Jump to content

Zugriff verweigert trotz korrekter Gruppenmitgliedschaft


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo, zusammen!

 

Wir haben hier ein etwas diffiziles Problem.

 

Kurze Beschreibung: ein AD Forest mit 3 Domains in 3 DNS Trees (war so von den DNS-Admins vorgegeben), 4 Sites. Alles korrekt definiert, Replikation funktionstüchtig. Forest-Level W2K3 Native. Nennen wir die Domains mal A.firma.com, B.firma.com und C.firma.com. Trusts sind aktiv und erfolgreich überprüft worden.

 

Wir haben in der Domain A.Firma.com eine globale Gruppe, die auf ein Verzeichnis Zugriff hat, in eine universelle Gruppe konvertiert. Dann haben wir Users aus den Domains B.firma.com und C.firma.com dieser Gruppe hinzugefügt. Die User haben sich neu angemeldet, aber wenn sie auf das gewünschte Verzeichnis zugreifen wollen, kommt dennoch ein Access Denied :suspect:

 

Wie kann das sein? :confused:

Es scheint so zu sein, dass das Security Token der Universellen Gruppe dem Userkonto nicht hinzugefügt wird.

 

Nebenfrage: ist es richtig, dass Domain Admins von B und C die Mitgliedschaft der User aus ihren jeweiligen Domains in der universellen Gruppe der Domain A nicht angezeigt bekommen?

 

Gruß

 

Christoph

Link zu diesem Kommentar
Hast du das schon geprüft?

 

grizzly999

 

Wenn der User selbst in Domain B eine LDAP-Abfrage auf sein User-Objekt macht, wird die universelle Gruppen aus Domain A aufgelöst (memberof-Attribut).

 

Ebenso sieht der User sich auch als Mitglied in der universellen Gruppe aus A, wenn er die Mitglieder der universellen Gruppe aus Domain A abruft. Abfrage mit non-MS LDAP Browser.

 

kann es rein theoretisch sein das die universellen gruppen, also die änderungen in der gruppen, einfach noch nicht repliziert sind?

 

Wir haben die Replikation manuell angestoßen, hat aber nichts gebracht.

 

Wir werden jetzt mal versuchen, das ganze mit ein paar VMs nachzustellen.

 

Aber vielleicht habt ihr ja noch andere Ideen.

 

Christoph

 

/edit: eins fällt mir grad selbst noch ein:

 

Lt. MS ist es ja ein Problem, wenn der Infrastruktur-Master auch GC-Server ist, Ausnahme: alle DCs sind auch GC Server. Und diese Situation ist bei uns gegeben. Hätte ich vielleicht erwähnen sollen :rolleyes:

Link zu diesem Kommentar

Hallo Christoph,

 

hatte das selbe Problem. Nachdem ich sowohl das Caching der Benutzerdaten

abgestellt hatte, als auch via GPO die XP Clients angewiesen habe auf das

Netzwerk zu warten, löste sich das Problem in Luft auf.

 

Auch bei mir konnte ich vorher effektive Berechtigungen, Membership usw.

abfragen und alles wurde korrekt angezeigt ... trotzdem Zugriff verweigert, bis

ich das o.a. durchgeführt hatte.

 

LG

Marco

Link zu diesem Kommentar

Getz isset soweit ... baue den Zinober getz selber nach. ;) Das fuchst mich

jetzt. Verstehe das nämlich nicht ganz ... denn wenn die bidirektionalen Trusts

funktionieren, AD und GC korrekt repliziert werden, dann sollte es da keine

Probleme geben ... chon komich.

 

Ihr habt aber die Trusts wirklich gecheckt und die Replikationstopologie

mittels replmon mal nachvollzogen, bzw. Euch die Replikation mittels

RegHack loggen lassen? Und das lief wirklich ohne Probleme? Hmmm -

ich sehe ja das Problem bei den Trusts ... mal schauen ... stecke da

halt gerade nicht so richtig drin ... leider ... :D ... aber gleich.

 

Marco

Link zu diesem Kommentar

Hi,

 

ja, wir haben die Trusts noch mal überprüft: successfully validated....

Dennoch vermuten auch wir da das Problem, aber wir haben da mittlerweile mal einen Call bei MS laufen.. sollen die sich auch mal die Köpfe zerbrechen ;)

 

Wie gesagt: wir haben eine VM-Umgebung mit 2 Domains gebastelt und da funzt das, auch funzt das ganze in der prod. Domain andersrum (Share in Domain B, univ. Gruppe in B, userkonto in A -> Zugriff möglich...

 

Wir haben Replmon natürlich probiert: meldet keine Fehler...

 

Replikation mittels Reghack loggen lassen? Kannst Du das mal erläutern?

 

 

Schon mal danke für Deine Mühe :)

 

Christoph

Link zu diesem Kommentar

Hi Christoph,

 

ja, mich wurmt das, denn ich betreue ja schließlich ähnliche Szenarien und daher

würde ich gerne wissen, wieso es bei Dir zu solch einem Verhalten kommt.

 

Vielleicht sitze ich ja demnächst vor dem selben Problem und daher ist es für mich

von Interesse, etwaige Fehlerursachen im Vorfeld zu kennen.

 

Es gibt da einen Registry - Key, bei welchem Du den Debug - Level von 1 - 5 angeben

kannst. Suche ich mal eben wacker raus. Bis gleich ...

 

LG

Marco

Link zu diesem Kommentar

Habe gelogen, sind nämlich die Wertigkeiten von 0 - 5 und zwar unter

HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics. ;)

 

Wobei steigende Wertigkeiten auch mehr Debug-Info bedeuten und wenn ich

sage mehr Infos, dann meine ich das auch so. Solltest Du nicht unbedingt

über einen längeren Zeitraum mitlaufen lassen, denn sonst wird Dir das Log

ziemlich vollgepumpt.

 

So, muß jetzt weiter meinen Forrest zusammenzaubern ... bis spädda. ;)

 

LG

Marco

 

EDITH: Siehste, habe ich Deine Edith garnicht wahrgenommen. ;)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...