needlessfox 10 Geschrieben 16. Januar 2008 Melden Teilen Geschrieben 16. Januar 2008 Hallo zusammen, bin gerade dabei, unseren File-Server umzustrukturieren. Werde dabei das AGDLP-Prinzip umsetzen, also Domain Local Groups auf Fileebene berechtigen und GG mit den Benutzern in diese aufnehmen. Jetzt habe ich aber das Phänomen, das die auf dem DC (Server 2003 Std R2 SP2) angelegten DLG (tatsächlich DOMAIN local group, kein local group) nur auf dem DC sichtbar sind. Wenn ich auf dem File-Server (ebenfalls Server 2003 R2 SP2) versuche, auf File-Ebene über "Sicherheit" Berechtigungen zu setzen, tauchen alle Gruppen auf - nur nicht die DLG! Dieser Effekt tritt auch bei allen anderen Memberservern auf. Bei der Suche der Gruppen sind Objekttyp (auf alle Typen) und Suchpfad (FQDN) natürlich passend eingestellt... Es kann auch nichts mit Replizierung zu tun haben, da wir nur einen DC haben. Angelegt sind sie im ADS sauber als "Sicherheitsgruppe - Lokal (in Domäne)", aber wie gesagt kann kein Member-Server diese Gruppen finden. Die globalen Gruppen liegen in gleichen Container und sind ohne Problem sichtbar. Daher kann ich momentan nur diese auf die Files und Ordner berechtigen. Ist vermutlich nur eine Kleinigkeit, aber momentan bin ich etwas ratlos. Hoffe es kann jemand kurzfristig helfen. Danke im voraus! :confused: needlessfox :confused: Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 16. Januar 2008 Melden Teilen Geschrieben 16. Januar 2008 Servus, Ist vermutlich nur eine Kleinigkeit, genau ;) . Stufe den Domänenfunktionsmodus in den nativen Modus. Entweder Windows 2000 pur oder Windows Server 2003. Dann stehen diese Gruppen auch auf den Memberservern zur Verfügung. Lokale Domänengruppen sind im gemischten Modus nur auf den DCs sichtbar. Erst wenn du im einheitlichen Modus bist kannst du sie auch auf den Memberservern sehen. Zitieren Link zu diesem Kommentar
needlessfox 10 Geschrieben 16. Januar 2008 Autor Melden Teilen Geschrieben 16. Januar 2008 Hallo Daim, Vielen Dank für die schnelle Antwort. Gibt es irgendwelche bekannten Probleme, die beim ändern der Funktionsebene auftreten können z.B. bei den Berechtigungen o.ä. MfG needlessfox Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 16. Januar 2008 Melden Teilen Geschrieben 16. Januar 2008 Gibt es irgendwelche bekannten Probleme, die bei Heraufstufen auftreten können z.B. bei den Berechtigungen o.ä. Nein, die Datei-Berechtigungen spielen bei diesem Vorgang nicht die geringste Rolle. Das herauf Stufen des Domänenfunktionsmodus betrifft in erster Linie die DCs. Nach dem Heraufstufen können keine DCs mit älteren Betriebssystemen mehr existieren. Den Domänenfunktionsmodus bzw. Gesamtstrukturfunktionsmodus kann man während dem Betrieb umstellen. Es sind quasi "drei Klicks" und die Domäne bzw- Gesamtstruktur ist umgestellt. Es ist eben darauf zu achten, dass damit, je nach Ebene, älterere DCs nicht mehr existieren dürfen/können. In einen anderen Domänenmodus kann man nur dann wechseln, wenn alle bestehenden DCs die neue Ebene unterstützen. Bedeutet, möchte man in den Domänenfunktionsmodus "Windows Server 2003", dann dürfen weder NT-BDCs noch 2000 DCs mehr in der Domäne existieren, da ansonsten das heraufstufen nicht möglich ist. Das gleiche gilt für die Gesamtstruktur. Möchte man die Gesamtstruktur auf den Gesamtstrukturfunktionsmodus "Windows Server 2003" heraufstufen, müssen vorher alle bestehenden Domänen in dem Domänenfunktionsmodus "Windows Server 2003" sein. Bestehende Vertrauensstellungen sind davon nicht betroffen bzw. haben mit dieser Umstellung kein Problem und funktionieren weiterhin. Falls mehrere Domänen in einer Gesamtstruktur existieren, dann sollte die Umstellung der einzelnen Domänen respektive Gesamtstruktur "zügig" vollzogen werden. Das Herauf stufen des Domänenfunktionsmodus kann entweder über das Snap-In „Active Directory-Benutzer und –Computer“ oder „Active Directory-Domänen und -Vertrauensstellungen“ erledigt werden (mit einem Rechtsklick auf den FQDN), wobei die Gesamtstruktur ausschließlich im Snap-In „Active Directory-Domänen und -Vertrauensstellung“ heraufgestuft werden kann. Beides lässt sich ebenfalls durch bearbeiten (mit LDP.exe oder ADSIEdit.msc) des Attributs msDS-Behavior-Version herauf stufen. Für den Gesamtstrukturfunktionsmodus ist im Attribut "msDS-Behavior-Version", dass sich im folgenden Pfad befindet <CN=Partitions,CN=Configuration,DC=Root-Domäne,DC=TLD> als Wert 2 einzutragen. Für den Domänenfunktionsmodus ist im Attribut "msDS-Behavior-Version", dass sich im folgenden Pfad befindet <DC=DeineDomäne,DC=Root-Domäne,DC=TLD> als Wert 2 einzutragen. Siehe auch: How to raise domain and forest functional levels in Windows Server 2003 Zitieren Link zu diesem Kommentar
needlessfox 10 Geschrieben 17. Januar 2008 Autor Melden Teilen Geschrieben 17. Januar 2008 Hallo Daim, vielen Dank nochmal für Deine Hilfe und die ausführliche Erklärung. Hatte vorher sehr viel in der Windows-Hilfe gesucht, aber vom Zusammenhang mit der Funktionalität der Domänen-Lokalen-Gruppen war dort nichts zu finden. Damit ist das Thema für mich erledigt. Grüße und Dank :) needlessfox :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.