Ausgewählte Authentifizierung für Computer- und Profilmigration

Windows®-Domänenvertrauensstellungen sind entscheidend, um einen nahtlosen Zugriff auf Ressourcen über verschiedene Domänen in einem Netzwerk hinweg zu ermöglichen. Sie erlauben es Benutzern aus einer Domäne, sich zu authentifizieren und auf Ressourcen in einer anderen Domäne zuzugreifen, wodurch die Zusammenarbeit gefördert und die Verwaltung vereinfacht wird. Mit zunehmenden Sicherheitsbedenken ist die ausgewählte Authentifizierung jedoch zu einem wichtigen Werkzeug geworden, um zu kontrollieren, welche Benutzer oder Computer auf Ressourcen in verschiedenen Domänen zugreifen können.

Diese Anleitung führt Sie durch die Konfiguration einer Windows®-Domänenvertrauensstellung mit ausgewählter Authentifizierung unter Verwendung der Computer- und Profilmigrationsfunktion von CopyRight2. Eine korrekte Konfiguration ist entscheidend, um Authentifizierungsfehler während des Migrationsprozesses zu vermeiden.

Inhaltsverzeichnis:

1. Domänenvertrauensstellung und ausgewählte Authentifizierung
2. Migrationsszenario
3. Schritte zur Verwendung von Domänenvertrauensstellungen mit ausgewählter Authentifizierung
4. Fazit

Domänenvertrauensstellung und ausgewählte Authentifizierung

Bevor Sie mit der Schritt-für-Schritt-Anleitung beginnen, ist es wichtig zu verstehen, was eine Windows® Domänen-vertrauensstellung und ausgewählte Authentifizierung beinhalten. Eine Windows®-Domänenvertrauensstellung ist eine Beziehung, die zwischen zwei Domänen hergestellt wird, und es den Benutzern einer Domäne (der vertrauenswürdigen Domäne) ermöglicht, auf Ressourcen in der anderen Domäne (der vertrauenden Domäne) zuzugreifen.

Die Domänen- oder Gesamtstrukturauthentifizierung erlaubt es allen Benutzern der vertrauenswürdigen Domäne, sich zu authentifizieren und auf Ressourcen der vertrauenden Domäne zuzugreifen. Der Zugriff wird dann auf Grundlage der zugewiesenen Berechtigungen gewährt, entweder direkt an Benutzer oder Gruppenobjekte der Quell-Domäne oder indirekt durch die Mitgliedschaft in einer lokalen Ressourcengruppe der Zieldomäne.

Die ausgewählte Authentifizierung hingegen ist eine zusätzliche Sicherheitsmaßnahme, die es bestimmten Benutzern oder Gruppen der vertrauenswürdigen Domäne ermöglicht, auf Ressourcen in der vertrauenden Domäne zuzugreifen. Dies ist eine Möglichkeit, den Zugriff auf Ressourcen einzuschränken und sicherzustellen, dass nur autorisierte Benutzer auf bestimmte Ressourcen zugreifen können, wodurch die Sicherheit des Netzwerks erhöht wird.

Migrationsszenario

In diesem Szenario ist CopyRight2 auf einem System in der Quelldomäne installiert. Es wird ein Benutzerkonto der Quelldomäne verwendet, das Mitglied der Gruppe "Domänen-Admins" der Quelldomäne ist und dem die Mitgliedschaft in der integrierten Gruppe "Administratoren" der Zieldomäne zugewiesen wurde. Die Mitgliedschaft in der Gruppe "Domänen-Admins" gewährt Zugriff auf die Quellcomputer, die migriert werden sollen, sowie ausreichende Berechtigungen, um die neuen Computerkonten in der Zieldomäne zu erstellen. Dies wäre normalerweise ausreichend, wenn die domänenweite Authentifizierung verwendet würde.

Im Fall einer Vertrauensstellung mit aktivierter ausgewählter Authentifizierung tritt jedoch ein Fehler auf, wenn der Migrationsauftrag gestartet wird, während der Phase der Computerkontoerstellung, die zu einer Aufforderung zur Authentifizierung führt. Wenn dann die Anmeldedaten des vorbereiteten Administratorkontos der Quelldomäne eingegeben werden, tritt der Windows®-Fehler 1935 auf, der die englische Übersetzung hat: "The computer you are signing into is protected by an authentication firewall. The specified account is not allowed to authenticate to the computer". In diesem Fall schlägt die Authentifizierung beim Ziel-Domänencontroller fehl.

Befolgen Sie die folgenden Schritte, um dem zum Starten des Migrationsauftrags verwendeten Konto und den Computern aus der Quelldomäne die Berechtigung zur Authentifizierung zu erteilen, um diesen Fehler zu vermeiden.

Schritte zur Verwendung von Domänenvertrauensstellungen mit ausgewählter Authentifizierung

Schritt 1: Vertrauensstellung einrichten

Der erste Schritt bei der Verwendung einer Windows®-Domänenvertrauensstellung mit ausgewählter Authentifizierung besteht darin, eine Vertrauensstellung zwischen den beiden Domänen zu erstellen. Dies kann in der Active Directory-Domänen- und Vertrauensstellungs-Konsole der Microsoft Management Console (MMC) erfolgen. Für die Computer- und Profilmigrationsfunktion wird empfohlen, entweder eine einseitige Vertrauensstellung einzurichten, bei der die Zieldomäne der Quelldomäne vertraut, oder eine beidseitige Vertrauensstellung zwischen den Domänen herzustellen.

Schritt 2: Ausgewählte Authentifizierung aktivieren

Nach der Erstellung der Vertrauensstellung besteht der nächste Schritt darin, die ausgewählte Authentifizierung zu aktivieren. Dies kann in den Eigenschaften der Vertrauensstellung im Active Directory-Domänen- und Vertrauensstellungs-Snap-In konfiguriert werden. Dies muss natürlich auf der Seite der vertrauenden Domäne erfolgen. Gehen Sie auf der Eigenschaftenseite zur Registerkarte „Vertrauensstellungen“, wählen Sie die Vertrauensstellung aus, klicken Sie auf „Eigenschaften“, gehen Sie zur Registerkarte „Authentifizierung“ und aktivieren Sie die Option  „Ausgewählte Authentifizierung“, wie unten dargestellt:

Schritt 3: Erstellen Sie eine domänenlokale Gruppe in der Zieldomäne

Erstellen Sie eine neue lokale Gruppe in der Zieldomäne, die später zur Vergabe von Berechtigungen verwendet wird. Verwenden Sie dazu das MMC-Snap-In "Active Directory-Benutzer und -Computer". Sie können die domänenlokale Gruppe beispielsweise „AllowedToAuth“ nennen.

Schritt 4: Zugriffskontrolle für "Domain Controllers"-OU oder einzelne Domänencontroller festlegen

Der nächste Schritt besteht darin, die Zugriffskontrolle für die Ressourcen in der vertrauenden Zieldomäne festzulegen. Verwenden Sie dazu das Active Directory-Benutzer und -Computer-Snap-In und aktivieren Sie "Ansicht -> Erweiterte Features".

Es gibt zwei Möglichkeiten: Entweder weisen Sie die erforderlichen Berechtigungen auf OU-Ebene für die "Domain Controllers"-OU zu, um alle Domänencontroller der Zieldomäne abzudecken, oder Sie legen die Berechtigungen für einzelne spezifische Domänencontroller fest.

a) Wenn Sie die Berechtigungen für alle Domänencontroller festlegen möchten, wählen Sie die OU „Domain Controllers“ aus und klicken dann auf „Eigenschaften“. Öffnen Sie anschließend die Registerkarte „Sicherheit“ und klicken Sie auf „Erweitert“. Klicken Sie danach auf die Schaltfläche „Hinzufügen“, um die Berechtigung hinzuzufügen. Wählen Sie die in Schritt 3 erstellte lokale Gruppe als Prinzipal aus und dann „Untergeordnete Computerobjekte“ unter „Anwenden auf“. Suchen Sie abschließend nach der Berechtigung „Authentifizierung zulassen“ und wählen Sie diese, wie unten dargestellt, aus:

Klicken Sie dreimal auf „OK“, um die Berechtigungen zu speichern.

oder

b) Wenn die Berechtigungen stattdessen für bestimmte Domänencontroller festgelegt werden sollen, die als Ziel für die Computer- und Profilmigrationsaufträge dienen, können Sie entweder eine eigene OU erstellen und den oben beschriebenen Ansatz verwenden. Alternativ können Sie die Berechtigungen auch individuell auf den jeweiligen Domänencontrollern festlegen. Dies funktioniert analog zu a), wobei Sie jedoch die voreingestellte Option „Dieses Objekt und alle untergeordneten Objekte“ für „Anwenden auf“ verwenden.

Schritt 5: Quell-Domänenkonten zur lokalen Gruppe für Authentifizierung hinzufügen

Fügen Sie anschließend das Konto der Quelldomäne, das zum Starten des Auftrags verwendet wird, zur zuvor in Schritt 3 erstellten lokalen Gruppe hinzu. Um den Computern, die migriert werden sollen, den Zugriff zu gewähren, gibt es zwei Möglichkeiten, abhängig davon, wie restriktiv Sie die Berechtigungen gestalten möchten und ob alle Computer oder nur ein Teil davon migriert werden sollen:

a) Sie können die globale Gruppe „Domain Computers“ der Quelldomäne zur domänenlokalen Gruppe in der Zieldomäne hinzufügen.

oder

b) Sie können die einzelnen Computerkonten der Quelldomäne, die migriert werden sollen, zur domänenlokalen Gruppe in der Zieldomäne hinzufügen.

Schritt 6: Ab- und erneut anmelden

Nach diesen Änderungen müssen Sie sich mit dem Konto, das zum Starten des Auftrags verwendet wird, abmelden und erneut anmelden.

Schritt 7: Konfiguration testen

Abschließend ist es wichtig, die Konfiguration zu überprüfen, nachdem die ausgewählte Authentifizierung und die Zugriffskontrolle eingerichtet wurden, um sicherzustellen, dass alles wie erwartet funktioniert. Der Auftrag sollte jetzt ohne Fehler ausgeführt werden.

Fazit

Die Verwendung einer Windows®-Domänenvertrauensstellung mit ausgewählter Authentifizierung ist eine effektive Methode, den Zugriff auf Ressourcen über verschiedene Domänen hinweg zu verwalten und zu kontrollieren, was die Netzwerksicherheit erheblich verbessert. Wenn Sie die in dieser Anleitung beschriebenen Schritte befolgen, können Sie die ausgewählte Authentifizierung erfolgreich konfigurieren und die Computer- und Profilmigrationsfunktion nutzen, ohne dass die erwähnten Authentifizierungsfehler auftreten. Sollten Sie weitere Unterstützung benötigen, können Sie sich gerne an den Sys-Manage-Support wenden.