5
gruppenverschachtelung im ad
tach zusammen,
ich möchte im ad meines w2k3 server ordnung reinbringen. dazu müsste ich mehrere gruppen
verschachteln. es sollen alles gruppen vom typ sicherheit sein. ich habe bei galileo openbooks
gelesen mal solle möglichst "universal sicherheitsgruppen" verwenden. die sind bei mir allerdings
grauhinterlegt. ich kann nur lokale bzw. global sicherheitsgruppen erstellen und ich kann auch
nur eine globale gruppe in eine lokale gruppe packen mehr nät. wenn ich nun aber fünf oder zehn
gruppen habe wat nu? und warum kann ich keine universal sicherheitsgruppe erstellen?
danke für eure hilfe
ich möchte im ad meines w2k3 server ordnung reinbringen. dazu müsste ich mehrere gruppen
verschachteln. es sollen alles gruppen vom typ sicherheit sein. ich habe bei galileo openbooks
gelesen mal solle möglichst "universal sicherheitsgruppen" verwenden. die sind bei mir allerdings
grauhinterlegt. ich kann nur lokale bzw. global sicherheitsgruppen erstellen und ich kann auch
nur eine globale gruppe in eine lokale gruppe packen mehr nät. wenn ich nun aber fünf oder zehn
gruppen habe wat nu? und warum kann ich keine universal sicherheitsgruppe erstellen?
danke für eure hilfe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 89508
Url: https://administrator.de/contentid/89508
Printed on: April 19, 2024 at 07:04 o'clock
5 Comments
Latest comment
Du musst deine Domänenfunktionsebene heraufstufen. Solange sich diese im gemischten oder Interim-Modus befindet, kannst du keine Univ. Groups anlegen.
Die Heraufstufung geht über "AD Users and Computers" --> Rechtsklick auf Domäne --> "Domänenfunktionsebene heraufstufen"
ACHTUNG! Eine Zurückstufung ist nicht möglich. Wenn die Domäne in einem einheitlichen Modus läuft, können nur noch Server der gleichen Version oder höher verwendet werden!
Du kannst auch mehrere Gruppen zu einer Gruppe hinzugfügen. Sie müssen dazu den richtigen Scope haben. Beachte dabei das AGLP-Verfahren: Account --> Globale Grp. --> Lokale Grp. --> Permission. Dies ist eine Empfehlung von MS, keinesfalls eine Vorgabe. Du kannst auch nur einen bestimmten Gruppentyp nutzen. Beachte deren Besonderheiten. Gerade in Bezug auf Wirkung und Verschachtelungsmöglichkeiten.
Die Heraufstufung geht über "AD Users and Computers" --> Rechtsklick auf Domäne --> "Domänenfunktionsebene heraufstufen"
ACHTUNG! Eine Zurückstufung ist nicht möglich. Wenn die Domäne in einem einheitlichen Modus läuft, können nur noch Server der gleichen Version oder höher verwendet werden!
Du kannst auch mehrere Gruppen zu einer Gruppe hinzugfügen. Sie müssen dazu den richtigen Scope haben. Beachte dabei das AGLP-Verfahren: Account --> Globale Grp. --> Lokale Grp. --> Permission. Dies ist eine Empfehlung von MS, keinesfalls eine Vorgabe. Du kannst auch nur einen bestimmten Gruppentyp nutzen. Beachte deren Besonderheiten. Gerade in Bezug auf Wirkung und Verschachtelungsmöglichkeiten.
vielen dank für die super schnelle antwort!
ich habe es soeben an einem testserver ausprobiert. klappt prima. da wir
eine domäne mit nur einem 2k3 server haben ist die herraufstufung kein problem.
ist die anzahl der zuverschachtelten gruppen begrenzt?
ich habe es soeben an einem testserver ausprobiert. klappt prima. da wir
eine domäne mit nur einem 2k3 server haben ist die herraufstufung kein problem.
ist die anzahl der zuverschachtelten gruppen begrenzt?
Hi,
Ich konnte noch kein Limit finden....wir haben hier bis zu 250 Verschachtelungen.
Gruss,
Dani
Ich konnte noch kein Limit finden....wir haben hier bis zu 250 Verschachtelungen.
Gruss,
Dani
Nicht direkt. Die Grenze gibt Kerberos. Die User-SID-History kann nur etwa 1024 Gruppen-Mitgliedschaften verarbeiten. Danach ist der "Speicher" quasi voll.
Beim Verschachteln selbst gibt es auch keine Grenze. Vermutlich wird mit der Verschachtelungstiefe auch die Grenzen der menschlichen Logik erreicht.
Und es drückt die Performance der Server. Also am Besten so flach wie möglich.
Beim Verschachteln selbst gibt es auch keine Grenze. Vermutlich wird mit der Verschachtelungstiefe auch die Grenzen der menschlichen Logik erreicht.
Und es drückt die Performance der Server. Also am Besten so flach wie möglich.
alles gut! ich rede hier von ca. 10 verschachtelungen, da ich ansonsten selbst den überblick verlieren würde. super, der tag ist gerettet.
vielen dank!!!
vielen dank!!!
