Best Practice - 2 Domänen; gemeinsamer Zugriff

[wuurian 0]

Hallo zusammen,

 

ich suche nach Anregungen, wie ich bestmöglich folgendes Problem lösen kann:

 

Domäne A ist am Hauptstandort in Deutschland, Domäne B ist im Außenwerk.

 

Beide Standorte sind per VPN miteinander verbunden.

 

Domäne A: Windows Server 2008R2

 

Domäne B: Windows Server 2012R2

 

Das "Problem" ist, das wir in Domäne A auf unserem Fileserver auf einem Verzeichniss unser Qualitätsmanagementhandbuch liegen haben.

 

 

Dieses wird seit eh und je doppelt geführt; sprich bei Änderungen wird das Handbuch von Domäne A einfach neu auf Domäne B kopiert.

 

Wir möchten nun gerne den Benutzern aus Domäne B Zugriff auf ein bestimmtes Verzeichniss gewähren in Domäne A.

 

Ich habe mich schon etwas informiert, mein derzeitiger Plan würde so aussehen:

 

 

Domäne A muss Domäne B vertrauen, also eine unidirektionale Vertrauensstellung.

 

Auf dem Fileserver im AD den haken bei Autorisierung rein, und meine NTFS Berechtigungen setzen.

 

 

Bin ich da auf der richtigen Fährte? Kann es Probleme geben, da beide Domänen nicht die gleiche Serverversion haben?

 

Bin für alle Tipps und Anregungen dankbar!!

 

Viele Grüße

 

wuurian

 

 

 

 

 

 

[NilsK 2.781]

Moin,

 

ja, grundsätzlich lässt sich das über eine Vertrauensstellung und entsprechende Gruppen und Gruppenberechtigungen lösen. Die Version bzw. der Betriebsmodus der beiden Domänen (ich nehme mal an, es handelt sich um separate Forests) ist dabei egal.

 

Was genau meinst du mit

 

Auf dem Fileserver im AD den haken bei Autorisierung rein

?

 

Gruß, Nils

[wuurian 0]

Hey,

 

gibt es da auch noch eine andere Möglichkeit?

 

Ja, es sind zwei sperate Forests.

 

Mit dem Haken meine ich, das ich doch auf unserem Fileserver im entsprechenden Verzeichniss freigeben muss, das sich die MA aus Domäne B an Domäne A zugreifen dürfen?

 

Wie darf ich das mit den Gruppen verstehen? Muss ich bei mir in Domäne A einfach eine Gruppe anlegen, und da meine MA aus Domäne B reinziehen?

 

Und dann die entsprechende Berechtigung setzen?

 

Kann dabei was schief gehen, bzw. muss ich etwas spezielles beachten?

 

Gruß

[Piranha 18]

Sorry, aber willst du dir da nicht professionelle Hilfe holen?

[wuurian 0]

Sorry, aber dann hätte ich nicht hier angefragt!

 

Man liest ja fast nur noch "Hole dir lieber Hilfe".

 

 

Wieso stelle ich den eine Frage in einem Forum?! Damit mir eventuell jemand etwas dazu sagen kann, und mich aufklären kann.

 

Wenn das zu viel des Guten ist, sagt mir bitte bescheid.

 

Ansonsten habe ich den Sinn eines Forum`s nicht verstanden..?!

[Sunny61 772]

Nun mal langsam mit den Pferden. Du hast eine Anspruchshaltung und das ist IMO falsch. Ein Forum ist dazu da, um Fragen zu stellen und Antworten zu bekommen können. Ein Anrecht auf eine, noch dazu, richtige und zielführende Antwort hat IMO niemand. Und Piranha hat nicht ganz zu Unrecht den Eindruck, dir fehlt es an Grundlagenwissen. Und Grundlagenwissen zu vermitteln übersteigt sehr häufig die Möglichkeiten in einem Forum.

Zum Thema Gruppen seien dir diese Artikel ans Herz gelegt:
http://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/
http://www.faq-o-matic.net/2015/12/28/datei-und-freigabeberechtigungen-in-windows/

Lies sie so oft, bis Du sicher bist sie verstanden zu haben. Jetzt kannst Du dein Vorhaben in einer Testumgebung testen. Funktioniert alles wie gewünscht? Dann eine Doku schreiben und in der Produktivumgebung Schritt für Schritt nachstellen.

[wuurian 0]

Hallo,

 

ich wollte jetzt hier auch keine fertige Komplettlösung, sondern Anregungen, wie und womit ich es machen kann.

 

Eventuell gibt es ja noch einen anderen Lösungsweg. Wenn dann gleich kommt, ich solle mir lieber Hilfe holen, fühle ich mich etwas auf den Schlipps getreten.

 

Ich bin in der Thematik nunmal noch kein Profi, und suche daher hier Rat und Tipps..

 

Okay, werde mir deine beiden Links die Tage zu Herzen nehmen.

 

 

Aber ich bin ja schonmal auf dem richtigen Dampfer allen Anschein nach, werde mir die Grundladen dazu noch aneignen.

 

 

Wollte die Umstellung auch nicht gleich morgen machen, daher habe ich mich an euch gewandt.

[NilsK 2.781]

Moin,

 

grundsätzlich ist das weder schwierig noch heikel - aber nur, wenn man weiß, was man tut. Weiß man das nicht (was ja grundsätzlich nicht schlimm ist, nur sollte man sich an der Stelle ggf. wirklich kundige Unterstützung holen), dann kann man damit durchaus etwas in der Umgebung anrichten, was unerwünschte Folgen hat. Mit einer Vertrauensstellung änderst du das gesamte Sicherheitsmodell, da sollte man das Vorgehen schon beherrschen.

 

Wie wäre es, wenn du das erst mal in einer Laborumgebung durchspielst? Hinweise zu den nötigen Schritten solltest du im Web ausreichend finden.

 

Gruß, Nils

[Piranha 18]

Sorry @wuurian solltest du das in den falschen Hals bekommen haben doch wie NilsK hier richtig anmerkt befuerchtete ich mehr das das Sicherheitsmodell zu wanken beginnt.

Deine Loesung mag dann vielleicht auch funktionieren doch evtl. mit erheblichen Sicherheitsrisken.  ...zumindest das mal im Auge behalten.

bearbeitet 12. Dezember 2016 von Piranha

[wuurian 0]

Hey,

 

@NilsK

 

Leider ist keine Laborumgebund vorhanden. Sonst hätte ich es da natürlich vorher alles mal durchgespielt.

 

Unser Systemhaus wollte damals keine Vertrauensstellung machen, soweit ich es mitbekommen habe.

 

Da meinte nur jemand "das da mal was kaputt gegangen ist, und seitdem macht er es nicht mehr"...

 

Kommentare dazu können wir uns ja sparen..:)

 

 

Ich wollt ja wirklich nur, das unser Außenstandort auf einen einzigen Ordner draufkommt, und wir uns die doppelte Pflege sparen können.

 

 

@Piranha

 

Schon in Ordnung, würde es wirklich nur gerne selber machen, eventuell mit eurer Freiweiligen Hilfe dazu.

 

So bleibt mehr hängen, wie wenn jetzt einer vom Systemhaus kommt, sien Zeug zusammen klickt und wieder geht..

 

 

Trotzdem danke für die Anregungen, werde mich damit intensiver beschäftigen.

 

Viele Grüße

[Sunny61 772]

Wenn jemand vom Systemhaus kommt, lass ihn nicht alleine, sondern mach von Anfang an klar was Du sehen willst. Und dokumentiere die Schritte, die er ausführt. Natürlich kann man an der Stelle immer auch etwas lernen.

[Squire 211]

Zwei Dinge ... wenn so eine Aussage bzg. Vertrauensstellung von einem "Systemhaus" kommt ... nun ich würde von diesem Systemhaus nichts halten und mich nach einem anderen umsehen.

 

zum anderen ... sollen die Außendomäne nur lesend darauf zugreifen? Wenn ja könnte man die Dokumente auch per Webserver publizieren.

bearbeitet 31. Dezember 2016 von Squire

[Reingucker 3]

Workfolders über ADFS wäre hier auch interessant...wenn auch mit Kanonen auf Spatzen bei einem Ordner. Aber falls noch mehr gegeseitig zugreifen hinzu kommt wäre schon mal Grundstein da. Z.B. könnte man es auch auf andere Firmen, mit welchen man Geschäfte macht und Dateien ect.austauscht, erweitern.

[lefg 276]

Moin,

 

wird nur ein Ort für das Handbuch benötigt, sonst nichts, es schnell gehen soll, keine Experimente mit Vertrauensstellungen, dann überlegte ich, packt ich das auf OneDrive? Ist OneDrive for Business geeigneter als Private?

Warum aber zwei Domänen, Forests? Wirklich so gewollt? Wirklich? Ein Irrtum? Altlast einer Übernahme? Wozu soll das noch gut sein, zwingend? Ob eine Domäne nicht besser aufgelöst?

bearbeitet 1. Januar 2017 von lefg

[blub 115]

http://www.oldenbourg-klick.de/zeitschriften/grundschulunterricht-deutsch/2013-1/aussagesaetze-fragesaetze-ausrufesaetze

(sorry, dass sich dieser Link nicht auf den eigentlichen Topic bezieht)