Grobiii 10 Geschrieben 16. Mai 2006 Melden Teilen Geschrieben 16. Mai 2006 Hallo Admins, mein Problem ist, das im Zuge der Umsetzung eines neuen FilePermission Konzeptes Fehler auftraten. Wenige User konnten sich nicht mehr gegenüber der ADS authentifizieren. Ursache war, das sie zu viele Gruppenmitgliedschaften durch nesting hatten, und Kerberos dies nicht vertrug. Wie in diesem Artikel beschrieben. http://support.microsoft.com/kb/280830/en-us Komischer Weise tritt das nur bei sehr wenigen Usern auf und die Ursache können wir nicht wirklich finden. Es scheint eher mit alten Gruppen zusammen zu hängen. Denn auch User mit über 150 Gruppenmitgliedschaften haben keine Probleme. Welche Gruppen SIDs werden denn genau dem Kerb. Token übergeben? kleines Beispiel: Wir haben ReadGruppen erstellt für fast jedes Folder. Mitglied sind oft Domain Users. Somit ist jeder User (da er ja Domain User ist) durch einfachnesting Mitglied der ReadGruppen. Zu Fehlern kommt es aber bei diesen nicht. Hat jemand eine Idee? Danke! Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 16. Mai 2006 Melden Teilen Geschrieben 16. Mai 2006 Wir haben ReadGruppen erstellt für fast jedes Folder. Mitglied sind oft Domain Users. Somit ist jeder User (da er ja Domain User ist) durch einfachnesting Mitglied der ReadGruppen. Blickt dann da noch jemand durch? Warum habt ihr die Benutzer direkt in die Ressourcengruppen gesteckt und nicht AGDLP oder AGUDLP umgesetzt? Das würde deinem eigentlichen Problem nicht helfen, da auch diese Gruppen dann in das Kerberos Token aufgenommen werden würde. Hast du die im KB Artikel erwähnte Lösung denn angewendet? Um welche Serverversion handelt es sich überhaupt? Zitieren Link zu diesem Kommentar
Grobiii 10 Geschrieben 17. Mai 2006 Autor Melden Teilen Geschrieben 17. Mai 2006 danke für dine Antwort! Also das lustige ist ja, es handelt sich um eine kompl. win 2003 server Umgebung. Demnach dürfte dieses Problem garnicht auftauchen...denke ich. Wir wollten bis dato noch nicht die regedit ändern, weil noch nicht klar war wo der Fehler eigentlich wirklich liegt. Ist halt auch ein Kundenumgebung, und nichts internes. Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 17. Mai 2006 Melden Teilen Geschrieben 17. Mai 2006 Also das lustige ist ja, es handelt sich um eine kompl. win 2003 server Umgebung. Demnach dürfte dieses Problem garnicht auftauchen...denke ich. Denke ich auch. Der KB Artikel bezieht sich ja nur auf 2000. Das Problem sollte also woanders liegen. Habe aber leider auch keine Idee woran das liegen könnte. Irgendwelche Gruppenrichtlinien die nur auf diese Benutzerkonten wirken vielleicht? Zitieren Link zu diesem Kommentar
Grobiii 10 Geschrieben 17. Mai 2006 Autor Melden Teilen Geschrieben 17. Mai 2006 Die gibt es natürlich, aber daran sollte es auch nicht liegen. Das komische ist ja, das es bis jetzt nur 2 User betrifft. Der Kunde hat leider sofort selbst Hand angelegt, ohne das wir ein Auge drauf werfen konnten. Die betroffenen User hatten wirklich viele Gruppen, und nach dem Löschen der Alten "Memberof" Gruppen an den Usern, ging auch alles wieder, aber dennoch...es gibt User die noch wesentlich mehr Gruppen haben. Es muss irgendwo anders einen Grund geben. Vielleicht waren die beiden User Mitglied einer Gruppe die sehr viel nestings hatte. Hm, lässt sich nicht mehr nachvollziehen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.