Zugriff auf Resourcen in anderer Gesamtstruktur

03/06/2009 - 08:30 von Guido Müller | Report spam
Hallo zusammen,

bei uns steht die Verschmelzung von 2 Gesamtstrukturen an. Das ganze soll
über eine Vertrauensstellung geschehen die in beide Richtungen geht. Beide
Gesamtstrukturen befinden sich im Windows Server 2003 Modus.

Es geht jetzt noch um die Planung des Zugriffes auf Resourcen in der anderen
Gesamtstruktur. Ich hatte an folgendes Szenario gedacht.

In Gesamtstruktur A erstelle ich eine universelle Gruppe und füge dieser die
entsprechenden Gruppen / Konten aus der Gesamtstruktur A hinzu. Nun weist der
Admin der Gesamtstrukur B dieser universellen Gruppe die Berechtigung auf der
entsprechenden Resource in der Gesamtstrukur B zu.

Meiner Meinung nach müsste das doch so gehen. Eine universelle Gruppe kann
zwar nur Konten / Gruppen aus seiner eigenen Gesamtstruktur enthalten aber
kann doch für Zugriffe in anderen Gesamtstrukturen genutzt werden, oder?
Zumindest interpretiere ich den Artikel in der Technet so
(http://technet.microsoft.com/de-de/...y/cc755692(WS.10).aspx)

Wenn hier jemand schon Erfahrungen hat, wàre ich für ein kurzes Statement
sehr dankbar.

Viele Grüße und auch schon einmal ein Herzliches Dankeschön an alle die sich
hierzu Gedanken machen und mich teilhaben lassen :-)

Guido
Never touch a running system!
 

Lesen sie die antworten

#1 Thomas K.H. Bittner
04/06/2009 - 17:01 | Warnen spam
Hallo Guido,

sofern Eure Gesamtstruktur aus einer Domàne besteht und die andere auch,
verhalten sich die Domànen analog wie Du es aus NT-Zeiten kennst,
entsprechend kannst Du auch mit den Gruppenmitgliedschaften umgehen.

Sofern Gesamtstrukturen mehrere Domànen beinhalten, beziehen sich die
Vertrauenstellung immer zwischen den spezifischen Domànen jeder
Gesamtstruktur. Das heißt, wenn Du Gesamtstruktur A mit Domànen A1, A2 und
A3 hast, und eine Gesamtstruktur B mit Domànen B1 und B2 musst Du die
Vertrauenstellung jeweils explizit zwischen den einzelnen Domàne herstellen

A1 <> B1
A1 <> B2
A2 <>B1
... usw.

Vertrauenstellungen zwischen Domànen von Gesamtstrukturen sind nicht
transitiv.

Alternativen wàren die ADFS
http://technet.microsoft.com/de-de/...y/cc785116(WS.10).aspx

Oder eine Migration mit ADMTv3 der Benutzer mit SID-History.

Gruß, Tom
[Blog] http://msmvps.org/blogs/wssra
[Support] www.mvpatwork.com/support.aspx
WSSRA Expert at ® Corporation


"Guido Müller" schrieb im Newsbeitrag
news:
Hallo zusammen,

bei uns steht die Verschmelzung von 2 Gesamtstrukturen an. Das ganze soll
über eine Vertrauensstellung geschehen die in beide Richtungen geht. Beide
Gesamtstrukturen befinden sich im Windows Server 2003 Modus.

Es geht jetzt noch um die Planung des Zugriffes auf Resourcen in der
anderen
Gesamtstruktur. Ich hatte an folgendes Szenario gedacht.

In Gesamtstruktur A erstelle ich eine universelle Gruppe und füge dieser
die
entsprechenden Gruppen / Konten aus der Gesamtstruktur A hinzu. Nun weist
der
Admin der Gesamtstrukur B dieser universellen Gruppe die Berechtigung auf
der
entsprechenden Resource in der Gesamtstrukur B zu.

Meiner Meinung nach müsste das doch so gehen. Eine universelle Gruppe kann
zwar nur Konten / Gruppen aus seiner eigenen Gesamtstruktur enthalten aber
kann doch für Zugriffe in anderen Gesamtstrukturen genutzt werden, oder?
Zumindest interpretiere ich den Artikel in der Technet so
(http://technet.microsoft.com/de-de/...y/cc755692(WS.10).aspx)

Wenn hier jemand schon Erfahrungen hat, wàre ich für ein kurzes Statement
sehr dankbar.

Viele Grüße und auch schon einmal ein Herzliches Dankeschön an alle die
sich
hierzu Gedanken machen und mich teilhaben lassen :-)

Guido
Never touch a running system!

Ähnliche fragen