Hallo,
vielen vielen Danke für euren schnellen Antworten und die Geduld die Ihr mit mir habt!!!
Um zuerst die Frage zu beantworten "Warum ein AD ohne Built-In Gruppen": Also es wird von mir aus als durchaus sicherer erachtet und zum Anderen versuche ich gerade das Ganze (Server 200X, AD, etc) ein Wenig zu verstehn und da kann das ja nichts schaden, das mal auszuprobieren.
Nochmals vielen Dank für die schnellen und guten Antworten. Die Whitepapers bzw. gepostenen Dokumente werde ich mir heute abend zu Gemüte führen.
Erlaubt mir bitte nochmal den Versuch eine verständliche Frage zu formulieren:
Welche Rechte bzw. Berechtigungen muss ich einem User, der nicht Mitglied in den Standardgruppen (Domain-Admin, Server_Admin, etc.) ist, zuweisen, damit dieser die Möglichkeit hat ein ganz "normale" AD-Replikation durchzuführen / per Hand anzustoßen?
Entspricht dies evtl. Folgendem:
Implementing the Replication Management Admins Role
To implement the one recommended instance of the Replication Management Admins role
1. Create a Domain Local Group called <Forest-Name> Replication Management Admins in the Service Management OU (ou=Service Management, dc=<Forest Root Domain>).
2. Grant this group the following extended rights:
a. Grant the DS-Replication-Manage-Topology (Manage Replication Topology) extended right on CN=Configuration, DC=<Forest Root Domain>
b. Grant the DS-Replication-Manage-Topology (Manage Replication Topology) extended right on CN=Schema, CN=Configuration, DC=<Forest Root Domain>
c. Grant the DS-Replication-Manage-Topology (Manage Replication Topology) extended right on all domain partition heads including forest root domain
3. Grant this group the following permissions on the Sites container (CN=Sites, CN=Configuration, DC=<Forest-Root-Domain>:
• Create Site objects (non-inheritable)
• Delete Site objects (non-inheritable)
• Create Connection objects (inheritable)
• Delete Connection objects (inheritable)
• Write All Properties on this object and all child objects (inheritable)
4. Grant this group the following permissions on the Subnets container (CN=Subnets, CN=Sites, CN=Configuration, DC=<Forest-Root-Domain>:
• Create Subnet objects (inheritable)
• Delete Subnet objects (inheritable)
• Write All Properties on Subnet objects (inheritable)
5. Grant this group the following permissions on the Inter-Site Transports container (CN= Inter-Site Transports , CN=Sites, CN=Configuration, DC=<Forest-Root-Domain>:
• Create Site Link objects (non-inheritable)
• Delete Site Link objects (non-inheritable)
• Write All Properties on Site Link objects (inheritable)
Bitte habt Verständnis für die vielen Fragen und unklatren Formulierungen, ich bin nicht nur DAU sondern auch absoluter Win-Server-Neuling...
Danke
J.