Jump to content
Sign in to follow this  
Christoph35

Zugriff verweigert trotz korrekter Gruppenmitgliedschaft

Recommended Posts

Hallo, zusammen!

 

Wir haben hier ein etwas diffiziles Problem.

 

Kurze Beschreibung: ein AD Forest mit 3 Domains in 3 DNS Trees (war so von den DNS-Admins vorgegeben), 4 Sites. Alles korrekt definiert, Replikation funktionstüchtig. Forest-Level W2K3 Native. Nennen wir die Domains mal A.firma.com, B.firma.com und C.firma.com. Trusts sind aktiv und erfolgreich überprüft worden.

 

Wir haben in der Domain A.Firma.com eine globale Gruppe, die auf ein Verzeichnis Zugriff hat, in eine universelle Gruppe konvertiert. Dann haben wir Users aus den Domains B.firma.com und C.firma.com dieser Gruppe hinzugefügt. Die User haben sich neu angemeldet, aber wenn sie auf das gewünschte Verzeichnis zugreifen wollen, kommt dennoch ein Access Denied :suspect:

 

Wie kann das sein? :confused:

Es scheint so zu sein, dass das Security Token der Universellen Gruppe dem Userkonto nicht hinzugefügt wird.

 

Nebenfrage: ist es richtig, dass Domain Admins von B und C die Mitgliedschaft der User aus ihren jeweiligen Domains in der universellen Gruppe der Domain A nicht angezeigt bekommen?

 

Gruß

 

Christoph

Share this post


Link to post
Share on other sites

hmm, kann es rein theoretisch sein das die universellen gruppen, also die änderungen in der gruppen, einfach noch nicht repliziert sind? irgendwas war da, ich kann mich dunkel erinnern das bei universellen gruppen die replikation nicht sehr häufig stattfindet. kann aber auch sein das ich mich täusche.

Share this post


Link to post
Share on other sites
Hast du das schon geprüft?

 

grizzly999

 

Wenn der User selbst in Domain B eine LDAP-Abfrage auf sein User-Objekt macht, wird die universelle Gruppen aus Domain A aufgelöst (memberof-Attribut).

 

Ebenso sieht der User sich auch als Mitglied in der universellen Gruppe aus A, wenn er die Mitglieder der universellen Gruppe aus Domain A abruft. Abfrage mit non-MS LDAP Browser.

 

kann es rein theoretisch sein das die universellen gruppen, also die änderungen in der gruppen, einfach noch nicht repliziert sind?

 

Wir haben die Replikation manuell angestoßen, hat aber nichts gebracht.

 

Wir werden jetzt mal versuchen, das ganze mit ein paar VMs nachzustellen.

 

Aber vielleicht habt ihr ja noch andere Ideen.

 

Christoph

 

/edit: eins fällt mir grad selbst noch ein:

 

Lt. MS ist es ja ein Problem, wenn der Infrastruktur-Master auch GC-Server ist, Ausnahme: alle DCs sind auch GC Server. Und diese Situation ist bei uns gegeben. Hätte ich vielleicht erwähnen sollen :rolleyes:

Share this post


Link to post
Share on other sites

Hallo Christoph,

 

hatte das selbe Problem. Nachdem ich sowohl das Caching der Benutzerdaten

abgestellt hatte, als auch via GPO die XP Clients angewiesen habe auf das

Netzwerk zu warten, löste sich das Problem in Luft auf.

 

Auch bei mir konnte ich vorher effektive Berechtigungen, Membership usw.

abfragen und alles wurde korrekt angezeigt ... trotzdem Zugriff verweigert, bis

ich das o.a. durchgeführt hatte.

 

LG

Marco

Share this post


Link to post
Share on other sites

Hi,

 

danke für den Tip, aber falls Du "Enable Universal Group Membership Caching" meinst, muss ich Dich leider enttäuschen. Das ist bei uns auf allen Sites abgeschaltet.

Und die Policy "Wait for Network" ist auch aktiv.

 

Christoph

Share this post


Link to post
Share on other sites

Update:

 

wir haben das jetzt mal umgekehrt probiert.

 

In Domain B.firma.com haben wir eine universelle Gruppe eingerichtet und Zugriff auf eine Freigabe auf einem Server in B.firma.com gegeben. Dieser Gruppe haben wir Mitglieder aus A.firma.com hinzugefügt.

 

In dem Fall ist der Zugriff möglich :shock: :confused:

 

Christoph

Share this post


Link to post
Share on other sites

Getz isset soweit ... baue den Zinober getz selber nach. ;) Das fuchst mich

jetzt. Verstehe das nämlich nicht ganz ... denn wenn die bidirektionalen Trusts

funktionieren, AD und GC korrekt repliziert werden, dann sollte es da keine

Probleme geben ... chon komich.

 

Ihr habt aber die Trusts wirklich gecheckt und die Replikationstopologie

mittels replmon mal nachvollzogen, bzw. Euch die Replikation mittels

RegHack loggen lassen? Und das lief wirklich ohne Probleme? Hmmm -

ich sehe ja das Problem bei den Trusts ... mal schauen ... stecke da

halt gerade nicht so richtig drin ... leider ... :D ... aber gleich.

 

Marco

Share this post


Link to post
Share on other sites

Hi,

 

ja, wir haben die Trusts noch mal überprüft: successfully validated....

Dennoch vermuten auch wir da das Problem, aber wir haben da mittlerweile mal einen Call bei MS laufen.. sollen die sich auch mal die Köpfe zerbrechen ;)

 

Wie gesagt: wir haben eine VM-Umgebung mit 2 Domains gebastelt und da funzt das, auch funzt das ganze in der prod. Domain andersrum (Share in Domain B, univ. Gruppe in B, userkonto in A -> Zugriff möglich...

 

Wir haben Replmon natürlich probiert: meldet keine Fehler...

 

Replikation mittels Reghack loggen lassen? Kannst Du das mal erläutern?

 

 

Schon mal danke für Deine Mühe :)

 

Christoph

Share this post


Link to post
Share on other sites

Hi Christoph,

 

ja, mich wurmt das, denn ich betreue ja schließlich ähnliche Szenarien und daher

würde ich gerne wissen, wieso es bei Dir zu solch einem Verhalten kommt.

 

Vielleicht sitze ich ja demnächst vor dem selben Problem und daher ist es für mich

von Interesse, etwaige Fehlerursachen im Vorfeld zu kennen.

 

Es gibt da einen Registry - Key, bei welchem Du den Debug - Level von 1 - 5 angeben

kannst. Suche ich mal eben wacker raus. Bis gleich ...

 

LG

Marco

Share this post


Link to post
Share on other sites

Habe gelogen, sind nämlich die Wertigkeiten von 0 - 5 und zwar unter

HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics. ;)

 

Wobei steigende Wertigkeiten auch mehr Debug-Info bedeuten und wenn ich

sage mehr Infos, dann meine ich das auch so. Solltest Du nicht unbedingt

über einen längeren Zeitraum mitlaufen lassen, denn sonst wird Dir das Log

ziemlich vollgepumpt.

 

So, muß jetzt weiter meinen Forrest zusammenzaubern ... bis spädda. ;)

 

LG

Marco

 

EDITH: Siehste, habe ich Deine Edith garnicht wahrgenommen. ;)

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...