Jump to content
TechTech

Gruppenmitgliedschaft aktualisieren

Recommended Posts

Hallo

 

Wir haben ein Problem mit unserer Gruppenzuteilung im AD

 

Folgendes:

Ich habe eine neue Gruppe (Sicherheitsgruppe Global) erstellt und dieser Gruppe einen Benutzer zugewiesen (an dieser Gruppe hängt auch per Zielgruppenadressierung eine GPO nur zur Info). Ich habe den Rechner vom Benutzer 3 mal neugestartet und auch jedesmal eine Anmeldung des entsprechenden Benutzers durchgeführt.

Via gpresult -r wird mir die neu zugewiesene Gruppe nicht mit angezeigt (logischerweise greift dann auch die GPO nicht). Bei Whoami /group wird sie angezeigt.

Ebenfalls habe ich den benutzer aus einer Gruppe rausgenommen und diese wird ebenfalls unter gpresult noch angezeigt.

Ich schätze es hat irgend etwas mit einem gecachten Access Token zu tun. Habe auch bereits via Google Lösungen zu finden allerdings wird dort immer noch von neustarten/abmelden-anmelden geredet, was hier leider nicht funktioniert hat.

Den Kerberos Ticket cache mit klist purge habe ichauch bereits gelöscht. Hatte auch nicht geholfen.

 

Hat jmd. eine Idee wie ich das Problem lösen kann? Wäre für jede Hilfe dankbar.

 

Infos zu dem System:

- sind ganz normale Client Systeme ohne spezial Config

- Domänenfunktionsebene ist WIndows Server 2012

 

Share this post


Link to post
Share on other sites

Nutzt du wirklich Zielgruppenaddressierung?

Das klingt eher nach Sicherheitsgruppenfilterung und der Computer kann die Richtlinie nicht lesen.

Share this post


Link to post
Share on other sites

LOL - stimmt, das wäre dann "Äpfel und Birnen" :-)  Und ich vergesse MS16-072 inzwischen gerne, weil das schon so ewig her ist...

Share this post


Link to post
Share on other sites

Wir haben 2 Domain Controller auf unterschiedlichen Maschinen die sich replizieren allerdings an einem Standort.

 

Ja ich nutze wirklich Zielgruppenaddressierung. Die GPO wird auch sofort aktiv sobald der Nutzer unter GPresult die Gruppe hat. Das funktioniert einwandfrei.

Nur der Nutzer taucht eben nicht in der Gruppe auf. Liegt dies an dem gecachten Access Token?

 

 

Share this post


Link to post
Share on other sites
vor 57 Minuten schrieb TechTech:

Wir haben 2 Domain Controller auf unterschiedlichen Maschinen die sich replizieren allerdings an einem Standort.

 

Ja ich nutze wirklich Zielgruppenaddressierung. Die GPO wird auch sofort aktiv sobald der Nutzer unter GPresult die Gruppe hat. Das funktioniert einwandfrei.

Nur der Nutzer taucht eben nicht in der Gruppe auf. Liegt dies an dem gecachten Access Token?

 

 

Die Replikation läuft auch fehlerfrei? 

Kannst du mal auf den beiden DCs direkt schauen ob der User wirklich Mitglied der Gruppe ist?

Hat der Rechner wo er sich anmeldet auch eine Verbindung zu dem DCs? 

Share this post


Link to post
Share on other sites

Die Replikation läuft alles. Habe dazu das Windows Tool AD Replication Status Tool. Und sonst treten auch keine Fehler auf bei der Replikation (zumindest nicht das ich davon erfahren habe)

 

Hatte ich bereits geprüft und es wird auf beiden DCs korrekt angezeigt.

Ja haben alle eine Verbindung zu den DCs.

(User 1 war am DC2 angemeldet und die Gruppenzugehörigkeit hat nicht gestimmt. Und User 3 war am DC1 und da passte es auch nicht.)

Share this post


Link to post
Share on other sites

Verbinde dich doch in der Konsole Active Directory Computer und Benutzer einmal mit dem DC1 und einmal mit DC2 und mit DC3. Es kann passieren wenn Du dich auf DC2 anmeldest und die Konsole startest du automatisch in der Konsole auf DC1 verbunden wirst. Ganz oben siehst Du den Namen des DC, mit dem du auf der Konsole gerade verbunden bist.

Share this post


Link to post
Share on other sites
vor 6 Stunden schrieb TechTech:

Das ist unterschiedlich. Ich habe es bei mehreren Usern getestet:

- User 1: 40 Gruppen

- User 2: 21 Gruppen

- User 3: 17 Gruppen

- User 4: 23 Gruppen

Sind da auch Gruppen in Gruppen mit dabei oder schon rekursiv gerechnet?

Ich werde das Gefühl nicht los es könnte dsa TokenSizeLimit sein. Dazu gibt es im Technet ein Skript. https://gallery.technet.microsoft.com/scriptcenter/Check-for-MaxTokenSize-520e51e5

Share this post


Link to post
Share on other sites

 

vor 7 Stunden schrieb Sunny61:

Verbinde dich doch in der Konsole Active Directory Computer und Benutzer einmal mit dem DC1 und einmal mit DC2 und mit DC3. Es kann passieren wenn Du dich auf DC2 anmeldest und die Konsole startest du automatisch in der Konsole auf DC1 verbunden wirst. Ganz oben siehst Du den Namen des DC, mit dem du auf der Konsole gerade verbunden bist.

Das werde ich morgen einmal testen! Mal schauen was dabei raus kommt. Danke

 

vor 3 Stunden schrieb tesso:

Sind da auch Gruppen in Gruppen mit dabei oder schon rekursiv gerechnet?

Ich werde das Gefühl nicht los es könnte dsa TokenSizeLimit sein. Dazu gibt es im Technet ein Skript. https://gallery.technet.microsoft.com/scriptcenter/Check-for-MaxTokenSize-520e51e5

Wir haben so gut wie keine Gruppen in gruppen..... Ist alles eine sehr verworrene und verwachsene Struktur. 

Ich werde aber auch morgen hier mal im log nachsehen, ob ich darüber etwas finde. 

Ich gebe wieder Bescheid! Danke für eure tipps. 

 

Noch kurze frage: gibt es eine möglichkeit das Access token manuell zu erneuern ohne abmelden/anmelden? Oder ist dies immer schwierig? 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...