lokal Domäne Gruppe nicht auf Server verfügbar

22/10/2007 - 11:21 von Michael Martikan | Report spam
Hallo,

Meines Wissens nach soll man einem User in eine globale Gruppe geben, die
dann über eine lokale Domàne Gruppe die Berechtigungen auf Ordner, Dateien &
Drucker verwaltet.

Auf unserem ADC Server funktioniert das auch. leider kann ich auf anderen
Servern und Rechnern in der Domàne diese Verschachtelung nicht durchführen.
kann mir jemand sagen warum?

mfg
Michael
 

Lesen sie die antworten

#1 Yusuf Dikmenoglu [MVP]
22/10/2007 - 11:36 | Warnen spam
Servus,

"Michael Martikan" wrote:
Meines Wissens nach soll man einem User in eine globale Gruppe geben, die
dann über eine lokale Domàne Gruppe die Berechtigungen auf Ordner, Dateien &
Drucker verwaltet.



genau. Idealerweise wendet man das A - G - DL - P Prinzip an.
Siehe dazu:

[Yusuf`s Directory - Blog - Gruppen]
http://blog.dikmenoglu.de/PermaLink...84729.aspx


Auf unserem ADC Server funktioniert das auch. leider kann ich auf anderen
Servern und Rechnern in der Domàne diese Verschachtelung nicht durchführen.
kann mir jemand sagen warum?



Domànenlokale Gruppen können nur auf Windows 2000, Windows XP oder Windows
Server 2003-Systemen in einer Domàne angewendet werden, natürlich nur, wenn
sich die Domàne im einheitlichen Modus (Native) befindet. Wenn sich die
Domàne z.B. in der Funktionsebene "Windows 2000 gemischt" befindet, kann eine
domànenlokale Gruppe nur auf Domànencontrollern verwendet werden, àhnlich wie
eine lokale Gruppe.


Den Domànenfunktionsmodus bzw. Gesamtstrukturfunktionsmodus kann man wàhrend
dem Betrieb umstellen. Es sind quasi "drei Klicks" und die Domàne bzw-
Gesamtstruktur ist umgestellt. Es ist eben darauf zu achten, dass damit, je
nach Ebene, àlterere DCs nicht mehr existieren dürfen/können.

In einen anderen Domànenmodus kann man nur dann wechseln, wenn alle
bestehenden DCs die neue Ebene unterstützen. Bedeutet, möchte man in den
Domànenfunktionsmodus "Windows Server 2003", dann dürfen weder NT-BDCs noch
2000 DCs mehr in der Domàne existieren, da ansonsten das
heraufstufen nicht möglich ist.

Das gleiche gilt für die Gesamtstruktur. Möchte man die Gesamtstruktur auf
den Gesamtstrukturfunktionsmodus "Windows Server 2003" heraufstufen, müssen
vorher alle bestehenden Domànen in dem Domànenfunktionsmodus
"Windows Server 2003" sein.

Bestehende Vertrauensstellungen sind davon nicht betroffen bzw. haben mit
dieser Umstellung kein Problem und funktionieren weiterhin.

Falls mehrere Domànen in einer Gesamtstruktur existieren, dann sollte die
Umstellung der einzelnen Domànen respektive Gesamtstruktur "zügig" vollzogen
werden. Denn wenn man sich dabei Zeit làsst, können Replikationsprobleme
auftauchen.

Das Herauf stufen des Domànenfunktionsmodus kann entweder über das Snap-In
„Active Directory-Benutzer und –Computer“ oder „Active Directory-Domànen und
-Vertrauensstellungen“ erledigt werden (mit einem Rechtsklick auf den FQDN),
wobei die Gesamtstruktur ausschließlich im Snap-In „Active Directory-Domànen
und -Vertrauensstellung“ heraufgestuft werden kann. Beides làsst sich
ebenfalls durch bearbeiten (mit LDP.exe oder ADSIEdit.msc) des Attributs
msDS-Behavior-Version herauf stufen.

Regards from Rhein-Main/Germany
Yusuf Dikmenoglu - MVP Windows Server
Blog: http://blog.dikmenoglu.de
http://www.faq-o-matic.net

Ähnliche fragen