Jump to content

SID filtering bei universalen Gruppen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo, vielleicht kann mir jemand weiterhelfen.

 

Ich bin dabei eine neue Filerechtestruktur in der alten Domäne aufzubauen die Daten sollen in zweiten Schritt in eine neue Domäne umgezogen werden.

 

Ich habe auf ACL Ebene bereits aus der neuen Domäne universale Gruppen dran verbaut. In denen dich dann je eine globale Gruppe aus der alten Domäne und eine aus der neuen Domäne befinden.

 

Nun wird der Arbeitsplatz des Users von der alten Domäne in die neue umgestellt bzw. er bekommt in den Zuge auch ein neues AD Konto in der neuen Domäne mit SIDHistory.

 

Bloss der Zugriff klappt nicht mehr… das verhalten trifft aber nur dort zu wo universale Gruppen verbaut wurden.

 

Wo ich nun nichts passende gefunden habe ob ein Zugriff überhaupt möglich ist wegen der SID Filterung und ob man die aufheben kann ?

 

Umgebung ist 2003/2008 Domänenlevel 2003

 

SID filtering bei universalen Gruppen

 

Hallo, vielleicht kann mir jemand weiterhelfen.

 

Ich bin dabei eine neue Filerechtestruktur in der alten Domäne aufzubauen die Daten sollen in zweiten Schritt in eine neue Domäne umgezogen werden.

 

Ich habe auf ACL Ebene bereits aus der neuen Domäne universale Gruppen dran verbaut. In denen dich dann je eine globale Gruppe aus der alten Domäne und eine aus der neuen Domäne befinden.

 

Nun wird der Arbeitsplatz des Users von der alten Domäne in die neue umgestellt bzw. er bekommt in den Zuge auch ein neues AD Konto in der neuen Domäne mit SIDHistory.

 

Bloss der Zugriff klappt nicht mehr… das verhalten trifft aber nur dort zu wo universale Gruppen verbaut wurden.

 

Wo ich nun nichts passende gefunden habe ob ein Zugriff überhaupt möglich ist wegen der SID Filterung und ob man die aufheben kann ?

 

Umgebung ist 2003/2008 Domänenlevel 2003

 

Link to comment

Moin,

 

warum arbeitest du mit Universalen Gruppen? Der vorgesehene Typ für diesen Fall sind Domänenlokale Gruppen.

 

[Windows-Gruppen richtig nutzen | faq-o-matic.net]
http://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/

 

Die SID-Filterung kannst du mit netdom abschalten.

 

[NETDOM und seine deutschen "Freunde" - Aktives Verzeichnis Blog - Site Home - TechNet Blogs]
http://blogs.technet.com/b/deds/archive/2009/03/05/netdom-und-seine-deutschen-freunde.aspx

 

Gruß, Nils

Link to comment

universale Gruppen weil die Daten von eine in die andere Domäne umgezogen werden sollen und somit die ACL´s nicht mehr angepasst werden müssen .... wenn ich dann mir Robocopy die Daten verschiebe und lokale Gruppen verbaut sind ... gibt es halt keinen Zugriff mehr... daher die universale Gruppe ... wirklich begeistert bin ich selbst auch nicht davon.
 

Link to comment

Moin,

 

wie schon gesagt - dafür sind Domänenlokale Gruppen da. Es funktioniert auch mit Universalgruppen, aber die sind dafür so nicht gedacht.

 

Ach oder ... handelt es sich bei den Domänen um Teile desselben Forest? Dann wären Universalgruppen zwar im ersten Schritt einfacher, aber bedenke, dass du die Root-Domäne nicht ändern oder entfernen kannst. Das Konstrukt ist also nur dann sinnvoll, wenn du ein Empty-Root-Domain-Konzept hast.

 

Gruß, Nils

Edited by NilsK
Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...