine Domain im selben Forest und Namespace. Falls ja, dann ist die Vertrauensstellung per default gegeben. Oder redest Du etwa von zwei Domains aus zwei Forest welche miteinander vertraut wurden? Falls ja, Forest Trust oder Domain Trust?
Mit "Hauptdomain" ist Root Domain gemeint (ein Forest) oder jene, in welcher sich die Admins anmelden (zwei Forest)?
Und was sind "die Rechte der Subdomain"?
Und dass man sich nochmal neu anmelden muss, damit geänderte Gruppenmitgliedschaften wirken, ist Dir bekannt?
E.
Warum erwähnst Du die Vertrauensstellung, wenn Du gleichzeitig von "Subdomain" redest? Wenn es tatsächlich eine Subdomain ist, wie es - denke ich - die meisten verstehen werden, dann ist das eine Domain im selben Forest und Namespace. Falls ja, dann ist die Vertrauensstellung per default gegeben. Oder redest Du etwa von zwei Domains aus zwei Forest welche miteinander vertraut wurden? Falls ja, Forest Trust oder Domain Trust?
Leider bekommen trotz Vertrauensstellung die Admins der Hauptdomain nicht die Rechte in der Subdomain.
Aha ....Mit "Hauptdomain" ist Root Domain gemeint (ein Forest) oder jene, in welcher sich die Admins anmelden (zwei Forest)?
Und was sind "die Rechte der Subdomain"?
In der Administratorgruppe, der Subdomain, wurde die Gruppe der Administratoren von unserer Hauptdomain auch eingetragen....
Redest Du von den BuiltIn-Gruppen, den Standard-Domänengruppen oder von selbst erstellten Gruppen?Und dass man sich nochmal neu anmelden muss, damit geänderte Gruppenmitgliedschaften wirken, ist Dir bekannt?
E.
Huhu,
vielen Dank für die schnelle Antwort,
So wie ich es von meinem Kollegen erklärt bekommen habe, sollte es sich nicht um eine zweite Domäne handeln....wie kann ich das nachprüfen ob es wirklich eine zweite Domain oder eine richtige Subdomain ist ?
So weit, wie ich das mitbekommen habe...war das früher mal eine Eigene Domain gewesen....es sind auch Vertrauensstellungen eingetragen...was ja nur bedeuten kann, das es keine richtige Subdomain ist oder liege ich da jetzt völlig falsch ?
Die Hauptdomain ist die Rootdomain, jap. Dort melden wir uns auch als Admins an.
Ja, Rede von der Builtin-Gruppen und dem Domänen-Admin.
Das man sich nochmal anmelden muss, ist mir bekannt
VG
vielen Dank für die schnelle Antwort,
So wie ich es von meinem Kollegen erklärt bekommen habe, sollte es sich nicht um eine zweite Domäne handeln....wie kann ich das nachprüfen ob es wirklich eine zweite Domain oder eine richtige Subdomain ist ?
So weit, wie ich das mitbekommen habe...war das früher mal eine Eigene Domain gewesen....es sind auch Vertrauensstellungen eingetragen...was ja nur bedeuten kann, das es keine richtige Subdomain ist oder liege ich da jetzt völlig falsch ?
Die Hauptdomain ist die Rootdomain, jap. Dort melden wir uns auch als Admins an.
Ja, Rede von der Builtin-Gruppen und dem Domänen-Admin.
Das man sich nochmal anmelden muss, ist mir bekannt
VG
wie kann ich das nachprüfen ob es wirklich eine zweite Domain oder eine richtige Subdomain ist ?
Willst Du mich jetzt veralbern? Eine "Subdomain" ist "sub". Also muss da doch noch ne andere Domain sein, unter der sie "sub" sein kann. Also sind da min. zwei, oder nicht?Wieso müssen Dir Deine Kollegen das erklären, wenn Du hier diese Fachfrage stellst?
Und Du hast nicht beantwortet: Und was sind "die Rechte der Subdomain"?
ja, dann ist das ganze eine Subdomain.... wir haben eine domain Bsp: "Contoso.com" und "Sub.contoso.com"
..die zweite domäne war früher anscheinend mal eine Eigene (also keine Sub) Domain. Und wurde nachträglich als Subdomain eingegliedert....
Meinst du mit Rechten die Userrights? (Bin in AD noch nicht so fit...)
VG
..die zweite domäne war früher anscheinend mal eine Eigene (also keine Sub) Domain. Und wurde nachträglich als Subdomain eingegliedert....
Meinst du mit Rechten die Userrights? (Bin in AD noch nicht so fit...)
VG
Ich will wissen, was Du mit "Rechte in der Subdomain" (Dein Text) meinst! Was geht nicht?
AsoSry...stand gerade iwie auf der langen Leitung
Wir wollen mit unseren Hauptdomain-Accounts uns auf dem Subdomain-DC anmelden....Das funktioniert auch....aber das Problem ist, ich darf als Admin der Hauptdomain keine einstellungen im AD z.B. GPOs der Subdomain vornehmen...Es kommt immer die Fehlermeldung: Keine ausreichenden Berechtigungen...
VG
Wir wollen mit unseren Hauptdomain-Accounts uns auf dem Subdomain-DC anmelden....Das funktioniert auch....aber das Problem ist, ich darf als Admin der Hauptdomain keine einstellungen im AD z.B. GPOs der Subdomain vornehmen...Es kommt immer die Fehlermeldung: Keine ausreichenden Berechtigungen...
VG
Ok. Und wie wurde nun konkret verschachtelt? Am besten an einem Beispiel.
Wenn Ihr es nicht sonderlich feingranular benötigt, dann sollte es ausreichen, Eure Benutzer zu Mitgliedern der Organisations-Admins (Enterprise Admins) zu machen. Das wäre aber nicht sehr schön, weil diese Benutzer dann alle sehr mächtig wären.
GPO's können standardmäßig erstellen:
GPO's können standardmäßig bearbeiten:
Beachte: Mitglieder der "Administratoren" einer Domäne, können mit dieser Mitgliedschaft allein zwar GPO's in dieser Domäne erstellen aber nicht bearbeiten, wenn sie nicht auch die GPO erstellt haben.
Wenn man also eine Gruppe aus einer Domäne A in die Gruppe "Administratoren" der Domäne B verschachtelt, dann können die Mitglieder dieser Gruppe zwar in B GPO erstellen und eigene auch bearbeiten, aber sie können keine vorhandenen GPO bearbeiten oder solche, die andere Benutzer dieser Gruppe erstellt haben.
Wenn Ihr es nicht sonderlich feingranular benötigt, dann sollte es ausreichen, Eure Benutzer zu Mitgliedern der Organisations-Admins (Enterprise Admins) zu machen. Das wäre aber nicht sehr schön, weil diese Benutzer dann alle sehr mächtig wären.
GPO's können standardmäßig erstellen:
- Administratoren
- Domänen-Admins
- Organisations-Admins
- Richtlinien-Ersteller-Besitzer
GPO's können standardmäßig bearbeiten:
- Domänen-Admins
- Organisations-Admins
- der Ersteller der Richtlinie (Benutzer, welcher die Richtline erstellt hat)
Beachte: Mitglieder der "Administratoren" einer Domäne, können mit dieser Mitgliedschaft allein zwar GPO's in dieser Domäne erstellen aber nicht bearbeiten, wenn sie nicht auch die GPO erstellt haben.
Wenn man also eine Gruppe aus einer Domäne A in die Gruppe "Administratoren" der Domäne B verschachtelt, dann können die Mitglieder dieser Gruppe zwar in B GPO erstellen und eigene auch bearbeiten, aber sie können keine vorhandenen GPO bearbeiten oder solche, die andere Benutzer dieser Gruppe erstellt haben.
Genau das Problem wie du es beschrieben hast trifft es auf den Punkt, also müssten wir unsere ganzen Admins von Domain A zu Organisations/Enterprise Admins machen, damit wir z.B. GPOs auf Domain B bearbeiten können?
VG
VG
Nein.
Ihr erstellt eine Gruppe "GPO Editoren" o.ä. und packt da Eure Admin-Konten rein.
Dann erweitert Ihr Euren Prozess zum Erstellen eine GPO um den Punkt, dass der Ersteller der GPO der o.g. Gruppe das Recht zum Bearbeiten der GPO erteilen muss.
Edit: Habe vergessen, es geht auch so: https://support.microsoft.com/en-us/kb/321476
Ihr erstellt eine Gruppe "GPO Editoren" o.ä. und packt da Eure Admin-Konten rein.
Dann erweitert Ihr Euren Prozess zum Erstellen eine GPO um den Punkt, dass der Ersteller der GPO der o.g. Gruppe das Recht zum Bearbeiten der GPO erteilen muss.
Edit: Habe vergessen, es geht auch so: https://support.microsoft.com/en-us/kb/321476
Super, Vielen Dank 
VG
Hanuta
VG
Hanuta
