Eine Workstation, mehrere DC?

Hallo,

folgendes Szenario:

An einer Workstation sollen abwechselnd verschiedene User arbeiten, die in drei verschiedenen Domänen angelegt sind.

Frage: ist das möglich und wenn ja wie?

(Ich frage, weil eine Workstation doch immer nur Mitglied einer Domäne ist!?)

Vielen Dank für eure Hilfe,

Sodian

Ja und? Aber solange sich die User in ihrer Domäne anmelden ist das alles kein Thema. Allerdings müssen die Domänen untereinander eine sogenannte Vertrauenstellung haben. Dann kann sich auch ein User aus einer fremden Domäne an einem Rechner anmelden der in wieder einer anderen Domäne hängt.

Danke, dass Du geantwortet hast.

Also verstehe ich das richtig:

- es gibt Workstation und die Domänen Domain1, Domain2 und Domain3
- Workstation ist Mitglied in Domain1
- Alle Domänen haben untereinander Vertrauensstellungen

Also könnte UserX sich an Workstation an Domain2 anmelden?

Wenn ja:

1. Funktioniert die Anmeldung auch, wenn der einzige DC der Domain1 nicht mehr existiert?
2. Wie teilt man den einzelnen Domänen mit, welche andere Domänen eine Vertrauensstellung besitzen?

Vielen Dank für die Hilfe,

Sodian

Vertrauensstellungen musst du schon einrichten können.

Wenn der DC von deiner Hauptdomäne abschmiert gehen die anderen nicht mehr.
Ansonsten stimmt es das sich jeder mit einem Konto der Domäne anmelden kann wenn eine Vertrauensstellung besteht.

@Marco
Bist du dir da wirklich sicher? Ich meine, dass du mit Vertrauensstellungen lediglich den Zugriff auf Ressourcen (Drucker, Netzlaufwerke, etc.) in benachbarten Domains freigeben kannst. Anmelden kannst du dich jedoch nur an PCs die Mitglied deiner Domain sind.
Wobei hier klassifiziert werden muss wovon wir reden. Sind es eigenständige Forrests (Gesamtstruktur), ist es ein Forrest mit vertrauten Domains oder ist es eine Domain mit Subdomains?
Hinzu kommt dass es zwischen W2k3 und W2k Unterschiede gibt.

Hi,

Jain, denn ein Trust wird immer von PDC zu PDC ausgeführt. In einer Windows 2000/3 Domäne von PDC-Emulator zu PDC-Emulator... Ist selbiger offline (egal auf welcher Seite...), ist kein Trust mehr vorhanden und somit kein Zugriff auf die Resourcen der getrusteten Domäne.

Gruß
Sven

Hi Snake,
ja, ich bin mir sicher, weil es keine untergeordnete Subdomain ist. Zumindest geh ich davon aus.

Hallo und vielen Dank für eure kleine Diskussion.

Es handelt sich um zwei eigenständige Domänen mit Windows Server 2003 R2. Es wird gewünscht, die einzelnen Abteilungen edv-technisch komplett voneinander zu trennen, die bisher eine einzige Domäne haben. Das wäre kein Problem, gäbe es da nicht die gemeinsamen Arbeitsplätze, an denen sich sowohl Mitarbeiter der einen als auch der anderen Abteilung anmelden können müssen.

Deshalb meine Frage mit den Vertrauensstellungen und ich dachte mir schon aus der Logik heraus, dass die Vertrauensstellung bei einem DC-Ausfall nicht mehr funktioniert.

Schade. Da muss ich mir jetzt was einfallen lassen...

... Es wird gewünscht, die einzelnen Abteilungen edv-technisch komplett voneinander zu trennen ...

Zum Vergrößern anklicken....

Warum wird das so gewünscht? Interessant wäre auch zu wissen wer das so wünscht, da derjenige wohl nicht weis was man mit einem AD (gerade unter W2k3) alle machen kann. Man kann mit dem durchdachten Einsatz vom Active Directory in Verbindung mit OU's, Sicherheitsgruppen, Delegationen, Gruppenrichtlinien und zu guter letzt den Standort Policys alles sauber von einander abtrennen. Unter NT4 hätte man dazu noch separate Domains gebracht, doch seit W2k ist dies überholt.

Beispiel:
Eins der weltgrößten Unternehmen benutzt genau ein Active Directory. Dank der oben genanntenn Funktionen kann der Mitarbeiter eines Standorts in England nicht auf Ressourcen des Fileservers in Hong Kong zugreifen.

Macht euch also nicht soviel Arbeit und setzt einfach die Tools die ihr Dank W2k3 habt durchdacht ein.

snake99 schrieb:

Warum wird das so gewünscht?

Zum Vergrößern anklicken....

vielleicht wird das vom gesetzgeber (z.b. dem bafin im finanzsektor) so vorgeschrieben, oder die revision in einem konzern verlangt eine strikte trennung etc.pp. bei uns auf arbeit ist es auch so. nach einer fusion betreuen wir als it inzwischen 2 getrennte domänen. wir lösen das mit 2 installationen auf dem rechner/laptop, einmal eine mit dom1 und eine mit dom2 und je nach aufgabe startet man dann das jewils benötigte os mit der entsprechenden domäne ...

greetz

hugo

Ich will hier keinem zu nahe treten, doch diese Trennungen sind doch meistens nur die Ergebnisse völliger Ahnungslosigkeit der Entscheider. Und genau hier ist es Aufgabe der IT Abteilung bzw. der IT Dienstleisters die Entscheider aufzuklären, was natürlich nur dann geht, wenn ich das entsprechende Background Wissen zur Verfügung habe.
Die IT Budgets sind in jedem Unternehmen recht knapp bemessen, was meinstens dazu führt, dass nur das Notwendigste angeschafft wird. Warum soll ich dann durch eine in 99% aller Fälle völlig überflüssigen Trennungsclausel die IT Gesamtkosten weiter in die Höhe treiben? Was nützt es mir 2 Netze strikt von einander zu trennen, wenn ein AVM Ken! Server als Unternehmensfirewall eingesetzt wird? Weder die Trennung der Netze, noch die Firewall steigern in diesem Beispiel die Sicherheit! Besser wäre es gewesen ein Netz zu konfigurieren und das übrige Geld in eine gute Unternehmensfirewall zu investieren.

@hp
Du nanntest das Beispiel, dass gewisse PC's bei dir mit 2 Konfigurationen ausgestattet sind. Meine Meinung nach völlig überflüsseg, oder hast du auch 2 Switche im Einsatz und an jedem Arbeitsplatz liegen 2 unterscheidliche Netzwerkkabel? Eins für Domain A und das andere für Domain B? 

Abschliessend kann ich nur nochmal drauf hinweisen, dass Aufklärungsarbeit bei den Entscheidern (i.d.R. die Geschäftsleitung) das A und O sind. 

snake99 schrieb:

@hp
Du nanntest das Beispiel, dass gewisse PC's bei dir mit 2 Konfigurationen ausgestattet sind. Meine Meinung nach völlig überflüsseg, oder hast du auch 2 Switche im Einsatz und an jedem Arbeitsplatz liegen 2 unterscheidliche Netzwerkkabel? Eins für Domain A und das andere für Domain B? 

Zum Vergrößern anklicken....

klar hab ich 2 kabel die in unterschiedlichen dosen stecken. und teile der hardware ist doppelt vorhanden (z.b. clusterserver), das san wiederum wird von beiden clusterservern der beiden domänen gemeinsam genutzt, der bereich des einen clusters ist von dem anderen cluster nicht sichtbar und dadurch verhalten sich die cluster so, als hätten beide ein eigenes san zur verfügung. ähnlich verfahren wir auch im netzbereich, die domänen liegen in unterschiedlichen vlans, nutzen aber denselben switch etc. pp.

greetz

hugo

Hi Hugo,
was ist denn die technische Begründung eure jetzigen Netzkonfiguration?
Ich meine, wenn zwei Unternehmen miteinander fusioniert sind, dann sollte doch nichts dagegen sprechen die neue Unternehmensstruktur im Rahmen eines Migrationsprojekts neu umzusetzen, sprich in Form einer AD Gesamtstruktur abzubilden. Immerhin bin ich mir sicher, dass ihr dadurch mind. 30% der jetzigen Gesamtkosten einsparen könntet.

Hi,

bitte bleibt beim Thema... Ich befürchte, die jetzige Diskussion hilft dem Fragesteller nicht sonderlich weiter.

Gruß
Sven

So ist es. Die Trennung ist beschlossene Sache, da jedes Department sein Budget selbst verwaltet und zukünftig jeder sich selbst um die Finanzierung der IT kümmern muss. Bisher haben einige Abteilungen andere, schlechter haushaltende mit durchgeschleppt, da ja die eine bzw. eigene Struktur laufen muss. Da die das verständlicherweise nicht mehr wollen, ist die Trennung unumgänglich.

Hi,

hmmjut, wenn der Weg über Vertrauensstellungen ausscheidet bleibt nur noch der von hugo beschriebene Weg über eine Mehrfachinstallation von Windows.

Gruß
Sven

Erstmal sorry, dass ich so lange nicht geantwortet habe und vielen Dank für die bisherigen Lösungsvorschläge!

Doppelte Windows-Installationen finde ich recht unattraktiv, das erscheint mir doch irgendwie mit Kanonen auf Spatzen geschossen.

Letztendlich bleibt dann nur noch die Einrichtungen eines Trusts, bei dessen Konzeption ich dankbar für eure Hilfe wäre.

Letztendlich ist es so, dass 10 Rechner Mitglied in Domäne A sind. An diesen Rechnern sollen sich die Domänen-Benutzer der Domäne B anmelden und ihre Ressourcen nutzen können, auch wenn die Rechner nicht Mitglied der Domäne B, sondern wie gesagt von Domäne A sind.

Ich würde jetzt einfach mal eine transitive Vertrauensstellung (so heißt das glaube ich) auf einem der beiden Domänen-Controller einrichten, wodurch dann an allen Mitgliedsrechnern der Domänen A und B unter anmelden an beide Domänen zur Anmeldung erscheinen - richtig?

Ist das empfehlenswert oder hat diese Vorgehensweise weitere Nachteile, außer der von mir hingenommenen Tatsache, dass die Mitglieder keiner Domäne sich an den 10 oben angegebenen Rechnern anmelden können, wenn Domäne A down ist?

PS: das nehme ich gerne in Kauf, die Domäne A weist höchstmögliche Redundanzen auf und sollte daher NIE offline sein.

Ich danke für euren Input!

Ich würde als Basis eine Windows 2003 Infrastruktur, die im einheitlichen Modus ausgeführt, wird nehmen.
Sprich eine Gesamtstruktur, die 2 gleichberechtigte Domians beinhaltet (keine Subdomains!).
Unter den Domains kann man dann einfach einen Trust konfigurieren.

Vielen Dank, aber Trust war ja klar. Nur welche Art von Trust ist noch die Frage. Im Moment denke ich noch, dass eine Verknüpfungsvertrauensstellung zielführend sein könnte:

Gründe für das Erstellen einer Verknüpfungsvertrauensstellung

Verknüpfungsvertrauensstellungen sind erforderlich, wenn sich viele Benutzer in einer Domäne regelmäßig an anderen Domänen in einer Gesamtstruktur anmelden. Beispielsweise könnten Sie in dem in der folgenden Abbildung dargestellten Beispiel eine Verknüpfungsvertrauensstellung zwischen Domäne B und Domäne D oder Domäne A und Domäne 1 usw. einrichten.

Zum Vergrößern anklicken....

Quelle: http://www.microsoft.com/technet/pr...de7-ff58-4f26-a8ec-450ffca75912.mspx?mfr=true

Was denkt ihr, das wäre doch was!?

Ähh, mal abseits von Trusts - wie wärs einfach mit verschiedenen UPN-Suffixen?

Gruss
twoday