3
Domaintrust: Gruppen von Remote Domain zu Usern in der Lokalen Domain hinzufügen
Hallo!
Ich bin ein ziemlicher Neuling was Domaintrusts anbelangt und habe folgende Frage:
Ich habe einen externen Trust (nicht transitiv) mit einer anderen Domain erstellt - beide auf Domain Level 2012 - d.h. User von Domain A können sich auf Servern der Domain B authentifizieren. Ich bin Admin auf beiden Domains.
Das funktioniert auch soweit, die User können sich auf Domain B erfolgreich anmelden, nun möchte ich die User natürlich über Gruppen berechtigen, und um das administrativ übersichtlich zu gestalten, möchte ich das hauptsächlich von Domain A aus machen, folgendes Ziel möchte ich erreichen:
Auf Domain B werden Security Groups angelegt, z.B. "Domain_B_Admins" - in Domain A soll User XY ein Member der Gruppe "Domain B\Domain_B_Admins" werden. Leider kann ich das im Active Directory von Domain A nicht auswählen, d.h. bei den Pfaden sehe ich Domain B nicht.
Welche Trust Einstellungen muss ich vornehmen damit das funktioniert? Die User von Domain B sollen sich NICHT auf der Domain A authentifizieren können. Gibt es hier eine Möglichkeit?
Vielen Dank im Voraus!
Ich bin ein ziemlicher Neuling was Domaintrusts anbelangt und habe folgende Frage:
Ich habe einen externen Trust (nicht transitiv) mit einer anderen Domain erstellt - beide auf Domain Level 2012 - d.h. User von Domain A können sich auf Servern der Domain B authentifizieren. Ich bin Admin auf beiden Domains.
Das funktioniert auch soweit, die User können sich auf Domain B erfolgreich anmelden, nun möchte ich die User natürlich über Gruppen berechtigen, und um das administrativ übersichtlich zu gestalten, möchte ich das hauptsächlich von Domain A aus machen, folgendes Ziel möchte ich erreichen:
Auf Domain B werden Security Groups angelegt, z.B. "Domain_B_Admins" - in Domain A soll User XY ein Member der Gruppe "Domain B\Domain_B_Admins" werden. Leider kann ich das im Active Directory von Domain A nicht auswählen, d.h. bei den Pfaden sehe ich Domain B nicht.
Welche Trust Einstellungen muss ich vornehmen damit das funktioniert? Die User von Domain B sollen sich NICHT auf der Domain A authentifizieren können. Gibt es hier eine Möglichkeit?
Vielen Dank im Voraus!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 267419
Url: https://administrator.de/contentid/267419
Printed on: April 24, 2024 at 06:04 o'clock
3 Comments
Latest comment
Hallo tranquillity,
meine Erfahrungen sind da auch nur theoretischer Herkunft: Schau Dir mal die Unterschiede von lokalen, globalen und universellen Gruppen an.
Ich glaube, dass Du je eine lokale Gruppe "Domain-Admin-A" und "Domain-Admin-B" brauchst für Domain A und B. Dann kannst du diese lokalen Gruppen in eine Universelle-Gruppe hinzufügen und diese dann für die Rechte Zuweisung nutzen.
Gruß
BBFreak
meine Erfahrungen sind da auch nur theoretischer Herkunft: Schau Dir mal die Unterschiede von lokalen, globalen und universellen Gruppen an.
Ich glaube, dass Du je eine lokale Gruppe "Domain-Admin-A" und "Domain-Admin-B" brauchst für Domain A und B. Dann kannst du diese lokalen Gruppen in eine Universelle-Gruppe hinzufügen und diese dann für die Rechte Zuweisung nutzen.
Gruß
BBFreak
Hi
wie @BBfreak bereits geschrieben hat musst du dort Universelle Gruppen als Typ verwenden, zu dem musst du beim eintragen immer den FQDN vor dem namen setzen (z.B. domain-a\benutzer1;domain-b\benutzer1). Stelle aber vorher sicher, das DNS 100% funktioniert und alles korrekt aufgelöst wird, wenn DNS soweit funktioniert ist der Rest eigentlich nur noch ein klacks
wie @BBfreak bereits geschrieben hat musst du dort Universelle Gruppen als Typ verwenden, zu dem musst du beim eintragen immer den FQDN vor dem namen setzen (z.B. domain-a\benutzer1;domain-b\benutzer1). Stelle aber vorher sicher, das DNS 100% funktioniert und alles korrekt aufgelöst wird, wenn DNS soweit funktioniert ist der Rest eigentlich nur noch ein klacks
Hallo,
Danke für die Antworten!
in Domain A sollen keine separaten Gruppen angelegt werden, nur in Domain B. Beim User in Domain A soll die Gruppe von Domain B hinzugefügt werden (leider eine Vorgabe der IT Leitung). Wie gesagt, im Active Directory von Domain A kann ich im Moment nicht Domain B im Pfad und in folge deren Gruppen auswählen - das wäre das Ziel. Für mich liest sich das so, als wäre das nicht möglich in der jetzigen Konstellation. Bleibt mir hier nur ein bidirektionaler Trust?
Danke für die Antworten!
in Domain A sollen keine separaten Gruppen angelegt werden, nur in Domain B. Beim User in Domain A soll die Gruppe von Domain B hinzugefügt werden (leider eine Vorgabe der IT Leitung). Wie gesagt, im Active Directory von Domain A kann ich im Moment nicht Domain B im Pfad und in folge deren Gruppen auswählen - das wäre das Ziel. Für mich liest sich das so, als wäre das nicht möglich in der jetzigen Konstellation. Bleibt mir hier nur ein bidirektionaler Trust?
