NETDOM und seine deutschen "Freunde"

NETDOM und seine deutschen "Freunde"

  • Comments 2
  • Likes

Hallo, anbei schreibt Stefan seinen ersten Eintrag im „Aktiven Verzeichnis“.

Auf einem deutschen Windows Server 2008 System kann man leicht in einige Fallen innerhalb des Tools NETDOM tappen, die unsere Entwickler bei Ihrer grundsätzlich guten und wichtigen Lokalisierungsarbeit aufgestellt haben.
Beispielsweise kann es erforderlich sein, über das Tool NETDOM einige Funktionen auf einem Trust zu verwalten. Vor allem die Parameter /enableSIDHistory und /Quarantine sind häufig im Einsatz.

Versucht man nun auf einem deutschen Windows Server 2008 die SIDHistory auf einem Trust zu aktivieren, sieht ein erster Blick in die Hilfe des Tools via "NETDOM TRUST /?" vor:

Die Syntax dieses Befehls lautet folgendermaßen:

NETDOM TRUST trusting_domain_name /Domain:trusted_domain_name [/UserD:user]
           [/PasswordD:[password | *]] [/UserO:user] [/PasswordO:[password | *]]
           [/Verify] [/RESEt] [/PasswordT:new_realm_trust_password]
           [/Add] [/REMove] [/Twoway] [/REAlm] [/Kerberos]
           [/Transitive[:{yes | no}]]
           [/OneSide:{trusted | trusting}] [/Force] [/Quarantine[:{yes | no}]]
           [/NameSuffixes:trust_name [/ToggleSuffix:#]]
           [/EnableSIDHistory[:{yes | no}]]
           [/ForestTRANsitive[:{yes | no}]]
           [/CrossORGanization[:{yes | no}]]
           [/AddTLN:TopLevelName]
           [/AddTLNEX:TopLevelNameExclusion]
           [/RemoveTLN:TopLevelName]
           [/RemoveTLNEX:TopLevelNameExclusion]
           [/SecurePasswordPrompt]

NETDOM TRUST verwaltet oder überprüft die Vertrauensstellung zwischen Domänen.

Na dann, flugs ausgeführt zwischen den Domänen ROOT und CHILD:

NETDOM TRUST ROOT /DOMAIN:CHILD /EnableSIDHistory:yes

Der SID-Verlauf für diese Vertrauensstellung ist deaktiviert.

Der Befehl wurde ausgeführt.


Wie? Was denn? Bitte aktivieren!

Also nochmal das Kommando ausgeführt:

NETDOM TRUST ROOT /DOMAIN:CHILD /EnableSIDHistory:yes

Der SID-Verlauf für diese Vertrauensstellung ist deaktiviert.

Der Befehl wurde ausgeführt.

 

Hmmm. OK. Dann schalten wir die SIDHistory eben ab:


NETDOM TRUST ROOT /DOMAIN:CHILD /EnableSIDHistory:no

Der SID-Verlauf für diese Vertrauensstellung ist deaktiviert.

Der Befehl wurde ausgeführt.

Ok, also können wir die SIDHistory weder deaktivieren noch aktivieren? Wirft man nun einen genaueren Blick in den unteren Teil der Hilfeseiten des Tools, fällt einem folgende Beschreibung ins Auge:

/EnableSIDHistory   Nur gültig für eine ausgehende Vertrauensstellung auf Gesamtstrukturebene. Durch Angabe von "ja"
                    können Benutzer, die von einer beliebigen anderen Gesamtstruktur an die vertrauenswürdige Gesamtstruktur migriert wurden,
                    mithilfe des SID-Verlaufs auf Ressourcen in dieser
                    Gesamtstruktur zugreifen. Dies wird nur empfohlen, wenn die Administratoren der vertrauenswürdigen Gesamtstruktur
                    vertrauenswürdig genug sind, SIDs dieser
                    Gesamtstruktur im SID-Verlaufsattribut der Benutzer
                    angemessen anzugeben. Bei Auswahl von "nein" sind
                    die migrierten Benutzer in der vertrauenswürdigen Gesamtstruktur nicht mehr in der Lage, mithilfe des SID-Verlaufs
                    auf die Ressourcen in der Gesamtstruktur zuzugreifen. Bei Angabe von
                    "/EnableSIDHistory" ohne "ja" oder "nein" wird der aktuelle
                    Status angezeigt.


Aha. Hier erwartet NETDOM also ein "ja" anstatt eines "yes".

NETDOM TRUST ROOT /DOMAIN:CHILD /EnableSIDHistory:ja

Der SID-Verlauf für diese Vertrauensstellung wird aktiviert.

Der Befehl wurde ausgeführt.

Bingo.

Sollte also einmal jemand über eine Verweigerung von NETDOM stolpern, obwohl die Syntax vermeintlich korrekt ist, einfach die Parameter hinsichtlich ihrer Sprache prüfen.

 

Comments
  • Vielen Dank für den Hinweis.

    Hab ungeloegen mindestens 3 Stunden nach der Lösung gesucht.

    Übersetzung schön und gut aber bei Kommandozeilenparametern?!

  • Auch von mir ein Danke! Ich glaube ich habe noch länger gesucht....!

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment