Gruppenrichtlinien domänenübergreifend

[AQUAGIRL2802]

Hallo zusammen!

Folgendes: Gegeben ist eine Domäne mit einem NT Server, auf diesem befinden sich alle Benutzerkonten, in der Domäne sind Windows 2000 Clients.

Zusätzlich gibt es eine Domäne mit einem Windows 2000 Server, auf diesem sind keine Benutzerkonten.

Beide Domänen sind über eine Vertrauensstellung miteinander verbunden!

Ist es nun möglich, Benutzern aus der NT-Domäne, Gruppenrichtlinien der 2000-Domäne zuzuweisen? Kann man dazu den NT irgendwie bei 2000 integrieren??

Wenn das geht...WIE???

Danke für schnelle Hilfe!!!!

Eure Aqua

[wicked]

ich glaube nicht. ich kann es mir auch nicht vorstellen, da die benutzer ja teil der NT-Domäne sind und keiner gruppe der ADS Domäne angehören. ich glaube auch nicht dass du benutzer aus anderen domänen zu deiner ads gruppe hinzufügen kannst.

mach mal ne gruppe unter ADS auf und schau ob du bei der mitglieder-auswahl oben in "suchen in" deine NT-Domäne auswählen kannst. wenn ja, dann könnte es gehen .. aber selbst dann kann ich es mir nur schwer vorstellen, da sich die benutzer beim anmelden am system, wo sie ihre GPO beziehen nicht am ADS sondern an ihrer domäne anmelden.

[AQUAGIRL2802]

Also hab mal geguckt ob die Benutzer von NT in ne Gruppe hinzufügen kann...geht nicht!

Ok Danke für die Antwort!

Hat jemand Ahnung von der Softwareverteilung über Gruppenrichtlinien mit dem WinInstall LE???

[DerWirsch]

Hallo,

von der Struktur des Domänenmodells unter WindowsNT4 ausgehend,

kann es eigentlich nicht möglich sein einen W2K-Server in eine solche

Domäne zu integrieren.

Damit würde ein Widerspruch aufgebaut werden:

In einer WindowsNT4 Domäne gibt es keine gleichberechtigten

Domänencontroller, sondern einen PDC und einen oder mehrere BDCs,

wobei ausschließlich der PDC Schreibrechte auf die Benutzerkonten hat.

In einem W2K Active Directory sind aber hinsichtlich der Zugriffe auf die

Benutzerkonten alle DCs schreibberechtigt.

Der Versuch einen W2K-Server in einer DC-Rolle in eine NT4-Domäne zu

integrieren, würde also bedeuten, das ein "zweiter PDC" (nämlich mit

schreibenden Zugriff auf die Benutzerkonten) existiert. Aber bei NT4

kann es nur einen geben.

Wenn der W2k-Server die Benutzerverwaltung übernehmen soll, führt meines

Erachtens kein Weg an einer Migration vorbei.

Gruß

DerWirsch

[hokrohn]

Domänen sind bei MS Sicherheitgrenzen.

Somit sollte es nicht möglich sein, Sicherheitsrichtlinien einer Domäne auf eine andere zu übertragen. Egal ob 2000 oder NT. Sicherheitsrichtlinien sind nur für die jeweilige Domäne gültig, in welcher das Objekt steht.

[DerWirsch]

hokron schrieb

Somit sollte es nicht möglich sein, Sicherheitsrichtlinien einer Domäne auf eine andere zu übertragen. Egal ob 2000 oder NT. Sicherheitsrichtlinien sind nur für die jeweilige Domäne gültig, in welcher das Objekt steht.

Nö, unter Windows2000 können die Benutzerrechte domänenübergreifend

zugewiesen werden. Das ist ja gerade der Witz an der Sache.

Gruß

DerWirsch

[wicked]

DerWirsch:

Original geschrieben von AQUAGIRL2802

Beide Domänen sind über eine Vertrauensstellung miteinander verbunden!

[DerWirsch]

Ja, aber nur unter Windows2000 sind diese Vertrauensstellungen

zwei-Wege-transitv. Beide Domänen vertrauen sich auf Gegenseitigkeit.

Bei WindowsNT4 gab es nur ein-Wege-Trusts, soll heißen:

Domäne A vertraut Domäne B

Domäne B vertraut Domäne C

unter WindowsNT4 vertraut nun

Domäne A nicht automatisch Domäne C

unter Windows2000 schon.

DerWirsch

[hokrohn]

unterscheidet bitte zwischen Sicherheitsrichtlinien und Benutzerrechten.

Vertrauensstellungen bedeuten, jemand vertraut seine Ressourcen jemandem anderes (z.B. einer Domäne) an.

Sicherheitsrichtlinien haben einen anderen Zweck. Diese realisieren z.B. Ändern von Systemdiensten, oder Einstellungen für Benutzerumgebungen und vieles anderes mehr. Dementsprechend sind diese auf bestimmte Bereiche (bei MS auf Domänen, bei Novell auf Partitionen) beschränkt.

Gruss Holger