Auf Rechner In Arbeitsgruppe Benutzer Aus Domäne Im Selben Netz Berechtigen

#1 Hallo !

Ich hab nen PC in einer arbeitsgruppe und möchte nun auf einem Share auf dem PC User aus einer im selben Netz befindlichen Domäne berechtigen. Ist dies grundsätzlich möglich ?

Hab das Problem, das ich nicht in der domäne suchen kann, sondern nur auf der lokalen Maschine, also auch keine User eintragen kann.

Wie bekomme ich das hin ? Hab schon versucht den DC als DNS einzutragen und als alias den vollen domänennamen, bringt aber alles nichts...

Gruß.
QuentinT

#2 n'Abend, QuentinT,

also diese Konstruktion blick ich nicht. Im selben Netz kannst du ENTWEDER eine Arbeitsgruppe ODER eine Domäne haben.
Wenn dein PC ne Workstation in einer Domäne ist, geht nichts ohne den Administrator, denn wofür gibt es den eigentlich, sonst könnete ja jeder machen was er will. Ich bin zufällig Admin, und wenn da einer käme und wollte sich mal eben selbst einen Share machen, dem würd ich was husten.

Gruß Reinhart

#3 Hmmm... Also du hast mein Problem nicht ganz verstanden das ist sicher. versuche es nochmals deutlicher zu machen.

Erstens: Ich bin der Admin des Netzes. Jetzt schreibt bitte net, dass ich dann ein schlechter bin, wenn ich das net weiss, nobody is perfect.

Zweitens: Also zwei Rechner können durchaus im selben Netzwerk liegen und trotzdem verschiedenen Domänen oder Arbeitsgruppen angehören... soviel ist sicher !

Mein Problem ist auch nicht, dass ich ne Workstation in ner Domäne hab, wenn man mal richtig liest.

Sondern ich hab nen Server mit nem Share mit ganz vielen Daten drauf. Dieser darf nicht in die Domäne !

Jetzt möchte ich allerdings mit Usern aus dem AD auf den share auf den nicht in der Domäne befindlichen Server zugreifen. Dazu muss ich diese ja bei den Ntfs-Berechtigungen eintragen. Soweit klar, hoffe ich.

Jetzt das eigentliche Problem: Ich kann wenn ich mich auf dem Reiter Ntfs-Berechtigungen befinde nur User der lokalen Maschine (also des Servers der nicht in der Domäne ist, auf dem aber der share liegt) auswählen.
Ich möchte ja aber User aus der Domäne dort Berechtigungen geben. Ich müsste also bei Suchpfad nicht den lokalen Servernamen angeben, sondern den Domänen-Namen. Es lässt sich allerdings hier keine Domäne auswählen.

Wie bekomme ich es also hin, dass ich hier die Domäne auswählen kann ??

#4 Weiss jetzt nicht was für ein Betriebssystem auf dem Server läuft, aber mit Samba solte das simpel zu konfigurieren sein, über NTFS dürfte das nicht gehen, da nur lokale Richtlinie.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...

#5 Okay, sorry. Winodows Server 2003 Enterprise läuft da drauf...

Kann ich denn nicht die Domäne bekannt machen ? oder im AD die arbeitsgruppe berechtigen oder sowas ??

#6 Funktioniert es nicht evtl. auch mit der Berechtigung "Jeder" ?

Zudem stellt sich die Frage, ob es nicht ausreicht, wenn sich User um auf das share zuzgreifen einmal amit einem lokalen Account anmelden können.

Wenn das mit "Jeder" nicht hinhaut, dann sollte doch zumindest ein Anmeldefenster kommen.

Normalerweise bin ich igentlich auch der Meinung, daß dein PC, welcher nicht in der Domäne ist, dennoch die Domäne sehen können müßte.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#7 Also... über die berechtigung jeder ist ja total sinnlos... Es soll ja eben nicht jeder auf den Share zugreifen können...

lokaler Account funktioniert... klar, aber dann müsste ich für jeden der zugreifen darf ein extra passwort und nutzeraccount anlegen, dass würde gehen ist aber nur die allerletzte lösung...

anmeldefenster ?? klar, kommt das, aber mit welchem user soll sich der user dann denn authenthifizieren ??

der meinung bin ich auch, aber nicht ohne weiteres, da müssen einstellungen vorgenommen werden... und eben um diese geht es mir...

Hoffentlich weiss noch jemadn was !!!

#8 Wenn ich die Angaben richtig verstehe, gibt einmal eine Domäne (Betriebssystem des Servers? Netzadresse?) mit einer Reihe von Clients (Anzahl?). Dann gibt es einen anderen Server (Netzadresse? allein stehend? wie physikalisch verbunden mit der Domäne?), auf dem du Daten hast. Und äh, Windows Server Enterprise? Hab ich das richtig gelesen: Enterprise? Hast du da Servercluster mit tausenden von Clients, die du verwalten willst? Das System ist für alles Mögliche gedacht, aber doch nicht für Daten.

Aber zurück zu deinem Problem: Man kann doch nicht ernsthaft annehmen, dass eine Domäne sich von außen in ihr Active Directory gucken lässt. Das AD verwalten kann nur der Admin DIESER Domäne oder ein anderer berechtigter User ebenfalls dieser Domäne. Und, @heptamer666, verrate mir mal, wie ein Samba- oder von mir aus Nutella-Server an das AD einer fremden Domäne rankommen soll. Und Rechte gewähren für fremde User soll er auch noch können?

2 Lösungen:
Entweder den Daten PC als normale Workstation in die Domäne setzen (warum willst du das eigentlich nicht?), dann auf die Shares sorgfältig Rechte setzen, nach Bedarf für bestimmte User oder für PCs.
Oder den DatenPC als FTP-Server konfigurieren.

Aber vielleicht habe ich ja immer noch nicht alles verstanden.

#9 Wenn der NetBIOS Name des Hosts, welcher nicht in der Domäne ist, bekannt ist, können die Anwender der Domänen-Clients diesen
über "Computer suchen" auch finden. Identisches gilt auch für den AD-Server, d.h. dass du auch auf besagten Server nach
dem Host suchen kannst.

Es ist völlig irrelevant ob sich ein Windows-Host in einer Domäne befindet oder in einer gepeerten Arbeitsgruppe. Sofern er sich
im selben Subnetz befindet (oder ansonsten das Routing funktioniert) sollte man den "Einzelgänger" w.o. erwähnt auch ansprechen
können. Immer vorausgesetzt, dass besagter Host "normal" konfiguriert wurde.

Zitat

Jetzt möchte ich allerdings mit Usern aus dem AD auf den share auf den nicht in der Domäne befindlichen Server zugreifen. Dazu muss ich diese ja bei den Ntfs-Berechtigungen eintragen. Soweit klar, hoffe ich.

Die Rechte-Problematik würde ich folgendermaßen lösen: Du erstellst auf dem nicht zur Domäne gehörenden Host (und nur dort)
einen neuen User, bspw. mit Namen "Share" und irgendein Passwort. Per NTFS-Berechtigungen erlaubst du den Zugriff
auf die freigegebenen Ordner/Dateien nur (oder auch) diesem Benutzer. Du teilst den Anwendern in der Domäne einmalig mit,
dass sie sich mit dem Login "Share" und dem entsprechenden Passwort Zugriff auf die Freigaben verschaffen können.

Müsste eigentlich alles so funktionieren.

Gruß,

Sepia

#10 @Sepia
Genau so wie du es beschreibst läuft es momentan ja schon einwandfrei... Allerdings möchte ich es gerne einfacher haben...

Hintergrund: Es wollen ungefähr 50 Leute auf den Share zugreifen, jeder hat in der Domäne hier einen User mit dem er permanent an seiner in der Domäne befindlichen Workstation angemeldet ist.

Wenn ich jetzt einen User auf dem ShareServer mache, dann kann ich dem irgendwelche Berechtigungen geben. Wenn ich jetzt aber verschiedene Zugriffslevel brauche, also der eine darf nur Lesen der andere nur schreiben ein dritter lesen/schreiben, ein vierter darf verändern und ein fünften hat Vollzugriff, ein sechster dies ein siebter das Recht, dann wird das ziemlich aufwendig für mich, da ich dann ja für jeden Fall einen eigenen User mit eigenem Passwort erstellen müsste und mir den ja auch irgendwo merken müsste. Das ist schon ein wenig aufwendig...

Wenn ich jetzt allerdings den Usern ihre DomainUser, mit denen sie ja eh schon an Ihrer Workstation angemeldet sind auf dem share eine berechtigung geben könnte bzw. den Gruppen in denen die user stecken (gemäß AGLP), dann wäre das viel sauberer und einfacher zu administraieren, da gebt ihr mir doch recht, oder ?

Zitat

Wenn der NetBIOS Name des Hosts, welcher nicht in der Domäne ist, bekannt ist, können die Anwender der Domänen-Clients diesen
über "Computer suchen" auch finden. Identisches gilt auch für den AD-Server, d.h. dass du auch auf besagten Server nach
dem Host suchen kannst.

Es ist völlig irrelevant ob sich ein Windows-Host in einer Domäne befindet oder in einer gepeerten Arbeitsgruppe. Sofern er sich
im selben Subnetz befindet (oder ansonsten das Routing funktioniert) sollte man den "Einzelgänger" w.o. erwähnt auch ansprechen
können. Immer vorausgesetzt, dass besagter Host "normal" konfiguriert wurde.

Das funktioniert ja auch schon... Das ist klar ! Ich bekomme halt eben nur nicht die User der Domäne in den Berechtigungen des ShareServers angezeigt.



@rherder
Wenn du oben das liest verstehst du es vielleicht besser...

Zitat

Wenn ich die Angaben richtig verstehe, gibt einmal eine Domäne (Betriebssystem des Servers? Netzadresse?) mit einer Reihe von Clients (Anzahl?). Dann gibt es einen anderen Server (Netzadresse? allein stehend? wie physikalisch verbunden mit der Domäne?), auf dem du Daten hast. Und äh, Windows Server Enterprise? Hab ich das richtig gelesen: Enterprise? Hast du da Servercluster mit tausenden von Clients, die du verwalten willst? Das System ist für alles Mögliche gedacht, aber doch nicht für Daten.

Es gibt ne Domäne auf Windows Server 2003 Enterprise im selben Subnet wie der Server in der Arbeitsgruppe. Keinerlei physikalische Trennung zwischen den beiden. Etwa 1500 Clients in der Domäne. Gibt bei uns nur Lizenzen für Serer 2003 enterprise, warum also nicht insten ??

Zitat

Aber zurück zu deinem Problem: Man kann doch nicht ernsthaft annehmen, dass eine Domäne sich von außen in ihr Active Directory gucken lässt. Das AD verwalten kann nur der Admin DIESER Domäne oder ein anderer berechtigter User ebenfalls dieser Domäne.

Darum geht es doch auch garnicht... Will das AD ja nicht verwalten, sondern nur User aus dem AD auf meinem Share Server berechtigen...

Zitat

2 Lösungen:
Entweder den Daten PC als normale Workstation in die Domäne setzen (warum willst du das eigentlich nicht?), dann auf die Shares sorgfältig Rechte setzen, nach Bedarf für bestimmte User oder für PCs.
Oder den DatenPC als FTP-Server konfigurieren.

Aber vielleicht habe ich ja immer noch nicht alles verstanden.

Darf laut unseren Bestimmungen hier halt einfach nicht in die Domäne, ist halt einfach so...
Als FTP hab ich mir auch schon überlegt, das wäre wohl ne Alternative, aber auch bissl umständlciher wie das was ich vorhab...

Vielleicht hast du es jetzt alles verstanden... :-))

#11

Zitat

Hintergrund: Es wollen ungefähr 50 Leute auf den Share zugreifen[..]

Gut, gemessen an der Anzahl der Anwender und den verschiedenen einzuräumenden Rechten wäre der
administrative Aufwand viel zu hoch. Irgendwie bin ich von einem kleinen Heim-Netzwerk ausgegangen.

Anyway, "DFS" ist dein Freund. Ich weiß, dass du mit Hilfe des verteilten Dateisystem dein Problem lösen
kannst. Ich selbst hatte es unter W2000AS vor Jahren einmalig zu Testzwecken benutzt und konfiguriert.
Im Grunde genommen wird die Freigabe des nicht zur Domäne gehörenden Hosts auf den AD-Server gemappt, die
Berechtigungen jedoch lassen sich auf der Domäne verwalten. Ich kann dir jetzt aus dem Stehgreif keine detalierte
Konfigurationsanleitung schreiben, da meine Erfahrung mit DFS schon längere Zeit zurückliegt.
Ich erinnere mich jedoch, dass ich auf dem AD-Server einen leeren Ordner erstellt hatte, diesen im AD freigab,
die Berechtigungen setzte und danach den Assistenten für's "Verteilte Dateisystem" startete. Danach habe ich die
Freigabe auf dem "entfernten" Host mit der neu erstellten Freigabe auf
dem AD-Server verlinkt. Klappte alles wunderbar.
Der User in der Domäne sah auf seinem Client die Freigabe des AD-
Servers. Wenn er diesen freigegebenen Ordner öffnete,
wurde er logischerweise auf die "entfernte" Freigabe des verlinkten Hosts geleitet.


Hth,

Sepia

Nachtrag: Ganz nett -> http://www.tecchannel.de/storage/server/402457/index3.html

#12 Hmmm... Höer sich so an als könnte es klappen... werde es wenn ich ein bissl zeit hab testen, danke für die Idee !!!!

#13 Ja, der Vorschlag von Sepia hört sich gut an. Mit DFS verwaltest du die Rechte dort, wo es sein soll: Auf dem Domänencontroller.
Würde mich sehr interessieren, ob das geht; habe das noch nicht ausprobiert.