klausk

Hurra ;) :D :D Keine Sorge, die Fragerei ist schon in Ordnung. Ist 'ne gute Gelegenheit, mein Grundlagenwissen aufzufrischen. Es haben sich auch schon mehrere Lücken gezeigt ... *grml* Falls Du die lokalen Domänengruppen meinst, s.o., für die lokalen Gruppen gilt: - Benutzer aus der lokalen SAM (SAM => diese Gruppen gibt es auf einem DC nicht) - Benutzer, globale und universelle Gruppen aus der lokalen Domäne - Benutzer, Computer, globale und universelle Gruppen aus Domänen, die für die lokale Domäne explizit vertrauenswürdig sind (im einheitlichen Modus erweitert sich die Vertrauensstellung auf alle Domänen im Wald) Zum Thema Traffic & GC: - Der GC ist eine partielle Kopie des AD. - Daten zwischen mehreren GCS werden repliziert => mehr Daten = mehr Traffik Universelle Gruppen führen zu mehr Daten im GC, da - das Gruppenobjekt - Mietgliedsobjekte in den GC übernommen werden. Daten von globalen und lokalen (1) Gruppen im GC - Gruppenobjekt Änderungen bei Miegliedsobjekten von Gruppen lösen bei lokalen und globalen Gruppen keine Änderungen im GC aus, bei universellen Gruppen müssen die Änderungen übernommen und repliziert werden => mehr Daten + mehr Änderungen (2) = noch mehr Traffic :D (1) lesen bildet, lokale Gruppen werden tatsächlich in den GC übernommen (2) Nach meiner Erfahrung werden Änderungen an Mitgliedsobjekten öfters als an Gruppenojekten vorgenommen. gruß klaus

@pablo ich habs gerade noch einmal nachgelesen: Mitglieder lokaler Domänengruppen können sein - Benutzer, Computer, lokale, globale und Universelle Gruppen der lokalen Domäne - Benutzer, Computer, lokale, globale und universelle Gruppen aus Domänen, die für die lokale Domäne explizit vertrauenswürdig sind (im einheitlichen Modus erweitert sich die Vertrauensstellung auf alle Domänen im Wald) Mitglieder globaler Gruppen können sein: - nur Benutzer, Computer und globale Gruppen aus der lokalen Domäne Mitglieder universeller Gruppen können sein: - Benutzer, Computer, globale und universelle Gruppen aus der lokalen und jeder anderen Domäne im Wald (Quelle: Insider: Windows 2000 Server von William Boswell, Martk+Technik-Verlag) gruß klaus

--- lokal--->Gruppen werden innerhalb einer Domäne auf den GC ALLER DC's gespeichert --- Wie kommst Du darauf, dass Informationen über lokale Gruppen innerhalb einer Domäne in den GC übernommen werden? --- global---->?????????? --- global -> siehe erste Antwort meinerseits in diesem Betrag --- ... GC ALLER DC's ... --- Nicht jeder DC hat zwangsweise einen GC ... --- die globalen speichern NUR Gruppen und die universellen speichern Gruppen und Mitglieder.... (stimmts...? wohl kaum.....) --- Welche meiner Äußerungen interpretierst Du auf diese Weise? Welche Vorteile und Nachteile siehst DU in dem Vorgehen, Zugriffsrechte auf Ressourcen über globale oder universelle Gruppen zu organisieren? Welche Vorteile und Nachteile siehst DU in dem Vorgehen, Zugriffsrechte von Anwendern über lokale Gruppen zu organisieren? --- ausserdem kannst du den obenstehenden Satz gar nicht so behaupten, .... weil wenn die Ressourcen über verschiedene Domänen hinweg geshart werden, was verursacht weniger Traffic: --- Auf welchen Satz beziehst Du Dich? gruß klaus

Hallo Pablo, als erstes noch ein Mal ein Zitat aus meiner Vorherigen Antwort: Wie gesagt, in kleinen Umgebungen mit nur einer Domäne an einem Standort wirst Du die Vorteile der empfohlenen Vorgehensweise in der Regel nicht feststellen. ------ --- Dann steigt bei ungünstiger Definition der Gruppen der Replikationsaufwand und damit die Belastung der GC-Server und WAN-Verbindungen ---- wieso das...`? Als ungünstige Konfiguration ist die Verteilung der Rechte lediglich mit lokalen gruppen gemeint, oder....? ------ Nein, als ungünstige Konfiguration ist die Verwendung von Universellen Gruppen gemeint. Da bei diesem Gruppentyp sowohl die Gruppe als auch die Mitglieder in den GC eingetragen werden, steigt der Replikationsaufwand zwischen den GCS, was zu einer höheren Grundbelastung des Netzes führt. Dadurch bleibt weniger Bandbreite für die Anwender übrig, dieser Effekt dürfte am ehesten bei den WAN-Verbindung zu bermerken sein. ------ ---- Da Ressourcen ihren Standort nur in Ausnahmefällen ändern und auch Zugriffe auf Ressourcen über Standort-/Domänengrenzen hinweg eher selten erfolgen macht deren Zuordnung zu lokalen Gruppen durchaus Sinn. ---- das ist für mich also nicht klar, wieso, sorry... ------ Das war ironisch gemeint, allerdings ist auch ein Denkfehler meinerseits dabei. Lokale Gruppen sind nur innerhalb der eigenen Domäne gültig und können über Domänengrenzen hinweg nicht eingesetzt werden! Hatte ich in dieser Konsequenz noch nicht ganz realisiert... Ressourcen sind in der Regel standortgebunden (mir ist noch kein Share im Bus begegnet :D) und benötigen nur Zugriffsrechte innerhalb der Domänen. Daher ist die Zuordnung zu lokalen Gruppen ausreichend. Bei Definition vieler Globalen Gruppen für Ressourcen wächst die Datenmenge des GC ohne zusätzlichen Nutzen an, was zu erhöhtem Replikationsaufkommen führt und dadurch WAN-Verbidungen ... - das hatten wir aber schon. Es lassen sich natürlich auch Argumente gegen dieses Vorgehen aufführen - z.B. Daten werden regelmäßig von Konstruktion (Sub-Dom1) an Fertigung (Sub-Dom2) weitergereicht (verschoben), die ursprünglichen (NTFS-) Berechtigungen sollen erhalten bleiben. Mit lokalen Gruppen ist dies nicht zu realisieren, bei Globalen oder universellen Gruppen stellt dies kein Problem dar. Wie bei allem muß bei der Planung des Infrastruktur eine Bewertung und Gewichtung der einzelnen Faktoren stattfinden, als Ergebnis kristallisiert sich das eine oder das andere Vorgehen oder ein Mix aus beidem als die beste Vorgehensweise heraus. Ich weiß leider auch keine Quelle, wo das alles nachzulesen ist, der Ursprung des Vorgehens liegt aber bei NT ... gruß klaus

Die Hauptunterschiede sind: - Lokale Gruppen werden nicht in den Globalen Katalog übergennommen - Domänen-Gruppen werden in den Globalen Katalog übernommen - Universelle Gruppen und deren Mitglieder werden in den Globalen Katalog übernommen Bemerken wirst Du die Unterschiede nur in größeren und verteilten Umgebungen mit vielen Anwendern und Gruppen. Dann steigt bei ungünstiger Definition der Gruppen der Replikationsaufwand und damit die Belastung der GC-Server und WAN-Verbindungen -> Infrastruktur wird teurer und/oder langsamer. Da Ressourcen ihren Standort nur in Ausnahmefällen ändern und auch Zugriffe auf Ressourcen über Standort-/Domänengrenzen hinweg eher selten erfolgen macht deren Zuordnung zu lokalen Gruppen durchaus Sinn. Anwender sind in der Regel etwas beweglicher und je nach Größe des Unternehmens kann es auch mal vorkommen, dass sie auf Ressourcen in anderen Domänen zugreifen müssen. Durch die Mitgliedschaft in Globalen Gruppen kann dies leicht realisiert werden und der Netzwerkverkehr hält sich in Grenzen - Berechtigungen werden über den nächsten GC geprüft Bei universellen Gruppen ist das alles auch möglich, wird aber mit erhöhter Netzwerklast durch Replikation der GCS untereinander erkauft. Wie gesagt, in kleinen Umgebungen mit nur einer Domäne an einem Standort wirst Du die Vorteile der empfohlenen Vorgehensweise in der Regel nicht feststellen. Bei Beachtung der Empfehlungen kannst Du aber bei ungeplanten Veränderungen der Struktur (Standorte,Sub-Domäne) flexibler reagieren. Nachlesen kannst Du das in einem der dicken grünen Schmöker von Microsoft, leider weiß ich den Titel nicht mehr (irgendwas mit Netzwerk!) gruß klaus

es geht auch so: Den Domänenbenutzer oder eine Gruppe der Domäne, in der der Benutzer Mitglied ist, auf dem lokalen PC zur Gruppe Administratoren hizufügen. klaus

Probier das mal aus http://www.winfaq.de/faq_html/tip0710.htm Gruß klaus

Das Routing muß zusätzlich noch eingerichtet werden. Dazu mit dem Route-Befehl auf dem Routing-PC die jeweiligen Routen zu den beiden Netzen festlegen. gruß klausk

Hi, Beschränkung auf eine Sprachversion, alles andere verursacht nur unnötig Ärger :D Verschieben der Userdaten wie Outlook-PST-Datei auf ein Netzlaufwerk -> Terminaldienste-Basisverzeichnis, evtl. Ordnerumleitung für "Eigene Dateien" definieren. Gruß klaus

Hallo, NW-Client installiert? Wenn ja, änder mal die Reihenfolge des Netzwerkzugriffs. Gruß klaus

Links können mit dem Loginskript verteilt werden, dazu einfach die Link-Dateien auf einem Netzlaufwerk mit den entsprechenden Rechten bereitstellen und unter Verwendung der Variable "UserProfile" die Dateien ins Startmenü der User kopieren. Zusaätzlich sollte die Richtlinie "Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Explorer\Shellshortcuts beim Zwischen... " aktiviert werden. Dadurch verweisen die Link-Dateien nicht mehr auf das Original bzw. den PC, auf dem sie erstellt wurden. Gruß klaus

Hallo parcival ! ja, Du kannst mit route add auf dem NT4-PC manuell die Routen zu den anderen Segmenten anlegen. Gruß klaus

Ich kann mir nicht vorstellen, dass auf dem alten DC die automatische DNS-Konfiguration ohne Neuinstallation des AD klappt. Welcher DNS-Server ist als primärer DNS-Server auf dem neuen DC unter TCP/IP-Eigenschaften eingetragen?

Für die Zone der Domäne? Auch bei der Reverse-Looup-Zone? Vergleich doch mal die Einstellungen der beiden DNS-Server, die des automatisch installierten mit denen des manuell konfigurierten. Vielleicht läßt sich der Fehler dadurch einkreisen. Gruß klaus

Hallo mistrex, unter [userData] Computername=* durch Computername=%MACHINENAME% ersetzen. Danach wird der gewünschte Computername verwendet und die automatische Einbindung in die Domäne klappt. Zumindest bei mir .... Gruß Klaus

Hallo Andreas, hört sich so an, als ob für die DNS-Zone keine "dynamische Aktualisierungen" erlaubt sind. Gruß Klaus