ACMP AD Benutzer aus DomainTrust importieren

[lukas.petermann]

Guten Tag.

Ich habe das Problem das ich keine AD User von unserer Tochterfirma mit der wir einen Bi-Direktionalen Domain Trust per Site-to-Site VPN haben keine User per Gruppe importieren kann.

Laut den Infos in System\Einstellungen\ACMP Server\AD-Anmeldung muss die Gruppe in der sich die Benutzer befinden im AD auf den Gruppenbereich "Universal" gestellt sein um AD Benutzer dementsprechend importieren zu können.

Mein Problem ist das man bei den Gruppenbereichen Global und Universal keine Mitglieder aus anderen Verzeichnissen (Domänen) hinzufügen kann da dies nur in "Lokal (in Domäne)" zur Auswahl steht.
Somit kann ich aber keine AD Benutzer von der Tochterfirma importieren da die Gruppe nicht auf Universal gestellt ist.

Was kann ich hier tun?
Ich will nicht die 3 Benutzer um die es aktuell geht manuell anlegen als Benutzer da das dann "doppel gemobbel" wäre in meinen augen.

Danke schon mal.

[ngottschalk]

Hi Lukas,

hoert sich nach dem selben Problem das ich vor Kurzem hatte: https://acc.aagon.com/viewtopic.php?f=9 ... 6961#p6961

[lukas.petermann]

Hallo, ja schaut ganz so aus.
Seltsam das meine Suche deinen Thread nicht gefunden hat da ich nach AD-Anmeldung gesucht hatte.

Da deine Beiträge vom Juni sind und wir uns bereits in der Version 6.1.1 befinden, hast du hier schon Veränderungen mitbekommen?

Danke MfG

[Dennis Koch]

Hallo Lukas,

der abfragende AD-Benutzer muss Leserechte auf das ForeignSecurityPrincipal-Objekt in der abzufragenden AD haben, inkl. Unterobjekte.
Die Gruppe welche in ACMP hinterlegt ist muss zudem eine Domänenlokale Gruppe sein.

Auszug aus dem Hilfetext welcher bald Online geht:
"Aktivieren Sie dazu die erweiterten Features in Ihrer Active Directory-Benutzer und Computer-MMC. Im Reiter Sicherheit des ForeignSecurityPrincipal-Containers können Sie mit einem Klick auf Erweitert alle Benutzer und Gruppen einsehen, die bereits Zugriff auf dieses Objekt haben. Über Hinzufügen können Sie dann den Benutzer hinzufügen, der Zugriff auf die Trusted Domain haben soll. Achten Sie beim Hinzufügen darauf, dass der Benutzer Leserechte erhält (in der Regel sind diese bereits ausgewählt) und dass die Berechtigungen auf Dieses und alle untergeordneten Objekte angewendet werden.
Dieser Benutzer muss dann auch im ACMP unter Einstellungen > ACMP Server > Active Directory eingetragen werden.

Hinweis: Beachten Sie, dass die Anmeldegruppe, die Sie im ACMP hinterlegt haben, dann eine Domänenlokale Gruppe sein muss. Die Benutzer, die Sie der Anmeldegruppe aus der Trusted Domain hinzufügen, müssen direkt mit dieser Gruppe verknüpft sein. Es kann hier keine Gruppe der Trusted Domain angegeben werden, da die LDAP-Suche an dieser Stelle keine Suche von verschachtelten Objekten aus Trusted Domains zulässt. "

[lukas.petermann]

Ok, also nochmal repassierend:

Die OU "ForeignSecurityPrincipals" in den Eigenschaften auf dem Reiter Sicherheit den Benutzer mit Leserechten und mit den Erweiterten Berechtigungen "Dieses und alle untergeordneten Objekte" hinzufügen der in ACMP/System/Einstellungen/ACMP Server/Active Directory eingetragen ist.

1.png (8.81 KiB) 1867 mal betrachtet

Die Gruppe die in ACMP/System/Einstellungen/ACMP Server/AD-Anmeldung hinterlegt ist muss auf den Gruppenbereich "Lokal (in Domäne)" umgestellt werden.

2.png (27.83 KiB) 1867 mal betrachtet

Anschließend den benötigten AD Benutzer durch den DomäneTrust in die "ACMP-Anmeldung" Gruppe direkt als Mitglied hinzufügen.

3.png (41.61 KiB) 1867 mal betrachtet

4.png (11.59 KiB) 1867 mal betrachtet

Wenn ich nun den Import versuche, klappt es leider nicht.
Habe ich hier noch wo einen Denkfehler?

5.png (28.26 KiB) 1867 mal betrachtet

Danke schon mal.

[Dennis Koch]

Am besten einmal zur genauen Analyse mit unseren Support in Verbindung setzen.
Spontan sieht die Konfiguration so richtig aus.