Grobiii 10 Geschrieben 16. Mai 2006 Melden Geschrieben 16. Mai 2006 Hallo Admins, mein Problem ist, das im Zuge der Umsetzung eines neuen FilePermission Konzeptes Fehler auftraten. Wenige User konnten sich nicht mehr gegenüber der ADS authentifizieren. Ursache war, das sie zu viele Gruppenmitgliedschaften durch nesting hatten, und Kerberos dies nicht vertrug. Wie in diesem Artikel beschrieben. http://support.microsoft.com/kb/280830/en-us Komischer Weise tritt das nur bei sehr wenigen Usern auf und die Ursache können wir nicht wirklich finden. Es scheint eher mit alten Gruppen zusammen zu hängen. Denn auch User mit über 150 Gruppenmitgliedschaften haben keine Probleme. Welche Gruppen SIDs werden denn genau dem Kerb. Token übergeben? kleines Beispiel: Wir haben ReadGruppen erstellt für fast jedes Folder. Mitglied sind oft Domain Users. Somit ist jeder User (da er ja Domain User ist) durch einfachnesting Mitglied der ReadGruppen. Zu Fehlern kommt es aber bei diesen nicht. Hat jemand eine Idee? Danke!
ChristianHemker 10 Geschrieben 16. Mai 2006 Melden Geschrieben 16. Mai 2006 Wir haben ReadGruppen erstellt für fast jedes Folder. Mitglied sind oft Domain Users. Somit ist jeder User (da er ja Domain User ist) durch einfachnesting Mitglied der ReadGruppen. Blickt dann da noch jemand durch? Warum habt ihr die Benutzer direkt in die Ressourcengruppen gesteckt und nicht AGDLP oder AGUDLP umgesetzt? Das würde deinem eigentlichen Problem nicht helfen, da auch diese Gruppen dann in das Kerberos Token aufgenommen werden würde. Hast du die im KB Artikel erwähnte Lösung denn angewendet? Um welche Serverversion handelt es sich überhaupt?
Grobiii 10 Geschrieben 17. Mai 2006 Autor Melden Geschrieben 17. Mai 2006 danke für dine Antwort! Also das lustige ist ja, es handelt sich um eine kompl. win 2003 server Umgebung. Demnach dürfte dieses Problem garnicht auftauchen...denke ich. Wir wollten bis dato noch nicht die regedit ändern, weil noch nicht klar war wo der Fehler eigentlich wirklich liegt. Ist halt auch ein Kundenumgebung, und nichts internes.
ChristianHemker 10 Geschrieben 17. Mai 2006 Melden Geschrieben 17. Mai 2006 Also das lustige ist ja, es handelt sich um eine kompl. win 2003 server Umgebung. Demnach dürfte dieses Problem garnicht auftauchen...denke ich. Denke ich auch. Der KB Artikel bezieht sich ja nur auf 2000. Das Problem sollte also woanders liegen. Habe aber leider auch keine Idee woran das liegen könnte. Irgendwelche Gruppenrichtlinien die nur auf diese Benutzerkonten wirken vielleicht?
Grobiii 10 Geschrieben 17. Mai 2006 Autor Melden Geschrieben 17. Mai 2006 Die gibt es natürlich, aber daran sollte es auch nicht liegen. Das komische ist ja, das es bis jetzt nur 2 User betrifft. Der Kunde hat leider sofort selbst Hand angelegt, ohne das wir ein Auge drauf werfen konnten. Die betroffenen User hatten wirklich viele Gruppen, und nach dem Löschen der Alten "Memberof" Gruppen an den Usern, ging auch alles wieder, aber dennoch...es gibt User die noch wesentlich mehr Gruppen haben. Es muss irgendwo anders einen Grund geben. Vielleicht waren die beiden User Mitglied einer Gruppe die sehr viel nestings hatte. Hm, lässt sich nicht mehr nachvollziehen.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden