Jump to content

AD-Replikation

Juhdas

Von Juhdas
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Juhdas Apprentice

Juhdas   10

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Hallo,

 

vielen vielen Danke für euren schnellen Antworten und die Geduld die Ihr mit mir habt!!!

 

Um zuerst die Frage zu beantworten "Warum ein AD ohne Built-In Gruppen": Also es wird von mir aus als durchaus sicherer erachtet und zum Anderen versuche ich gerade das Ganze (Server 200X, AD, etc) ein Wenig zu verstehn und da kann das ja nichts schaden, das mal auszuprobieren.

 

Nochmals vielen Dank für die schnellen und guten Antworten. Die Whitepapers bzw. gepostenen Dokumente werde ich mir heute abend zu Gemüte führen.

 

Erlaubt mir bitte nochmal den Versuch eine verständliche Frage zu formulieren:

 

Welche Rechte bzw. Berechtigungen muss ich einem User, der nicht Mitglied in den Standardgruppen (Domain-Admin, Server_Admin, etc.) ist, zuweisen, damit dieser die Möglichkeit hat ein ganz "normale" AD-Replikation durchzuführen / per Hand anzustoßen?

 

Entspricht dies evtl. Folgendem:

 

Implementing the Replication Management Admins Role

 

To implement the one recommended instance of the Replication Management Admins role

 

1. Create a Domain Local Group called <Forest-Name> Replication Management Admins in the Service Management OU (ou=Service Management, dc=<Forest Root Domain>).

2. Grant this group the following extended rights:

a. Grant the DS-Replication-Manage-Topology (Manage Replication Topology) extended right on CN=Configuration, DC=<Forest Root Domain>

b. Grant the DS-Replication-Manage-Topology (Manage Replication Topology) extended right on CN=Schema, CN=Configuration, DC=<Forest Root Domain>

c. Grant the DS-Replication-Manage-Topology (Manage Replication Topology) extended right on all domain partition heads including forest root domain

3. Grant this group the following permissions on the Sites container (CN=Sites, CN=Configuration, DC=<Forest-Root-Domain>:

• Create Site objects (non-inheritable)

• Delete Site objects (non-inheritable)

• Create Connection objects (inheritable)

• Delete Connection objects (inheritable)

• Write All Properties on this object and all child objects (inheritable)

4. Grant this group the following permissions on the Subnets container (CN=Subnets, CN=Sites, CN=Configuration, DC=<Forest-Root-Domain>:

• Create Subnet objects (inheritable)

• Delete Subnet objects (inheritable)

• Write All Properties on Subnet objects (inheritable)

5. Grant this group the following permissions on the Inter-Site Transports container (CN= Inter-Site Transports , CN=Sites, CN=Configuration, DC=<Forest-Root-Domain>:

• Create Site Link objects (non-inheritable)

• Delete Site Link objects (non-inheritable)

• Write All Properties on Site Link objects (inheritable)

 

 

 

Bitte habt Verständnis für die vielen Fragen und unklatren Formulierungen, ich bin nicht nur DAU sondern auch absoluter Win-Server-Neuling...

 

Danke

 

J.

bearbeitet von Juhdas
EDIT: Rechtschreibung
Link zu diesem Kommentar
blub Grand Master

blub   115

Geschrieben
Geschrieben

Um zuerst die Frage zu beantworten "Warum ein AD ohne Built-In Gruppen": Also es wird von mir aus als durchaus sicherer erachtet und zum Anderen versuche ich gerade das Ganze (Server 200X, AD, etc) ein Wenig zu verstehn und da kann das ja nichts schaden, das mal auszuprobieren.

J.

 

Dein Vorgehen ist weder sicher, noch sinnvoll. Sondern das absolute Gegenteil!

Wenn du dir Knowhow aufbauen willst, besorg dir vernünftige Literatur, geh auf Kurs oder sieh dich online unter http://www.microsoft.com um.

 

d.h. wenn noch ein einziges mal die Frage nach den Benutzerrechten für die AD-Replikation von dir kommt, schliesse ich den Post wegen Sinnlosigkeit und Beratungsresistenz

 

Danke für dein Verständnis

blub

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   1.845

Geschrieben
Geschrieben

Um zuerst die Frage zu beantworten "Warum ein AD ohne Built-In Gruppen": Also es wird von mir aus als durchaus sicherer erachtet

 

Wie jetzt? Das war keine Antwort auf meine Frage. ;) Du hast ein AD ohne Built-In Gruppen, oder du verwendest die Built-In Gruppen nicht?

 

und zum Anderen versuche ich gerade das Ganze (Server 200X, AD, etc) ein Wenig zu verstehn und da kann das ja nichts schaden, das mal auszuprobieren.

 

 

bin nicht nur DAU sondern auch absoluter Win-Server-Neuling...

 

Nix gegen einen gesunden Wissensdurst, aber meinst du nicht, dass du erstmal die Grundlagen des AD und Windows verstanden und am Laufen haben solltest, bevor du dich mit den OPs am offenen Herzen beschäftgst?

 

Bye

Norbert

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.803

Geschrieben
Geschrieben

Moin,

 

halt mich für borniert, aber ich weiß immer noch nicht, was das soll.

 

Warum sollte AD sicherer sein, wenn man die vordefinierten Berechtigungen nicht verwendet? Weißt du überhaupt, von welchen "Builtin"-Gruppen du die ganze Zeit redest? Ich weiß es nämlich (immer noch) nicht. Und ich befasse mich seit 11 Jahren mit Active Directory. Nimm es mir nicht übel, aber ich habe den Eindruck, dass du über das Windows-Sicherheitssystem urteilst, ohne es überhaupt einschätzen zu können.

 

Warum soll darüber hinaus in deiner Umgebung ein User in der Lage sein, das AD zu replizieren? Welches Szenario steht dahinter?

 

Handelt es sich um eine Lernumgebung? Eine Testumgebung (wofür)? Oder eine Produktionsumgebung?

 

Und: Wenn du dir ein neues Auto (oder was auch immer) kaufst, machst du es dann auch erst mal kaputt und versuchst ohne nähere Kenntnis es wieder zusammenzubauen?

 

Die AD-Replikation ist sehr robust aufgebaut, sodass es im Normalfall keines Eingriffs bedarf. Dabei ist sie aber so komplex, dass man eben auch besser nicht an irgendeiner Stelle eingreifen sollte. Es sei denn, wie auch die anderen richtig betonen, man weiß genau, was man tut.

 

Außerdem wäre es nett, wenn du deine Quellen genau angibst. Wo hast du diese Rollenbeschreibung "Replication Management Admins Role" her und für welchen Zusammenhang wird diese empfohlen?

 

Gruß, Nils

Link zu diesem Kommentar
Juhdas Apprentice

Juhdas   10

Geschrieben
  • Autor
Geschrieben

So damit der blub nicht tätig werden muss, danke ich euch allen für eure Hilfe und probier mein Glück halt einfach weiter! hab nich gedacht, dass es so schwer sein würde eine zufriedenstellende Antwort zu bekommen, aber ich habe ja nun auch gemerkt, dass mir sämtliche Grundlagen fehlen!

Es sei mir abschließend bitte noch die Frage gestattet ob das oben gepostete nun meinem Wunsch einer Aufstellung der nötigen Rechte entspricht?

 

Bitte spart euch die Belehrungen und antwortet nur, wenn es der Frage dienlich ist - mir ist durchaus bewusst, dass ich eine Menge Nachholbedarf habe, aber daher poste ich meine Frage im Forum und nerve nicht den MS-Support!

 

 

Danke für eure Zeit

 

 

 

J.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...