Jump to content

Univ. Gruppen, AD Win. 2000


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo, zusammen,

 

habe ein Problem mit universellen Gruppen in W2K Domains.

 

Folgende Situation:

 

Server01:

W2K SP4 m. Update Rollup,

DC für AD W2K native Mode (litwareinc.com),

DNS Server AD-int. für litware, sec. für fabrikam.com

IP 192.168.10.1

Exch. 5.5 SP4

NetBIOS aktiviert

 

Server02

Member Domain litwareinc.com

IP 192.168.10.2

W2K3 SP1

DNS Server 192.168.10.1

Ex 2k3

NetBIOS aktiviert

 

Server03

W2K SP4 m. Upd. Rollup

DC für AD W2K native mode (fabrikam.com)

DNS Server AD integr für Zone fabrikam.com und sec. für litwareinc.com

IP 192.168.10.3

Exchange 2000

 

Habe einen 2-seitigen externen Trust eingerichtet und bestätigt, bevor ich den Domain-Mode in beiden Domains umgeschaltet habe.

 

In der Anmeldemaske werden beide Domains angezeigt, für Shares kann ich NTFS und Shareberechtigungen an User beider Domains vergeben.

In AD kann ich DL-Gruppen User aus beiden Domains hinzufügen, für globale Gruppen natürlich nur aus der eigenen Domain.

NSLookup und Ping mit FQDN und NetBIOS Namen: funktioniert alles.

 

Soweit so gut.

 

Versuche ich nun einer universellen Gruppe User aus der anderen Domain hinzuzufügen, sehe ich in der Liste "Suchen in" nur die lokale Domain. Das ist in beiden Domains so.

Sollte ich nicht einer univ. Gruppe Mitglieder aus allen Domains hinzufügen können :confused:

 

Warum behandelt er die univ. Gruppen sowie eine globale?!

 

Vielleicht ist es auch nur igendwas banales, was ich vergessen habe, aber manchmal sieht man den Wald vor lauter Bäumen nicht...

 

Das Szenario entnehme ich einem Übungsbuch für die 70-284.

 

Christoph

Link zu diesem Kommentar
Versuche ich nun einer universellen Gruppe User aus der anderen Domain hinzuzufügen, sehe ich in der Liste "Suchen in" nur die lokale Domain. Das ist in beiden Domains so.

Sollte ich nicht einer univ. Gruppe Mitglieder aus allen Domains hinzufügen können :confused:

Universelle Gruppen können Miglieder aus dem gesamten Forest beinhalten, nicht aber Mitglieder aus anderen Forests.

Hier nochmal zum Nachlesen:

http://www.microsoft.com/resources/documentation/Windows/2000/server/reskit/en-us/Default.asp?url=/resources/documentation/Windows/2000/server/reskit/en-us/deploy/dgbf_upg_jcik.asp

 

 

grizzly999

Link zu diesem Kommentar

Hi, Grizzly,

 

danke für den Link und die Unterstützung beim Klardenken ;). Ich sag ja, ist was banales ... :rolleyes:

 

Jetzt frag ich mich nur eins: das Übungsszenario besagt, dass User aus der Domain litware in die domain fabrikam via admt migriert werden sollen. Vorher sollte dafür ein Trust eingerichtet werden und dann der Fabrikam-Admin der litware Domain als schema-admin, org.-admin und domain admin hinzugefügt werden und umgekehrt (litware admin mit entsprechenden rechten in der fabrikam domain). Das Szenario besagt nicht, dass die Fabrikam Domain mitglied des Litware Forests sein soll (sonst bräuchte ja auch nicht extra ein Trust eingerichtet werden). Das kann ja dann gar nicht so funktionieren, wie es im SelfPacedTrainingKit für Exchange 2003, Kap. 5, Lektion1, Übung 1 beschrieben steht.

 

Ich zitiere mal Schritt 7 der Übung:

On Server01, user the Active Directory Users & Computers Console to add the Fabrikam\Administrator user account to the Schema Admins, Enterprise Admins, and Domain Admins security groups in the Litwareinc.com domain

 

Muß ich stattdessen mit dem Delegation Wizard arbeiten? Oder kann ich mir das mit den Gruppenmitgliedschaften sparen um die User-migration durchzuführen?

 

Christoph

Link zu diesem Kommentar

Ja, das geht so nicht. Der Artikel hat Recht, deine Erfahrung belegt das, das Buch hat hier einen falschen Step.

Für die Benutzermigration braucht man aber auch diese ganzen Gruppenmitgliedschaften nicht. Ausser eigener Domänenadmin zu sein, Mitglied in der Administratorengruppe der anderen Domäne zu sein, genügt. Falls Berechtigungen nicht reichen sollten, kann man da nachbessern.

 

Schema-Admin brauche ich sowieso nicht zu sein.

 

grizzly999

Link zu diesem Kommentar

Ok, ich habe also den Admin. account von Litware in die gruppe builtin/Administratoren der Fabrikam Domain hinzugefügt.

 

Dann habe ich auf dem Server02 das ADMT installiert und mit "admt key litwareinc c:\" ein pes-file für die Password-Migration erstellt. Das File habe ich auf den Server01 kopiert (ohne Diskette, falls das eine Rolle spielt).

 

Dann habe ich auf dem Server01 die password migration dll installiert und das auf dem server01 befindliche pes-File benutzt. Anschließend habe ich server01 rebootet, dort den registry-eintrag auf 1 gesetzt (allowpasswordexport) und den server01 noch mal rebootet.

 

Dann auf Server02 den ADMT User account migration wizard gestartet, source und target domains ausgewählt, user konten ausgewählt, target ou ausgewählt, die option password migration gewählt und den "password migraton source dc" als server01 gesetzt.

 

Klicke ich jetzt auf weiter, sagt er mir:

 

Unable to establish a session with the password export server. There is no such object on the server.

 

Was habe ich falsch gemacht, und welches Objekt ist überhaupt gemeint :confused:

 

Kann es daran liegen, dass der DC server01 deutsch ist und ich ein englisches ADMT installiert habe?

 

 

Christoph

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...