none
windows server 2003 vs. 2008 domain local groups

    Dotaz

  • Zdravím Vás,

    Můj problém je následující: Na windows serveru 2003 přidám uživatele do skupiny typu Domain local a potom si na klientské stanici vypíšu pomocí gpresult, tak v seznamu skupin, v nichž uživatel je, tato skupina uvedena není. Stejný postup aplikuji na windows serveru 2008, tam se členství v doménové lokální sk. (opět pomocí gpresult) projeví již po odhlášení a přihlášení.

    Členství v globálních skupinách na obou skupinách chodí tak, jak má. Jen ty doménové lokální zlobí....

    Předem díky za jakýkoliv nápad
    20. února 2010 20:26

Odpovědi

  • Ahoj,
    zkousel jsi uzivatele pridat z tech XPcek (po instalaci nejakeho toho adminpaku samozrejme)?
    Uzivatel jen "neni videt" ve skupine nebo mu prokazatelne nefunguje pristup na nejaky zdroj ktery ma povolen skrzeva tuto skupinu? V eventlogu zadne chyby ohledne security tokenu a pod?

    Win2003 je radicem domeny ve ktere jsou jeste nejake dalsi radice?

    MP

    P.S. omylem jsem oznacil jako odpoved, prosim ignoruj (nemam moznost ODznaciT)
    21. února 2010 10:21
    Moderátor

Všechny reakce

  • Ahoj,
    ty severy (2003 a 2008) jsou 2 radice teze domeny? Uzivatele pridavas ze serveru (proc)? Co se stane kdyz uzivatele pridas ze stanice?

    KDY se clenstvi uzivatele zadaneho z 2003 ve skupine projevi? Nikdy? Po restartu stanice?

    MP
    21. února 2010 9:45
    Moderátor
  • Ahoj,

    Předem bych ještě rád opravi svůj předchozí příspěvek, je tam překlep. 3. Věta od konce má znít: "..... v globálních skupinách na obou serverech....".

    Teď k Vašemu dotazu: Ty servery jsou na sobě naprosto nezávislé (Každý je řadičem jiné domény), mají i databázi uživatelů naprosto odlišnou. V roli stanice je win xp sp3. Na serveru 2003 se členství v doménové lokální skupině neprojeví nikdy (ani po trojnásobném odhlášení uživatele, restartu stanice, restartu serveru, ...... ). Tutéž pracovní stanici jsem zkusil vyhodit z domény existující na serveru 2003 a zařadil jsem ji do domény se serverem 2008. Členství v doménové lokální sk. existující na serveru 2008 se projevilo téměř okamžitě (po 2 odhlášeních / přihlášeních).

    Přidáním uživatele ze stanice máte na mysli cestu přes mmc konzoli na stanici s nainstalovaným adminpackem kde si vyberu snap-in nazvaný "Active directory users and computers?" nebo je to myšleno jinak?
    Díky, S.
    21. února 2010 10:16
  • Ahoj,
    zkousel jsi uzivatele pridat z tech XPcek (po instalaci nejakeho toho adminpaku samozrejme)?
    Uzivatel jen "neni videt" ve skupine nebo mu prokazatelne nefunguje pristup na nejaky zdroj ktery ma povolen skrzeva tuto skupinu? V eventlogu zadne chyby ohledne security tokenu a pod?

    Win2003 je radicem domeny ve ktere jsou jeste nejake dalsi radice?

    MP

    P.S. omylem jsem oznacil jako odpoved, prosim ignoruj (nemam moznost ODznaciT)
    21. února 2010 10:21
    Moderátor
  • Ano, přes mmc konzoli a adminpak jsem uživatele z klientské stanice zkusit přidal, ovšem výsledek stejný. Do logu jsem koukal (přes run->eventvwr->directory service, měl jste na mysli tento log?). Je tam tato chyba:

    ---------------------------------------------------------------------------------------
    "Active Directory did not perform an authenticated remote procedure call (RPC) to another domain controller because the desired service principal name (SPN) for the destination domain controller is not registered on the Key Distribution Center (KDC) domain controller that resolves the SPN.

     

    Destination domain controller:

    6971e166-17b8-4f89-96cd-655e52c22d1d._msdcs.srandovo.cz

    SPN:

    E3514235-4B06-11D1-AB04-00C04FC2DCD2/6971e166-17b8-4f89-96cd-655e52c22d1d/srandovo.cz@srandovo.cz

     

    User Action

    Verify that the names of the destination domain controller and domain are correct. Also, verify that the SPN is registered on the KDC domain controller. If the destination domain controller has been recently promoted, it will be necessary for the local domain controller’s computer account data to replicate to the KDC before this computer can be authenticated."
    ---------------------------------------------------------------------------------------

    V doméně srandovo.cz byly dva doménové controllery, jeden byl ale odebrán (Chtěl jsem zkusit, jestli to přidání druhého nějak ovlivní...neovlivnilo).Očividně o tom zrušení druhého ten stávající fungující domain controller neví a snaží se tam replikovat. Dle mého názoru by to ale na můj problém nemělo mít vliv....Jinak chyby ohledně Security TOKENu v logu nejsou....



    Abych odpověděl na další část otázky: Ano, tento handicap se projeví v přístupu ke zdrojům. Existuje složka, která má nastaveny práva pro čtení jen pro danou doménovou lokální sk. ... uživatel si tím pádem složku ani neotevře.

    Další věc kde se to projeví: Mám nasazený group policy security filtering (politika se má projevit jen právě na té určíté doménové lokální skupině)... opět bez výsledku... Zkusím si z MSDNAA stáhnout ještě jinou verzi Serveru 2003, například Standard (nyní se bavíme o enterprise). Pochybuju ale, že změna verze by měla mít vliv na můj problém....
    21. února 2010 12:17
  • ahoj,
    provedl jsi metadata cleanup a seizing roli po odebrani druheho DC? Pokud odebrani probehlo pres DCPROMO bez chyb NEMELO BY BYT TREBA ale realita .... :-/

    MP
    21. února 2010 14:41
    Moderátor
  • Zdravím,

    Ono to nechodilo už před tím, neź tam vůbec nějaký druhý doménový controller přibyl. Seizing ještě můžu vyzkoušet, to je dobrý nápad. Každopádně dnes mě zarazilo, že ani po čisté instalaci se to nechová korektně. Servery provozuji střídavě ve vmware a virtualboxu (studijní účely), ale tím to snad způsobeno není. Za chvíli mi doběhne server 2003 standard, půjdu ještě vyzkoušet jeho a dám vědět. Zatím díky.

    S.

    21. února 2010 21:50