pablovschby 10 Geschrieben 20. März 2003 Autor Melden Teilen Geschrieben 20. März 2003 @klausk; merci vielmals, jetzt ist es klar..... von dem her nur noch das und dann lass ich dich in Ruh........: in universellen gruppen werden mitglieder und gruppenzugehörigkeit gespeichert.... daher mehr traffic als bei lokalen.... aber was wird denn in den lokalen gespeichert...? und wird von dem her auch in den globalen gruppen mitglieder und gruppenzugehörigkeit gespeichert,......? merci für die mühe........gruss pablo Zitieren Link zu diesem Kommentar
klausk 10 Geschrieben 20. März 2003 Melden Teilen Geschrieben 20. März 2003 Hurra ;) :D :D Keine Sorge, die Fragerei ist schon in Ordnung. Ist 'ne gute Gelegenheit, mein Grundlagenwissen aufzufrischen. Es haben sich auch schon mehrere Lücken gezeigt ... *grml* Falls Du die lokalen Domänengruppen meinst, s.o., für die lokalen Gruppen gilt: - Benutzer aus der lokalen SAM (SAM => diese Gruppen gibt es auf einem DC nicht) - Benutzer, globale und universelle Gruppen aus der lokalen Domäne - Benutzer, Computer, globale und universelle Gruppen aus Domänen, die für die lokale Domäne explizit vertrauenswürdig sind (im einheitlichen Modus erweitert sich die Vertrauensstellung auf alle Domänen im Wald) Zum Thema Traffic & GC: - Der GC ist eine partielle Kopie des AD. - Daten zwischen mehreren GCS werden repliziert => mehr Daten = mehr Traffik Universelle Gruppen führen zu mehr Daten im GC, da - das Gruppenobjekt - Mietgliedsobjekte in den GC übernommen werden. Daten von globalen und lokalen (1) Gruppen im GC - Gruppenobjekt Änderungen bei Miegliedsobjekten von Gruppen lösen bei lokalen und globalen Gruppen keine Änderungen im GC aus, bei universellen Gruppen müssen die Änderungen übernommen und repliziert werden => mehr Daten + mehr Änderungen (2) = noch mehr Traffic :D (1) lesen bildet, lokale Gruppen werden tatsächlich in den GC übernommen (2) Nach meiner Erfahrung werden Änderungen an Mitgliedsobjekten öfters als an Gruppenojekten vorgenommen. gruß klaus Zitieren Link zu diesem Kommentar
pablovschby 10 Geschrieben 21. März 2003 Autor Melden Teilen Geschrieben 21. März 2003 wow, merci vielmals..... maintenant, tout est claire.... gruss pablo Zitieren Link zu diesem Kommentar
pablovschby 10 Geschrieben 27. März 2003 Autor Melden Teilen Geschrieben 27. März 2003 es tut mir leid, wenn ich diesen alten thread wieder raufholen muss...aber ICH BIN AM VERZWEIFELN....tja... ich probier grad mein info-blatt zusammenzutragen selbst bei definitionen zu gruppen bekomm ich immer weniger ahnung... ...je mehr ich über das ads lese, desto weniger klahrheit herrscht bei mir... vorallem habe ich immer mehr das gefühl, dass sich klausk in diesem thread hier immer und immer wieder wiedersprochen hat... (kein vorwurf, nur mein eindruck, welcher ja eben, nichts mit richtigkeit zu tun hat) ich weiss, das sieht aus, als würde ich von euch irgend ne schulung oder so erwarten...aber ich lese tatsächlich bereits mehrmals pdffiles als beschreibung und begreif das net... Zur Grundlage: ich studiere hier grad die schöne tabelle von microsoft mit den 3 Gruppenbereichen... die können nicht schreiben "lokale, univ. und globale gruppen".... NEIN, denn es sind die "Gruppen mit dem Bereich "lokale Domäne"" und eben nicht einfach die "lokalen Gruppen".... warum das so ist, kann ich mir sowieso nicht erklären... also, 2 fragen: 1. was ist der unterschied zwischen "einheitlicher" und "gemischter" modus... ...leider findet man per google zig-millionen beschreibungen: "das und das passiert im einh. modus (bzw. im gem. modus"..... aber keine einzige mit der beschreibung: "einh. mod. ist DAS und gem. mod. ist DAS".... 2. ---- Benutzer aus der lokalen SAM (SAM => diese Gruppen gibt es auf einem DC nicht) ---- aha, also lokale Benutzer gibts also aufm DC nicht... da ich annehme (hab ich nirgends gefunden, leite ich aber so ab), dass auch lokale gruppen in der SAM stehen, gibts also auch keine lokalen gruppen aufm DC ---- Benutzer, Computer, globale und universelle Gruppen aus Domänen, die für die lokale Domäne explizit vertrauenswürdig sind (im einheitlichen Modus erweitert sich die Vertrauensstellung auf alle Domänen im Wald) ---- aha, lokale benutzer können aber, wenn ne domain vertraulich ist, DOCH in ner globalen oder universellen gruppe sein. Wenn sie sich also dort drin befinden, MÜSSEN die lokalen gruppen zwungenermassen auch irgendwo aufm dc sein. ---- Benutzer, globale und universelle Gruppen aus der lokalen Domäne ----- wie kann ein globaler user in ner lokalen gruppe sein, ohne dass dies aufm dc abgelegt ist...? das geht doch net... wie kann ein lokaler user in ner globalen gruppe sein, ohne dass die aufm dc abgelegt ist...? geht doch auch nicht... natürlich muss niemand schreiben,... wäre aber trotzdem froh um antworten... gruss pablo Zitieren Link zu diesem Kommentar
pablovschby 10 Geschrieben 27. März 2003 Autor Melden Teilen Geschrieben 27. März 2003 was es noch zu sagen gibt: ich bin eigentlich schulisch und auch im bezug auf verständniss eher einer, der die mathe-theorie einmal hört und diese dann anwenden kann... ich hatte eigentlich noch nie probleme mit meinem logisch-abstraktem denkvermögen, ich will nur immer alles wissen und ein unerklärter widerspruch ist für mich anlass für eine neue forschung... gruss Zitieren Link zu diesem Kommentar
pablovschby 10 Geschrieben 27. März 2003 Autor Melden Teilen Geschrieben 27. März 2003 hab ich recht mit der annahme, dass mit den "lokalen domänen" einfach die SAM gemeint ist. Also 1 WS, 1 lokale Domäne, wessen Rechte der Builtin-Accounts benützt wird...? Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 27. März 2003 Melden Teilen Geschrieben 27. März 2003 Nein, lokale Domänengruppen liegen im ADS. Sie erfüllen den Zweck, Zugriff auf Resourcen zu gewähren. Läuft die Domäne im gemischten Modus, sind sie nur auf den DCs verfügbar und zu sehen. Läuft die Domäne im einheitlichen Modus (keine NT 4.0 BDS werden mehr unterstützt) sind sie auf allen Rechnern der Domäne einsetzbar. Leider muss ich jetzt dringend weg. Heute abend etwas mehr... grizzly999 Zitieren Link zu diesem Kommentar
pablovschby 10 Geschrieben 27. März 2003 Autor Melden Teilen Geschrieben 27. März 2003 was natürlich am hilfreichsten wäre, wäre eine SACHLICHE... EINDEUTIGE beschreibung dieses ganzen Gruppenphänomen's, aber wahrscheinlich gibts sowas nicht... merci @grizzly... (wenn ich in 5jahren weiss, um was es geht, bin ich zufrieden) geiler spruch hast du im profil Zitieren Link zu diesem Kommentar
marka 584 Geschrieben 27. März 2003 Melden Teilen Geschrieben 27. März 2003 Zum ganzen Gruppenkram: Es gab unter NT 4 folgende Vorgehensweise: A Der Account G wird in eine globale Gruppe gesteckt L die globale Gruppe wird am Client in eine lokale Gruppe gesteckt P dieser lokalen Gruppe werden dann die Rechte (Permissions) gegeben. Bei Windows 2000 sieht das in der Domäne nun so aus, das wurde durch die Einführung der domänenlokalen Gruppen verändert (AGDLP): A Der Account G wird in eine globale Gruppe gesteckt DL die globale Gruppe wird im ADS in eine domänenlokale Gruppe gesteckt P dieser domänenlokalen Gruppe werden am Client dann die Rechte (Permissions) gegeben. Domänenlokale Gruppen funktionieren nur im einheitlichen (native) Modus. D.H. Es dürfen keine Windows NT 4 BDC's mehr vorhanden sein und die ADS-Domäne muß explizit in den Nativemode geschaltet werden. Das ist dann eine Einbahnstrasse: Man kann ohne Vernichtung der Domäne diese nicht mehr zurück in den gemischten (mixed) Modus schalten! Ich hoffe, Pablo, etwas Licht in's Dunkel gebracht zu haben... Zitieren Link zu diesem Kommentar
pablovschby 10 Geschrieben 27. März 2003 Autor Melden Teilen Geschrieben 27. März 2003 @marka: weisst du, das ganze wär mir eigentlich ziemlich klar... wo ist z.b. der unterschied zwischen "domänenlokal" und "lokal"...? ------ für die lokalen Gruppen gilt: - Benutzer aus der lokalen SAM (SAM => diese Gruppen gibt es auf einem DC nicht) - Benutzer, globale und universelle Gruppen aus der lokalen Domäne - Benutzer, Computer, globale und universelle Gruppen aus Domänen, die für die lokale Domäne explizit vertrauenswürdig sind (im einheitlichen Modus erweitert sich die Vertrauensstellung auf alle Domänen im Wald) ------- klausk redete gar nicht von "domänenlokalen gruppen". gruss Zitieren Link zu diesem Kommentar
marka 584 Geschrieben 27. März 2003 Melden Teilen Geschrieben 27. März 2003 Domänenlokale Gruppen sind unter Active Directory neu eingeführt worden, um die Berechtigungsvergabe zu vereinfachen. Domänenlokale Gruppen befinden sich im ADS, lokale Gruppen befinden sich in der lokalen SAM eines Rechners. Es gibt bei Microsoft eine recht gute Tabelle, die die Gruppentypen miteinander vergleicht. Ich weiss nur im Moment den genauen Link nicht. So, bin für heute dann auch wech... schönen Abend noch! Zitieren Link zu diesem Kommentar
pablovschby 10 Geschrieben 27. März 2003 Autor Melden Teilen Geschrieben 27. März 2003 ich kenn die tabelle... ...und studier sie weiter... gruss --- Domänenlokale Gruppen befinden sich im ADS, lokale Gruppen befinden sich in der lokalen SAM eines Rechners. --- merci, das ist schon mal was Zitieren Link zu diesem Kommentar
klausk 10 Geschrieben 27. März 2003 Melden Teilen Geschrieben 27. März 2003 @pablo Ja, ich habe mir widersprochen, habe das aber auch klargestellt. Und ich habe von "domänenlokal" bzw. "lokale Domänengruppen" gesprochen: ----- Falls Du die lokalen Domänengruppen meinst, s.o., für die lokalen Gruppen gilt: - Benutzer aus der lokalen SAM (SAM => diese Gruppen gibt es auf einem DC nicht) ... ----- Genau hier mache ich die Unterscheidung! ----- Domänenlokale Gruppen befinden sich im ADS, lokale Gruppen befinden sich in der lokalen SAM eines Rechners. ----- Die lokale SAM gibt es bei einem DC nicht, kannst Du einfach über "Computerverwaltung - System - Lokale Benutzer und Gruppen" überprüfen. Dort bekommst Du die folgende Meldung angezeigt: Lokale Gruppen und Benutzer Der Computer "xxx.xxx.xx" ist ein Domänencontroller. Dieses Snap-In kann nicht für einen Domänencontroller verwendet werden. Domänenkonten werden mit dem Snap-In "Active Directory-Benutzer und -Computer" verwaltet. gruß klaus Zitieren Link zu diesem Kommentar
pablovschby 10 Geschrieben 3. April 2003 Autor Melden Teilen Geschrieben 3. April 2003 nur noch diese fragen: erbitte bestätigung, ob dieser absatz stimmt: - Jeder Host, der ins Active Directory-Netzwerk als Domain Controller oder sonstiger Server mit speziellen Rechten integriert wurde, tauscht mit dem Domain Controller und eben anderen Hosts mit erweiterten Funktionen im Netzwerk, wie beispielsweise einem Exchange-Server, seine globalen Kataloge aus. Befinden sich mehrere Domänen in einem Netzwerk oder fungieren die Domänen netzwerkübergreifend, werden auch dort Gruppenkataloge repliziert. - so... also, ich nehme an, netzwerkübergreifende domänen sind für ad kein problem, oder...mittels einfachem gateway...? gruss&danke vielmals pablo Zitieren Link zu diesem Kommentar
marka 584 Geschrieben 3. April 2003 Melden Teilen Geschrieben 3. April 2003 Nicht jeder DC im Forest ist ein GCS (Global Catalog Server). Das kann man explizit bestimmen. Unter W2K ADS ist eine weltweit operierende Firma in einem Forest kein Problem. Pro Site sollte dann aber ein GC installiert sein, um den Replikationstraffic zu reduzieren. Im GC sind u.a. Info's über die ADS-Objekte enthalten... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.