Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Benutzern einer AD Subdomain die Anmeldung an der Hauptdomain verbieten ?

Frage Microsoft Windows Userverwaltung

Mitglied: mariofu

mariofu (Level 1) - Jetzt verbinden

21.09.2012 um 12:43 Uhr, 5752 Aufrufe, 4 Kommentare

Hallo liebe IT´ler,

ich habe eine Haupdomain in einem AD nennen wir sie Test.de, darunter habe ich eine Subdomain erstellt sub1.
Ich möchte gern verhindern das sich Benutzer die es in Sub1 gibt an die Test.de Anmelden können.

Leider ist es eine Subdomain in einer Gesamtstruktur, dadurch wird ja die Automatisch eine Bidirectionale Transitive Vertrauensstellung erstellt, die man im ersten moment auch nicht verändern kann.

Mein Domain Level ist : Windows Server 2003 für die Gesamtstruktur und Domain.

Gruß
Mario
Mitglied: kontrast
21.09.2012 um 13:13 Uhr
Hi,

ich hab so etwas zwar noch nie selbst eingerichtet, aber allein wenn man sich einmal die Einstellungen ansieht und in der Hilfe nachschlägt, findet man dort direkt die Lösung. Was du schreibst über die Vertrauensstellung ist korrekt, dies entspricht der Standardeinstellung, diese kann aber geändert werden.

Active Directory Domänen und Vertrauensstellungen, dann auf die Domäne | Eigenschaften und unter Vertrauensstellungen eine neue Vertrauensstellung einrichten.

Hier auch der Auszug aus der Hilfe:

Vertrauensstellungen in den Betriebssystemen Windows Server 2003 und Windows 2000 Server
Alle Vertrauensstellungen in einer Windows 2000- und Windows Server 2003-Gesamtstruktur sind transitive, bidirektionale Vertrauensstellungen. Deshalb wird beiden Domänen in einer Vertrauensstellung vertraut. Aus der folgenden Abbildung ist Folgendes ersichtlich: Wenn Domäne A Domäne B vertraut und Domäne B Domäne C vertraut, können Benutzer aus Domäne C auf Ressourcen in Domäne A zugreifen (sofern sie über die entsprechenden Berechtigungen verfügen).

Der Vertrauenstyp und die zugehörige Richtung beeinflussen den Vertrauenspfad, der für die Authentifizierung verwendet wird. Im Vertrauenspfad sind die Vertrauensstellungen zusammengefasst, die Authentifizierungsanforderungen zwischen Domänen durchlaufen müssen. Bevor ein Benutzer auf eine Ressource einer anderen Domäne zugreifen kann, muss durch das Sicherheitssystem auf Domänencontroller unter Windows Server 2003 festgestellt werden, ob zwischen der vertrauenden Domäne (in der die Ressource enthalten ist, auf die der Benutzer zugreifen möchte) und der vertrauenswürdigen Domäne (der Anmeldedomäne des Benutzers) eine Vertrauensstellung besteht. Zu diesem Zweck wird der Vertrauenspfad zwischen einem Domänencontroller in der vertrauenden Domäne und einem Domänencontroller in der vertrauenswürdigen Domäne vom Sicherheitssystem berechnet. In der folgenden Abbildung sind die Vertrauenspfade durch Pfeile gekennzeichnet. Diese geben an, in welche Richtung der Vertrauenspfad verläuft:

Ich hoffe das hilft dir schon mal weiter... die Hilfe ist an der Stelle recht ausführlich.

Gruß
Bitte warten ..
Mitglied: sk
21.09.2012, aktualisiert um 17:42 Uhr
Zitat von mariofu:
ich habe eine Haupdomain in einem AD nennen wir sie Test.de, darunter habe ich eine Subdomain erstellt sub1.
Ich möchte gern verhindern das sich Benutzer die es in Sub1 gibt an die Test.de Anmelden können.

Es ist zwar schon etwas länger her, dass ich mich eingehender mit der Administration von Windows-Domänen beschäftigt habe, aber ich vermute, dass Du Dich hier ungenau ausdrückst. Wenn ich mich recht entsinne, melden sich die Benutzer der Subdomain eben nicht an der Hauptdomain an, sondern an der Subdomain. Jedoch kann ein Benutzer aus der Subdomain aufgrund der Vertrauensstellung auch Ressorcen der Hauptdomain nutzen, wenn (und nur soweit) ihm die Berechtigung dazu erteilt wurde. Ich vermute, dass Du lediglich die Benutzung eines PCs der Hauptdomain unter Authentifizierung gegenüber der Subdomain verhindern möchtest. Dieses Recht sollte sich per Gruppenrichtlinie implizit entziehen und/oder explizit verweigern lassen.
An den Default-mäßigen Vertrauenstellungen solltest Du möglichst nichts ändern!

Gruß
sk
Bitte warten ..
Mitglied: mariofu
22.09.2012 um 10:35 Uhr
Hallo Ihr beiden, danke für eure Antworten.

Sorry das ich mich etwas unverständlich ausgedrückt habe.

Zitat von sk:
Ich vermute, dass Du lediglich die Benutzung eines PCs der Hauptdomain unter Authentifizierung gegenüber der >Subdomain
verhindern möchtest.

Genau das möchte ich erreichen.

Gruß
Mario
Bitte warten ..
Mitglied: sk
02.10.2012 um 12:20 Uhr
Einstellungen gefunden und getestet?
Bitte warten ..
Ähnliche Inhalte
Windows Server
Administratorberechtigungen werden von Hauptdomain nicht auf Subdomain übernommen
gelöst Frage von HanutaWindows Server10 Kommentare

Hallo Zusammen, ich habe folgendes Problem: wir haben eine Haupt-und eine Subdomain in einer Windows Server 2k8 R2 Umgebung. ...

Apache Server
Alle Subdomains auf Hauptdomain weiterleiten
Frage von ClepToManixApache Server2 Kommentare

Hallo liebe Freunde der Lust :) Ich habe vor, dass alle Subdomains, die ich nicht explizit in eigenständigen VHosts ...

CMS
Joomla Seite auf Subdomain gespiegelt - Änderungen werden auf Hauptdomain übernommen
gelöst Frage von ischbindebaetmaenCMS3 Kommentare

Hallo Admins, folgende Frage: Ich habe heute eiune LIvewebseite auf eine Sudomain gespiegelt als Testumgebung. Joomla Ordner gesichter, Inhalt ...

Windows Server
AD: Lokale Anmeldung verbieten aber Freigabe mounten zulassen
Frage von Hubert.HasenfussWindows Server10 Kommentare

Hallo zusammen, folgendes Szenario: Wir möchten in unserem AD einem Benutzer das lokale Anmelden an allen Windows-Rechnern verbieten. Dennoch ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 11 StundenWindows 101 Kommentar

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 13 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte16 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...

Windows Server
GPO nur für bestimmte Computer
Frage von Leo-leWindows Server13 Kommentare

Hallo Forum, gern würde ich ein Robocopy script per Bat an eine GPO hängen. Wichtig wäre aber dort der ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server13 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...

Netzwerkgrundlagen
Laufwerkszuordnung mit zwei IPs
Frage von Alex29Netzwerkgrundlagen12 Kommentare

Hallo in die Runde, Ich als Hobbyadmin hätte mal wieder eine Frage an die Profis. Ich habe ein Netzwerk ...