[adde] AW: Windows Server 2008 (R2) global catalog

• From: "Dikmenoglu, Yusuf" <Y.Dikmenoglu@xxxxxxxxxx>
• To: "adde@xxxxxxxxxxxxx" <adde@xxxxxxxxxxxxx>
• Date: Fri, 23 Jul 2010 15:16:05 +0200

Servus,

> Bei einer Windows Server 2003 Umgebung war es doch so

das ist bereits seit Windows 2000 so und wird auf vielen Seiten nicht richtig 
dargestellt.

> das wenn es in einer site 2 DC´s gab und nur einer den global catalog hatte 
> und dieser ausfiel sich am 2ten DC (ohne catalog) nur noch Admins anmelden 
> konnten.

Das kommt nicht auf die AD-Standorte, sondern auf die --> Anzahl der Domänen 
innerhalb einer Gesamtstruktur an.
Existiert ein Single Domain Forest, können sich die Benutzer *weiterhin* an der 
Domäne authentisieren, egal an welchem AD-Standort sie sich befinden.
Da ohnehin nur eine Domäne existiert, hat de facto ein GC auch keine Arbeit. Es 
gibt nichts zu vergleichen bzw. zu überprüfen, da es ja auch keine
domänenübergreifende Gruppenmitgliedschaften geben kann.

Existieren jedoch mehrere Domänen innerhalb der Gesamtstruktur und steht ein GC 
nicht zur Verfügung,
dann können sich standardmäßig die Benutzer nicht anmelden sondern nur der 
Administrator.

Ist jedoch die Option "Enable Universal Group Membership Caching" aktiviert, 
können sich die Benutzer
auch dann weiterhin an der Domäne authentisieren, wenn kein GC verfügbar ist.


> (sicherheits feature ? weil er ja nicht wusste ob Member in der Universal 
> Group sind, auch wenn dort keine sind)

Welcher DC weiß denn, in welchen domänenübergreifenden Gruppenmitgliedschaften 
ein Benutzer Mitglied ist bzw. sein kann.
Das weiß doch nur der GC, wenn nicht das group caching aktiviert ist.


> Die Frage: ist das bei einer 2008er Umgebung auch noch so ?

Ja, das Verhalten ist gleich geblieben.


Gruß, Yusuf

=========================================
Viele Grüße aus Mainz
Yusuf Dikmenoglu - Microsoft MVP - Directory Services
Blog: LDAP://Yusufs.Directory.Blog/<http://blog.dikmenoglu.de/>
Jetzt anmelden an der: AD 
Mailingliste<http://blog.dikmenoglu.de/Die+Erste+Deutschsprachige+Active+Directory+Mailingliste+Ist+Da.aspx>
=========================================


________________________________
Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von Franky 
H.
Gesendet: Freitag, 23. Juli 2010 14:39
An: adde@xxxxxxxxxxxxx
Betreff: [adde] Windows Server 2008 (R2) global catalog

Hallo Leute.

Bei einer Windows Server 2003 Umgebung war es doch so, das wenn es in einer 
site 2 DC´s gab und nur einer den global catalog hatte und dieser ausfiel sich 
am 2ten DC (ohne catalog) nur noch Admins anmelden konnten. (sicherheits 
feature ? weil er ja nicht wusste ob Member in der Universal Group sind, auch 
wenn dort keine sind)

Die Frage: ist das bei einer 2008er Umgebung auch noch so ?

lg

Franky

• Follow-Ups:
  • [adde] Re: AW: Windows Server 2008 (R2) global catalog
    • From: Franky H.

• References:
  • [adde] Windows Server 2008 (R2) global catalog
    • From: Franky H.

Other related posts:

• » [adde] AW: Windows Server 2008 (R2) global catalog- Christoph Kuderna
• » [adde] Re: AW: Windows Server 2008 (R2) global catalog- Franky H.
• » [adde] AW: Windows Server 2008 (R2) global catalog - Dikmenoglu, Yusuf
• » [adde] Re: AW: Windows Server 2008 (R2) global catalog- Franky H.

1. Home
2. adde
3. Archive
4. 07-2010

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---