Ok, dann doch mal ein paar Worte zum Hintergrund, auch wenn sie nicht zum Problem gehören: Das Projekt hier ist ein reines SAP Projekt, von uns hier hat niemand wirklich Windows Expertise. Der Zugriff auf den Server beim Lieferanten ist dabei nur ein nettes Zuckerl, daher der allgemeine Unwille, dafür Ressourcen aufzubringen. Aber es steht leider im Pflichtenheft - weil ich *** ganz zu Beginn behauptet habe, dass wir das schon hinkriegen. Ich persönlich war mal Windows Admin - vor 15 Jahren.
Begonnen habe ich diese Aufgabe, indem ich die Kunden IT gebeten habe, mit der Lieferanten IT Kontakt aufzunehmen, mit denen zusammen einen Trust einzurichten und mir User und Passwort mitzuteilen, wenn alles fertig ist. Diese Aufgabe ist durch alle Eskalationsstufen gelaufen - ohne verwertbares Ergebnis. Aus Sicht der Projektleitung ist damit dieser Punkt abgeschlossen. Zwar erfolglos, aber da der Kunde seiner Mitwirkungspflicht nicht nachgekommen ist, stört uns das nicht weiter.
Diese Vorgehen ist zwar vertraglich einwandfrei, aber nicht sehr kundenfreundlich. Deshalb habe ich das beschriebene, natürlich völlig unübliche und unprofessionelle Konstrukt zu realisieren versucht, um wenigstens einen Workaround zu schaffen.
Soviel zur Vorgeschichte. Die aktuelle Aufgabe lautete daher:
Wie kann sich ein Client der Domäne A mit einer Freigabe auf einem Server der Domäne B verbinden, ohne dass irgendwelche Arbeiten an irgendwelchen anderen Komponenten (DNS, AD, was auch immer) notwendig sind?
Das habe ich versucht zu lösen, indem auf dem Server lokale User anstelle von Domänen User angelegt wurden und auf dem Client hosts und lmhosts anstelle von DNS/AD genutzt werden.
Das war auch der Plan B, den ich bei Erstellung des Pflichtenheftes im Hinterkopf hatte.
Hier vorgestellt habe ich das Problem, weil dieser Plan B aus mir unverständlichen Gründen nicht funktioniert hat.
Oder ja eben doch funktioniert, aber der Grund ist mir noch unverständlicher.
Natürlich kann ich sagen: Was soll's, es funktioniert ja jetzt.
Trotzdem nagt es an mir, weil ich zum einen den Grund nicht verstehe (was immer schlecht ist) und der Kunde jetzt mit einem nicht verstandenen Konstrukt arbeitet - und das weiterhin tun wird, weil es funktioniert ja.
War jetzt viel untechnisches Geschreibsel, aber ich verstehe schon, wenn ohne diese Infos keiner Lust hat, auch nur einen Gedanken an dieses Problem zu verschwenden...
Zu guter Letzt eine Antwort zu der Frage "in welcher Domäne befindet sich der gesperrte Account"?
Ich sehe hier nur drei mögliche Quellen: Lokaler Benutzer auf Server. Domänen Benutzer in Domäne A. Domänen Benutzer in Domäne B.
Bei den gescheiterten Versuchen war der lokale Benutzer nicht gesperrt. Das ist per Screenshot belegt.
Weder in Domäne A noch in Domäne B existierte ein Benutzerkonto mit Namen des genutzten Users.
Für Domäne A ist das erwiesen, weil nach Anlage(!) dieses Kontos die Verbindung funktioniert hat
Für Domäne B ist das anzunehmen (wurde überprüft, aber nicht nachweislich), weil (edit:) in Domäne B nichts gemacht wurde. Sollte also aus purem Zufall der willkürlich gewählte Username in Domäne B existieren, dann kann doch nicht dieses gesperrte Konto plötzlich irrelevant sein, nur weil in Domäne A ein gleichnamiges Konto angelegt worden ist?