User Domänenübergreifend berechtigen?!

Hallo!
Folgendes Problem:
Domänenforrest (W2k3) mit 2 Domänen (+root)
User sind (noch) in der einen Domäne, alle (universal) Grouops sind in der anderen Domäne.
Jetzt soll ein User in mehrere Groups aufgenommen werden.
Über das Windows Snap-in geht das nur, indem ich mir die Gruppe hole und den User als Member hinzufüge.
Ich brauche es aber ANDERSHERUM, ich will nämlich nicht 400 Groups einzeln aufmachen und den einen User reinstecken.
Wenn ich Member of beim User aufrufe kann ich ihm nur Groups der eigenen Domäne geben, die Location umstellen auf die andere Domäne geht nicht.

WER KANN HELFEN, ggf. per Script o.ä.!!

Besten Dank!!

Der Zzorro

Normalerweise bastelt man sich das so (lt. Microsoft *g*):
User => Globale Gruppe => Domänenlokale Gruppe => Universelle Gruppe <= Berechtigungen

Mit Universellen Gruppen kannst du btw nur dann domain-übergreifend arbeiten, wenn dein AD im 2003-er Modus läuft.

Cheers,
Joshua

Hi Joshua, danke für die megaschnelle Antwort.
Klar wäre das schön mit Domainlocal Groups, bei uns DÜRFEN halt keine genutzt werden.
(Frag' mich nicht nach dem Hintergrund sonst bekomm' ich heute noch schlechte Laune...war nämlich eine Management-Entscheidung...)

Unser AD läuft im native-mode, ich kann ja auch prima mit den universal groups arbeiten,
nur eben in EINE Richtung, nämlich User von Dom A in Gruppe auf DOM B aufnehmen.
Gruppen von B zum User in A hinzufügen geht nicht.

Beste Grüße
Der leichtverzweifelte Zzorro

Du brauchst dafür in jeder Domäne einen GlobalCatalog bzw. musst du die Zwischenspeicherung aktivieren - dann sollte das klappen.

Cheers,
Joshua

Das probier' ich nach der Mittagspause ;-) mal aus...

Danke schonmal!

Gruß
Zzorro

Viel Erfolg und Guten Hunger *g*

Cheers,
Joshua