lutvrackl 10 Geschrieben 1. Dezember 2005 Melden Teilen Geschrieben 1. Dezember 2005 Hallo, ich versuche gerade eine Domäne auf einem W2K3 Server mit AD zum Laufen zu bringen und stoße auf folgendes Problem bei AG DL P: Account angelelegt: Testperson Als Globale Gruppe Angelegt: PC_Admin Als Locale Gruppe Angelegt: USER_CLIENT_ADMIN Wenn ich jetzt versuche Local auf dem CLient die Gruppe USER_CLIENT_ADMIN bei den Administratoren einzutragen zeigt er sie mir bei der Auswahl der Gruppen nicht an... Die Gruppe PC_Admin könnte ich aber eintragen.... Was habe ich an der Struktur nicht verstanden! Danke Andy Zitieren Link zu diesem Kommentar
dippas 10 Geschrieben 1. Dezember 2005 Melden Teilen Geschrieben 1. Dezember 2005 Moin Andy, willkommen an Board. Wo hast Du denn die Locale gruppe angelegt? grüße dippas PS: beachte, eine lokale Gruppe ist nur lokal auf dem jeweiligen Rechner verfügbar ;) Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 1. Dezember 2005 Melden Teilen Geschrieben 1. Dezember 2005 Lokale Gruppen können NICHT verschachtelt werden, nur selber erstellte Domänenlokale Gruppen auf AD Ebene (Builtin Domain Local Groups nicht). Aber dein Vorgehen entspricht ja auch nicht dem AGDLP oder AGLP Prinzip, was du versuchst, ist ein A(G)LLP Prinzip grizzly999 Zitieren Link zu diesem Kommentar
lutvrackl 10 Geschrieben 1. Dezember 2005 Autor Melden Teilen Geschrieben 1. Dezember 2005 Da hab ich dann wircklich was falsch verstanden :) Ich hab die lokale Gruppe auch auf dem Server angelegt... Wie wäre dann eine AGLP konforme anordnung wenn ich Mir als Domain-User die Administratoren Rechte für einen Client geben will. Der Anstatz Account (TESTPERSON (ICH!)) - GLobal (PC_Admin) war doch nicht falsch oder? aber wie gehts weiter mfg Andy P.S. Die nächste Frage zu diesem Thema werde ich dann in MSBackOffice posten..versprochen! Zitieren Link zu diesem Kommentar
Lifeforce 10 Geschrieben 1. Dezember 2005 Melden Teilen Geschrieben 1. Dezember 2005 Wenn ich dich richtig verstehe, willst du (TESTPERSON(ICH)) zum lokalen Administrator machen. Du hast diesen User in die globale Gruppe (PC_Admin) eingefügt. Nun kannst du diese globale Gruppe in die lokale Gruppe ADMINISTRATOREN auf dem lokalen Computer hinzufügen, wenn dieser Domänenmitglied ist. Damit erhält der User der Domäne lokale administrative Berechtigungen. Zitieren Link zu diesem Kommentar
lutvrackl 10 Geschrieben 1. Dezember 2005 Autor Melden Teilen Geschrieben 1. Dezember 2005 OK! Und das ist dann richtig laut Microsoft AGDLP ? Übergehe ich da nicht das DL oder ist mit Domain-Local hier eigentlich Client-Lokal gemeint? Oder hab ich da immer noch einen Denkfehler und Domain-Local ist gedacht für Ressourcen auf dem Server (Drucker,Verzeichnisse u.s.w.) Zitieren Link zu diesem Kommentar
Lifeforce 10 Geschrieben 1. Dezember 2005 Melden Teilen Geschrieben 1. Dezember 2005 Das Prinzip war AGLP. Wenn du einer auf dem Server oder Client bestehenden lokalen Gruppe Domänenitglieder hinzufügen willst, geht das nur direkt über den Account des Benutzers (ungünstig - wenn es nicht gerade bloß ein Benutzer ist) oder eben über das geschilderte Verfahren mit der Globalen Gruppe vom AD in die bestehende lokale Gruppe auf dem Server. A G DL P: du befindets dich mit deiner Domäne in einer Funktionsebene, in der NT BDCs nicht mehr unterstützt werden, dann ist das anwendbar: nehmen wir als Beispiel an, du hast eine Ressource auf dem lokalen Computer (Server) freigegeben und musst nun die Freigabeberechtigungen (und meinetwegen auch noch die NTFS-Berechtigungen vergeben. Dann kannst du auf der einen Seite auf dem DC die Benutzer in einer globalen Gruppe organisieren, und du kannst gleichzeitig auf dem DC entsprechende domänenlokale Gruppen anlegen (z.B. DL-Freigabe-lesen, DL-Freigabe-ändern usw.). Dukannst in der Zugriffsteuerungsliste der Freigabe nun die domänenlokalen Gruppen verwenden und die entsprechechenden Berechtigungen zuweisen. Der Vorteil dieses Verfahrens im Gegensatz zu AGLP ist, dass nun zwei klar oneinander getrennte Orte hast, wo du tätig wirst. Auf der einen Seite ist da der Server, wo du die Berechtigungen den domänenlokalen Gruppen erteilt hast, auf der anderen Seite ist da der DC, wo du mit den Benutzern jonglierst. A->G, G->DL. Das DL<-P wird einmal auf dem Server definiert, danach ist Ruhe. Wechselt ein Benutzer in eine andere Abteilung verschiebst du ihn auf dem DC z.B. von der globalen Gruppe Einkauf ind die globale Gruppe Verkauf, schon hat er die der neuen Abteilung zugeordneten Berechtigungen. Soll eine Abteilung andere Berechtigungen für den Zugriff auf eine Ressource erhalten, verschiebst du die globale Gruppe in eine andere domänenlokale Gruppe. Und das passiert alles nur auf dem DC. Zitieren Link zu diesem Kommentar
lutvrackl 10 Geschrieben 1. Dezember 2005 Autor Melden Teilen Geschrieben 1. Dezember 2005 DANKE DANKE habs kapiert glaube ich :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.