10
In der Trusted-Domain User anlegen können
Hallo zusammen,
ich habe zu einer neuen Domäne ein trust erstellt und diese neben meiner Domäne in der MMC aufgenommen. Soweit funktioniert alles.
Ich möchte nun in der neuen Domäne User anlegen und diese auch in Gruppen aufnehmen können.
Ist dies Möglich?
Ich kriege das Feld "Neu" in der anderen Domäne nicht angezeigt und in den Gruppen kriege ich das Feld Hinzufügen nicht.
Was muss ich machen, damit ich das Recht dazu habe?
Lg
ich habe zu einer neuen Domäne ein trust erstellt und diese neben meiner Domäne in der MMC aufgenommen. Soweit funktioniert alles.
Ich möchte nun in der neuen Domäne User anlegen und diese auch in Gruppen aufnehmen können.
Ist dies Möglich?
Ich kriege das Feld "Neu" in der anderen Domäne nicht angezeigt und in den Gruppen kriege ich das Feld Hinzufügen nicht.
Was muss ich machen, damit ich das Recht dazu habe?
Lg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 347214
Url: https://administrator.de/contentid/347214
Printed on: April 19, 2024 at 13:04 o'clock
10 Comments
Latest comment
Hi,
Wenn Du in der Lage warst, eine Vertrauensstellung aufzubauen, dann musst Du in beiden Domänen jeweils Administrator-Rechte haben. Wenn dem so ist, dann sollstes Du auch in der Lage sein (die Rechte haben), Dir ein Konto einzurichten, welches in beiden Domänen Benutzer und Gruppen verwalten kann (Verwaltung delgiert bekommen oder Administrator-Rechte hat).
E.
Ist dies Möglich?
Ja.Was muss ich machen, damit ich das Recht dazu habe?
Es Dir erteilen (lassen).Wenn Du in der Lage warst, eine Vertrauensstellung aufzubauen, dann musst Du in beiden Domänen jeweils Administrator-Rechte haben. Wenn dem so ist, dann sollstes Du auch in der Lage sein (die Rechte haben), Dir ein Konto einzurichten, welches in beiden Domänen Benutzer und Gruppen verwalten kann (Verwaltung delgiert bekommen oder Administrator-Rechte hat).
E.
Auf meiner Seite habe ich den Trust erstellt. Auf der anderen Seite der andere Admin.
Wo muss ich nun eingetragen werden?
Bei denen in den Domänen-Admins?
Lg
Wo muss ich nun eingetragen werden?
Bei denen in den Domänen-Admins?
Lg
Also ich habe eben folgendes probiert:
In meiner Domäne eine Universelle Gruppe erstellt und wollte die User aus der anderen Domäne hinzufügen.
Unter Pfade habe ich nur meine Domäne angezeigt bekommen. Wie kriege ich die User aus der anderen Domäne in gruppen auf meiner Domäne rein?
Lg
In meiner Domäne eine Universelle Gruppe erstellt und wollte die User aus der anderen Domäne hinzufügen.
Unter Pfade habe ich nur meine Domäne angezeigt bekommen. Wie kriege ich die User aus der anderen Domäne in gruppen auf meiner Domäne rein?
Lg
Der andere Admin muss Dir entweder ein Konto einrichten und diesem entsprechende Rechte erteilen oder emuss direkt Deinem Konto in Eurer Domäne diese Rechte erteilen. Wie er das macht, bleibt Ihm überlassen.
Umgekehrt genauso.
Du solltest Dich zuerst mal mit dem Gruppenmodell beschäftigen! Universelle Gruppen können nur Mitglieder des eigenen Forest haben.
Wenn Du Mitglieder anderer Forest Rechte erteilen willst, dann musst Du Domänen-Lokale Gruppen erstellen, in welche Du entweder direkt die Benutzer der anderen Domäne hinzufügst oder (viel besser!) Globale Gruppen der anderen Domäne.
Umgekehrt genauso.
Du solltest Dich zuerst mal mit dem Gruppenmodell beschäftigen! Universelle Gruppen können nur Mitglieder des eigenen Forest haben.
Wenn Du Mitglieder anderer Forest Rechte erteilen willst, dann musst Du Domänen-Lokale Gruppen erstellen, in welche Du entweder direkt die Benutzer der anderen Domäne hinzufügst oder (viel besser!) Globale Gruppen der anderen Domäne.
1
Danke, dass lese ich hier gerade nochmal..
https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/
Also, damit ich von meiner Domäne aus über die MMC in der anderen Domäne arbeiten kann, muss mich ein Admin von der anderen Domäne erstmal berechtigen dies zu tun.
Muss ich um User und Berechtigungen anpassen zu können unbedingt in die Domain-Admin Gruppe rein oder reicht eine andere Gruppe untendrunter aus, bsp. Organisationsadmins?
Lg
https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/
Also, damit ich von meiner Domäne aus über die MMC in der anderen Domäne arbeiten kann, muss mich ein Admin von der anderen Domäne erstmal berechtigen dies zu tun.
Muss ich um User und Berechtigungen anpassen zu können unbedingt in die Domain-Admin Gruppe rein oder reicht eine andere Gruppe untendrunter aus, bsp. Organisationsadmins?
Lg
Muss ich um User und Berechtigungen anpassen zu können unbedingt in die Domain-Admin Gruppe rein oder reicht eine andere Gruppe untendrunter aus, bsp. Organisationsadmins?
Oh man, warum machst Du diesen Job? Haben denn die Organisations-Admin weniger Rechte in den Domänen als die Domänen-Admins?Man muss in keiner Gruppe sein, um Rechte erteilt bekommen zu haben. Es ist nur sinnvoller, Rechte über Gruppen zu erteilen.
Aber um die Frage zu beantworten:
Nein, Dein Konto muss nicht Mitglied der Domänen-Admins der anderen Domäne sein. Das geht rein technisch auch gar nicht, weil das eine Globale Gruppe ist und man den Typ dieser Gruppe nicht ändern kann. --> Technisches Grundlagenwissen!
Aber man kann ganz normal über die Verwaltungsdelegierung entsprechende Rechte erteilen.
Man sollte nicht auf ein Stachelbett schlafen.
Die Frage war, ob ich eine bestimmte Rolle in der anderen Domäne haben muss, um Gruppen in der anderen Domäne verwalten zu können.
Wenn ein Admin so liest wie du, dann hat er bestimmte Kollegen die einen gerne vermeiden.
Die Frage war, ob ich eine bestimmte Rolle in der anderen Domäne haben muss, um Gruppen in der anderen Domäne verwalten zu können.
Wenn ein Admin so liest wie du, dann hat er bestimmte Kollegen die einen gerne vermeiden.
Die Frage war, ob ich eine bestimmte Rolle in der anderen Domäne haben muss,
Und die Antwort war: Nein. Keine bestimmte Rolle (Gruppe)um Gruppen in der anderen Domäne verwalten zu können.
Du hast nachum User und Berechtigungen anpassen zu können
gefragt.Antwort auch: Nein.
Um die Mitgliedschaft einer Gruppe zu bearbeiten, brauchst Du das Recht, das Attribut "member" dieser Gruppe zu schreiben. Aber wenn ich Admin dieser anderen Domäne wäre und die Trennung der Administration erhalten bleiben soll, dann würde ich niemanden aus einer anderen Domäne das Recht erteilen, die Mitgliedschaft einer der Gruppen in "meiner" Domäne zu ändern. Ich würde max. eine von Dir genannte Globale Gruppe aus "Deiner" Domäne zum Mitglied einer "meiner" Domänenlokalen Gruppen machen. Die Mitgliedschaft in "Deiner" Gruppe hättest Du dann zu verwalten und zu verantworten. Die Rechte "meiner" Gruppe hätte ich zu verwalten und zu verantworten.
Wenn ein Admin so liest wie du, dann hat er bestimmte Kollegen die einen gerne vermeiden.
Ganz im Sinne von Stromberg, wa? "Zuviel Kompetenz macht unsympathisch."
von zu viel Kompetenz kann man so ja nicht wirklich reden.
Die Antwort die ich gebraucht habe: SID-Filterung
Die Antwort die ich gebraucht habe: SID-Filterung
Die Antwort die ich gebraucht habe: SID-Filterung
Wohl kaum. Da gehts um was ganz anderes. Das ist nur relevant, wenn man SID's migriert hat (i.A. mit ADMT) und anschließend mit den SID's aus der sidHistory keinen Zugriff auf die Quell-Umgebung hat. Von Migration schreibst Du aber nichts. Du fragtest nachIch möchte nun in der neuen Domäne User anlegen und diese auch in Gruppen aufnehmen können.
Ist dies Möglich?
und was soll das mit SID-Filterung zu tun haben?Ist dies Möglich?
