Jump to content

NT4 Vertrauensstellungen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Posted

Hi,

 

ich habe hier ein nettes Phänomen für Euch.

Ich habe 3 Domänen.

 

Zwei NT4 Domänen und eine Windows 2000 Domäne die im Nativmode läuft.

 

Jede NT Domäne hat eine beidseitige Vertrauensstellung NUR mit der Windows 2000 Domäne.

 

Soweit so gut!

Jetzt kann sich jedoch jeder NT4 User einer Domäne an der anderen NT4 Domäne anmelden.

(Zwar ohne Profil aber es geht)

Ich weise noch mal darauf hin, dass die NT4 Domänen keine Verbindung untereinander haben.

Sie befinden sich jeweils in einem anderen physikalischem Netzwerksegment.

 

In der W2k Domäne ist auch (bei AD-Domänen und –Vertrauensstellungen) nichts von irgenwelchen transitiven Domänen zu finden.

Was meiner Meinung nach eh nicht mit NT4 Domänen klappt.

 

 

Hat irgendwer von Euch ne Idee woran das liegen kann ???

 

Gruß,

 

Roi Danton

Posted

Ich weise noch mal darauf hin, dass die NT4 Domänen keine Verbindung untereinander haben.

 

den Satz find ich hier missverstaendlich, Verbindung ist ein sehr weiter Begriff.

 

beide haben Konten auf dem w2000-domänencontroller, der in beiden Netzsegmenten zu sehen ist?

Posted

Bin gaaaaaaaaaaaaaaaz 1000%tig sicher.

Keine Vertrauenstellung zwischen DomA und DomB

 

Weiterhin:

Kein Verbingung miteinander bedeutet:

Keine direkte Verbingung zwischen den Teilnetzen möglich.

(Was die NT4 Domänen betrifft)

Ziwschen jeder NT4 Domäne und der W2k Domäne ist uneingeschränkte Kommunikation möglich.

 

Zwischen den Teilnetzen steht ne Firewall da geht nix hin und nix her.

Das einzige was die beiden NT4 Domänen können, ist mit dem DC in der W2k Domäne reden.

Dort läuft ein DNS-Server sowie ein WINS Server auf den alle 3 Domänen zugreifen könne.

Die W2k Domäne befindet sich alleine in einem eigenen Subnetz, wie jede NT4 Domäne.

Posted

Noch zu ergänzen ist,

auf dem W2k Server läuft auch kein Routing und RAS.

Das heist es währe auch nicht möglich aus einer der NT4 Domänen über den W2k Server einen NT4 Rechner aus der jeweils anderen Domäne zu adressieren.

Posted

Hallo Roi,

 

ich habe das gerade mal nachgebaut, ohne die FWs halt. Das Ergebnis wie erwartet => no chance. Ich bekomme keine VS zwischen DomA und DomB, nur jeweils zwischen der einen NT und der W2k Domäne. Auch keine dritte Domäne ausser denbeiden vetrauten beim Anmeldebildsschrim, auch keine dritte Domäne zur Auswahl bei Sicherheitseinstellungen. Es wäre mir auch nichts diesbezüglich bekannt (von wegen Bug oder ähnliches).

Ich bin ratlos. Irgendwie muss da eine VS zwischen den Domänen bestehen. Gibt oder gab es denn noch eine Verbindung hintenrum über eine andere Leitung. Sind die Domänen frisch aufgebaut?

 

grizzly999

Posted

Danke grizzly999,

 

für Deine Hilfe!

 

Ich bin der Sache auf den Grund gekommen.

Das Problem lag zwischen den Ohren!

Es ist so dass die beiden NT Domänen tatsächlich immer nebeneinander existiert haben.

Jetzt haben wir die Migration auf W2k begonnen mit einer 3ten Domain.

In dieser Domain ist nur ein DC als RIS Server aufgesetzt.

Jetzt werden erst mal alle Clients auf W2k umgerüstet (via RIS)

Die User arbeiten weiterhin mit Ihrem NT4 Account.

Das Problem lag jetzt im Kopf!

Die Nutzer haben für mich immer noch in DomA gearbeitet. Wo sich ja physikalisch auch sind!

Da aber die Clients der W2k Domain angehören und diese der DomA und DomB vertrauen, ist es logisch das sich aus jeder Domain die User anmelden können.

 

Auf den Client steht in der Hauptnutzer Gruppe die jeweilige DomUserGroup von DomA bzw. DomB.

Aber in der Benutzer Gruppe stehen die „Authentifizierten Nutzer“!

Deshalb können die User sich anmelden.

Blöde….

Na ja.

 

Aber baue ich mir jetzt eine Richtlinie für jede OU wo sich nur die User der DomA bzw. DomB anmelden können?

Oder schmeiße ich die „Authentifizierten Nutzer“ aus der Benutzer Gruppe?

 

Gruß und Dank,

 

Roi Danton

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...