Servus, > Bei einer Windows Server 2003 Umgebung war es doch so das ist bereits seit Windows 2000 so und wird auf vielen Seiten nicht richtig dargestellt. > das wenn es in einer site 2 DC´s gab und nur einer den global catalog hatte > und dieser ausfiel sich am 2ten DC (ohne catalog) nur noch Admins anmelden > konnten. Das kommt nicht auf die AD-Standorte, sondern auf die --> Anzahl der Domänen innerhalb einer Gesamtstruktur an. Existiert ein Single Domain Forest, können sich die Benutzer *weiterhin* an der Domäne authentisieren, egal an welchem AD-Standort sie sich befinden. Da ohnehin nur eine Domäne existiert, hat de facto ein GC auch keine Arbeit. Es gibt nichts zu vergleichen bzw. zu überprüfen, da es ja auch keine domänenübergreifende Gruppenmitgliedschaften geben kann. Existieren jedoch mehrere Domänen innerhalb der Gesamtstruktur und steht ein GC nicht zur Verfügung, dann können sich standardmäßig die Benutzer nicht anmelden sondern nur der Administrator. Ist jedoch die Option "Enable Universal Group Membership Caching" aktiviert, können sich die Benutzer auch dann weiterhin an der Domäne authentisieren, wenn kein GC verfügbar ist. > (sicherheits feature ? weil er ja nicht wusste ob Member in der Universal > Group sind, auch wenn dort keine sind) Welcher DC weiß denn, in welchen domänenübergreifenden Gruppenmitgliedschaften ein Benutzer Mitglied ist bzw. sein kann. Das weiß doch nur der GC, wenn nicht das group caching aktiviert ist. > Die Frage: ist das bei einer 2008er Umgebung auch noch so ? Ja, das Verhalten ist gleich geblieben. Gruß, Yusuf ========================================= Viele Grüße aus Mainz Yusuf Dikmenoglu - Microsoft MVP - Directory Services Blog: LDAP://Yusufs.Directory.Blog/<http://blog.dikmenoglu.de/> Jetzt anmelden an der: AD Mailingliste<http://blog.dikmenoglu.de/Die+Erste+Deutschsprachige+Active+Directory+Mailingliste+Ist+Da.aspx> ========================================= ________________________________ Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von Franky H. Gesendet: Freitag, 23. Juli 2010 14:39 An: adde@xxxxxxxxxxxxx Betreff: [adde] Windows Server 2008 (R2) global catalog Hallo Leute. Bei einer Windows Server 2003 Umgebung war es doch so, das wenn es in einer site 2 DC´s gab und nur einer den global catalog hatte und dieser ausfiel sich am 2ten DC (ohne catalog) nur noch Admins anmelden konnten. (sicherheits feature ? weil er ja nicht wusste ob Member in der Universal Group sind, auch wenn dort keine sind) Die Frage: ist das bei einer 2008er Umgebung auch noch so ? lg Franky