expertenaustausch > microsoft.* > microsoft.german.windows.server.active_directory

Ray Munzinger (12.03.2007, 13:02)
Hallo NG,

folgende Konstellation:
1x AD in Deutschland (W2K3) als Parent-Domain,
1x AD in USA (W2K3) als Child-Domain,
dazwischen je 1 ISA (in D: ISA2K4 und in USA: ISA2K6)

Ich habe in Deutschland eine globale Sicherheitsgruppe "Internetzugriff".
Im deutschen ISA habe ich hinterlegt, dass diese Windows-Gruppe entsprechend
surfen darf.

Diese Woche war jetzt der CEO aus den Staaten bei uns in Deutschland.
Ich wollte Ihn einfach in die Internetzugriffs-Gruppe aus D integrieren und
schon hätte es funktionieren sollen.

Nun mein Problem:
Wenn ich Ihn hinzufügen möchte, dann kann ich zwar die Child-Domain
auswählen, den User jedoch nicht.
(Namen nicht gefunden).
ALLERDINGS:
Wenn ich ihn am ISA direkt in die Regel einfüge möchte, dann kann ich Ihn
aus der Child-Domain auflösen.

Was ist das ?

Danke

Ray
Yusuf Dikmenoglu [MVP] (12.03.2007, 13:36)
Servus,

"Ray Munzinger" wrote:
> Nun mein Problem:
> Wenn ich Ihn hinzufügen möchte, dann kann ich zwar die Child-Domain
> auswählen, den User jedoch nicht.
> (Namen nicht gefunden).


globale Gruppen können nur Mitglieder derselben Domäne enthalten.
Du solltest Dich an dem A - G - DL - P Prinzip halten.
Du richtest eine domänenlokale Gruppe (DL) in der Domäne ein, in
der sich die Ressource befindet. Dieser DL-Gruppe erteilst Du die passende
Berechtigung. Dann fügst du die jeweiligen globalen Gruppen aus den
Zieldomänen in diese DL-Gruppe ein.

Ray Munzinger (14.03.2007, 16:45)
> globale Gruppen können nur Mitglieder derselben Domäne enthalten.
> Du solltest Dich an dem A - G - DL - P Prinzip halten.
> Du richtest eine domänenlokale Gruppe (DL) in der Domäne ein, in
> der sich die Ressource befindet. Dieser DL-Gruppe erteilst Du die passende
> Berechtigung. Dann fügst du die jeweiligen globalen Gruppen aus den
> Zieldomänen in diese DL-Gruppe ein.
>


Vielen Dank. Das hat mir sehr geholfen.
Gruß
Ray
Ähnliche Themen