Anmeldung an fremde Domäne

[derAku 10]

Guten Morgen!

 

Habe folgendes Problem, das zwar nicht lebensbedrohlich aber lästig ist und mich auch technisch interessiert:

 

IST Situation:

 

Es gibt eine Domäne in der ein W2KSP3 PDC mit aktiviertem TSE läuft und ca 15 Clients dazu.

 

Es gibt eine andere Domäne die nicht in meinen Einflussbereich liegt, in der ein Exchangeserver (W2003 Server) läuft auf den meine Clients zugreifen sollen.

 

Unter Outlook 2003 habe ich es bis dato leider nicht zusammengebracht, dass er beim start von Outlook nicht zumindest nach dem Passwort fragt. Domäne und Benutzername bleiben jedoch erhalten.

 

Ich habe ein wenig in der Registry gestöbert aber leider nix gefunden (außer bei exchange die OE=blabla usw. Einträge wo aber doch kein passwort reinghört oder?).

 

Ich vermute das dürfte generell an der Authentifizierung liegen, da ich bei einer Netzlaufwerkverbindung auf diese fremde Domäne selbiges Problem habe, dass er das Passwort jedesmal vergisst...

 

Wie könnte ich dieses Problem, ohne mich an die fremde Domäne anzuschließen bzw. die fremde Domäne zu veändern lösen?

 

vielen Dank

 

LG

 

Gerold

[Hacko 10]

so weit ich weiß, hast du da ohne Vertrauensstellung keine Chance, lasse mich aber gerne eines besseren belehren

[derAku 10]

d.h. wenn die fremde Domäne meiner Domäne Vertrauenstellung gibt, dann speichert meine Domäne die Passwörter ? (oder fragt die fremde Domäne dann nimmamehr? oder merkt sich die fremde Domäne die Passwörter und fragt dann nimmamehr?)

 

Kann ich dem doofen Outlook nicht irgendwo das Passwort so eintragen dass es sich merkt? immerhin muss ich es ja bei der installation des Kontos sowieso eintragen?

 

So als Hintergrundinfo: Funktioniert die Authentifizierung dann auch über Kerberos oder nur wie jetzt per LM?

 

danke

 

lg

 

gerold

[IvkovicD 10]

Original geschrieben von derAku

d.h. wenn die fremde Domäne meiner Domäne Vertrauenstellung gibt, dann speichert meine Domäne die Passwörter ? (oder fragt die fremde Domäne dann nimmamehr? oder merkt sich die fremde Domäne die Passwörter und fragt dann nimmamehr?)

 

Kann ich dem doofen Outlook nicht irgendwo das Passwort so eintragen dass es sich merkt? immerhin muss ich es ja bei der installation des Kontos sowieso eintragen?

 

So als Hintergrundinfo: Funktioniert die Authentifizierung dann auch über Kerberos oder nur wie jetzt per LM?

 

 

hallo Gerold,

 

nicht das ganze unter einander verwechseln, die andere Domäne speichert nicht deine Passwörter ab. Wenn du das ganze transparent gestalten willst, dann beginnst du damit,

 

1. eine Vertrauenstellung zwischen beiden Domänen einzurichten (es reicht, wenn die andere Domäne deiner Domäne vertraut)

 

2. verändere die Mailboxrechte der Zielmailbox in der anderen Domäne so (muss der andere Admin machen), dass der Benutzer aus deiner Domäne die "vollen Mailboxrechte und lesen" hat (Active Directory Benutzer and Computer - > Eingenschaften -> Exchange erweitert -> ganz unten).

 

3. Konfiguriere deinen Outlookclienten so, dass er auf die andere Mailbox über \\Exchangeserver\Alias(Mailbox) zugreift.

 

das wars, du wirst nicht nach einem Passwort gefragt, da sich der Outlookclient automatisch (und jedesmal neu) mit dem Benutzer (Zugangsdaten!) aus deiner Domäne in der anderen Domäne meldet, und dort die Zugriffsrechte auf die Mailbox hat. Die Vertrauensstellung verbindet somit die beiden Domänen, damit du eben nicht mehr sowas in Zukunft machen musst.

 

gruß

 

Dejan

[derAku 10]

Vielen Dank für die Antwort...

 

bzgl. der Vertrauensstellungen: Ich hab grad in einem MCSE Trainingsguide bzgl Vertrauensstellungen nachgelesen. Da stand zu lesen, dass mit einer Vertrauensstellung Benutzer nicht mehr am vertrauenden Rechner verifiziert werden sondern diese Anfragen an den vertrauten Rechner weitergeleitet werden.

 

[..]Eine Beziehung zwischen zwei Domänen, bei der eine Domäne darauf vertraut, dass die andere die Authentifizierung durchführt.[..]

 

Dies würde ja bedeuten dass ich alle Benutzer der fremden Domäne anlegen und verwalten müsste? Oder gibts bei fehlerhafter Verifizierung eine Art automatisches Fallback auf den vertrauenden Server?

Sowas muss es ja geben, sonst gibts ja Probleme (sprich keiner kann sich mehr anmelden) wenn die Netzwerkverbindung (in unserem Fall ne x-DSL Leitung) unterbochen ist...?

 

Oder ist das so zu interpretieren, dass nur die Anmeldeanfragen aus der vertrauten Domäne an den PDC selbiger zurückgeworfen werden? (klingt für mich vernünftiger)

 

 

vielen dank

 

lg

 

gerold

[IvkovicD 10]

nope, nicht so komplex,

 

die Vertrauensstellung erleichert die Benutzerverwaltung über Domänengrenzen hinweg, das bedeutet nicht, dass du extra Benutzer dafür anlegen musst. Du greifst in so einem Fall direkt auf die UserDB der entsprechenden Domäne, um z.B. Zugriffsberechtigungen zu vergeben, den Rest erledigt dein LSA, indem er mit den betreffenden Istanzen verbindung annimmt (auch mit der entprechenden Fremddomäne im endeffekt).

 

Vom Zugriff her ist das System ähnlich, wenn du Unterdomänen hast, und aus diesen Domänen Benutzerkonten benutzt, um Zugriff in deiner Haupt-Domäne zu regeln.

 

Wenn du eine Vertrauensstellung erstellt hast, kannst du auf die Benutzer/gl-Gruppen der anderen Domäne zugreifen, mehr ist das im ersten Schritt nicht.

 

Zur zweiten Frage: Wenn die Verbindung unterbrochen ist, ist die fehlende Authentisierung zur anderen Domäne nicht das Problem, da ja die Verbindung zur Ressource so oder so nicht existiert. In eurem Fall ist das aber auch kein Problem, weil die Authentisierung geschieht immer in eurer Domäne direkt (wo die User sind, die zu authentisieren sind), und das geht unabhängig des DSL-Status.

 

Es fehlen immer nur die Dienste, die durch die Netzwerktrennung verursacht werden (hier: Zugriff Exchange)

 

 

gruß

 

Dejan