vmorbit 10 Geschrieben 15. Oktober 2008 Melden Teilen Geschrieben 15. Oktober 2008 Hallo, wir haben XP SP2 clients die sich per VPN in die Zentrale verbinden. Per Group policy (restricted groups) wurde auf allen clients eine gruppe namens "local_admins" in die Administratoren-gruppe hinzugefügt. Wer also im AD in dieser Gruppe ist hat lokale admin rechte. So...jetzt hat einer meiner User versehentlich noch admin rechte obwohl er nicht mehr im Haus ist...gibt es eine Möglichkeit diese Gruppenmitgliedschaft im AD zu aktualisieren wenn sich der User nur per VPN anmeldet? Dies passiert ja eigentlich beim Loginprozess aber zu diesem Zeitpunkt steht die VPN-Verbindung noch nicht. Gibt es dazu einen nachträglichen Prozess? Auch wenn das Ganze erst beim nächsten oder von mir aus nach 10 Logins aktualisiert wird aber gibt es eine Möglichkeit dafür? So eine Art gpupdate für Gruppenmitgliedschaften... Vielen Dank im Voraus, vmorbit Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 15. Oktober 2008 Melden Teilen Geschrieben 15. Oktober 2008 Überrede die User die folgende Batch auszuführen, wenn die VPN-Verbindung hergestellt ist. gpupdate /force Zitieren Link zu diesem Kommentar
vmorbit 10 Geschrieben 15. Oktober 2008 Autor Melden Teilen Geschrieben 15. Oktober 2008 aaaahhh...macht gpupdate das eh! die info hab ich gebraucht! ich komm ja auf die geräte eh drauf per remote admin, jedoch hab ich das nicht gewusst. dickes danke! werd ich gleich mal testen!!! Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 15. Oktober 2008 Melden Teilen Geschrieben 15. Oktober 2008 aaaahhh...macht gpupdate das eh! Solange Du das auch mit GPOs gemacht hast, ja. ;) dickes danke! Bitte, gern geschehen. ;) Lektüre: FAQ-GPO Zitieren Link zu diesem Kommentar
vmorbit 10 Geschrieben 15. Oktober 2008 Autor Melden Teilen Geschrieben 15. Oktober 2008 ja aber da geht es ja im grunde um die mitgliedschaft in einer gruppe und nicht um eine direkte änderung in einer GPO...das ist ja das problem. aber wenn gpupdate die gruppen-mitgliedschafts-SIDs auch aktualisiert ist das ja klasse... ps: steht denn das schwarz auf weiß auch wo? egal wo ich nachlese überall wird nur beschrieben, dass gpupdate die policies neu zieht (bzw. nach änderungen sucht) aber von den gruppenmitgliedschaften steht da nix...außer ich bin blind...kann auch leicht sein :D dankeee! Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 15. Oktober 2008 Melden Teilen Geschrieben 15. Oktober 2008 ja aber da geht es ja im grunde um die mitgliedschaft in einer gruppeund nicht um eine direkte änderung in einer GPO...das ist ja das problem. aber wenn gpupdate die gruppen-mitgliedschafts-SIDs auch aktualisiert ist das ja klasse... Du hast die Gruppe aber via GPO ausgerollt. ps: steht denn das schwarz auf weiß auch wo? egal wo ich nachlese überall wird nur beschrieben, dass gpupdate die policies neu zieht (bzw. nach änderungen sucht) aber von den gruppenmitgliedschaften steht da nix...außer ich bin blind...kann auch leicht sein :D OK, dann nochmal langsam zum mitschreiben: Du hast eine GPO restricted_members, darin eine Benutzergruppe, aus der Gruppe hast Du einen User rausgenommen, die Clients draußen sollen das mitbekommen. Richtig soweit? Wenn jetzt die GPO erneut gezogen wird, von den Clients, steht die Benutzergruppe mit dem einen User weniger drin. No. 18: FAQ-GPO Zitieren Link zu diesem Kommentar
vmorbit 10 Geschrieben 15. Oktober 2008 Autor Melden Teilen Geschrieben 15. Oktober 2008 Hehehe...dachte ich mirs ja, dass das ganze nicht so easy ist...aber das es am erklären schon hakt...sorry! ;) also ich hab ne gpo...jep darin sind restricted groups definiert...jep und zwar wird in die lokale gruppe "administratoren" die globale gruppe "local_admins" eingefügt...werd also im AD in der gruppe "local_admins" ist, ist also verschachtelterweise in der lokalen admin gruppe. wenn ich einen user jetzt aus der "local_admins" rausnehme...ändert sich ja an der policy selbst nichts...in der steht ja nach wie vor drin "local_admins"...da werden ja nicht die members aufgeführt, sondern nur die gruppen-sid nehm ich mal an. also ändert sich nix dran wenn ich den user aus der gruppe rausnehme an dem gpo. ich will dem client aber erklären, dass der user in unserem AD nicht mehr in der gruppe "local_admins" ist...damit ihm der client keine admin-rechte mehr zur verfügung stellt... hoffe jetzt hab ichs verständlich erklärt... danke nochmal! vmorbit edit: habs jetzt getestet und es schaut so aus als hätte das nicht geklappt. der user ist nicht mehr in der globalen gruppe => gpupdate /force => reboot => noch immer admin-rechte.. ich brauch ein whoami /groups /update !!! :D Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 15. Oktober 2008 Melden Teilen Geschrieben 15. Oktober 2008 Änderungen an Gruppenitgliedschaften direkt ziehen erst nach Nueanmeldung, selbst mit kerbtray ist da nichts zu machen. grizzly999 Zitieren Link zu diesem Kommentar
stef4n 10 Geschrieben 15. Oktober 2008 Melden Teilen Geschrieben 15. Oktober 2008 Änderungen an Gruppenitgliedschaften direkt ziehen erst nach Nueanmeldung, selbst mit kerbtray ist da nichts zu machen. grizzly999 Stichwort: Zugriffstoken Zitieren Link zu diesem Kommentar
vmorbit 10 Geschrieben 16. Oktober 2008 Autor Melden Teilen Geschrieben 16. Oktober 2008 Da beim login aber keine Verbindung zum DC hergestellt ist, wird das NIE aktualisiert? ich kanns nicht mal anstoßen und beim nächsten login soll es dann greifen? Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 16. Oktober 2008 Melden Teilen Geschrieben 16. Oktober 2008 Da beim login aber keine Verbindung zum DC hergestellt ist,wird das NIE aktualisiert? Nein, wenn du dich nicht gleich über VPN anmeldest, dann erst, wenn du die Verbindung zu einer Resource aufbaust. Wenn danach die Gruppenmitgliedschaft geändert wird, müsste das neu geschehen. grizzly999 Zitieren Link zu diesem Kommentar
vmorbit 10 Geschrieben 16. Oktober 2008 Autor Melden Teilen Geschrieben 16. Oktober 2008 D.h. wenn ich z.b. drucke oder auf einen Fileshare zugreifen müssten sich die Memberships aktualisieren und beim nächsten Login sollte es wirksam sein? Vielen Dank das werd ich dann gleich mal testen... Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 16. Oktober 2008 Melden Teilen Geschrieben 16. Oktober 2008 Servus, D.h. wenn ich z.b. drucke oder auf einen Fileshare zugreifen müssten sich die Memberships aktualisieren und beim nächsten Login sollte es wirksam sein? die Gruppenmitgliedschaften werden nur bei der Anmeldung eines Benutzers ausgewertet. Die Änderungen der Gruppenmitgliedschaften wirken sich nicht online aus. Denn das Access Token wird nur einmal bei der Anmeldung erzeugt und wird während der laufenden Benutzersession nicht automatisch aktualisiert. Der Benutzer muss sich neu anmelden. Zitieren Link zu diesem Kommentar
vmorbit 10 Geschrieben 16. Oktober 2008 Autor Melden Teilen Geschrieben 16. Oktober 2008 OK...danke! D.h. ich muss entweder die VPN Verbindung VOR der windows anmeldung herstellen oder ich kann das nicht umsetzen... Finde ich schon ein wenig schwach, dass es dazu keine Möglichkeit gibt oder hat das einen logischen Grund? Ich mein so schwer wär das doch nicht die Mitgliedschaften zu überprüfen und die SIDs neu zuzuteilen oder?! Naja...trotzdem vielen vielen Dank an alle Beteiligten! Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 16. Oktober 2008 Melden Teilen Geschrieben 16. Oktober 2008 Hi, Finde ich schon ein wenig schwach, dass es dazu keine Möglichkeit gibt oder hat das einen logischen Grund? Ich mein so schwer wär das doch nicht die Mitgliedschaften zu überprüfen und die SIDs neu zuzuteilen oder?! Du bist herzlich eingeladen, die Kerberos RFCs entsprechend zu kommentieren. :p Siehe zusätzlich How the Kerberos Version 5 Authentication Protocol Works: Logon and Authentication . Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.