Jump to content

Vertrauensstellung einrichten zwischen Win2k3- Domäne und Arbeitsgruppe - Wie ?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Allerseits, ich habe einen WinXP- Rechner, der in seiner eigenen Arbeitsgruppe laufen muss, da auf ihm Steuerungsprogramme für ein Maschine laufen. Das ist eine Vorgabe des Maschinen- Herstellers. Alle anderen Rechner des Hauses in in eine Domäne eingebunden, das funktioniert alles wunderbar. Wenn ich jetzt im Windows Explorer in die Netzwerkumgebung gehe, liegen die Domäne und die Arbeitsgruppe in der gleichen Ebene (nach Durchklicken durch "Gesamtes Netzwerk" --> "MS Win Netzwerk"). Nach Klick auf die Arbeitsgruppe kommt oft (aber eben nicht immer) eine Fehlermeldung, dass ich keine Berechtigung habe, auf die Ressource zuzugreifen ... bla bla bla ... und ganz zum Schluß "Der Netzwerkpfad wurde nicht gefunden". Ich bekomme dann den in der Arbeitgruppe befindlichen Rechner nicht zu sehen. Ich kann ihn aber anpingen und die Namensauflösung (WINS) funktioniert auch.

Jetzt habe ich vom Hersteller den Hinweis bekommen (nach deren Aussage haben die die gleiche Struktur in ihrer Firma auch aufgebaut, ohne Probleme), dass die Domäne so eingerichtet werden muss, dass sie der Arbeitsgruppe vertraut. Gerstern habe ich mich kreuz und quer durchs Netz gelesen, sehe aber nicht durch. Ich habe jetzt den Eindruck, als ob eher die Arbeitsgruppe der Domäne vertrauen muss, damit der Master Browser die erforderlichen Informationen bekommt, als dass die Domäne der Arbeitsgruppe vertrauen muss. Ist das richtig?

Außerdem habe ich auf dem PDC mit ARP einen statischen Eintrag auf den Arbeitsgruppen-Client gemacht und kann dort mit dem WinExplorer in die Arbeitsgruppe rein und den Client sehen. Auf einem anderen Rechner (z.B. dem BDC oder einem Domänen- Client) kann ich das nicht. Nachdem ich versuche, in die Arbeitsgruppe reinzusehen, ist zwar ein dynamischer ARP- Eintrag auf diesen Arbeitsgruppen- Client vorhanden, rein komme ich aber trotzdem nicht. (Ich weiß nichtmal, ob das überhaupt was mit dem Problem zu tun hat, aber wie gesagt, auf dem PDC bekomme ich zuverlässig Zugriff auf den AG- Client)

Lange Rede, kurzer Sinn: Die Vertrauensstellung scheint das Seligmachende zu sein, aber wie komme ich da hin? Welcher Typ von Vertrauen (bidirektional)?

Wäre schön, wenn mir einer von Euch helfen könnte... :-)

Gruß, david

Link zu diesem Kommentar

Hallo Dave

 

Du schreibst von PDC und BDC's. Ihr fahrt also eine =< WindowsNT4.0-Domäne? BDC's gibts seit W2000 nicht mehr. Das aber bloss an Rande. Aber bezüglich der Trusts gibt's da schon Unterschiede zwischen NT4- W2000- und W2003-Domänen.

 

Aber generell: Trusts, also Vertrauensstellungen gibt es zwischen Domänen, nicht aber Workgroups-Domains. Zumindest habe ich das so in meinem Gedächtnis, macht ja anders auch nicht viel Sinn.

 

Für mein Verständnis gehört diese WS in die Domäne, dann hat sie auf alle notwendigen Ressourcen in der Domain Zugriff.

Auch dann noch können spezielle Applikationen / Services unter lokalen Benutzerkonten betrieben werden, die Policies müssen allerdings passen, da musst Du Dich also schlau machen (oder der zuständige Admin).

Ich würde mal diese "Vorgaben" kritisch hinterfragen, mir fehlt da die plausible Begründung dazu (die kannst Du möglicherweise noch posten?)

Link zu diesem Kommentar

Hallo Robert, hallo Dr. Melzer,

danke für Eure schnelle Antwort.

Nach Angaben des Herstellers ist die betriebssicherheit der Maschine nicht gewährleistet, wenn sie in eine Domäne eingebunden ist. Ich denke, ich muss das so hinnehmen.

Dass man keine Vertrauensstellung zwischen Workgroups u. Domänen aufbauen kann, diesen Eindruck habe ich jetzt auch gewonnen. Aber: Gibt es denn Beschränkungen für Mitglieder einer Domäne, auf die Liste der Rechner einer Workgroup zuzugreifen? Ich habe es heute nochmal überprüft, der server, auf dem ich mittels ARP- command einen statischen Eintrag gemacht habe, hatte permanent Zugriff auf auf die Arbeitsgruppe, während andere Rechner den nicht hatten. Ich kann ja jetzt nicht auf jedem Rechner erst die ARP- Tabelle per Hand festlegen, damit dieser Zugriff auf die Arbeitsgruppe bekommt (wäre möglich über Startscripte mit Gruppenrichtlinien, will ich aber nicht). Was hat denn also diese ARP- Tabelle mit dem Zugriff auf Rechnern in Arbeitsgruppen zu tun und wie bekommt der Master Browser die erforderliche Info?

Vielen Dank schon mal im Vorraus,

Gruß, david

Link zu diesem Kommentar

Hallo David,

 

Nach Angaben des Herstellers ist die betriebssicherheit der Maschine

nicht gewährleistet, wenn sie in eine Domäne eingebunden ist.

 

die Angaben deines Herstellers sind mir irgendwie supekt ... betr. Sicherheit. :suspect:

 

Aber du könntest einen dirty Way probieren.

 

Nenne die Arbeitsgruppe genauso wie die Domäne.

Der Benutzer des PC in der Arbeitsgruppe muß mit gleichem

Benutzernamen und Passwort in der Domäne existieren.

Desweiteren nutze den internen DNS und WINS der Domäne auf dem Arbeitsgruppen PC.

 

Somit solltest du keine Probleme mehr haben mit dem Zugriff auf Serverressourcen.

Link zu diesem Kommentar

Umgekehrt wird ein Schuh draus. Ich kann mich XP-Fan nur anschliessen, die Behauptung des Herstellers bezüglich Sicherheit ist völlig abwegig. Denn wenn's um Sicherheit geht, hast Du mit einer Domäne wesentlich bessere Mittel, diese zu verwalten, respektive zu gewährleisten als auf einem "Single-Host". Vieles bezüglich Security geht erst mit (in) einer Domäne.

 

Was Du versuchen kannst:

 

- zieh ein Image dieser Kiste (Acronis, ghsot, was auch immer)

- in die Domäne damit

- bei Bedarf erstellst Du dafür eine eigene OU mit zweckgemässer GPO

- testen. Test i.o -- alles klar

- Test scheitert --> Image zurückspielen, Computerkonto aus ADS löschen --> alter Zustand wieder hergestellt.

Link zu diesem Kommentar

Naja, eine stand-alone maschine kann in gewisser Hinsicht durchaus sicherer sein. Steht der Server in einer Domäne, haben alle Domänen Administratoren Zugriff, bzw können sich Zugriff verschaffen. Gerade in größeren Firmen gibt es durchauss mal mehrere Personen mit den nötigen Rechten. Und auch wenn man gerade seinen Domänen Admins trauen muss, kann es doch formale Gründe geben dieses Riskio zu minimieren (PCI Zertifizierung etc.). Ein standalone Server, physikalisch gut weggeschlossen, hat nur einen lokalen Benutzer, und für den kann man dann das Passwort in 2 Teile aufteilen (4 Augen Prinzip). Ist aber wie gesagt alles nur für den Fall einer absolut extremen politischen Anforderung, hat jetzt mit dem technischen Problem von Dave nichts zu tun.

Link zu diesem Kommentar
Naja, eine stand-alone maschine kann in gewisser Hinsicht durchaus sicherer sein. Steht der Server in einer Domäne, haben alle Domänen Administratoren Zugriff, bzw können sich Zugriff verschaffen. Gerade in größeren Firmen gibt es durchauss mal mehrere Personen mit den nötigen Rechten. Und auch wenn man gerade seinen Domänen Admins trauen muss, kann es doch formale Gründe geben dieses Riskio zu minimieren (PCI Zertifizierung etc.). Ein standalone Server, physikalisch gut weggeschlossen, hat nur einen lokalen Benutzer, und für den kann man dann das Passwort in 2 Teile aufteilen (4 Augen Prinzip). Ist aber wie gesagt alles nur für den Fall einer absolut extremen politischen Anforderung, hat jetzt mit dem technischen Problem von Dave nichts zu tun.

 

 

diese Begründung wird zwar oft bemüht, ist aber an sich eine Ausrede. Schliesslich wird nicht jeder DAU zum Domain-Admin ernannt.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...