Aglp

[lutvrackl 10]

Hallo,

 

ich versuche gerade eine Domäne auf einem W2K3 Server mit AD zum Laufen zu bringen und stoße auf folgendes Problem bei AG DL P:

 

Account angelelegt: Testperson

Als Globale Gruppe Angelegt: PC_Admin

Als Locale Gruppe Angelegt: USER_CLIENT_ADMIN

 

Wenn ich jetzt versuche Local auf dem CLient die Gruppe USER_CLIENT_ADMIN bei den Administratoren einzutragen zeigt er sie mir bei der Auswahl der Gruppen nicht an... Die Gruppe PC_Admin könnte ich aber eintragen....

 

Was habe ich an der Struktur nicht verstanden!

 

Danke

 

Andy

[dippas 10]

Moin Andy,

 

willkommen an Board.

 

Wo hast Du denn die Locale gruppe angelegt?

 

grüße

 

dippas

 

PS: beachte, eine lokale Gruppe ist nur lokal auf dem jeweiligen Rechner verfügbar ;)

[grizzly999 11]

Lokale Gruppen können NICHT verschachtelt werden, nur selber erstellte Domänenlokale Gruppen auf AD Ebene (Builtin Domain Local Groups nicht).

 

Aber dein Vorgehen entspricht ja auch nicht dem AGDLP oder AGLP Prinzip, was du versuchst, ist ein A(G)LLP Prinzip

 

grizzly999

[lutvrackl 10]

Da hab ich dann wircklich was falsch verstanden :)

Ich hab die lokale Gruppe auch auf dem Server angelegt...

Wie wäre dann eine AGLP konforme anordnung wenn ich Mir als Domain-User die Administratoren Rechte für einen Client geben will.

 

Der Anstatz

Account (TESTPERSON (ICH!)) - GLobal (PC_Admin) war doch nicht falsch oder? aber wie gehts weiter

 

 

mfg

 

Andy

 

P.S. Die nächste Frage zu diesem Thema werde ich dann in MSBackOffice posten..versprochen!

[Lifeforce 10]

Wenn ich dich richtig verstehe, willst du (TESTPERSON(ICH)) zum lokalen Administrator machen. Du hast diesen User in die globale Gruppe (PC_Admin) eingefügt. Nun kannst du diese globale Gruppe in die lokale Gruppe ADMINISTRATOREN auf dem lokalen Computer hinzufügen, wenn dieser Domänenmitglied ist. Damit erhält der User der Domäne lokale administrative Berechtigungen.

[lutvrackl 10]

OK! Und das ist dann richtig laut Microsoft AGDLP ? Übergehe ich da nicht das DL oder ist mit Domain-Local hier eigentlich Client-Lokal gemeint? Oder hab ich da immer noch einen Denkfehler und Domain-Local ist gedacht für Ressourcen auf dem Server (Drucker,Verzeichnisse u.s.w.)

[Lifeforce 10]

Das Prinzip war AGLP. Wenn du einer auf dem Server oder Client bestehenden lokalen Gruppe Domänenitglieder hinzufügen willst, geht das nur direkt über den Account des Benutzers (ungünstig - wenn es nicht gerade bloß ein Benutzer ist) oder eben über das geschilderte Verfahren mit der Globalen Gruppe vom AD in die bestehende lokale Gruppe auf dem Server.

 

A G DL P:

du befindets dich mit deiner Domäne in einer Funktionsebene, in der NT BDCs nicht mehr unterstützt werden, dann ist das anwendbar: nehmen wir als Beispiel an, du hast eine Ressource auf dem lokalen Computer (Server) freigegeben und musst nun die Freigabeberechtigungen (und meinetwegen auch noch die NTFS-Berechtigungen vergeben. Dann kannst du auf der einen Seite auf dem DC die Benutzer in einer globalen Gruppe organisieren, und du kannst gleichzeitig auf dem DC entsprechende domänenlokale Gruppen anlegen (z.B. DL-Freigabe-lesen, DL-Freigabe-ändern usw.). Dukannst in der Zugriffsteuerungsliste der Freigabe nun die domänenlokalen Gruppen verwenden und die entsprechechenden Berechtigungen zuweisen. Der Vorteil dieses Verfahrens im Gegensatz zu AGLP ist, dass nun zwei klar oneinander getrennte Orte hast, wo du tätig wirst. Auf der einen Seite ist da der Server, wo du die Berechtigungen den domänenlokalen Gruppen erteilt hast, auf der anderen Seite ist da der DC, wo du mit den Benutzern jonglierst. A->G, G->DL. Das DL<-P wird einmal auf dem Server definiert, danach ist Ruhe. Wechselt ein Benutzer in eine andere Abteilung verschiebst du ihn auf dem DC z.B. von der globalen Gruppe Einkauf ind die globale Gruppe Verkauf, schon hat er die der neuen Abteilung zugeordneten Berechtigungen. Soll eine Abteilung andere Berechtigungen für den Zugriff auf eine Ressource erhalten, verschiebst du die globale Gruppe in eine andere domänenlokale Gruppe. Und das passiert alles nur auf dem DC.

[lutvrackl 10]

DANKE DANKE habs kapiert glaube ich :)