Ifmember.exe / Group Problem

[Cyver 10]

Hoi @ all!

 

Ich hab in meinen Logon Script eine If Bedingung eingbaut in der ich mit Ifmember.exe (Resource Kit Tool) die Gruppenzugehörigkeit Abfrage. Mein Problem dabei:

 

Mit ifmember.exe /l erscheinen zwar die Gruppen des Users aber es fehlen welche, nämlich genau die eigentliche die ich abfrage. Es erscheinen nur die "Standart" Gruppen wie Domänen-Benutzer / Jeder / ... ! Aber nicht die neu angelegt Gruppe.

 

User is ein Normaler Benutzer und Gruppe eine "globale" Sicherheitsgruppe.

 

Das EventLog am Server (W2k3 mit allen FSMO Rollen in einer W2k Domäne) zeigt keine Fehler. Irgendwie hinkt da was hinten nach.

 

 

An was kann das liegen ?

 

Danke & mfG

 

Cyver

[Schorschinio 10]

@Cyver

 

Wenn Du If Abfragen auf Gruppen machen willst würde ich Dir die Skriptsprache KIX empfehlen und dort mit "IF InGroup" arbeiten.

Du findest das ganze unter http://www.kixtart.org

 

CU HG

[lefg 276]

Hallo,

 

ifmember.exe groupname

if errorlevel ...

 

Viel Erfolg

Edgar

[Cyver 10]

blubb sag ich da nur.

 

Danke für eure Antworten aber das is keine Lösung für mich leider.

 

@HG4U

 

Auf was anderes ausweichen is ne Möglichkeit aber es muss so auch funken. Problemen ausweichen tu ich net , sind ja zum Lösen da ;) Ich gaub kaum das es was ändern würde am Prob ausserdem, wenn der User nicht in der Gruppe aufscheint dann hats das Problem wo anders und da wird KIX nichts dran ändern können.

 

 

@lefg

 

Das war mir schon klar wies es funkt. Sonst wäre ich ja net auf das Problem gekommen.

 

 

Es muss irgendwie am AD liegen, anders kann ich es mir nicht erklären.

 

Danke Trotzdem ..

 

mfg

Cyver

[grizzly999 11]

Der Benutzer hat sich aber schon angemeldet? Checke die Gruppenmitgliedschaft doch auch mal mit "whoami /all", wenn er angemeldet ist.

 

grizzly999

[Cyver 10]

Ja klar bin ich eingeloggt.

 

Die Ausgabe schaut dann so aus:

 

[user] = "SCNET\Oliver" S-1-5-21-1801674531-1326574676-839522115-1151

 

[Group 1] = "SCNET\Domänen-Benutzer" S-1-5-21-1801674531-1326574676-839522115-513

[Group 2] = "Jeder" S-1-1-0

[Group 3] = "PCOLIVER\Debugger Users" S-1-5-21-448539723-492894223-1708537768-1004

[Group 4] = "VORDEFINIERT\Administratoren" S-1-5-32-544

[Group 5] = "VORDEFINIERT\Benutzer" S-1-5-32-545

[Group 6] = "NT-AUTORITÄT\INTERAKTIV" S-1-5-4

[Group 7] = "NT-AUTORITÄT\Authentifizierte Benutzer" S-1-5-11

[Group 8] = "LOKAL" S-1-2-0

[Group 9] = "SCNET\SMTP-User" S-1-5-21-1801674531-1326574676-839522115-1202

[Group 10] = "" S-1-5-21-1801674531-1326574676-839522115-1211

[Group 11] = "SCNET\Domänen-Admins" S-1-5-21-1801674531-1326574676-839522115-512

[Group 12] = "SCNET\SMSMSE Admins" S-1-5-21-1801674531-1326574676-839522115-1199

 

 

(X) SeChangeNotifyPrivilege = Auslassen der durchsuchenden Überprüfung

(O) SeSecurityPrivilege = Verwalten von Überwachungs- und Sicherheitsprotokollen

(O) SeBackupPrivilege = Sichern von Dateien und Verzeichnissen

(O) SeRestorePrivilege = Wiederherstellen von Dateien und Verzeichnissen

(O) SeSystemtimePrivilege = Ändern der Systemzeit

(O) SeShutdownPrivilege = Herunterfahren des Systems

(O) SeRemoteShutdownPrivilege = Erzwingen des Herunterfahrens von einem Remotesystem aus

(O) SeTakeOwnershipPrivilege = Übernehmen des Besitzes von Dateien und Objekten

(O) SeDebugPrivilege = Debuggen von Programmen

(O) SeSystemEnvironmentPrivilege = Verändern der Firmwareumgebungsvariablen

(O) SeSystemProfilePrivilege = Erstellen eines Profils der Systemleistung

(O) SeProfileSingleProcessPrivilege = Erstellen eines Profils für einen Einzelprozess

(O) SeIncreaseBasePriorityPrivilege = Anheben der Zeitplanungspriorität

(X) SeLoadDriverPrivilege Laden und Entfernen von Gerätetreibern

(O) SeCreatePagefilePrivilege Erstellen einer Auslagerungsdatei

(O) SeIncreaseQuotaPrivilege Anpassen von Speicherkontingenten für einen Prozess

(X) SeUndockPrivilege Entfernen des Computers von der Dockingstation

(O) SeManageVolumePrivilege Durchführen von Volumewartungsaufgaben

(X) SeCreateGlobalPrivilege Erstellen globaler Objekte

(X) SeImpersonatePrivilege Annehmen der Clientidentität nach Authentifizierung

 

 

 

So, wenn ich aber am Server einen Blick ins AD mache bin ich auch noch in der Gruppe "Spezialdrucker" die eben bei der ifmember.exe abfrage gecheckt wird.

 

Kann es irgendwie einen Zusammenhang geben das ich einem W2k3 Server die FSMO Rollen übertragen habe und dem alten W2k entzogen ?

 

Danke & mfg

 

Cyver

[Schorschinio 10]

@Cyver

 

Da hast Du recht, wenn AD schon Probleme mach kann eine andere Skriptsprache au nix helfen...

Ich hab KIX bloß vorgeschlagen, da ich keine bessere Logonskriptsprache kenn. Du kannst da sehr viel mit machen...

Alternativ könntest Du mit KIX (oder ähnlichem) abprüfen ob das Problem wirklich schon von AD kommen würde...

 

Aber Probleme sollten nicht umgangen werden, sonst weiß man nie woran's lag!

[grizzly999 11]

Original geschrieben von Cyver

Ja klar bin ich eingeloggt.

Äh, sorry, ich hatte etwas Eile in der Mittagspause. Ich meinte nicht nur "angegemeldet", sondern "NEU angemeldet". DC-Replikations-Latenzen sind natürlich auch zu berücksichtigen.

 

Wenn er immer noch nicht MItglied ist, dann wäre die Frage, steht was im Log? Sind anere Mitglieder in der Gruppe und taucht bei denen die Mitgliedschaft im Token auf? Wie sieht es aus, wenn du einen Testuser neu in die Gruppe aufnimmst?

 

Mit der Übertragung der FSMO sollte das nichts zu tun haben.

 

 

grizzly999