Jump to content

Gruppenmitgliedschaft aktualisieren


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo

 

Wir haben ein Problem mit unserer Gruppenzuteilung im AD

 

Folgendes:

Ich habe eine neue Gruppe (Sicherheitsgruppe Global) erstellt und dieser Gruppe einen Benutzer zugewiesen (an dieser Gruppe hängt auch per Zielgruppenadressierung eine GPO nur zur Info). Ich habe den Rechner vom Benutzer 3 mal neugestartet und auch jedesmal eine Anmeldung des entsprechenden Benutzers durchgeführt.

Via gpresult -r wird mir die neu zugewiesene Gruppe nicht mit angezeigt (logischerweise greift dann auch die GPO nicht). Bei Whoami /group wird sie angezeigt.

Ebenfalls habe ich den benutzer aus einer Gruppe rausgenommen und diese wird ebenfalls unter gpresult noch angezeigt.

Ich schätze es hat irgend etwas mit einem gecachten Access Token zu tun. Habe auch bereits via Google Lösungen zu finden allerdings wird dort immer noch von neustarten/abmelden-anmelden geredet, was hier leider nicht funktioniert hat.

Den Kerberos Ticket cache mit klist purge habe ichauch bereits gelöscht. Hatte auch nicht geholfen.

 

Hat jmd. eine Idee wie ich das Problem lösen kann? Wäre für jede Hilfe dankbar.

 

Infos zu dem System:

- sind ganz normale Client Systeme ohne spezial Config

- Domänenfunktionsebene ist WIndows Server 2012

 

Link zu diesem Kommentar

Wir haben 2 Domain Controller auf unterschiedlichen Maschinen die sich replizieren allerdings an einem Standort.

 

Ja ich nutze wirklich Zielgruppenaddressierung. Die GPO wird auch sofort aktiv sobald der Nutzer unter GPresult die Gruppe hat. Das funktioniert einwandfrei.

Nur der Nutzer taucht eben nicht in der Gruppe auf. Liegt dies an dem gecachten Access Token?

 

 

Link zu diesem Kommentar
vor 57 Minuten schrieb TechTech:

Wir haben 2 Domain Controller auf unterschiedlichen Maschinen die sich replizieren allerdings an einem Standort.

 

Ja ich nutze wirklich Zielgruppenaddressierung. Die GPO wird auch sofort aktiv sobald der Nutzer unter GPresult die Gruppe hat. Das funktioniert einwandfrei.

Nur der Nutzer taucht eben nicht in der Gruppe auf. Liegt dies an dem gecachten Access Token?

 

 

Die Replikation läuft auch fehlerfrei? 

Kannst du mal auf den beiden DCs direkt schauen ob der User wirklich Mitglied der Gruppe ist?

Hat der Rechner wo er sich anmeldet auch eine Verbindung zu dem DCs? 

Link zu diesem Kommentar

Die Replikation läuft alles. Habe dazu das Windows Tool AD Replication Status Tool. Und sonst treten auch keine Fehler auf bei der Replikation (zumindest nicht das ich davon erfahren habe)

 

Hatte ich bereits geprüft und es wird auf beiden DCs korrekt angezeigt.

Ja haben alle eine Verbindung zu den DCs.

(User 1 war am DC2 angemeldet und die Gruppenzugehörigkeit hat nicht gestimmt. Und User 3 war am DC1 und da passte es auch nicht.)

Link zu diesem Kommentar

Verbinde dich doch in der Konsole Active Directory Computer und Benutzer einmal mit dem DC1 und einmal mit DC2 und mit DC3. Es kann passieren wenn Du dich auf DC2 anmeldest und die Konsole startest du automatisch in der Konsole auf DC1 verbunden wirst. Ganz oben siehst Du den Namen des DC, mit dem du auf der Konsole gerade verbunden bist.

Link zu diesem Kommentar
vor 6 Stunden schrieb TechTech:

Das ist unterschiedlich. Ich habe es bei mehreren Usern getestet:

- User 1: 40 Gruppen

- User 2: 21 Gruppen

- User 3: 17 Gruppen

- User 4: 23 Gruppen

Sind da auch Gruppen in Gruppen mit dabei oder schon rekursiv gerechnet?

Ich werde das Gefühl nicht los es könnte dsa TokenSizeLimit sein. Dazu gibt es im Technet ein Skript. https://gallery.technet.microsoft.com/scriptcenter/Check-for-MaxTokenSize-520e51e5

Link zu diesem Kommentar

 

vor 7 Stunden schrieb Sunny61:

Verbinde dich doch in der Konsole Active Directory Computer und Benutzer einmal mit dem DC1 und einmal mit DC2 und mit DC3. Es kann passieren wenn Du dich auf DC2 anmeldest und die Konsole startest du automatisch in der Konsole auf DC1 verbunden wirst. Ganz oben siehst Du den Namen des DC, mit dem du auf der Konsole gerade verbunden bist.

Das werde ich morgen einmal testen! Mal schauen was dabei raus kommt. Danke

 

vor 3 Stunden schrieb tesso:

Sind da auch Gruppen in Gruppen mit dabei oder schon rekursiv gerechnet?

Ich werde das Gefühl nicht los es könnte dsa TokenSizeLimit sein. Dazu gibt es im Technet ein Skript. https://gallery.technet.microsoft.com/scriptcenter/Check-for-MaxTokenSize-520e51e5

Wir haben so gut wie keine Gruppen in gruppen..... Ist alles eine sehr verworrene und verwachsene Struktur. 

Ich werde aber auch morgen hier mal im log nachsehen, ob ich darüber etwas finde. 

Ich gebe wieder Bescheid! Danke für eure tipps. 

 

Noch kurze frage: gibt es eine möglichkeit das Access token manuell zu erneuern ohne abmelden/anmelden? Oder ist dies immer schwierig? 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...