ComputerBase Menü
Aktuelles

Einseitige Domänenvertrauensstellung / Frage

PEASANT KING

PEASANT KING

Commander
Registriert
Okt. 2008
Beiträge
2.412
Hallöchen,

ich habe eine kleine Verständnisfrage. Nehmen wir an ich habe einen einseitigen Trust zwischen zwei Domänen A und B.
Domäne A vertraut der Domäne B, aber Domäne B vertraut der Domäne A nicht. Dann ist es mir doch nicht möglich mit Konten von Domäne A mich an Domäne B anzumelden richtig?

Warum gilt das nicht für Domänen Administratoren aus Domäne A, warum können die sich überall in Domäne B anmelden,
wo Domäne B der Domäne A nicht vertraut.

Grüße
 
Domänenadministratoren aus Domäne A können sich jedoch in Domäne B anmelden, da sie über erweiterte Berechtigungen verfügen. Diese Berechtigungen erlauben es ihnen, sich in jeder Domäne anzumelden, unabhängig davon, ob ein Trust besteht oder nicht.

Um dies zu verstehen, ist es wichtig zu wissen, wie sich Domänentrusts auf die Authentifizierung auswirken. Bei einem einseitigen Trust wird die Authentifizierung nur in eine Richtung durchgeführt. Das bedeutet, dass Benutzer aus Domäne A sich in Domäne B anmelden können, aber Benutzer aus Domäne B sich nicht in Domäne A anmelden können.

Domänenadministratoren verfügen über erweiterte Berechtigungen, die es ihnen ermöglichen, sich in jeder Domäne anzumelden, unabhängig davon, ob ein Trust besteht oder nicht. Diese Berechtigungen werden im Active Directory-Benutzer- und Computer-Verzeichnis gespeichert.

Um die Authentifizierung für Domänenadministratoren zu ermöglichen, muss der Administrator-Benutzer in beiden Domänen vorhanden sein. Der Domänenadministrator in Domäne A muss auch dem Domänenadministratoren-Rollengruppen in Domäne B hinzugefügt werden.
 
Danke für die Erleuterung. Es geht um einen Domänen Administrator Account der nicht der Standard "Administrator" ist, der von Microsoft mitgeliefert wird. Der nicht in der Domäne B vorhanden ist.

Kann man das irgendwie einschränken aus dem Sicherheitsaspekt betrachtet?
Also Domänen Admins aus A sollen sich nicht in B authentifizieren dürfen aber umgekehrt aus A in B ja.

EDIT:
Wahrscheinlich nur per GPO unter Auschluss jeglicher Anmeldung innerhalb der Domäne B oder?
 
Zuletzt bearbeitet:
a, das kannst du. Du kannst die Berechtigung "Trusted for delegation to" für Domänenadministrator-Accounts aus Domäne A deaktivieren. Dadurch können sich Domänenadministratoren aus Domäne A nicht mehr in Domäne B authentifizieren, um Aufgaben für einen anderen Benutzer auszuführen.

Um diese Berechtigung zu deaktivieren, musst du die folgenden Schritte ausführen:

  1. Öffne die Active Directory-Benutzer und -Computer-Verwaltungskonsole.
  2. Klicke mit der rechten Maustaste auf den Domänenadministrator-Account aus Domäne A.
  3. Wähle "Eigenschaften" aus.
  4. Klicke auf die Registerkarte "Sicherheit".
  5. Klicke auf "Erweitert".
  6. Klicke auf die Registerkarte "Berechtigungen".
  7. Such die Berechtigung "Trusted for delegation to".
  8. Entferne das Häkchen vor "Diese Berechtigung erteilen".
  9. Klicke auf "OK".
Nachdem du diese Schritte ausgeführt hast, können sich Domänenadministratoren aus Domäne A nicht mehr in Domäne B authentifizieren, um Aufgaben für einen anderen Benutzer auszuführen.

Du kannst ein Gruppenrichtlinienobjekt (GPO) erstellen, das den Benutzern aus Domäne A die Anmeldung in Domäne B verbietet.

Um dies zu tun, musst du die folgenden Schritte ausführen:

  1. Öffne die Gruppenrichtlinienverwaltungskonsole.
  2. Klicke mit der rechten Maustaste auf die Domäne, für die du das GPO erstellen möchtest.
  3. Wähle "Neues GPO erstellen" aus.
  4. Gib dem GPO einen Namen und klicke auf "OK".
  5. Doppelklicke auf das GPO, um es zu öffnen.
  6. Navigiere zu "Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zugriffssteuerungslisten".
  7. Klicke mit der rechten Maustaste auf "Anmeldesteuerungslisten" und wähle "Neue Anmeldesteuerungsliste" aus.
  8. Gib der Anmeldesteuerungsliste einen Namen und klicke auf "OK".
  9. Klicke auf die Registerkarte "Anmelderegeln".
  10. Klicke auf "Neue Regel".
  11. Wähle "Benutzer oder Computer" aus dem Dropdown-Menü "Zugriffsprinzip".
  12. Gib den Namen oder die Domäne der Benutzer an, die du einschränken möchtest.
  13. Wähle "Anmeldung verweigern" aus dem Dropdown-Menü "Aktion".
  14. Klicke auf "OK".
  15. Klicke auf "OK", um das GPO zu speichern.
  16. Veröffentliche das GPO in der Domäne.
Nachdem du diese Schritte ausgeführt hast, können sich Benutzer aus Domäne A nicht mehr in Domäne B anmelden.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: PEASANT KING
Danke dir!
 
@Jawed das ist doch LLM-generierter Text.
a) Ist das hier ohne Kenntlichmachung nicht erwünscht und b) immer mit einer Portion Salz zu genießen.
Dazu ist hier auch diese Ankündigung zu Berücksichtigen
https://www.computerbase.de/forum/t...lm-bots-und-ki-im-computerbase-forum.2139839/

Meine Quelle sagt nämlich, dass das per Default erstmal nicht möglich sein sollte. Man könne Konten einer Domäne (outgoing trust) in der anderen Domäne (incoming trust) verwenden, aber nicht anders herum. Ergo scheint es eine Konfiguration zu geben, die nicht dem Default entspricht und dieses Szenario erlaubt. Wieso dann also eine GPO estellt werden sollte, anstatt die Konfiguration auf Default zurück zu ändern, ershcließt sich mir nicht.

Selbst verifizieren kann ich auch das nicht, da das nicht mein Spezialgebiet ist.

Ich lass das jetzt stehen um nicht den ganzen Thread leeren zu müssen, in Zukunft aber bitte darauf achten.
 
  • Gefällt mir
Reaktionen: WhiteHelix, Ranayna und Renegade334
Das was ich vor hatte hat sich am Ende anders ergeben so dass ich explizit per GPO bestimmten Nutzern das Anmelden verboten habe.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

S
LAN-Kabel einseitig bei Dose (Cat6a) ohne Abschirmung anschließen? Andere Seite hat Abschirmung am Stecker!
2
Antworten
22
Aufrufe
4.493
steeve_hgw
S
N
Frage zum Einsatz von DDR5 RAM auf z690-A Mainboard
Antworten
6
Aufrufe
802
snaapsnaap
S
Fauler_Student
Frage zu Glasfaseranschluss (Kabel als Netzwerkkabel / Alternativ zum GF-TA verwenden)
Antworten
9
Aufrufe
1.279
Fauler_Student
Fauler_Student
W
Suche dünne, einseitige Hülle für Samsung Note 8
Antworten
11
Aufrufe
1.411
wus
W
Travis
Frage zu HP-Monitor ...
Antworten
2
Aufrufe
870
Travis
Travis
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz