AD-Anmeldung nur fuer Forests? Mandantenfaehigkeit?

[ngottschalk]

Hallo Aagonauten,

bei dem Versuch, die AD-Anmeldung fuer unsere amerikanische Domaene aufgrund von Zuwachs in der IT einzurichten, bin ich darueber gestolpert, dass die Berechtigungsgruppe scheinbar eine universelle Gruppe sein muss:

ad-login.png (26.27 KiB) 1464 mal betrachtet

Hierdurch bedingt wird der AD-Login kuenstlich auf Forests beschraenkt (s. https://docs.microsoft.com/en-us/previo ... 2(v=ws.10)), auch wenn technisch ein Domain-Trust zur Authentifizierung ausreichend waere.

Dies wird nirgends explizit erwaehnt und gerade im Hinblick auf die neuere Mandantenfaehigkeit empfinde ich persoenlich diese Limitierung als kontraproduktiv, da sich nicht immer autmatisch jeder verwaltete Mandant auch automatisch im gleichen Forest wie der ACMP-Server befinden muss (z.B. gerade bei verwalteten Umgebungen, auf die dieses Feature wahrscheinlich auch stark abzielt).

Gibt es daher plaene, auch regulaere Domaintrusts zukuenftig zur Authnetifizierung zu unterstuetzen?

[twahl]

Hallo,

mit ACMP-31880 planen wird bereits eine Umsetzung der AD Anmeldung aus einer Trusted Domänenumgebung.
Dies wird voraussichtlich in der nächsten ACMP Major Version (6.1.0) umgesetzt, falls sich da nicht noch bisher unvorhergesehene Probleme ergeben.
Eine Einschränkung wird allerdings sein, dass in dieser ersten Version keine "Nested Groups", also Gruppen aus anderen Domänen in der ACMP Zugangsgruppe nutzbar sein werden.
Die Benutzer aus der anderen Domäne müssen also z.B. direkt in der ACMP Zugangsgruppe sein bzw darin innerhalb einer Gruppe aus der im ACMP konfigurierten Domäne.

[ngottschalk]

Hallo Tobias,

das waere zumindest ein Anfang;) Vielen Dank.