Parkesel 10 Geschrieben 19. Juni 2006 Melden Teilen Geschrieben 19. Juni 2006 Hallo leute Man das ist kompliziert mit diesen localen globalen universalen Gruppen. dachte mir vieleicht kann es einer von euch mir eklaeren :) Also was ich weiss: windows 2000 pur unterstuetzt win2k win2k3 windows gemischt nt 2k 2k3 windows 2003 interim nt4 2k3 windows 2003 nur 2k3 Domaencontroller So nun Baue ich einmal 2 Domaene mein Dc heist helmut.de server.helmut.de Der zweite an einen 2ten standort heisst gustav.de server.gustav.de Auf beiden laueft windows2003 server. Diese 2 orte verbinde ich ueber Vpn nun erstelle ich ne Ou im Dc Helmut namens Admins. Danach erstelle ich in dieser Ou ne gruppe in der ich Benutzer von Beiden Seiten rein tun kann von DC helmut und gustav. Geht das? diese User koennen dann recourcen von beiden Standorten administrieren? Musste ich dann ne Universale Gruppe machen und dafuer die dc in den winows 2003 Modus Stufen? Was waehre wenn ich ne 2te globale gruppe machen wuerde Admins2 und ne 3te locale Gruppe Admins3? Wo dürfen die jeweiligen User etwas veraendern Locale nur local globale auf beiden Dc hmmm? Irgendwie verwirrend. Moechte mit diesen Beispiel nur verstehn was heist local was global was universal domaenuebergreifend? Ich weiss es gibt X beiträge aber irgendwie wills nicht dort oben rein :rolleyes: Danke leute Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 19. Juni 2006 Melden Teilen Geschrieben 19. Juni 2006 Hier ist eine recht gute Beschreibung ... http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/maintain/adusers.mspx Zitieren Link zu diesem Kommentar
Parkesel 10 Geschrieben 19. Juni 2006 Autor Melden Teilen Geschrieben 19. Juni 2006 Danke IThome Fast zu gut fuer mich :) Aber werd schon noch ein paar gute Deutsche infos finden tschuess Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 19. Juni 2006 Melden Teilen Geschrieben 19. Juni 2006 Versuch Dir das mal rein zu tun, wenn Du dann noch irgendwo Verständnisprobleme hast, frag ruhig noch mal ... :) edit: Ich glaube, der hier ist besser für Dich ... http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/79d93e46-ecab-4165-8001-7adc3c9f804e.mspx?mfr=true Zitieren Link zu diesem Kommentar
Parkesel 10 Geschrieben 19. Juni 2006 Autor Melden Teilen Geschrieben 19. Juni 2006 Danke dir glaube auch :) Zitieren Link zu diesem Kommentar
Parkesel 10 Geschrieben 19. Juni 2006 Autor Melden Teilen Geschrieben 19. Juni 2006 Hi mann binn ich b***d :) Nun habe ich das technet irgendwie gelesen werds noch ein paar mal durchlesen aber nun weiss gar nix mehr :) mache ich mit nur einen dc ne locale gruppe oder? Mann da steht wenn ich funf leute Drucken lassen will erstelle ich eine locale gruppe in dieser erstelle ich ne globale gruppe dort bringe ich die user unter. Nun kann ich wenn ich will der localen Gruppe das druckrecht geben. Was waehre wenn ich anstatt der globale noch ne locale mache? Binn ich der einzige der das nicht versteht ? :) Jezt installier ich mal nen 2ten gliechwertigen DC mal schaun wie sich die gruppe replizieren vieleicht versteh ichs ja dann. Mal schaun vieleicht werden die globalen nicht repliziert wer weiss tschuess Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 19. Juni 2006 Melden Teilen Geschrieben 19. Juni 2006 Jezt installier ich mal nen 2ten gliechwertigen DC mal schaun wie sich die gruppe replizieren vieleicht versteh ichs ja dann.Mal schaun vieleicht werden die globalen nicht repliziert wer weiss tschuess Hallo, ich weiß :-) Was meinst du mit gleichwertig? In einer Domäne? Dann wird da ALLES repliziert, also auch alle Gruppen. Lass die Funktionsebenen mal weg, die verkomplizieren das Ganze am Anfang nur. Also domänenlokale und globale Gruppen werden innerhalb der Domäne repliziert, universelle in der Gesamtstruktur. Sites, also Standorte haben damit nichts zu tun. Sie sind von Domänen völlig losgelöst und sollen die Netztopologie abbilden. Du kannst mehrere Sites in einer Domäne oder auch mehrere Domänen in einer Site haben. Site ist sowas wie eine Routinggrupe im Exchange. Also die Sites vergessen wir hier schon mal. Wenn du jetzt den 2. DC SV2.helmut.de installierst, sollte der nach einiger Zeit (das wiederum liegt dann an Sites) die Gruppe vom 1. DC SV1.helmut.de abkriegen. Jetzt haben wir einen 3. DC SV3.gustav.de. Dieser wird von den Gruppenmitgliedern nur etwas erfahren, wenn es eine universelle ist, bei globalen wird zumindest noch der Name in die andere Domäne repliziert, bei lokalen nix. (Sehen wirst du normal aber alle 3 nicht, weil Infos aus anderen Domänen ja im GC liegen. Den müsste man dann mit LDP oder so abfragen.) Jetzt zu den Unterschieden zwischen den Typen, ich verzichte jetzt mal auf die Funktionslevel und mache alles mit Level ab 2000 einheitlich: Eine DLG kann nur auf Ressourcen in der eigenen Domäne berechtigt werden. Ist ja auch klar, sie ist ja in der anderen Domäne nicht sichtbar. Dafür kann sie User und GG aus anderen Domänen, sowie UG enthalten. Eine GG kann in jeder Domäne berechtigt werden. Dafür kann sie nur User oder GG aus der eigenen Domäne enthalten. Auch klar, weil die andere Domäne zwar den Namen, aber nicht die Mitglieder kennt. Eine UG kann User und GG aus jeder Domäne enthalten und überall berechtigt werden, universell, eben. Auch klar, überall mit allen Mitgliedern sichtbar. Wozu ist das Ganze gut? Eigentlich könnte man ja alles mit UG machen. Allerdings würde dann jede Änderung an der UG auf sv1.helmut.de auch auf sv3.gustav.de repliziert (auf DC2 wird JEDE Änderung repl., da gleiche Domäne). Ist bei einer Gruppe nicht wild, aber bei 40000 Usern, 15 Domänen und mehreren 100 bis 1000 Gruppen pro Domäne sieht das anders aus. Das sind bei uns grob die Dimensionen. Deshalb sollte möglichst viel mit DLG und GG gemacht werden. MS empfiehlt folgendes Schema: AGDLP Accounts in GG, diese evtl. in weitere GG, diese dann in DLG, die DLG dann berechtigen. Konkretes Beispiel: Herr Müller arbeitet in HR, welches zur Abt.1 gehört und braucht Schreibzugriff auf den Share Abt1: User Müller in GG_HR -> GG_HR in GG_Abt1 -> GG_Abt1 z.B. in DLG_Abt1_Schreiben -> DLG_Abt1_Schreiben auf Share Abt1 berechtigen. Sieht kompliziert aus, ist aber sehr sinvoll. Wenn jetzt auch noch die Geschäftsleitung diesen Zugriff braucht, muss ich nicht den Fileserver anfassen, sondern nur die GG_GL der DLG_Abt1_Schreiben hinzufügen. Warum für die Berechtigung eine DLG? Ganz einfach, weil ich dann auch einer GG aus der Zweigstelle, die eine eigene Domäne hat das Recht zuweisen kann, indem ich sie in die DLG_Abt1_Schreiben packe. Warum für die Berechtigung keine UG? Weil ich mit dieser Gruppe nur in EINER Domäne Rechte vergebe. Also muss doch nicht jede kleine Änderung an der Gruppe Repl.-Traffic erzeugen. Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 19. Juni 2006 Melden Teilen Geschrieben 19. Juni 2006 So 2ter Teil, ist auch nicht mehr viel, versprochen: Wofür dann überhaupt UGs? Beispiel aus der Praxis. Es gibt bei uns ein zentrales Team mit Mitgliedern aus verschiedenen Domänen das bestimmte Rechte auf die Exchangeserver sämtlicher 15 Domänen benötigt. Jetzt könnte ich in jeder Domäne eine DLG anlegen und in diese dann globale Gruppen der 15 Domänen packen. Das wäre viel Aufwand. Oder ich erstelle eine UG, packe in diese EINMAL die GGs und packe diese UG dann 15 mal in die DLGs. Das spart eine Menge Aufwand. Warum GGs in die UG? Ganz enfach. Jede Änderung der UG erzeugt Repl.-Traffic. Also packe ich einmal die GGs hinein und muss die UG nicht mehr anfassen. Meine Benutzer stecke ich in die GGs oder entferne sie daraus, dies wird dann nicht in andere Domänen repliziert. Und jetzt noch ein Wort zu den Funktionsleveln: Der Hauptunterschied ist, dass im Mixed Mode keine UGs existieren. Also kann ich da auch nichts reinpacken. der zweite Unterschied ist, das im Mixed Mode GGs nicht ineinander verschachtelt werden können. Der Rest sind Feinheiten. Hope this helps. Wenn nicht, einfach weiterfragen. Ich hatte das Glück vor 4 Jahren bei meiner 1. Berührung mit AD die Herren Föckeler und Kümmel löchern zu können, die damals bei uns an einem größeren Projekt gearbeitet haben. Gruß woiza Zitieren Link zu diesem Kommentar
Parkesel 10 Geschrieben 20. Juni 2006 Autor Melden Teilen Geschrieben 20. Juni 2006 Hi Vielen dank fuer deine tolle erklaerung werde das 5 mal durchlesen und testen dann seh ich was repl wird usw. Noch ne kleine frage wenn ich nen 2ten dc installieren will der nicht direkt repliyiert wird also gustav wie im Beispiel. Was nehme ich da Dcpromo dann neuen Dc in einer gesamtstruktur?Also option 3? Muss ich dann etwas bei standorte und Vertrauenseinstellungen machen? Dankeuch ps.Mann muesste halt mit sowas arbeiten :( Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 20. Juni 2006 Melden Teilen Geschrieben 20. Juni 2006 Hi Vielen dank fuer deine tolle erklaerung werde das 5 mal durchlesen und testen dann seh ich was repl wird usw. Noch ne kleine frage wenn ich nen 2ten dc installieren will der nicht direkt repliyiert wird also gustav wie im Beispiel. Was nehme ich da Dcpromo dann neuen Dc in einer gesamtstruktur?Also option 3? Naja, der Gustav repliziert schon direkt, nur halt nicht alles. Die Replikationstopologie ist vom Rest getrennt. Sprich du kannst den gustav in den selben Standort installieren, wie die beiden helmuts. Oder du kannst auch einen gustav und einen helmut zusammen installieren und den zweiten helmut in einen anderen. zu Punkt zwei: Du müsstest beim ersten Fenster den ersten Punkt auswählen, also "domain controller for new domain" oder so, habe jetzt keine Kiste da. Beim nächsten Fenster müsstest du dann den zweiten Punkt nehmen, irgendwas mit "Child domain in existing tree". Der dritte Punkt installiert einen neuen Domain Tree. Das braucht man eher selten. Angenommen die Root-Domäne heisst test.de und du willst eine neue Domäne names test.com anlegen, dann haben die ja nicht den gleichen Namensraum, also können sie keinen gemeinsamen Tree bilden, weil sonst die zweite Domäne DNS-Technisch eine Subdomain von test.de sein muss. Beispiel: abt1.test.de. Gut, jetzt sehe ich gerade, dass wir das Beispiel mit helmut.de und gustav.de gewählt haben. In dem Fall hast du recht, du brauchst dann einen neuen Tree. ich würde das für den Anfang aber lassen und lieber die zweite Domain unter die erste hängen, etwa gustav.helmut.de oder sub1.helmut.de oder so. Ist am Anfang sicher einfacher. Muss ich dann etwas bei standorte und Vertrauenseinstellungen machen? Jein. Kommt drauf an, was du abbilden willst. Da müsste man jetzt wieder ein bisschen ausholen, aber für deine Gruppentests brauchst du nix machen, wenn alle 3 in einem Subnetz hängen. In dem Fall landen alle 3 unter "Standorte und Dienste" im Container "Default First Site". Alle DCs, die sich in einer Site replizieren automatisch alle 5 Minuten. Dankeuch ps.Mann muesste halt mit sowas arbeiten :( Ja, macht Spaß und ist interessant Gruß woiza Zitieren Link zu diesem Kommentar
Parkesel 10 Geschrieben 20. Juni 2006 Autor Melden Teilen Geschrieben 20. Juni 2006 Danke fuer deine Hilfe. Nun habe ich nen ten Dc installiert 1.er heist server.contoso.com 2ter heistt server01.villanders.contoso.com Sowas habe ich ja noch nie installiert 2 verschiedene Dcs hatte mal 2 gleiche die haben sich dann repliziert fertig. Aber so? ich kann nun im Active Directory-Benutzer und -Computer ywischen contos.com und villanders.contoso.com hin und her switschen. Nun dachte ich mir mache mal ne universale gruppe in contoso.com Beide dc auf 2003 modus gestuft gruppe angelegt zu villanders geswitscht gruppe sah mann nicht. Muss ich da nur abwarten? dankedir /euch Zitieren Link zu diesem Kommentar
Parkesel 10 Geschrieben 20. Juni 2006 Autor Melden Teilen Geschrieben 20. Juni 2006 So nun habe ich gesehn eine locale gruppe kann user von beiden domaenen beinhalten, also contoso.com und villanders.contoso.com weiteren kann sie globale und universale gruppen beinhalten. Globale gruppen kann nur Doamene weit Benutzer aufnehmen also nur contoso.com oder halt nur villanders.contoso.com und sie gann nur andere globale gruppen beinhalten keine localen und keine univ. univers koennen alle benutzer und andere globale sowie andere universale beinhalten. So dass habe ich auf contoso.com getestet. Sollte sich meine universelle jezt rueber replizieren? Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 20. Juni 2006 Melden Teilen Geschrieben 20. Juni 2006 So dass habe ich auf contoso.com getestet.Sollte sich meine universelle jezt rueber replizieren? Ja, die repliziert sich, aber du wirst sie dort nicht sehen. Du merkst aber das sie von A nach B repliziert wurde, wenn du sie in B irgendwo hinzufügen kannst. Kurz zur Erklärung: Die Gruppe liegt in einer OU, die OU vielleicht in weiteren OUs, und dann in einer Domäne. Du kannst also ähnlich wie bei DNS oder einer Verzeichnisstruktur den Ort der Gruppe definieren. Dies geschieht über den DistinguishedName. Beispiel: Die Gruppe heißt Abt1, sie liegt in der OU A1, diese hängt unter der OU Benutzer in der Domäne sub.test.de Im ADSIEdit kann man sich den DistinguishedName anzeigen, er hieße hier: CN=Abt1,OU=A1,OU=Benutzer,dc=sub,dc=test,dc=de also analog zu c:\windows\system32\logs\mylog.txt CN ist der Name des Objektes, OU wird für die OU-Struktur verwendet und DC zerlegt die DNS-Hierarchie. Jetzt wird auch klar, dass die Gruppe nie in der anderen DOmäne zu sehen ist. Wofür auch? Die Ansicht Benutzer und Computer zeigt ja nur WO sich ein Objekt befindet, so wie ein File in einem Verzeichnis liegt. Das hat ja noch nix damit zu tun, was dieses Objekt TUT oder DARF. Wohin werden dann die Objekte repliziert? Ganz einfach! Wenn beide DCs in derselben Domäne sind, dann haben auch beide dieses Domänenverzeichnis (nennt sich Partition, dazu später mehr :wink2: ). Kann man auch unter "Benutzer und Computer schön sehen. Neben der Möglichkeit zur Auswahl einer Domäne, womit man dann besagte Partition wechselt, gibt es hier such die Möglichkeit einen anderen DC der aktuellen Domäne auszuwählen. Es ist wichtig, sich vor Augen zu halten, dass diese MMC nicht das AD zeigt, sondern das, was ein spezifischer DC der Domäne weiß. Diese Ansichten können sich zwischen Replikationen durchaus unterscheiden. Dies gilt auch für andere Konsolen, wie "Standorte und Dienste" Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 20. Juni 2006 Melden Teilen Geschrieben 20. Juni 2006 Partitionen Partitionen teilen das AD auf, ähnlich wie bei einer Platte. Sie unterscheiden sich im Hinblick auf Berechtigungen und v.A. im Hinblick auf den Replikationsscope. Manche werden nur in einer Domäne repliziert (Domain Partition, DomainDNSZones Partition), andere in der Gesamtstruktur (Configuration Part., Schema Part., ForrestDNSZones Part.), andere ganz individuell (benutzerdefinierte Application Partitions). Die Partitionsnamen kann man sich auch anzeigen lassen, sie liegen nämlich auch als Objekt in AD. Einfach mit ADSIEdit mit der Config Partition verbinden, dort dann auf CN=Partitions gehen. Voila, hier sind sie alle. ADSIEdit ist überhaupt hervorragend geeignet, die Struktur des AD zu verstehen. Einfach mal ein bisschen rumbrowsen. So findet man z.B. unter CN=Sites genau die Ansicht der "Standorte und Dienste"-MMC. Oder unter CN=Serices,CN=NetServices alle autorisierten DHCPs. Ein DC hält also immer einige gemeinsame Partitionen und die eigene Domänenpartition, sprich er könnte nie einen Benutzer aus anderen Domänen berechtigen, ohne einen anderen DC zu fragen. Deshalb gibt es die Globalen Katalogserver (GC), die halten zusätzlich zu den "normalen" Partitionen eine Teilmenge der Daten aus allen anderen Partitionen. Beispiel: Alle Benutzer mit den wichtigsten Attributen, Globale Gruppen nur mit dem Namen, Universelle Gruppen mit Namen und Mitgliedern, aber z.B. keine lokalen Gruppen. Diesen GC macht MS leider nicht so ohne weiteres sichtbar, man kann nur Häkchen setzen, ob ein Server GC sein soll. Allerdings kann man sich mit einem LDAP-Browser, etwa von Softerra mit dem GC connecten, indem der Port von 389 (LDAP) auf 3268 (GC LDAP) geändert wird. Um es zusammenfassend noch mal mit deinem Beispiel zu machen: Eine UG test1 in der OU mytest in contoso.com hat folgenden DN: cn=test1,ou=mytest,dc=contoso,dc=com und liegt in der Domainpartition contoso.com. Sie kann also nie in der OU mytest in villanders.contoso.com auftauchen, da diese folgenden DN hat: OU=mytest,DC=VILLANDERS,dc=contoso,dc=com und somit auch in einer anderen Partition liegt. Ist wie bei Dateien, eine Datei kann nicht gleichzeitig in zwei verschiedenen Verzeichnissen in zwei verschiedenen Partitionen liegen. Gruß woiza Zitieren Link zu diesem Kommentar
Parkesel 10 Geschrieben 20. Juni 2006 Autor Melden Teilen Geschrieben 20. Juni 2006 Hi Du auch noch so spaet unterwegs? danke fuer deine erklaerungen klingt fuer dich alles so einfach. werd mal ein bissl adsedit basteln. Moechte ne schnitte deines wissens :) tschuess gn8 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.