wuurian

Abend, @NorbertFe Okay, ich werde mich um einiges intensiver mit dem Thema beschäftigen müssen, mal sehen wie lange ich brauche :cool: @lefg Wie gesagt, leider haben wir keine Testumgebung, um das Szenario mal durchzugehen. Und derzeit möchte ich noch nix ändern, ohne überhaupt zu wissen was ich da genau mache. Sobald ich schlauer in dem Gebiet bin, melde ich mich nochmal hier. Cloud steht derzeit auch im Raum, aber warum nicht die Möglichkeit nutzen, Daten inhouse zu lassen? Habt ihr noch etwas gute Lektüre für mich, außer den genannten Links von faqomatic?(Bin leider noch nicht zum lesen gekommen) Trotzdem Vielen Dank! Schulung werde ich mir eine raussuchen, will ja selber auch begabter in der Thematik werden.

Hallo zusammen, ich verstehe euch total mit eurer Aussage, leider hängt dann doch immer mehr dran.. Bin erst seit ca. einem Jahr in der Firma, und seit letztem Jahr erst ausgelernt. Warum damals 2 Domänen gemacht worden sind, ich weiß es nicht, war lange lange vor meiner Zeit.. Eigentlich würde ich ja meine Anforderungen durch die Vertrauensstellung vollkommen decken. Habe leider noch nicht genug Zeit gefunden, mich dort einzuarbeiten, soll aber diesen Monat folgen. Wie ich es so lese, wäre es besser, nur noch in DE am Hauptstandort eine Hauptdomäne zu lassen, und für die Außenwerke Unterdomänen bereitstellen? Das wäre dann die Tree-Struktur, oder? Und was ist es, wenn die Domäne A der Domäne B nur vertraut? Danke für eure Aufklärung...

Hey, @NilsK Leider ist keine Laborumgebund vorhanden. Sonst hätte ich es da natürlich vorher alles mal durchgespielt. Unser Systemhaus wollte damals keine Vertrauensstellung machen, soweit ich es mitbekommen habe. Da meinte nur jemand "das da mal was kaputt gegangen ist, und seitdem macht er es nicht mehr"... Kommentare dazu können wir uns ja sparen..:) Ich wollt ja wirklich nur, das unser Außenstandort auf einen einzigen Ordner draufkommt, und wir uns die doppelte Pflege sparen können. @Piranha Schon in Ordnung, würde es wirklich nur gerne selber machen, eventuell mit eurer Freiweiligen Hilfe dazu. So bleibt mehr hängen, wie wenn jetzt einer vom Systemhaus kommt, sien Zeug zusammen klickt und wieder geht.. Trotzdem danke für die Anregungen, werde mich damit intensiver beschäftigen. Viele Grüße

Hallo, ich wollte jetzt hier auch keine fertige Komplettlösung, sondern Anregungen, wie und womit ich es machen kann. Eventuell gibt es ja noch einen anderen Lösungsweg. Wenn dann gleich kommt, ich solle mir lieber Hilfe holen, fühle ich mich etwas auf den Schlipps getreten. Ich bin in der Thematik nunmal noch kein Profi, und suche daher hier Rat und Tipps.. Okay, werde mir deine beiden Links die Tage zu Herzen nehmen. Aber ich bin ja schonmal auf dem richtigen Dampfer allen Anschein nach, werde mir die Grundladen dazu noch aneignen. Wollte die Umstellung auch nicht gleich morgen machen, daher habe ich mich an euch gewandt.

Sorry, aber dann hätte ich nicht hier angefragt! Man liest ja fast nur noch "Hole dir lieber Hilfe". Wieso stelle ich den eine Frage in einem Forum?! Damit mir eventuell jemand etwas dazu sagen kann, und mich aufklären kann. Wenn das zu viel des Guten ist, sagt mir bitte bescheid. Ansonsten habe ich den Sinn eines Forum`s nicht verstanden..?!

Hey, gibt es da auch noch eine andere Möglichkeit? Ja, es sind zwei sperate Forests. Mit dem Haken meine ich, das ich doch auf unserem Fileserver im entsprechenden Verzeichniss freigeben muss, das sich die MA aus Domäne B an Domäne A zugreifen dürfen? Wie darf ich das mit den Gruppen verstehen? Muss ich bei mir in Domäne A einfach eine Gruppe anlegen, und da meine MA aus Domäne B reinziehen? Und dann die entsprechende Berechtigung setzen? Kann dabei was schief gehen, bzw. muss ich etwas spezielles beachten? Gruß

Hallo zusammen, ich suche nach Anregungen, wie ich bestmöglich folgendes Problem lösen kann: Domäne A ist am Hauptstandort in Deutschland, Domäne B ist im Außenwerk. Beide Standorte sind per VPN miteinander verbunden. Domäne A: Windows Server 2008R2 Domäne B: Windows Server 2012R2 Das "Problem" ist, das wir in Domäne A auf unserem Fileserver auf einem Verzeichniss unser Qualitätsmanagementhandbuch liegen haben. Dieses wird seit eh und je doppelt geführt; sprich bei Änderungen wird das Handbuch von Domäne A einfach neu auf Domäne B kopiert. Wir möchten nun gerne den Benutzern aus Domäne B Zugriff auf ein bestimmtes Verzeichniss gewähren in Domäne A. Ich habe mich schon etwas informiert, mein derzeitiger Plan würde so aussehen: Domäne A muss Domäne B vertrauen, also eine unidirektionale Vertrauensstellung. Auf dem Fileserver im AD den haken bei Autorisierung rein, und meine NTFS Berechtigungen setzen. Bin ich da auf der richtigen Fährte? Kann es Probleme geben, da beide Domänen nicht die gleiche Serverversion haben? Bin für alle Tipps und Anregungen dankbar!! Viele Grüße wuurian

Hat geklappt, ich bedanke mich recht herzlich.

Hallo, wenn ich jetzt aber die Authentifizierten Benutzer bei der Delegierung mit hinzufüge, dann greift die GPO ja bei allen Benutzern, die sich am TS anmelden. Ich glaube das Problem ist folgendes: In der Gruppenrichtlinienverwaltung ist die OU "Terminalserver", wo sich alle TS befinden. Dort drunter sind die GPO`s. Unter anderem auch TerminalserverEinschränkungen, dort ist die Delegierung -> Alle Authentifizierten Benutzer -> die sich am TS anmelden. Dort befindet sich auch meine Regel "ProxyEinstellung_verbieten". Wenn ich da jetzt die Authentifizierten Benutzer mit reinhaue, greift es ja für alle Benutzer, soll aber nur für meine Gruppe greifen. Stehe auf dem Schlauch..

Guten Morgen zusammen, habe ein kleines Problem, bei dem ich zurzeit leider alleine nicht weiterkomme. Etwas Hintergrund: Wir haben in der Firma zwei Intranet-Stations mit jeweils einem IGEL-Thinclient dran. Habe für jeden Thinclient einen Benutzer erstellt, intranet1 & intranet2. Diese melden sich am Terminalserver über Citrix an, und dort habe ich nur die Anwendung Internet-Explorer freigegeben, die sich auch gleich nach der Citrix-Anwendung im Vollbildmodus öffnet. Für die Terminalserver gibt es eine OU "Terminalserver", dort befinden sich die Terminalserver drin. Dieser OU sind schon einige GPO zugeordnet, z.B. "TerminalserverEinschränkungen" und Loopback. Diese greifen für alle authentifizierten Benutzer, die sich am Terminalserver anmelden. Nun möchte ich gerne eine GPO für die zwei Benutzer erstellen, die eine Änderung im Internet-Explorer der Proxyeinstellungen verhindert. Wie bin ich vorgegangen: Erst einmal intranet1 & intranet2 in eine erstelle OU "Proxyeinstellungen_verboten" verschoben. Dann in der Gruppenrichtlinienverwaltung eine neue GPO erstellt, die "Änderungen der Proxyeinstellungen " sowie "Menü - Extras- Menüoption "Internetoptionen" deaktivieren". Beides sind Benutzerkonfigurationen. Diese GPO habe ich mit meiner OU Verknüpft, wo sich die beiden User intranet drin befinden. Dieses GPO ist mit der OU "Terminalserver" verknüpft. Unten in der Sicherheitsfilterung ist meine OU "Proxyeinstellungen_verboten" eingetragen. Gleichzeitig habe ich noch die OU "Proxyeinstellungen_verboten" in der Sicherheitsfilterung bei der GPO "Loopback" mit eingetragen. Habe nach dem erstellen auf jedem TS noch einen gpupdate /force angewendet. Leider greift die Gruppenrichtlinie überhaupt nicht. Wo könnte mein Fehler liegen? Komme leider echt nicht weiter.. Was am Thinclient ankommt, kann ich leider aufgrund fehlender Konsole auch nicht rausbekommen.. Wenn iihr noch Angaben benötigt, bitte bescheid sagen. Besten Dank für eure Hilfe! Liebe Grüße wuurian Edit:// Habe gerade ein Gruppenrichtlinienergebniss ausprobiert, dort wird mir unter der Zusammenfassung angezeigt: Abgelehnte Gruppenrichtlinienobjekte Unter Namen wird mir auch nicht der Name angzeigt, sondern nur die ID {ECC usw.} Grund: abgelehnt, Zugriff nicht möglich. Wo ist mein Fehler?

Ha, so einfach ist das !! Ich war nur total irritiert von den Authentifizierter Benutzer in der Sicherheitsfilterung..da wir uns ja auch mit Workstations an der Domäne anmelden. Aber dann ist das natürlich Logisch!! Vielen Dank!!

Hallo zusammen, es gibt da grad eine Sache die ich nicht ganz verstehe. Hab erst dieses Jahr ausgelernt, bitte um Verständnis, fange gerade erst mit Gruppenrichtlinien an. Wir haben eine GPO, die nennt sich TerminalserverEinschränkungen, diese hindert den Zugriff auf die Systemsteuerung etc.. Soweit so gut, allerdings steht unter Sicherheitsfilterung nur die Gruppe Authentifizierter Benutzer. Bedeutet dies nun, das JEDER der sich in der Domäne angemeldet hat, sei es Computer oder User, diese Richtlinie zieht? So habe ich es gelesen: Allerdings verstehe ich dann nicht, warum diese GPO nicht bei mir zieht. Ich arbeite mit einer Workstation, dort habe ich Lokale Adminrechte, von dort aus bau ich auch meine Verbindung über Citrix zum Terminalserver auf, wo ein Virtueller Desktop bereitsteht, dort ziehen natürlich alle Regeln. Führe ich allerdings auf meiner Workstation ein gpresult /r aus, so sehe ich die GPO TerminalserverEinschränkungen nicht, auch die Regeln die dort definiert sind greifen nicht auf meiner Workstation. Liege ich nun richtig, weil ich Lokaler Admin bin, greift diese GPO nicht? Oder liege ich total daneben? Ich geh zurzeit davon aus, das wenn eine GPO, wo unter der Sicherheitsdelegierung Authentifizierter Benutzer drinnen steht, das diese auf die Komplette Domäne greift? Danke für eure Hilfe!! Liebe Grüße