7
Bleiben die Berechtigungen für lokale Benutzer bei Domänenbeitritt erhalten
Hallo zusammen.
Ich hab da mal eine kleine Frage. Wir haben derzeit einen Mitgliedsserver mit W2K8 Standard. Dieser soll nun zusätzlicher Domänencontroller werden.
Derzeit sind lokal Benutzer angelegt die auf diverse Freigaben und Applikationen zugreifen (Warenwirtschaftssystem etc.)
Wenn ich dem Server jetzt als zusätzlichen DC heraufstufe, wie sieht es mit den lokalen Berechtigungen aus ?
Muss ich die User im AD vorher abbilden oder bleibt, salopp gesagt, alles beim alten nur das der Server zusätzlicher DC ist ?
Gruß
XdrXdr
Ich hab da mal eine kleine Frage. Wir haben derzeit einen Mitgliedsserver mit W2K8 Standard. Dieser soll nun zusätzlicher Domänencontroller werden.
Derzeit sind lokal Benutzer angelegt die auf diverse Freigaben und Applikationen zugreifen (Warenwirtschaftssystem etc.)
Wenn ich dem Server jetzt als zusätzlichen DC heraufstufe, wie sieht es mit den lokalen Berechtigungen aus ?
Muss ich die User im AD vorher abbilden oder bleibt, salopp gesagt, alles beim alten nur das der Server zusätzlicher DC ist ?
Gruß
XdrXdr
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 163181
Url: https://administrator.de/contentid/163181
Printed on: April 24, 2024 at 10:04 o'clock
7 Comments
Latest comment
Es bleibt diesbezüglich alles beim Alten!
Bei den Datei-Berechtigungen/Shares spielt es keine Rolle, ob ein Server Member oder DC ist.
Bei den Datei-Berechtigungen/Shares spielt es keine Rolle, ob ein Server Member oder DC ist.
Ok, das klingt man nicht schlecht. Also ändert sich nichts außer das der Server zusätzlicher die Active Directory Dienste installiert hat ?
HI. xdrxdr,
Nicht ganz, da dieser ein DC wird, greift jetzt auch die GPO für DomainController. Das heist, du muß Anpassungen machen, unter Verwaltung-> Sicherheitsrichtlinie für Domaincontroller.
Schau dort mal nach, ob lokale User sich dann immer noch anmelden dürfen. Es könnte dann sein das die User sich nicht anmelden können.
Gruss
holli
Nicht ganz, da dieser ein DC wird, greift jetzt auch die GPO für DomainController. Das heist, du muß Anpassungen machen, unter Verwaltung-> Sicherheitsrichtlinie für Domaincontroller.
Schau dort mal nach, ob lokale User sich dann immer noch anmelden dürfen. Es könnte dann sein das die User sich nicht anmelden können.
Gruss
holli
Hallo,
Ja musst Du.
Gruß,
Andreas
Bei den Datei-Berechtigungen/Shares spielt es keine Rolle, ob ein Server Member oder DC ist.
Nein bleibt es nicht. Die Berechtigungen sind für einen Benutzer namens servername\benutzername gemacht. Wenn der Server "Servername" allerdings zum DC wird, wird es keine Benutzer servername\benutzername mehr geben, nur noch domänenname\benutzername.Muss ich die User im AD vorher abbilden oder bleibt, salopp gesagt, alles beim alten nur das der Server zusätzlicher DC ist ?
Ja musst Du.
Gruß,
Andreas
Wenn ich dem Server jetzt als zusätzlichen DC heraufstufe, wie sieht es mit den lokalen Berechtigungen aus ?
Kurz und vereinfacht ausgedrückt:An einem DC gibt es keine lokalen Benutzer mehr. Somit können die sich auch nicht mehr anmelden und Berechtigungen/Sicherheitseinstellungen die an diese geknüpft waren sind auch weg.
Muss ich die User im AD vorher abbilden oder bleibt, salopp gesagt, alles beim alten nur das der Server zusätzlicher DC ist ?
Ja.
Ich hatte mich bei den ersten Posts schon gewundert.
Wenn man einen Windows Server mit dcpromo zu einem DC hoch stuft, wird die Windows SAM (Security Account Manager oder auch lokale Benutzerdatenbank) deaktiviert und die Berechtigungen laufen über die AD.
Lediglich ein Relikt bleibt zurück und das ist der Administratoraccount für die Wiederherstellung des Verzeichnisdienstes. Ich meine, dass dieser Account dazu da ist um die SAM wieder zu aktivieren (Da bin ich mir aber nicht so sicher).
MfG EvilToken
Wenn man einen Windows Server mit dcpromo zu einem DC hoch stuft, wird die Windows SAM (Security Account Manager oder auch lokale Benutzerdatenbank) deaktiviert und die Berechtigungen laufen über die AD.
Lediglich ein Relikt bleibt zurück und das ist der Administratoraccount für die Wiederherstellung des Verzeichnisdienstes. Ich meine, dass dieser Account dazu da ist um die SAM wieder zu aktivieren (Da bin ich mir aber nicht so sicher).
MfG EvilToken
Alles klar. dann weiß ich Bescheid. (SAM) Vielen Dank
