torsten73 10 Geschrieben 7. Juni 2013 Melden Teilen Geschrieben 7. Juni 2013 Hallo, vielleicht kann mir jemand weiterhelfen. Ich bin dabei eine neue Filerechtestruktur in der alten Domäne aufzubauen die Daten sollen in zweiten Schritt in eine neue Domäne umgezogen werden. Ich habe auf ACL Ebene bereits aus der neuen Domäne universale Gruppen dran verbaut. In denen dich dann je eine globale Gruppe aus der alten Domäne und eine aus der neuen Domäne befinden. Nun wird der Arbeitsplatz des Users von der alten Domäne in die neue umgestellt bzw. er bekommt in den Zuge auch ein neues AD Konto in der neuen Domäne mit SIDHistory. Bloss der Zugriff klappt nicht mehr… das verhalten trifft aber nur dort zu wo universale Gruppen verbaut wurden. Wo ich nun nichts passende gefunden habe ob ein Zugriff überhaupt möglich ist wegen der SID Filterung und ob man die aufheben kann ? Umgebung ist 2003/2008 Domänenlevel 2003 SID filtering bei universalen Gruppen Hallo, vielleicht kann mir jemand weiterhelfen. Ich bin dabei eine neue Filerechtestruktur in der alten Domäne aufzubauen die Daten sollen in zweiten Schritt in eine neue Domäne umgezogen werden. Ich habe auf ACL Ebene bereits aus der neuen Domäne universale Gruppen dran verbaut. In denen dich dann je eine globale Gruppe aus der alten Domäne und eine aus der neuen Domäne befinden. Nun wird der Arbeitsplatz des Users von der alten Domäne in die neue umgestellt bzw. er bekommt in den Zuge auch ein neues AD Konto in der neuen Domäne mit SIDHistory. Bloss der Zugriff klappt nicht mehr… das verhalten trifft aber nur dort zu wo universale Gruppen verbaut wurden. Wo ich nun nichts passende gefunden habe ob ein Zugriff überhaupt möglich ist wegen der SID Filterung und ob man die aufheben kann ? Umgebung ist 2003/2008 Domänenlevel 2003 Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 7. Juni 2013 Melden Teilen Geschrieben 7. Juni 2013 Moin, warum arbeitest du mit Universalen Gruppen? Der vorgesehene Typ für diesen Fall sind Domänenlokale Gruppen. [Windows-Gruppen richtig nutzen | faq-o-matic.net]http://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/ Die SID-Filterung kannst du mit netdom abschalten. [NETDOM und seine deutschen "Freunde" - Aktives Verzeichnis Blog - Site Home - TechNet Blogs]http://blogs.technet.com/b/deds/archive/2009/03/05/netdom-und-seine-deutschen-freunde.aspx Gruß, Nils Zitieren Link zu diesem Kommentar
torsten73 10 Geschrieben 7. Juni 2013 Autor Melden Teilen Geschrieben 7. Juni 2013 universale Gruppen weil die Daten von eine in die andere Domäne umgezogen werden sollen und somit die ACL´s nicht mehr angepasst werden müssen .... wenn ich dann mir Robocopy die Daten verschiebe und lokale Gruppen verbaut sind ... gibt es halt keinen Zugriff mehr... daher die universale Gruppe ... wirklich begeistert bin ich selbst auch nicht davon. Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 7. Juni 2013 Melden Teilen Geschrieben 7. Juni 2013 (bearbeitet) Moin, wie schon gesagt - dafür sind Domänenlokale Gruppen da. Es funktioniert auch mit Universalgruppen, aber die sind dafür so nicht gedacht. Ach oder ... handelt es sich bei den Domänen um Teile desselben Forest? Dann wären Universalgruppen zwar im ersten Schritt einfacher, aber bedenke, dass du die Root-Domäne nicht ändern oder entfernen kannst. Das Konstrukt ist also nur dann sinnvoll, wenn du ein Empty-Root-Domain-Konzept hast. Gruß, Nils bearbeitet 7. Juni 2013 von NilsK Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.