none
Gruppenmitglieder - unterschiedliche Anzeige dsa <--> net group RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    wir haben eine W2k8-Domain und da wurde jetzt eine Gruppe entdeckt, bei der "net group" im Vergleich zu AD-Tools eine zusätzliche User-ID anzeigt. Diese User-ID hat auch Zugriffsberechtigung auf Verzeichnisse, die für diese Gruppe freigegeben sind.

    Das Merkwürdige ist, dass diese User-ID nicht aus der Gruppe entfernt werden kann. Wenn sie per "net group xxx add [userid] hinzugefügt wird, ist sie über AD-Tools wie dsa.msc 1 Mal sichtbar, über die net group Abfrage 2 Mal! Dasselbe ergibt sich, wenn die UserID über dsa.msc hinzugefügt wird...

    Wird der User wieder aus der Gruppe entfernt, wird er wir zuvor nur über die net group Abfrage 1 mal angezeigt und kann nicht entfernt werden...

    Über dieses Phänomen wird auch in

    http://www.winserverkb.com/Uwe/Forum.aspx/windows-server-ad/22339/ghost-user-in-Win2K3-AD-group-only-visible-from-net

    berichtet, leider auch ohne Lösung.

    Löschen möchte ich die Gruppe eigentlich nicht, da sie auf ein ständig benutztes, sehr großes Filesystem berechtigt ist. Weiss irgendjemand vielleicht eine saubere Lösung dafür?

     

     

     

    Dienstag, 7. Dezember 2010 15:35
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hi

    der MS-Support hat das Problem aufgeklärt. Bei universal groups wird für Abfrage nach Gruppenmitgliedern über lanmanager-API nur die RID verwendet. Das ist der letzte Teil der SID... Und dummerweise sind in der betreffenden Gruppe noch drei Gruppen aus anderen domains Mitglied, von denen eine dieselbe RID hat wie ein User in unserer domain.

    Der User ist also wirklich kein Mitglied der Gruppe.

    Die net blabla Befehle sind zwar nach wie vor vorhanden, aber liefern manchmal falsche Ergebnisse.

    Grüße

    Hansgeorg

     

    Dienstag, 14. Dezember 2010 13:58
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi

    noch eine Anmerkung:

    ich habe den Support-Mitarbeiter wahrscheinlich nicht ganz richtig verstanden.

    Vermutlich ist es so, dass bei allen net group oder net user Abfragen nur die RID verglichen wird, da die innerhalb einer Domain eindeutig ist. Zu lanmanager-Zeiten gab es noch keine forests und universal groups

    Dazu soll es einen Technet-Artikel geben, den ich bisher aber noch nicht finden konnte. Wenn, dann schreibe ich den Link noch hier rein. Oder einer von Euch ist schneller :-)

    Dass die RID nur innerhalb einer domain eindeutig ist, wird oft geschrieben. Nur nicht, dass die lanmanager-Emulation für Abfragen ausschließlich diese RID verwendet.

    Gruß, Hansgeorg

    Dienstag, 14. Dezember 2010 15:19
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Howdie!
     
    Am 07.12.2010 16:35, schrieb hgz_swr:
    > wir haben eine W2k8-Domain und da wurde jetzt eine Gruppe entdeckt, bei
    > der "net group" im Vergleich zu AD-Tools eine zusätzliche User-ID
    > anzeigt. Diese User-ID hat auch Zugriffsberechtigung auf Verzeichnisse,
    > die für diese Gruppe freigegeben sind.
    >
    > Das Merkwürdige ist, dass diese User-ID nicht aus der Gruppe entfernt
    > werden kann. Wenn sie per "net group xxx add [userid] hinzugefügt wird,
    > ist sie über AD-Tools wie dsa.msc 1 Mal sichtbar, über die net group
    > Abfrage 2 Mal! Dasselbe ergibt sich, wenn die UserID über dsa.msc
    > hinzugefügt wird...
     
    Kannst du in "Active Directory Users and Computers" in den Eigenschaften
    des entsprechenden Benutzerkontos prüfen, welche Primäre Gruppe auf dem
    "Mitlied von"-Tab eingetragen ist? Welche Primärgruppe wird dort gelistet?
     
    Viele Grüße,
    Florian
     
     
    Blog: http://www.frickelsoft.net/blog
    Dienstag, 7. Dezember 2010 20:42
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Florian!

    Die primäre Gruppe ist "Domain Users", also ganz unverdächtig...

    Mitglied in der falschen Gruppe wurde der User wohl im Jahr 2007

     

    Grüßle

    Hansgeorg

    Mittwoch, 8. Dezember 2010 08:17
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    hat es evtl. mal ein Authoritative Restore für den User oder für die Gruppe gegeben?

    Eine Idee wäre, die Mitglieder der Gruppe per ldifde.exe zu exportieren, dann alle Mitglieder zu löschen und die Mitgliedsliste mit einem Import der LDF-Datei wiederherzustellen. Ist aber ungetestet ... wäre erst in einem Testklon zu überprüfen.

    Gruß, Nils

     

    Nils Kaczenski
    MVP Directory Services
    Hannover, Germany
    Sonntag, 12. Dezember 2010 20:24
    |
  • Question
    Anmelden
    0
    Anmelden

    Tach Nils,

    vielen Dank für deinen Vorschlag! Im Exportfile taucht die betreffende User-ID aber leider nicht auf, auch ADSedit zeigt sie nicht als Mitglied an :-(

    Die User-ID wurde 2002 aus der alten NT4-Domain migriert und umbenannt. Die Gruppe wurde 2005 angelegt, aber die ID war wohl nie Mitglied - ich hatte in den logs nach dem falschen Gruppennamen gesucht.

    Mir fallen nur zwei Möglichkeiten ein:

    • Löschen und Neuanlage der User-ID. Da müsste nur das Heim-Verzeichnis und das alte Profil neu berechtigt werden
    • Löschen und Neuanlage der Gruppe - ca. 9 TB in 1,8 Millionen Files müssten neu berechtigt werden

    Die zweite gefällt mir noch weniger als die erste, das könnte sicher ein paar Minuten dauern bis die Berechtigungen wieder sitzen.

    Viele Grüße

    Hansgeorg

    Montag, 13. Dezember 2010 10:20
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    seltsame Situation. Ich würde einen Call bei Microsoft eröffnen.

    Gruß, Nils

     

    Nils Kaczenski
    MVP Directory Services
    Hannover, Germany
    Montag, 13. Dezember 2010 14:09
    |
  • Question
    Anmelden
    0
    Anmelden

    Danke Nils,

    machen wir :-)

    Gruß Hansgeorg

     

    Montag, 13. Dezember 2010 15:07
    |
  • Question
    Anmelden
    0
    Anmelden
    Howdie!
     
    Am 13.12.2010 11:20, schrieb hgz_swr:
    > Die User-ID wurde 2002 aus der alten NT4-Domain migriert und umbenannt.
    > Die Gruppe wurde 2005 angelegt, aber die ID war wohl nie Mitglied - ich
    > hatte in den logs nach dem falschen Gruppennamen gesucht.
     
    Anderer Gedanke: Ihr habt doch mehrere DCs, oder? Ist das Verhalten auf
    _allen_ DCs nachvollziehbar?
     
    Cheers,
    Florian
     
    The views and opinions expressed in my postings do NOT correlate with the ones of my friends, family or my employer.
    Montag, 13. Dezember 2010 20:43
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Florian,

    ich habe gerade auf einem anderen DC nachgeschaut, der über 100 km entfernt ist. Von dem aus sieht es genauso aus. Wäre auch schlimm wenn sie nicht synchron wären.

    effective permissions für diese UserID werden in dem Verzeichnisbaum zum Glück nicht angezeigt.

     

    Gruß Hansgeorg

    Dienstag, 14. Dezember 2010 08:42
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    eins ist mir noch eingefallen: Dass der User im LDF nicht als Mitglied auftaucht, war ja erwartet und letztlich auch das Ziel des Ansatzes. Sofern du die Möglichkeit hast, einen Testklon des AD (also mit dem "Fehler") zu erzeugen, würde ich das Verfahren mal ausprobieren.

    Gruß, Nils

     

    Nils Kaczenski
    MVP Directory Services
    Hannover, Germany
    Dienstag, 14. Dezember 2010 11:06
    |
  • Question
    Anmelden
    0
    Anmelden

    effective permissions für diese UserID werden in dem Verzeichnisbaum zum Glück nicht angezeigt.

    das heißt überhaupt nichts. Auf die Funktion ist kein Verlass.

    Gruß, Nils

     

    Nils Kaczenski
    MVP Directory Services
    Hannover, Germany
    Dienstag, 14. Dezember 2010 11:07
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi

    der MS-Support hat das Problem aufgeklärt. Bei universal groups wird für Abfrage nach Gruppenmitgliedern über lanmanager-API nur die RID verwendet. Das ist der letzte Teil der SID... Und dummerweise sind in der betreffenden Gruppe noch drei Gruppen aus anderen domains Mitglied, von denen eine dieselbe RID hat wie ein User in unserer domain.

    Der User ist also wirklich kein Mitglied der Gruppe.

    Die net blabla Befehle sind zwar nach wie vor vorhanden, aber liefern manchmal falsche Ergebnisse.

    Grüße

    Hansgeorg

     

    Dienstag, 14. Dezember 2010 13:58
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    wow, interessant. Gut zu wissen. Hat sich der Call doch gelohnt. ;-)

    Hast du was dagegen, wenn ich einen FAQ-Artikel daraus mache?

    Gruß, Nils

     

    Nils Kaczenski
    MVP Directory Services
    Hannover, Germany
    Dienstag, 14. Dezember 2010 14:41
    |
  • Question
    Anmelden
    0
    Anmelden
    Hast du was dagegen, wenn ich einen FAQ-Artikel daraus mache?

    Hi Nils,

    nee hab nichts dagegen, mach nur...

    Dieses Problem taucht wohl nicht oft auf, aber wenn dann nervt es doch gewaltig

    Gruß, Hansgeorg

    Dienstag, 14. Dezember 2010 14:52
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi

    noch eine Anmerkung:

    ich habe den Support-Mitarbeiter wahrscheinlich nicht ganz richtig verstanden.

    Vermutlich ist es so, dass bei allen net group oder net user Abfragen nur die RID verglichen wird, da die innerhalb einer Domain eindeutig ist. Zu lanmanager-Zeiten gab es noch keine forests und universal groups

    Dazu soll es einen Technet-Artikel geben, den ich bisher aber noch nicht finden konnte. Wenn, dann schreibe ich den Link noch hier rein. Oder einer von Euch ist schneller :-)

    Dass die RID nur innerhalb einer domain eindeutig ist, wird oft geschrieben. Nur nicht, dass die lanmanager-Emulation für Abfragen ausschließlich diese RID verwendet.

    Gruß, Hansgeorg

    Dienstag, 14. Dezember 2010 15:19
    |
  • Question
    Anmelden
    0
    Anmelden

    Cool - interessante Kiste. Vielen Dank fürs Feedback. Das ist mir auch neu...

    Hast du Zeit und Lust, mir eine kurze EMail dazu zu schreiben? Ich würde mich gerne etwas näher mit der Thematik befassen und interessiere mich für die "Nebengegebenheiten": <mein Vorname> [at] frickelsoft.net.

    Cheers,

    Florian

    The views and opinions expressed in my postings do NOT correlate with the ones of my friends, family or my employer.
    Dienstag, 14. Dezember 2010 22:32
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi

    was mich noch interessieren würde ist, ob dieses Verhalten jetzt ein undokumentiertes "Feature" der net-Befehle ist oder ob es dazu wirklich irgendwo im Technet einen Hinweis gibt...

     

    Gruß Hansgeorg

    Mittwoch, 15. Dezember 2010 12:53
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    ein "Feature" in dem Sinne wird es nicht sein, sondern eher eine Altlast aus alten NT-Zeiten.

    Ob man dazu was findet ... sicher müsste man einige Zeit investieren.

    Gruß, Nils

     

    Nils Kaczenski
    MVP Directory Services
    Hannover, Germany
    Mittwoch, 15. Dezember 2010 13:45
    |