2
Domänenstruktur enträtseln. Wer kann mir helfen ? ...
Hallo Leute,
bei mir stellt sich folgende Lage dar:
Eine Oberdomäne in der sich 4 Unterdomänen befinden.
Die Unterdomänen sollten sich eigentlich nicht sehen dürfen...können sie aber.
Und nicht nur das, man kann sogar domänenübergreifend arbeiten.
Dazu muss man wissen, wie das mit den lokalen und globalen Gruppen funktioniert.
Ich habe folgendes Verständnis:
Die lokale Gruppe gibt an, wie auf bestimmte Ressourcen zugegriffen werden
kann. Sie kann entweder globale Gruppen als auch einzelne Benutzter als Mitglieder
aufnehmen. Ihr Wirkungsbereich beschränkt sich auf die Domäne, in die man die
Gruppe "gesteckt" hat.
Die globale Gruppe hat ihren Wirkungsbereich domänenübergreifend und akzeptiert nur Benutzer
als Mitglieder.
(An dieser Stelle meine erste Frage: Wieso sollte man Berechtigungen mit den lokalen
Gruppen machen? Man erstellt einen Benutzer, packt den in eine globale Gruppe um
diese globale Gruppe dann in eine lokale Gruppe zu packen, der man dann Rechte
zuweisen kann... Wieso dann nicht einfach der globalen Gruppe die Rechte zuweisen??? Und,
wieso kann man die lokalen Gruppen dann nicht weglassen?)
Nun habe ich einen Testbenutzer erstellt. Diesen habe ich dann in eine von mir
erstellte lokale Testgruppe gepackt.
Anmeldung mit dem Benutzer in der angegebenen Domäne klappt wunderbar. Genauso
gut klappt allerdings das domänenübergreifende Arbeiten. Das sollte doch eigentlich nicht
sein!
Wie stelle ich es nun an, damit man nicht mehr domänenübergreifend arbeiten kann?
Besser noch wäre es, wenn der Benutzer die andern Domänen in der Netzwerkumgebung
nicht mehr sehen würde!
Server: Windows Server 2003
Clients:Windows XP Professional SP2
bei mir stellt sich folgende Lage dar:
Eine Oberdomäne in der sich 4 Unterdomänen befinden.
Die Unterdomänen sollten sich eigentlich nicht sehen dürfen...können sie aber.
Und nicht nur das, man kann sogar domänenübergreifend arbeiten.
Dazu muss man wissen, wie das mit den lokalen und globalen Gruppen funktioniert.
Ich habe folgendes Verständnis:
Die lokale Gruppe gibt an, wie auf bestimmte Ressourcen zugegriffen werden
kann. Sie kann entweder globale Gruppen als auch einzelne Benutzter als Mitglieder
aufnehmen. Ihr Wirkungsbereich beschränkt sich auf die Domäne, in die man die
Gruppe "gesteckt" hat.
Die globale Gruppe hat ihren Wirkungsbereich domänenübergreifend und akzeptiert nur Benutzer
als Mitglieder.
(An dieser Stelle meine erste Frage: Wieso sollte man Berechtigungen mit den lokalen
Gruppen machen? Man erstellt einen Benutzer, packt den in eine globale Gruppe um
diese globale Gruppe dann in eine lokale Gruppe zu packen, der man dann Rechte
zuweisen kann... Wieso dann nicht einfach der globalen Gruppe die Rechte zuweisen??? Und,
wieso kann man die lokalen Gruppen dann nicht weglassen?)
Nun habe ich einen Testbenutzer erstellt. Diesen habe ich dann in eine von mir
erstellte lokale Testgruppe gepackt.
Anmeldung mit dem Benutzer in der angegebenen Domäne klappt wunderbar. Genauso
gut klappt allerdings das domänenübergreifende Arbeiten. Das sollte doch eigentlich nicht
sein!
Wie stelle ich es nun an, damit man nicht mehr domänenübergreifend arbeiten kann?
Besser noch wäre es, wenn der Benutzer die andern Domänen in der Netzwerkumgebung
nicht mehr sehen würde!
Server: Windows Server 2003
Clients:Windows XP Professional SP2
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 24068
Url: https://administrator.de/contentid/24068
Printed on: April 18, 2024 at 09:04 o'clock
2 Comments
Latest comment
Hi
ihr habt also eine Gesamtstruktur mit 4 Unterdomänen, die alle gegenseitig alle Resscourcen sehen und verändern können.
Bist du denn der Gesamtdomänen Domain Admin?
für mich sieht das so aus , das diese Struktur so gewollt ist.
Stecken denn in den Unterdomänen einzelne Firmen?
so schnell würde ich da nichts ändern ohne die Verantwortlichen zu fragen.
grüße
Wiri
ihr habt also eine Gesamtstruktur mit 4 Unterdomänen, die alle gegenseitig alle Resscourcen sehen und verändern können.
Bist du denn der Gesamtdomänen Domain Admin?
für mich sieht das so aus , das diese Struktur so gewollt ist.
Stecken denn in den Unterdomänen einzelne Firmen?
so schnell würde ich da nichts ändern ohne die Verantwortlichen zu fragen.
grüße
Wiri
Genau.
Wir haben Gesamtstruktur mit 4 Unterdomänen, welche verschieden Bereiche (und Standorte) einer Firma aufteilen. Ja, ich bin Domain Admin in der Gesamtdomäne. Arbeite mich aber noch ein... und Ja, diese Struktur ist so gewollt!
ABER, es sollen keine Ressourcen untereinander genutzt werden können (so wie im 1. Text beschrieben).
Hm...
Und warum kann mein Testbenutzer auf alle Ressourcen zugreifen, obwohl er nur in der lokalen Gruppe abgelegt ist?
Bisher wurde das hier so gehandhabt:
User in globale Gruppe. Globale Gruppe in lokale Gruppe der entsprechenden Domäne. Die Berechtigungen auf die Ressourcen werden dann mit den globalen Gruppen geregelt.
Wir haben Gesamtstruktur mit 4 Unterdomänen, welche verschieden Bereiche (und Standorte) einer Firma aufteilen. Ja, ich bin Domain Admin in der Gesamtdomäne. Arbeite mich aber noch ein... und Ja, diese Struktur ist so gewollt!
ABER, es sollen keine Ressourcen untereinander genutzt werden können (so wie im 1. Text beschrieben).
Hm...
Und warum kann mein Testbenutzer auf alle Ressourcen zugreifen, obwohl er nur in der lokalen Gruppe abgelegt ist?
Bisher wurde das hier so gehandhabt:
User in globale Gruppe. Globale Gruppe in lokale Gruppe der entsprechenden Domäne. Die Berechtigungen auf die Ressourcen werden dann mit den globalen Gruppen geregelt.
