dore75 10 Geschrieben 7. April 2009 Melden Teilen Geschrieben 7. April 2009 Hallo Wir haben User, Gruppen, von einer 2003 Domäne in eine neue 2003 Domain mit ADMTV3 migriert. Jetzt haben wir die Situation, dass sich ein User-Account aus der neuen Domäne an einem PC in der neuen Domäne anmeldet und kein Zugriff auf Ressourcen hat. Besser gesagt, mal geht es, mal geht es nicht. Das ist das komische. Die SID-History führt der User mit. Das habe ich geprüft. Im winlogon.log habe ich das noch gefunden: ************************************************* ----Benutzerrechte werden konfiguriert... Konfigurieren von Users. Fehler 1332: Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt. Users wurde nicht gefunden. Konfigurieren von Power Users. Fehler 1332: Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt. Power Users wurde nicht gefunden. Konfiguration der Benutzerrechte wurde mit einem oder mehreren Fehlern abgeschlossen. ********************************************** Hat jemand einen Lösungsansatz/Idee? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 7. April 2009 Melden Teilen Geschrieben 7. April 2009 Hi dore und willkommen an Board, :) ich bin mir nicht sicher, ob die beiden Fehler zusammen hängen. Der Winlogon Fehler deutet jedoch darauf hin, daß Ihr in der neuen Domäne mit deutschen Betriebssystemen arbeitet. Auf diesen Systemen gibt es nur "Benutzer" anstatt "Users" und "Hauptbenutzer" anstatt "Power Users". Diese englischen "Strings" habt Ihr in einer oder mehreren Policies eingetragen, so daß diese auf den deutschen Systemen nicht gefunden werden können. Es wird sich aller Wahrscheinlichkeit nach um Sicherheitseinstellungen der entsprechenden GPOs handeln. Das solltet Ihr beheben, siehe auch Troubleshooting SCECLI 1202 Events Der Zugriff auf die Ressourcen kann aus vielerlei Gründen scheitern. Was genau ist denn die Fehlermeldung, wenn ein Ressourcenzugriff versucht wird? Was steht in der Security ACL der Zielressource, was im Ticket des Benutzers (ein "whoami /all" wäre hier intseressant). Viele Grüße olc Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 7. April 2009 Melden Teilen Geschrieben 7. April 2009 Moin, was heißt "mal geht es, mal geht es nicht"? Handelt es sich jeweils um dieselben Ressourcen oder um verschiedene? Den SID-Filter habt ihr abgeschaltet? Gruß, Nils Zitieren Link zu diesem Kommentar
dore75 10 Geschrieben 8. April 2009 Autor Melden Teilen Geschrieben 8. April 2009 Hallo Nils Der SID-Filter ist abgeschalten. Es geht mal und dann wieder nicht auf dieselben Ressourcen. Gruss dore – Hallo olc Die Fehlermeldung lautet: Auf \\....... kann nicht zugegriffen werden. Sie haben eventuell keine Berechtigung, diese Netzwerkressource zu verwenden. Wenden Sie sich an den Administrator des Servers, um herauszufinden, ob sie über die Berechtigungen verfügen. Zugriff verweigert ****************************** C:\Programme\Support Tools>whoami /all [user] = "Firma\rem" S-1-5-21-1908113690-3532746142-816685583-4950 [Group 1] = "Firma\Domain Users" S-1-5-21-1908113690-3532746142-816685583-513 [Group 2] = "Jeder" S-1-1-0 [Group 3] = "VORDEFINIERT\Benutzer" S-1-5-32-545 [Group 4] = "VORDEFINIERT\Hauptbenutzer" S-1-5-32-547 [Group 5] = "NT-AUTORIT─T\INTERAKTIV" S-1-5-4 [Group 6] = "NT-AUTORIT─T\Authentifizierte Benutzer" S-1-5-11 [Group 7] = "LOKAL" S-1-2-0 [Group 8] = "Firma\l_role_be_fertigung_ma" S-1-5-21-1908113690-3532746142-816 685583-1585 [Group 9] = "Firma\l_group_prbech024c" S-1-5-21-1908113690-3532746142-8166855 83-2107 [Group 10] = "Firma\l_group_app_kreditoren_2100_others" S-1-5-21-1908113690-35 32746142-816685583-4958 [Group 11] = "Firma\l_group_be&services_gesamt" S-1-5-21-1908113690-3532746142 -816685583-4934 [Group 12] = "Firma\l_group_app_schema" S-1-5-21-1908113690-3532746142-8166855 83-2490 [Group 13] = "Firma\l_project_509598" S-1-5-21-1908113690-3532746142-816685583 usw. Gruss dore Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 8. April 2009 Melden Teilen Geschrieben 8. April 2009 Hi dore, ggf. hättest Du vor dem Posting die SIDs ein wenig "unkenntlich" machen sollen - vielleicht holst Du das ja noch nach. ;) Wie sehen die ACLs auf einer der Problemressourcen aus? Ein "icacls.exe C:\Ressource" würde uns zeigen, welche Gruppenmitgliedschaft erforderlich ist, um zuzugreifen. Ggf. müssen dann die SIDs der SID History dagegen abgeglichen werden, sollten die neuen Gruppenmitgliedschaften des Benutzers nicht in den ACLs der Ressource zu finden sein. Viele Grüße olc Zitieren Link zu diesem Kommentar
dore75 10 Geschrieben 9. April 2009 Autor Melden Teilen Geschrieben 9. April 2009 Hallo Nils Der SID-Filter ist abgeschalten. Es geht mal und dann wieder nicht auf dieselben Ressourcen. Gruss dore – Hallo olc Die Fehlermeldung lautet: Auf \\....... kann nicht zugegriffen werden. Sie haben eventuell keine Berechtigung, diese Netzwerkressource zu verwenden. Wenden Sie sich an den Administrator des Servers, um herauszufinden, ob sie über die Berechtigungen verfügen. Zugriff verweigert Gruss dore Hallo Wir haben das Problem gelöst. Das Problem war, warum der File-Zugriff mal funktioniert und mal nicht, dass wir keinen Trust zur Forest Domain hatten. Wir hatten einen Trust von der abzulösenden Domäne zu der neuen Domäne, aber nicht zu dem Forest der neuen Domäne. Gruss Dore Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.