Domäne A: DC-Win2008
Domäne B: DC-Win2003 mit Exchange2003
Clients in Domäne A: XP, Vista und Win7
Benutzer von Domäne A nutzen Exchange von Domäne B.
Die Anmeldung erfolgt über seperaten Benutzer von Domäne B.
Ich möchte eine Vertrauenstellung aufbauen, damit die Benutzer von Domäne A sich per Windows-Authentifizierung an Domäne B anmelden können.
(speziell gedacht für Outlook und MailArchivierung)
Ich möchte aber nicht, dass die Benutzer sich beim Anmelden die Domäne auswählen können. Anmeldung soll nur in Domäne A möglich sein!
Wie setze ich es am Besten um und welche Vertrauensstellung wäre geeignet?
Ich bedanke mich vorab schon mal für Eure Bemühungen.
wenn du eine Vertrauensstellung aufbaust, steht den Anwendern eine Auswahl zur Verfügung. Vertrauen heißt schließlich Vertrauen.
In deinem Fall müsste die Domäne B der Domäne A vetrauen. Das bedeutet, dass Domäne B alle Anwender der Domäne A akzeptiert. Daher wird der Anwender auch die Möglichkeit haben, sich direkt an Domäne B anzumelden - nichts anderes passiert ja in dem Moment, in dem ein User der Domäne A auf Ressourcen (z.B. Exchange) in Domäne B zugreift.
Was ist denn die genaue Anforderung, wegen derer du eine Einschränkung haben möchtest? Vielleicht könnte man mit selektiver Authentisierung arbeiten, aber sei gewarnt: Das macht die Sache komplex.
Momentan hat der Benutzer in Domäne A ein Account, mit Serverprofil und freier Passwortwahl.
Den gleichen Benutzer gibt es in Domäne B mit festem Passwort.
Öffnet der Benutzer in Dom. A sein Outlook, meldet er sich mit dem Benutzer von Dom. B an.
Mein Ziel ist: Windows-Auth. von Benutzer A in Domäne B und ich(Dom.B) möchte Remoteunterstützung anbieten ohne mich in Dom. A anzumelden.
Also muss ja Dom. A Dom. B vertrauen.
Mir ist aber bekannt, dass wenn ich eine Vertrauensstellung aufbaue, ich bei der Windowsanmeldung auswählen kann an welcher Domäne ich mich anmelden will.
Diese Auswahl möchte ich nicht haben, damit die Benutzer in Domäne A sich nicht ausversehen in Domäne B anmelden und sich wundern, dass Ihr Profil nicht da ist.
da denkst du falsch. In beiden Fällen meldet sich der User mit demselben Konto an. Die jetzige Konten-Dopplung müsstest du aufheben, d.h. der User hat nur noch das Konto in Domäne A. Damit gibt es auch nur ein Profil.
Ich mache jetzt eine Gesamtstrukturvertrauensstellung - Bidirektional
Mache ich dann "Domänenweite" oder "ausgewählte" Authentifizierung?
Und habe ich so das Problem mit der Domänenauswahl gelöst?
In meiner Testumgebung habe ich eine Vertauensstellung eingerichtet und kann jetzt am XP-Client zwischen DOm A und B auswählen.
Genau diese Auswahl will ich ja nicht haben.
Ich möchte das sich die Benutzer von Dom. A auch nur an Dom. A anmelden können.
Wenn du möchtest, dass User A aus Domäne A sich nicht an Domäne B anmelden kann, bist du mit einer Vertrauensstellung, die ja genau diesen Zweck hat, falsch. Du möchtest ja dass der User sich dort *authentifizieren* kann, damit er die Ressourcen nutzen kann.
Was du jetzt genau möchtest, denke ich, ist dass, der Benutzer sich nicht an einem Client anmelden kann.
Warum genau? Was tut da weh? Wenn die User serverbased Profiles haben, sollen sie sich doch anmelden wo sie wollen, verhindern kannst du es, meines Wissens nach mit Bordmitteln nicht.
