ponchofiesta 10 Geschrieben 24. August 2010 Melden Geschrieben 24. August 2010 Hallo Leute, wir sind neuerdings in einem Domain-Forest einer anderen Domain untergeordnet. Wir arbeiten mit unseren eigenen Gruppen. Die Benutzer kommen allerdings aus der übergeordneten Domain. Nun haben wir das Problem, dass bei den Benutzern im "Active Directory-Benutzer und -Computer" unter "Mitglied von" nur die Gruppen seiner Domain stehen. Wir können diese Benutzer unseren Gruppen auch nur über unsere Gruppen hinzufügen. Über den Benutzer sind unsere Gruppen nicht verfügbar. Das ist einfach vom Arbeitsaufwand sehr umständlich. Und wir können eben auch nicht sehen, in welchen unserer Gruppen Benutzer XY ist. Nun wollte ich ein simples Powershell-Script schreiben, was uns die Abfrage der Gruppen erleichtert und musste dabei feststellen, dass man dort problemlos alle Gruppen sieht - egal aus welcher Domain. Beispiel: $user = ([adsi]"LDAP://CN=$username,OU=$subfolder,OU=User,DC=domain,DC=de") $user.memberOf Da denke ich mir nun, dass man die Gruppen in "Active Directory-Benutzer und -Computer" doch sicherlich auch irgendwie angezeigt bekommen kann. Aber wie? Zur Zusammenfassung: Unsere Gruppen -> subdomain.domain.de Die Benutzer -> domain.de Unsere Gruppen werden bei den Benutzern unter "Mitglied von" nicht angezeigt.
NilsK 3.046 Geschrieben 24. August 2010 Melden Geschrieben 24. August 2010 Moin, das liegt daran, dass ihr mit globalen oder domänenlokalen Gruppen arbeitet. Die sind nur in ihrer jeweiligen "Heimdomäne" sichtbar. Die Domäne, in der die Benutzer liegen, kann diese Gruppen nicht sehen. Diese Gruppenmitgliedschaften werden auch nur bei Zugriffen in eure Subdomäne wirksam. Wenn es erwünscht ist, dass die Gruppenmitgliedschaften überall sichtbar und wirksam sind, müsstet ihr mit Universalgruppen arbeiten, welche im Global Catalog gespeichert sind. Das hat aber Folgen und ist mit der Zentraladministration abzustimmen. Gruß, Nils
ponchofiesta 10 Geschrieben 24. August 2010 Autor Melden Geschrieben 24. August 2010 Wirksam soll sie nur in unsrer Domain sein. Es sind auch universelle Gruppen aber eben nur bei uns. Ich wundere mich eben nur, weil die Powershell ja alle Gruppen ausspuckt. Es tauchen auch Gruppen von anderen Subdomains auf, mit denen wir nichts zu tun haben. Die MMC schmeißt da vermutlich absichtlich alle anderen raus, was IMO aber total unpraktisch ist. Kann man der MMC nicht irgendwie sagen, dass das nicht sein soll?
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden