File Zugriffs Gruppen

[Sandra_B 10]

Hallo miteinander!

 

Ich bin am verzweifeln!

Wir haben über das Wochenende den Fileserver aus der alten Domäne abgelöst und sämtliche Daten auf den neuen Server in der aktuellen Domäne kopiert. Sämtliche Zugriffsrechte wurden mit Domain local groups mit NTFS berechtigungen vergeben. Sprich jeweils 3 dlg's auf einen Ordner (R,RW,RWD) und diese dann den Funktionen der jeweiligen Mitarbeiter zugewiesen. So weit so gut... Funktioniert auch alles prima.

 

Nun haben wir dass Problem, dass bei einigen Benutzern sehr komisch Phänomene auftreten...

Das äussert sich so:

 

-Das Logonscript läuft nicht mehr ganz durch und verbindet nicht mehr alle Shares.

 

-Outlook findet; Ihre Standart-E-Mail-Ordner können nicht geöffnet werden. Der Microsoft Exchange Server-Computer steht nicht zur Verfügung. Das Netzwerk antwortet nicht, oder der Server wurde für Wartungsarbeiten heruntergefahren...

(Vom entsprechenden Client jedoch erreichbar mit Ping)

 

-Outlook findet; Diese Ordnergruppe konnte nicht geöffnet werden...

 

-GPO's werden nicht geladen

mit gpresult konnte ich sehen das Benutzereinstellungen und Computereinstellungen keinen LDAP Pfad hinterlegt waren.

und gpupdate /force bringt auch nix

 

Das ganze passiert meistens bei unseren lieben Mitarbeiterinnen da diese mehrere Funktionen inne haben und somit auch Member von ziemlich vielen Gruppen sind.

Mit rumprobieren hab ich dann rausgefunden, dass wenn ich den Benutzern einige Funktionen wegnehme alles wieder einwandfrei funktioniert...

 

Da hab ich mir gedacht das es vieleicht MaxTokenSize vom Kerberos sein könnte und hab diese mit einem Reg Eintrag erhöt. Nun ja... wie ihr euch denken könnt hatts nichts gebracht...

 

Könnte es die Verschachtelung der Gruppen sein? Im Moment ist jeweils eine Globale Gruppe die, die entsprechenden dlg als Member hat. Aber ich werde mich hüten, ohne Gewissheit an den Gruppen rum zu fummeln... :)

 

Ich wäre euch für ein paar Tipps sehr dankbar, ich weiss nicht mehr wo ich suchen soll.

 

 

System:

 

2 Server AD Windows 2003 R2 64bit

1 Storage Windows 2003 R2 64 bit

xxx Clients Windows XP SP2

1 Domäne

[NorbertFe 1.829]

Wieso arbeitet ihr denn mit domain local groups? Ist der Fileserver ein DC?

 

Bye

Norbert

[olc 18]

Hi Sandra, willkommen an Board, :)

 

nach Deiner Beobachtung sieht es ja tatsächlich nach der MaxTokenSize aus.

 

Wenn Du im Kontext eines betroffenen Benutzers (er ist also angemeldet) einmal ein "C:\> whoami /groups" ausgibst - wie viele Gruppen werden angezeigt? Alternativ kannst Du auch gleich TokenSZ verwenden. Sind es mehr als ca. 300 expandierte Gruppen im Token bzw. wie groß ist laut TokenSZ das Token (steht ganz unten)?

 

Wo hast Du die MaxTokenSize angehoben? Auf den DCs oder auf dem Client? Die Einstellung ist im Kern ein Kerberos-Client Setting, muß also für Benutzer zum Beispiel an den XP Clients aktiv sein und benötigt meiner Erinnerung nach einen Neustart.

 

@Norbert: Warum DLG? A-G-DL-P. :)

 

Viele Grüße

olc

[Sandra_B 10]

Hallo!

danke für die schnelle Antwort!

 

ähm mein schlaues Buch 70-640 hat mir gesagt, dass ich das mit dlg's machen soll... Da diese zum Zusammenfassen von Benutzern und Gruppen verwendet werden, die Zugriff auf die gleichen Ressourcen benötigen. Ausserdem haben wir das in der alten Firma auch so gemacht :)

 

warum? passt das nicht?

Es ist ja nicht so das es tausende von Gruppen sind... ca. 450 dlg's und 80 gg's

 

Gruss

Sandra

[NorbertFe 1.829]

AGLP erinnere ich mich. Aber ich mag mich täuschen, da ich diese "Sinnlos"-Schachtelung schon immer in Frage gestellt hab. Sind im Eventlog der Clients denn irgendwelche Fehler zu sehen?

[Sandra_B 10]

Hallo olc!

 

werd ich gleich machen!

angehoben auf beiden DC's und auf dem Client, alle neu gestartet..

 

Ich habe den Eintrag auch ins Loginscript eingebunden, aber wenn die entsprechenden Benutzer nicht "richtig" authentifiziert sind bringts nichts:)

da muss ich selber ran und kurz einloggen.

Aber wenn der Benutzer wieder einloggt bleibt alles beim alten...

 

gut, in diesem Fall bin ich auf dem richtigen Weg.

 

danke!

[olc 18]

Hi,

 

AGLP erinnere ich mich. Aber ich mag mich täuschen, da ich diese "Sinnlos"-Schachtelung schon immer in Frage gestellt hab. Sind im Eventlog der Clients denn irgendwelche Fehler zu sehen?

 

Das Prinzip ist IMHO schon in Ordnung - solange es bei MS keine Rückverfolgung der Berechtigungen wie bei Novell gibt. Anders kannst Du kaum nachvollziehen, wo eigentlich der Benutzer Berechtigungen besitzt.

Außerdem hilft es, Rollenkonzepte umzusetzen.

 

werd ich gleich machen!

angehoben auf beiden DC's und auf dem Client, alle neu gestartet..

 

Ich habe den Eintrag auch ins Loginscript eingebunden, aber wenn die entsprechenden Benutzer nicht "richtig" authentifiziert sind bringts nichts:)

da muss ich selber ran und kurz einloggen.

Aber wenn der Benutzer wieder einloggt bleibt alles beim alten...

 

Loginscripte bringen nichts, der Schlüssel liegt im HKEY_LOCAL_MACHINE Zweig, da hat ein Benutzer ohne lokale Admin-Rechte keine Berechtigungen zu schreiben. :)

 

Alternativ würde ein Startup Script möglich sein (das läuft als SYSTEM) oder aber ein Administrative Template nutzen, welches die Einstellung über die Registry CSE verteilt, siehe dazu: How to use Group Policy to add the MaxTokenSize registry entry to multiple computers .

 

Aber mach da ohne weitere Tests kein größeres Rollout - es kann Applikationen geben, die damit nicht zurecht kommen. Also erst ausführlich testen, sollte die MaxTokenSize tatsächlich die Lösung sein.

 

Viele Grüße

olc

[Sandra_B 10]

@Norbert

Ja, diese haben mich auf die Tokensize gebracht:

 

Anwendung

Quelle: userenv

Ereigniskennung: 1053

 

System

Quelle: Kerberos

Ereigniskennung: 4

[NorbertFe 1.829]

Das Prinzip ist IMHO schon in Ordnung - solange es bei MS keine Rückverfolgung der Berechtigungen wie bei Novell gibt. Anders kannst Du kaum nachvollziehen, wo eigentlich der Benutzer Berechtigungen besitzt.

Außerdem hilft es, Rollenkonzepte umzusetzen.

 

Korrekt, und wozu brauche ich dabei DLG? Was spricht gegen die Verwendung von Global Groups auf die Ressourcen? Das Performance Argument kann ich nicht mehr hören. ;)

 

Bye

Norbert

[olc 18]

Korrekt, und wozu brauche ich dabei DLG? Was spricht gegen die Verwendung von Global Groups auf die Ressourcen?

 

Der Gruppenbereich spricht gegen Global Groups. ;)

Group scope: Active Directory

 

Viele Grüße

olc

[NorbertFe 1.829]

OK ich grenze mein Szenario etwas ein. Was nutzt mir DLG in einer Single Domain Umgebung?

 

Bye

Norbert

[olc 18]

DAS war nicht die Frage. :D :p ...und außerdem, A-G-DL-P klingt irgendwie besser als A-G-G-P. :D

 

Ok, zurück zum Thema? :)

 

Viele Grüße

olc

[NorbertFe 1.829]

Off-Topic:
Nö noch nicht. ;) Im genannten Szenario gibt es also keine Vorteile von AGDLP gegenüber AGP, oder?

Bye
Norbert

[olc 18]

Nein, in einer Single Label Domain sehe ich spontan keine Vorteile von A-G-DL-P gegenüber A-G-G-P, außer vielleicht der "Übersichtlichkeit". Aber die kann man natürlich auch über das Namensschema darstellen.

 

Du vergißt dabei aber eine Ebene: Nicht A-G-P wäre dann sinnvoll, sondern wenn überhaupt dann A-G-G-P. Läßt Du die Ebene weg, ist kein Rollenkonzept mehr drin bei gleichzeitiger Nachverfolgung der vergebenen Rechte auf Resourcenebene.

 

Wenn jedoch in einer Single Domain Umgebung ein Trust dazu kommt - und das ist durchaus gängig für Migrationsszenarien etc. - sieht es schon wieder anders aus. Die Mitgliedschaft in DL bzw. globalen Gruppen läßt sich dann auch Forest-übergreifend regeln.

 

Und damit schließe ich meine Einschätzung: Um flexibel auch bei Forest Trusts oder bei nachträglich eingerichteten Domänen im selben Forest zu sein, würde ich immer A-G-DL-P empfehlen. Sonst kann sich ein Problem mit dem Gruppenbereich später bei einer Erweiterung zeigen. :)

 

Viele Grüße

olc

[NorbertFe 1.829]

OK, schliessen wir das. Ich meinte aber tatsächlich Single Domain Umgebung (ohne das Label ;))

 

Bye

Norbert