Zum Inhalt wechseln


Foto

AD trust zwischen zwei Domänen und das Zuweisen von Konten zu Gruppen


  • Bitte melde dich an um zu Antworten
6 Antworten in diesem Thema

#1 4zap

4zap

    Member

  • 287 Beiträge

 

Geschrieben 21. September 2017 - 08:55

Hai

 

musste mal wieder zwei ADs verheiraten. Diesmal bin ich aber "ausgerutscht", d. h. was wir erreichen wollten geht nicht. Ich kann User aus der trusted Domäne B zu unseren lokalen Gruppen an Domäne A hinzufügen. Das geht nur auf lokaler Ebene. Bei globalen oder universellen Gruppen geht die Zuweisung nicht. Ich kann die User aber aus Domäne B für die Clients im AD berechtigen. Die sind ja auch nicht lokal, die replizieren sich ja auch über die DC's über den globalen Katalog.

Es ging eigentlich darum User aus der Domäne B globalen GRuppen zuzuordnen. Egal wie ich das verschachtele, sobald ich das versuche heißt es immer das ich die Mitglieder nicht hinzufügen kann.

Um mein Ziel zu erreichen müsste ich eigentlich jetzt eine übergeordnete Gesamtdomäne erstellen und bei Domänen als Subdomänen aufnehmen. Das ist aber juristisch nicht möglich, die Möglichkeit fällt weg.

 

Kennt jemand einen Weg User aus Domäne B über den Trust zu globalen Sicherheitsgruppen in Domäne A hinzuzufügen`? Ich vermute nicht... aber ich hab noch Hoffnung.

 

viele Grüße

 


[der An****** lauert überall!]
passed: 70-680, 70-640, 70-642, 70-643, 70-647, 640-802, 70-659, 70-462, 70-341, 70-417
.....


#2 NilsK

NilsK

    Expert Member

  • 12.399 Beiträge

 

Geschrieben 21. September 2017 - 09:26

Moin,

 

das geht schlicht nicht. Globale Gruppen nehmen nur Objekte aus der eigenen Domäne auf. Universalgruppen nur Objekte aus dem eigenen Forest.

Für dein Szenario sind die Domänenlokalen Gruppen gedacht.

 

[Windows-Gruppen richtig nutzen | faq-o-matic.net]
https://www.faq-o-ma...richtig-nutzen/

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#3 4zap

4zap

    Member

  • 287 Beiträge

 

Geschrieben 21. September 2017 - 09:42

Moin,

 

das geht schlicht nicht. Globale Gruppen nehmen nur Objekte aus der eigenen Domäne auf. Universalgruppen nur Objekte aus dem eigenen Forest.

Für dein Szenario sind die Domänenlokalen Gruppen gedacht.

 

[Windows-Gruppen richtig nutzen | faq-o-matic.net]
https://www.faq-o-ma...richtig-nutzen/

 

Gruß, Nils

Danke Nils, das hab ich mir schon gedacht. Schade....


[der An****** lauert überall!]
passed: 70-680, 70-640, 70-642, 70-643, 70-647, 640-802, 70-659, 70-462, 70-341, 70-417
.....


#4 NilsK

NilsK

    Expert Member

  • 12.399 Beiträge

 

Geschrieben 21. September 2017 - 10:30

Moin,

Du kannst vorhandene Globale Gruppen aber in Domänenlokale konvertieren.

Gruß, Nils

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#5 4zap

4zap

    Member

  • 287 Beiträge

 

Geschrieben 21. September 2017 - 12:12

Moin,

Du kannst vorhandene Globale Gruppen aber in Domänenlokale konvertieren.

Gruß, Nils

Das wäre mögich aber damit werden die mit AaD Connect nicht in Azure repliziert, das war mein Ziel dahinter. Ich hab diverse Unternehmes Apps erstellt die im Office Portal publiziert sind, darauf wollte ich Zugriff gewähren ohne einen ext. AD Account erstellen zu müssen. Auf der anderen SEite müssen brauchen wir die Zugriffsberechtigung auf diverse Sharepoint Instanzen in Asien von unserem Partnerunternehmen. Ist leider ein hybride Struktur, beim Partner etwas mehr als bei uns.  Wir könnten evtl. die Azure ADs verheiraten, aber AD FS ist nicht gewünscht. Wie ich das jetzt hinkriegen soll weiß ich jetzt auch nicht. :(


[der An****** lauert überall!]
passed: 70-680, 70-640, 70-642, 70-643, 70-647, 640-802, 70-659, 70-462, 70-341, 70-417
.....


#6 NilsK

NilsK

    Expert Member

  • 12.399 Beiträge

 

Geschrieben 21. September 2017 - 12:58

Moin,

 

aber AD FS ist nicht gewünscht.

 

wieso das denn nicht?

 

Ansonsten wäre es in dem Szenario sicher sinnvoll, sich jemanden dazuzuholen, der sich mit der Technik und den Zusammenhängen auskennt.

 

Gruß, Nils


Bearbeitet von NilsK, 21. September 2017 - 12:58.

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#7 4zap

4zap

    Member

  • 287 Beiträge

 

Geschrieben 22. September 2017 - 15:51   Lösung

Hallo Nils,

 

ist ne firmenpolitische Entscheidung, muss ich so akzeptieren. AD FS hat auch Nachteile...

 

Das Azure hat mich gerettet. Der Gastzugriff auf die Services funktioniert auch in der Art wie wir das brauchen. Ist etwas mehr Verwaltungsaufwand aber die Funktion am Ende ist ähnlich und da wird eh jetzt fast zu 100% in der Cloud unterwegs sind passt das so. Ziel erreicht.


[der An****** lauert überall!]
passed: 70-680, 70-640, 70-642, 70-643, 70-647, 640-802, 70-659, 70-462, 70-341, 70-417
.....