TechTech 0 Geschrieben 26. September 2019 Melden Teilen Geschrieben 26. September 2019 Hallo Wir haben ein Problem mit unserer Gruppenzuteilung im AD Folgendes: Ich habe eine neue Gruppe (Sicherheitsgruppe Global) erstellt und dieser Gruppe einen Benutzer zugewiesen (an dieser Gruppe hängt auch per Zielgruppenadressierung eine GPO nur zur Info). Ich habe den Rechner vom Benutzer 3 mal neugestartet und auch jedesmal eine Anmeldung des entsprechenden Benutzers durchgeführt. Via gpresult -r wird mir die neu zugewiesene Gruppe nicht mit angezeigt (logischerweise greift dann auch die GPO nicht). Bei Whoami /group wird sie angezeigt. Ebenfalls habe ich den benutzer aus einer Gruppe rausgenommen und diese wird ebenfalls unter gpresult noch angezeigt. Ich schätze es hat irgend etwas mit einem gecachten Access Token zu tun. Habe auch bereits via Google Lösungen zu finden allerdings wird dort immer noch von neustarten/abmelden-anmelden geredet, was hier leider nicht funktioniert hat. Den Kerberos Ticket cache mit klist purge habe ichauch bereits gelöscht. Hatte auch nicht geholfen. Hat jmd. eine Idee wie ich das Problem lösen kann? Wäre für jede Hilfe dankbar. Infos zu dem System: - sind ganz normale Client Systeme ohne spezial Config - Domänenfunktionsebene ist WIndows Server 2012 Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 26. September 2019 Melden Teilen Geschrieben 26. September 2019 Hast Du mehrere DCs an verschiedenen Standorten? (AD-Replikationsintervall...) Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 26. September 2019 Melden Teilen Geschrieben 26. September 2019 Nutzt du wirklich Zielgruppenaddressierung? Das klingt eher nach Sicherheitsgruppenfilterung und der Computer kann die Richtlinie nicht lesen. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 26. September 2019 Melden Teilen Geschrieben 26. September 2019 LOL - stimmt, das wäre dann "Äpfel und Birnen" Und ich vergesse MS16-072 inzwischen gerne, weil das schon so ewig her ist... Zitieren Link zu diesem Kommentar
TechTech 0 Geschrieben 27. September 2019 Autor Melden Teilen Geschrieben 27. September 2019 Wir haben 2 Domain Controller auf unterschiedlichen Maschinen die sich replizieren allerdings an einem Standort. Ja ich nutze wirklich Zielgruppenaddressierung. Die GPO wird auch sofort aktiv sobald der Nutzer unter GPresult die Gruppe hat. Das funktioniert einwandfrei. Nur der Nutzer taucht eben nicht in der Gruppe auf. Liegt dies an dem gecachten Access Token? Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 27. September 2019 Melden Teilen Geschrieben 27. September 2019 Ist der User in sehr vielen Gruppen Mitglied? Zitieren Link zu diesem Kommentar
TechTech 0 Geschrieben 27. September 2019 Autor Melden Teilen Geschrieben 27. September 2019 Das ist unterschiedlich. Ich habe es bei mehreren Usern getestet: - User 1: 40 Gruppen - User 2: 21 Gruppen - User 3: 17 Gruppen - User 4: 23 Gruppen Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 27. September 2019 Melden Teilen Geschrieben 27. September 2019 vor 57 Minuten schrieb TechTech: Wir haben 2 Domain Controller auf unterschiedlichen Maschinen die sich replizieren allerdings an einem Standort. Ja ich nutze wirklich Zielgruppenaddressierung. Die GPO wird auch sofort aktiv sobald der Nutzer unter GPresult die Gruppe hat. Das funktioniert einwandfrei. Nur der Nutzer taucht eben nicht in der Gruppe auf. Liegt dies an dem gecachten Access Token? Die Replikation läuft auch fehlerfrei? Kannst du mal auf den beiden DCs direkt schauen ob der User wirklich Mitglied der Gruppe ist? Hat der Rechner wo er sich anmeldet auch eine Verbindung zu dem DCs? Zitieren Link zu diesem Kommentar
TechTech 0 Geschrieben 27. September 2019 Autor Melden Teilen Geschrieben 27. September 2019 Die Replikation läuft alles. Habe dazu das Windows Tool AD Replication Status Tool. Und sonst treten auch keine Fehler auf bei der Replikation (zumindest nicht das ich davon erfahren habe) Hatte ich bereits geprüft und es wird auf beiden DCs korrekt angezeigt. Ja haben alle eine Verbindung zu den DCs. (User 1 war am DC2 angemeldet und die Gruppenzugehörigkeit hat nicht gestimmt. Und User 3 war am DC1 und da passte es auch nicht.) Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 27. September 2019 Melden Teilen Geschrieben 27. September 2019 Verbinde dich doch in der Konsole Active Directory Computer und Benutzer einmal mit dem DC1 und einmal mit DC2 und mit DC3. Es kann passieren wenn Du dich auf DC2 anmeldest und die Konsole startest du automatisch in der Konsole auf DC1 verbunden wirst. Ganz oben siehst Du den Namen des DC, mit dem du auf der Konsole gerade verbunden bist. Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 27. September 2019 Melden Teilen Geschrieben 27. September 2019 vor 6 Stunden schrieb TechTech: Das ist unterschiedlich. Ich habe es bei mehreren Usern getestet: - User 1: 40 Gruppen - User 2: 21 Gruppen - User 3: 17 Gruppen - User 4: 23 Gruppen Sind da auch Gruppen in Gruppen mit dabei oder schon rekursiv gerechnet? Ich werde das Gefühl nicht los es könnte dsa TokenSizeLimit sein. Dazu gibt es im Technet ein Skript. https://gallery.technet.microsoft.com/scriptcenter/Check-for-MaxTokenSize-520e51e5 Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 27. September 2019 Melden Teilen Geschrieben 27. September 2019 Das steht dann aber auch im logfile! Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 27. September 2019 Melden Teilen Geschrieben 27. September 2019 vor 2 Minuten schrieb magheinz: Das steht dann aber auch im logfile! Kennst du jemanden der Logfiles liest? Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 27. September 2019 Melden Teilen Geschrieben 27. September 2019 Traurig aber wahr... Zitieren Link zu diesem Kommentar
TechTech 0 Geschrieben 27. September 2019 Autor Melden Teilen Geschrieben 27. September 2019 vor 7 Stunden schrieb Sunny61: Verbinde dich doch in der Konsole Active Directory Computer und Benutzer einmal mit dem DC1 und einmal mit DC2 und mit DC3. Es kann passieren wenn Du dich auf DC2 anmeldest und die Konsole startest du automatisch in der Konsole auf DC1 verbunden wirst. Ganz oben siehst Du den Namen des DC, mit dem du auf der Konsole gerade verbunden bist. Das werde ich morgen einmal testen! Mal schauen was dabei raus kommt. Danke vor 3 Stunden schrieb tesso: Sind da auch Gruppen in Gruppen mit dabei oder schon rekursiv gerechnet? Ich werde das Gefühl nicht los es könnte dsa TokenSizeLimit sein. Dazu gibt es im Technet ein Skript. https://gallery.technet.microsoft.com/scriptcenter/Check-for-MaxTokenSize-520e51e5 Wir haben so gut wie keine Gruppen in gruppen..... Ist alles eine sehr verworrene und verwachsene Struktur. Ich werde aber auch morgen hier mal im log nachsehen, ob ich darüber etwas finde. Ich gebe wieder Bescheid! Danke für eure tipps. Noch kurze frage: gibt es eine möglichkeit das Access token manuell zu erneuern ohne abmelden/anmelden? Oder ist dies immer schwierig? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.