kaineanung

Ok, ich habe es gerade nachmals nachgeprüft. CreateEnvironmentFromXML.wsf macht tatsächlich kein Match! Die SID, welche da angezeigt wird ist die 'alte' vom ursprünglichem System. Wenn ich den gleichen User nochmals auf diesem DC in der Testumgebung auswähle, ist es eine andere SID. Ich habe mich lediglich in die Irre führen lassen weil wenn ich die GPOs in der Testumgebung widerhergestellt habe OHNE vorher die Sicherheitsgruppen angelegt zu haben, waren jegliche Sicherheitsfilterungs-Felder und Zielgruppenadressierungsfelder leer. Habe ich vorher die Sicherheitsgruppen der AD neu angelegt mit den alten Namen, so waren sie bei der darauffolgendem Restore der GPOs jedoch allesamt vorhanden. Aber mit der alten SID wie ich vorhin bemerkt hatte... Somit brauche ich bei diesem Vorgang doch eine Umsetzungtabelle bzw. Migrationtable. Die Frage an euch ist jetzt: Wie erstelle ich diese und wie weise ich das Skript an diese zu nutzen?

Was ich auch bemerkt habe und mich wundert (ich aber besser finde wenn das so tatsächlich ist): Ich habe keine Migrationstabelle benötigt wie bei meiner alten Methode als ich GPOs übertragen hatte! Wie das CreateEnviromentFromXML.wsf das hinbekommt weiß ich nicht? Die Gruppennamen sind zwar gleich aber die SIDs sind natürlich unterschiedlich und trotzdem hat alles 'gematcht'. Ist das normal? Kann ich mich darauf verlassen? Wenn ja wäre das wirklich sehr sehr toll...

Der Link stimmt zwar nicht mehr aber man kann die Scriptsammlugn sehr schnell finden und herunterladen. Habe auch zu diesem Script folgenden Artikel gefunden: https://www.gruppenrichtlinien.de/artikel/erstellung-einer-testumgebung-als-abbild-der-produktiven/ Ich habe es nun auch ausgeführt und meine GPOs sind transferiert worden. Die Sicherheitsgruppen mit dem o.g. Script jedoch nicht! So, wenn ich schnell eine Testumgebung erstellen muss, dann sollten diese auch mit übertragen werden. Wenn ich zurück in die Produktivumgebung transferieren möchte, dann sollten nur die GPOs transferiert werden. So, die Frage ist jetzt: geht das mit dieser Skriptsammlung und wenn ja, wie? Wenn das CreateEnvironmentFromXML.wsf nur für das Übertragen der GPOs zuständig ist und auch nur dafür gedacht ist, dann ist das auch ok, ich sollte es nur genau wissen. (Nicht das es in meiner Testumgebung aus welchen Gründen auch immer, nicht so funktioniert hat wie es ollte und später bei dem Transfer in die Produktivumgebung mir dann meine Domäne zerstört weil er die Sicherheitsgruppen dann doch überträgt...)

Wow, danke dir! Ich habe mir soeben ein Script zusammengebastelt welches mir eine Export-CSV von der AD in eine andere AD einfügt! Funktioniert prima (hat etwas gedauert bis ich das "Domänen (lokal)" abgefangen und in 'DomainLocal' gewandelt habe (beim GroupScope welches englische Begriffe erwartet und die exportierte CSV die deutsche Begriffe verwendet)). Warum habe ich blos nicht gleich gefragt????? Hätte mir viel Arbeit gespart! Danke!

Hallo Leute, ich habe hier ein kleines Problemchen: ich habe jetzt eine Testumgebung erstellt in welcher ich unsere Domain-Migration plane und GPOs erstelle bzw. die alten LOGON-Scripte durch GPOs ersetze. Jetzt bin ich soweit das alles funktionieren sollte wie ich mir das vorstelle. Ich habe bereits vor Monaten irgendwelche Scripte gefunden mit Migrationstabelle und alles was dazu gehört um GPOs auf neue Domänen zu transferieren. Das würde ich gerne jetzt nochmal und nochmal testen (bevor es dann in Echt losgeht muss ich das ohne mit der Wimper zu zucken hinbekommen können) und habe mir ein zweites virtuelles und abgeschirmtes Testnetzwerk aufgebaut. So, beim ersten Testnetzwerk habe ich manuell gefühlt Hunderte an Sicherheitsgruppen erstellt. Ich habe also 1:1 aus unserer Domäne die Sicherheitsgruppen manuell erstellt und das dauert wirklich lange. Daher meine Frage an euch Profis hier: Gibt es eine Möglichkeit die Sicherheitsgruppen zu exportieren und auf einem anderen DC zu importieren? Natürlich mit einer neuen SID, denn ich brauche ja nur die Gruppen wegen der Zielgruppenadressierung und der Gleichen um meine GPOs zu testen nachdem ich sie in eine neue Umgebungtransferiert habe. Kurz:: Ziel ist es, wie ich bereits gesagt habe, nach der Migration unserer Domäne, die GPOs aus der Testumgebung transferieren zu können. Das geht auch, nur habe ich keine Lust jetzt die Sicherheitsgruppen manuell zu erstellen um das in einer weiteren Testumgebung testen zu können. Also brauche ich was um die AD-Sicherheitsgruppen in eine Testumgebung transferieren zu können. Wenn es nur so geht das die SID neu erstellt wird (statt die alte zu übernehmen), ist das ok so. Wird sicherlich anders auch gar nicht gehen. Ich danke euch schon einmal im Voraus für eure Hilfe!

Hallo Leute, ich habe einige GPOs und bei manchen läuft ein wenig was schief. Ich habe diverse Einstellungen zu Energieoptionen in einer Grundkonfigurations-GPO (nennen wir mal Firmen-GPO) und 7 GPOs für jeweils eine Abteilung eine eigene GPO (zuständig für Vorlagen, Laufwerksmapping und eben Abteilungsabhängige Dinge). Jetzt liefert mir die Ereignisanzeige (System) eine Warnung, Quelle: Microsoft-Windows-GroupPolicy mit der EreignisID: 1085. In der Allgemeinen Beschreibung: Fehler beim Anwenden der "Group Policy Power Options"-Einstellungen. Die "Group Policy Power Options"-Einstellungen besitzen möglicherweise eine eigene Protokolldatei. Klicken Sie auf den Link "Weitere Informationen". Unter Details finde ich dann XML-Like Knotenpunkte zu "System" mit diversen Unterpunkten und "EventtData" mit diversen Infos die mich aber überhaupt nicht weiterbringen. Nicht einmal eine ID des GPO-Objektes oder der Gleichen. Geschweige denn einen Hinweis welche der Einstellungen den Fehler oder die Warnung verursacht? Meine Frage an euch Profis ist: Wie kann ich die GPO-Fehler eigentlich genau debuggen? Wo sehe ich was schief gelaufen ist? Ich kann mit gpresult /r mir diverses anzeigen lassen in der Konsole, aber das ist dann auch nur 'Oberflächlich' bzw. Allgemein wie z.B. welche GPOs ausgeführt wurden, welche Sicherheitseinstellungen GPO-Objekte verhindert haben usw. Was ich aber brauche wäre jetzt konkret: Welche GPO? Computer- oder Benutzerkonfiguration? Welcher Punkt genau die Warnung/Fehler ausgelöst hat? Es kann ja nicht sein das ich das dann mit Try & Error oder dem Ausschlussverfahren selber herausfinden muss welche GPO und dann welcher Punkt genau das alles verursacht hat? Vor allem dann nicht wenn es mal in Echtbetrieb läuft... Wie macht ihr das? Wo findet man die ganzen Informationen? Gibt es ein Tool dazu oder ist es irgendwo in einer Textdatei oder irgendwas?

Ok, damit ist die Reihenfolge Computer / Benutzer-Richtlinienreihenfolge beantwortet. Die Computerrichtlinie gewinnt WENN es zwei entgegengesetzte Richlinien gibt. Das ist aufgrund der festgelegten Priorität so und nicht 'wer zuletzt schreibt gewinnt' da dies ja sonst andersherum der Fall wäre (Computer-Richtlinien werden beim Start des Computers abgearbeitet und die Benutzerrichtlinie beim anschliessenden Anmelden des Benutzers). Der Artikel sagt aber nicht aus ob zuerst das 'Logon-Script' und erst dann die Verknüpfungssektion oder andersherum? Ich habe irgendwo gelesen das richtigerweise zuerst Ordnerfunktionen ausgeführt werden und erst dann Dateifunktionen. Kurz gesagt: der Artikel beschriebt die Reihenfolge Comouter/Benutzer und eventuell verschiedene GPOs. Aber innerhalb einer GPO welche Sektionen zuerst abgearbeitet werden weiß ich immer noch nicht (oder habe ich im Artikel irgendwas falsch verstanden gehabt?). Wird zuerst das Anmeldescript ausgeführt und dann die Sektion für Verknüpfungen oder andersherum?

Hallo Leute, ich hätte da mal wieder ein Frage bezüglich GPO/GPP: mich interessiert ob es eine bestimmte Reihenfolge gibt in welcher die GPOs und GPPs abgearbeitet werden und auch ob zuerst GPO und dann GPP oder andersherum (also beide Reihzenfolgen: einmal GPO/GPP und einmal jeweils intern). Konkret geht es um folgendes: Ich nutze ein Logon-Script um bei bestimmten Usern ein Verzeichnis auf den lokalen PC zu kopieren und dann will ich ein Desktop-Link zu einer Ausführbaren Datei in diesem Verzeichnis erstellen. Natürlich stellt sich die Frage dann nach der Reihenfolge in welcher die Einstellungen abgearbeitet werden. Man kann ja kein Link erstellen auf Dateien die noch nicht vorhanden sind..

Ich bin halt 'am Ende der Fahnenstange' was Entscheidungen betrifft. Ich setzte das um was die IT-Vorgesetzten wollen. Ich äussere meine Meinung, sie wird zur Kenntnis genommen und die Entscheidung liegt aber nicht bei mir. Wenn das von MS so nicht gewollt ist: wieso sind die Felder überhaupt noch da nur eben ausgegraut?

Ich will mich nicht in unsere Werbeabteilung einmischen. Die machen das schon seit JAhrenso und sind auch etwas 'eigen' und daher belasse ich das so wie es ist. Entweder es geht mit GPP, was mir echt am liebsten wäre (alles andere empfinde ich als gepfuscht -> noch mehr als ihr das vielleicht gerade seht) oder ich muss es dann per Logonscript machen. Gibt es eine Möglichkeit dies per GPP zu lösen? @mba was ist 'net drive'? Softwarelösungen von Drittanbieter: eher ungern wenn es auch mit Bordmitteln geht. Meine letzte Lösung ist eben 'net use' in einem Logon-Script.

Hallo Leute, ich habe mal wieder ein kleines Problem bei dem ihr mir sicherlich behilflich sein könnt. Wir haben ein Webserver in unserer DMZ auf Basis eines SUSE-Linux-Servers, welcher nicht in die Domäne angebunden ist und das auch so bleibt. Diesen Webserver administriert unser externer Dienstleister für Webdesign zusammen mit unserer Werbeabteilung. Die Werbeabteilung benötigt Laufwerkszuordnungen auf Freigaben dieses Servers, was bisher mit der LOGON-BATCH per net use gemacht wurde und der Benutzername dort angegeben wurde mit welchem diese Verbindung hergestellt werden soll. Dies scheint in der GPP so nicht zu funktionieren da die Felder für das 'Verbinden als' ausgegraut / deaktiviert sind. Ich lese im Forum das es bei älteren MS-Servern genügt hat 1-2 Patches zu deinstallieren, zu W2K16 finde ich aber nichts (ist auch sicherlich nicht per Patch deaktiviert worden sondern gleich im Betriebssystem fest verankert -> obwohl, das Feld ist ja noch sichtbar?). So, meine Frage ist nun: gibt es doch Möglichkeiten dieses 'Verbinden als' doch noch zu nutzen oder muss ich auf Logon-Script ausweichen und dort 'net use' nutzen?

Danke dir. Wie bereits geschrieben bin ich irgendwie selber darüber gestolpert. Ich habe mir das ja so bereits gedacht gehabt, aber nicht gewusst wie ich die einzelnen Elemente in die Sammlung aufnehme. Drag&Drop hätte ich an dieser Stelle irgendwie nicht vermutet weil nichts darauf hinweist und die 'haptik' dieses Fensters auch keine Hinweise darauf gab. Danke für die Hilfe, sehr nett von euch allen, wie immer! ;)

Hallo Leute, ich habe da mal wieder ein kleines Problem bei welchem ihr mir wahrscheinlich helfen könnt. Ich habe eine GPO für ein Team (nennen wir es T6) welches ich dann auf das gesamte Team (T6 und alle seine Untergeordneten Teams T600, T601, T602, usw.) per Sicherheitsfilter filtere. Somit wird diese GPO nur dann ausgeführt wenn der User sich auch in dem entsprechenden Team befindet. Jetzt habe ich eine ganz spezielle Vorlage die nur T600 und T601 kopiert bekommen und zwar nur die die natürlich Office installiert bekommen haben. Ich habe in der Zielgruppenadressierung dann "Benutzer ist Mitglied der Sicherheitsgruppe T600" OR "Benutzer ist Mitglied der Sicherheitsgruppe T601" AND "produkt {90140000-001B-0407-0000-0000000FF1CE} des MSI ist vorhanden" So, ich brauche hier nun die ersten zwei Elemente in einer Klammer bevor ich das Resultat dann mit dem MSI-Produktcode verknüpfe. (Gruppenzugehörigkeit T600 ODER T601) UND MSI Produktcode {90140000-001B-0407-0000-0000000FF1CE} Jetzt die Frage aller Fragen: Wie kann ich in der Zielgruppenadressierung Klammern setzen oder es so drehen das sich das Ganze so wir gewünscht verhält? Ich könnte natürlich noch eine GPO erstellen und die dann per Sicherheitsfilter nur auf die 2 Gruppen filtern und dann Zielgruppenadressierung auf den MSI-Code machen. Aber wenn solche Dinge ausarten habe ich schnell viel zu viele GPOs. Ausserdem könnten noch weitere Verknüpfungen hinzukommen die dann eine Klammersetzung obligatorisch machen z.B. eine oder mehrere Gruppenzugehörigkeiten (T600 ODER T601 UND eine oder mehrere Produktcodes (für 32-Bit ODER 64-Bit Office) UND eine Sprache muss stimmen -> (Gruppe T600 OR T601) AND (MSI-Code 90140000-001B-0407-0000-0000000FF1CE OR 90140000-001B-0407-1000-0000000FF1CE) AND Sprache = Deutsch. Hier kann ich dann nur noch mit Klammern arbeiten. Das wollte ich nur illustrieren das keiner mit dem Vorschlag kommt daß ich das mit Sicherheitsfilter und Zielgruppenadressierung unter einen Hut bekommen kann (was bei meinem konkreten Fall ja noch hinhauen würde mit einer nicht gewünschten seperaten GPO). Hmm, ich glaube ich habe es gefunden: Sammlung hinzufügen + Die gewünschten Elemente per Drag & Drop reinziehen und OR-Verknüfen. ISt nicht auf anhieb ersichtlich.. Aber falls jemand danach suchen soltle findet hier jetzt auch eine Antwort ;)

@daabm Das heißt aber ich muss die Vorlagenverzeichnisse umbiegen und zwar statt auf den Server eben auf diese PFade die du genannt hast, richtig? Wenn das so gemeint ist: ja, das wäre eine Möglichkeit. Jetzt habe ich aber nur 3-5 Vorlagen und das belasse ich momentan noch in der GPP. Wird sicherlich mehr und dann überlege ich mir dieses Konzept. Ich muss jetzt unsere irre große Logon-BAT irgendwann fertig bekommen (migraion in die GPO) und ich denke mit GPP ist es ja nicht ganz falsch für hier und jetzt. Zu GPP habei ch jedoch trotzdem noch eine Frage: ich habe den Typ 'Aktualisieren' und 'Ersetzen' noch nicht ganz verstanden? Ersetzen löscht auf jeden Fall jedes mal die Datei und kopiert aus der Quelle nochmals, richtig? Nicht nur beim Login des Users (oder Starten des PCs wenn Computerkonfiguration) sondern bei jedem GPO-Update-Intervall, richtig? Wie verhält sich das 'Aktualisieren' dann in Wirklichkeit? Wir nur dann Ersetzt wenn es Änderungen gibt in der Datei? Welche Änderungen zählen da? Wenn der Inhalt, das Änderungsdatum oder was genau unterschiedlich ist? Wenn es am Änderungsdatum festgemacht ist: wird es 'aktualisiert' wenn auch die Quelldatei älter ist als die lokale am Client? Ist ja unterschiedlich... Und das Aktualisieren macht es ja im Grunde auch so daß die Datei zuerst gelöscht und dann kopiert wird, richtig?

Ja, kenne ich NOCH nicht... Werde ich mir mal in einer ruhigen Minute mal anschauen. Danke! ;)

Wir haben das Beste vom Besten laut unserer sehr professionellen externen Sicherheitsdienstleister und FW-Spezialist Firma. eine Paloalto pa-820. Wir sind neu im Geschäft mir der Anbindung an die AD und das ist was man uns dann eingerichtet hat? Bisher mussten wir Gruppen auf der FW einrichten lassen in welche wir dann IP-Adressen hinzugefügt oder entfernt hatten. Ich bevorzugte dies auf Benutzerbasis zu machen und daher dieser Schritt.... WMI-Abfrage ist auch eine Möglichkeit, da wir aber eine Subdomäne haben die nicht wir selber verwalten sondern ein Semi-Pro-Admin mit unserer Unterstützung, haben wir ein Besrechtigungsproblem. An der FW kann man nur einen AD-User hinterlegen der WMI-Berechigt ist. Dazu habei ch ja bereits hier im Forum gefragt gehabt ob man einen User der in beiden Domänen WMI-Berechtigt ist, anlegen kann. Scheint nicht zu funktionieren... Aber zurück zum Thema: WOW, das mit der IP-Adresse hat geklappt! Was zum Teufel...? Wo ist der Unterschied??? Dachte immer der Name wird im Hintergrund aufgelöst und es wird IMMER mit IP gearbeitet! Warum erstellt der jetzt im Sicherheitslog einen Anmeldeeintrag wenn man mit IP statt des Namens auf eine Share geht???? Jedenfalls hat es funktioniert! Danke! Ach die Frage habe ich vergessen zu beantworten: Es ist egal ob der Benutzer auf vielen PCs angemeldet sind. Die IP-Adresse ist einzigartig und dazu muss ein Benutzer assoziiert werden. Ob der Benutzer noch woanders angemeldet ist, ist der FW egal da sie entweder diese eine IP-Adresse durchlässt oder blockt aufgrund des assoziierten Benutzers zu dieser IP-Adresse. Es ist ein Problem wenn auf einem PC mehrere User angemeldet sind. Da zählt dann immer nur der letzte. Somit haben wir ein Problem wenn sich auf einer Windows-Maschine ein User anmeldet, dann aus welchen Gründen auch immer den User 'wechselt (Administrator zum irgendwas installieren als Beispiel). Da wird plötzlich der IP-Adresse der Administrator zugewiesen und nicht der ursprüngliche User.. Ich bin mir aber nicht sicher ob die FW auch das Abmelden berücksichtigt. Dann wäre ja wieder alles ok... Kann ich ja mal testen. Jetzt muss ich aber erst aktuellere Probleme lösen. Denn unsere Subdomain macht auch Probleme. Dort haben einige Benutzer auch ein Konto in der Hauptdomäne (zwecks LDAP auf einige unsere Systeme) und da wird mal das Subdomain-Konto und mal das Hauptdomänen-Konto des Users 'gematcht'...

@Dukel LOGON-BAT wird in 6-8 Wochen abgeschafft. Arbeiten hier noch mit einem alten W2K3-Server als DC. Habe schon fast alles in GPO transferiert und werde es dann nur noch auf die DC ausrollen. LOGON-BAT Ciaos.... Aber bis dahin brauche ich den letzten Sicherheits-LOG-Eintrag des angemeldeten Users und nicht des Administrators. Und da ich in der LOGON-BAT auch SPC-Dateien (verschlüsseltes 'runas') als Administrator ausführe, wird dieser als letzter Benutzer in die LOG-Datei eingetragen. Meine Idee war: ich mache lediglich ein Pseudo-Zugriff auf eine Freigabe in der LOGIN-Datei am Ende mit einem Zeitverzug von 2 Sekunden. Also einfach \\server-blabla\Freigabename$ Aber ich erhalte in der LOG-Datei Administrator als auch Testuser haben den gleichen Zeitstempel auch wenn ich eine Verzögerung einbaue?!? Das Ende der LOGON-Batch sieht so aus: \\server-blabla\firma$\PUBLIC\Admin\script\runasspc\runasspc.exe /cryptfile:"\\server-blabla\firma$\PUBLIC\Admin\script\del_files.spc" /quiet :ende @ping localhost -n 2 > NUL ::@timeout /T 2 \\server-blabla\Freigabename$ Statt des Pings habe ich auch mal timeout genutzt (soll ab Vista ja funktionieren... habe fast keine XPs mehr in der Firma (1-2 Sonder-Clients noch mit XP). Auch habe ich beides drinnen gelassen. Es funktioniert nicht bzw. die Zeitstempel der Security-LOG-Einträge sind identisch bis auf die Sekunde. Daher vermute ich jetzt das der alleinige Zugriff auf den Share des DC nicht als Anmeldung zählt.... Ich brauche hier was anderes...

Da steht 'requires administrator rights'. b***d: wenn ich das als RunAs Administrator mache dann habe ich wieder den falschen User in der Logdatei. Gibt es irgendein kurzen 'Pfusch' den ich machen kann?

Hätte ja sein können das die Definition eines Proxies besagt TCP funktioniert, mir egal was für ein Protokoll im Header steht... FTP, SFTP, diverse Sonderprotokolle diverser Programme die Sonderlösungen sind, Web-Konferenz-Software, dies und jenes. Eben alles was so im Alltag einer Firma anfällt oder anfallen kann...

Proxy geht mit allen Protokollen? Und jeder Proxy kann mehrere Domänen abfragen? Wenn er LDAP kann dann kann er auch AD-Gruppen Filtern statt den User, richtig?

Geht das auch in einer BAT-Datei?

Hallo Leute, ich frage mich gerade ob es möglich ist einen Eintrag in der DC-Ereignisanzeige (Sicherheit) einen Login-Eintrag mit angemeldetem User zu erzwingen? Unsere Firewall benutzt diese LOG-Datei um zu ermittelt welcher Benutzer sich zuletzt an welche IP-Adresse angemeldet hat damit die Benutzer von der FW identifiziert werden können. Wir benutzen noch ein LOGON-BAT welche gegen Ende noch ein RunAs benutzt um als Administrator diverese Operationen auszuführen. Dies verfälscht natürlich das LOG und da würde ich gerne noch irgendwas dahinter setzen welches den letzten LOG-Eintrag wieder auf den aktuell angemeldeten User setzt. Wenn ich manuell im Windows-Explorer auf den Fileserver zugreife (auf eine berechtigte Freigabe -> also ohne Anmeldeinformationen eingeben zu müssen) wird ein Eintrag in der LOG hinzugefügt mit dem angemeldeten USer. Was könnte ich in der LOGON-BAT machen damit ich diesen gleichen Effekt bekomme? Ich könnte wahrscheinlich Laufwerksmapping machen auf eine Freigabe die für alle Mitarbeiter zugänglich ist. Aber gibt es auch einfachere Wege oder ein Befehl oder irgendwas welches das Gleiche auslöst?

Einen normalen Proxyserver? Und das bringt mir was genau? Kann die FW dann die User Identifizieren? Auch über alle anderen Verbindungsarten und nicht nur HTTP mit dem Browser? Würde es nur um den Browser gehen: mit dem Browser wird die Benutzerkennung mitgeschickt unddie FW könnte das auslesen. Alle anderen Protokolle jedoch nicht... Nutzt mir da dann ein Proxy was?

Ich verstehe nicht ganz? Ich habe jeweils 1x AD-Gruppe 'Surfer' in den beiden Domänen. Die User die dort Mitglieder sind dürfen auch ins Internet (zumindest per Browser). So, die FW braucht eine IP statt eines Domänenkontos. Und diese besorgt sie sich indem Sie die Security-Logs des DC-Servers ausliest (Kontoanmeldung würde ich meinen). Das klappt auch tehnisch aus beiden Domänen. Da dies bei uns verfälscht ist (wie ich oben beschrieben habe) möchten wir WMI nutzen. Diese setzt aber die Berechtigung dafür voraus. Da ich auf der FW jedoch nur einen WMI-USer angeben kann, brauche ich jetzt eine Lösung das dieser in beiden Domänen die Clients per WMI befragen darf.

Hallo Leute, ich habe da mal wieder ein Problemchen bei dem ihr mir eventuell behilflich sein könnt: Wir haben hier eine Hauptdomäne (ganze Firma) und eine Subdomäne davon (Konstruktionsabteilung). Jetzt haben wir eine neue Firewall welche auch LDAP kann und wir das alles per AD-Gruppen steuern wollen. Da die Firewall jedoch nach wie vor auf IP-Basis seine Regeln ausführt, muss es ein Mapping geben mit aktuelle IP = angemeldeter User. Das geschieht indem die FW auf dem DC die Sicherheitslogs ausliest. Da dies bei uns momentan sehr unzuverlässig läuft (runas-Scripte verfälschen diese LOG-Dateien da ein RunAs-Script in dieser LOG-Datei plötzlich jemand anderes, z.B. der Administrator, ist und es gibt noch andere Verfälschungsvorgänge -> RunAs wird bei uns abgeschafft, die anderen nicht). Somit müssen wir eine andere Lösung für das Problem finden. Eine davon wäre dieses User-Mapping per WMI erledigen zu lassen (die Hoffnung ist das dies exakt funktioniert). Problem ist aber nun die Berechtigung dieser Schnittstelle an den einzelnen Clients. Ich kann an der FW einen User mit entsprechender Berechtigung (Domänen-Admin) hinterlegen. Daher kann dann entweder nur aus der Hauptdomain oder der Subdomain sein. Das ist ein Problem weil dann nur entweder die eine Domäne oder die Andere befragt werden kann. Daher jetzt meine konkrete Frage: Kann ich einem User Domänen-Admin-Rechte beider Domänen zuweisen? Was ich probiert habe: ich habe eine universale Gruppe (globale reicht nicht) in der Hauptdomäne erstellt und diese als Mitglied der Administratoren beider Domänen gemacht. Dann habe ich jeweils den 'fuirewall-admin' beider Domänen diese Gruppenzugehörigkeit zugeteilt. Also sind jeweils die 'firewall-admins' der beiden Domänen Mitglied dieser AD-Gruppe 'fw-admingruppe' in der Hauptdomäne. Diese 'fw-admingruppe' selbst ist Mitglied in beiden Administratoren-Gruppen der jeweiligen Domänen. Leider hat mir ein Test mit 'Paessler WMI Tester' kein positives Ergebnis gebracht. Kann natürlich auch sein das ich das Programm nicht bedienen kann und was in wleche Felder eingetragen werden muss? Habt ihr dazu eine Idee oder gar einen anderen Lösungsansatz? Könnte ich auch den WMI-Schnittstellen eine Berechtigung aus der übergeordneten Domäne verpassen? Die Subdomäne vertraut natürlich der Hauptdomäne.