none
Windows 7 Pro - Gruppen in der Domäne werden nur als SID, nicht im Klartext angezeigt (Unbekannter SID-Typ) RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich bin dabei meine ersten Versuche mit Windows 7 Pro in der Domäne durchzuführen und bekam zuerst einmal das Problem das mein Loginscript nicht zum Erfolg führte. Okay, ich erinnerte mich daran das bei Vista das Problem bestand das man nicht dem anmeldenden User Adminrechte zuweisen durfte. Das korrigiert half aber auch nicht. Existierende Netzlaufwerke wurden gelöscht (so steht das im Loginscript), die von seiner Gruppe abhängigen Mappings erfolgten dann aber nicht.

    Nach einigem Suchen fiel mir auf das bei "whoami /all" in einer Eingabeaufforderung nur die SIDs angezeigt werden und nicht der Klartextname der Gruppen. Es kommt auch die Meldung "Unbekannter SID-Typ".

    In der Verwaltung (Lokale Benutzer und Gruppen) erscheint bei "Benutzer" auch nur die SID, und nicht der erwartete Text Domänenname\Domänenbenutzer. Suche ich eine Gruppe und weise diese zu, erscheint für diese dann auch der Klartextname.

    Jemand eine Ahnung was da falsch läuft?

    Ciao

    Donnerstag, 25. November 2010 08:11
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    auf welchem technischen Stand ist die Domäne?

    Hilft es, wenn du den Client einmal aus der Domäne nimmst und neu hinzufügst?

    Was sagt das Eventlog?

    Gruß, Nils

     

    Nils Kaczenski
    MVP Directory Services
    Hannover, Germany
    Donnerstag, 25. November 2010 09:33
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 25.11.2010 schrieb HessischerBub:

    ich bin dabei meine ersten Versuche mit Windows 7 Pro in der Domäne durchzuführen und bekam zuerst einmal das Problem das mein Loginscript nicht zum Erfolg führte. Okay, ich erinnerte mich daran das bei Vista das Problem bestand das man nicht dem anmeldenden User Adminrechte zuweisen durfte. Das korrigiert half aber auch nicht. Existierende Netzlaufwerke wurden gelöscht (so steht das im Loginscript), die von seiner Gruppe abhängigen Mappings erfolgten dann aber nicht.

    Hast Du die beiden Einstellung aus der No. 36 der GPO-FAQ umgesetzt?
    http://www.gruppenrichtlinien.de/Grundlagen/faq.htm Wenn nein, beide
    Einstellungen setzen und die Clients zweimal neu starten. Kontrolliere
    mit RSOP.MSC am Client ob die Einstellungen auch ankommen.

    Nach einigem Suchen fiel mir auf das bei "whoami /all" in einer Eingabeaufforderung nur die SIDs angezeigt werden und nicht der Klartextname der Gruppen. Es kommt auch die Meldung "Unbekannter SID-Typ".

    Zeig doch mal das Script bzw. den Inhalt her. Fehlermeldungen im
    Ereignisprotokoll?

    In der Verwaltung (Lokale Benutzer und Gruppen) erscheint bei "Benutzer" auch nur die SID, und nicht der erwartete Text Domänenname\Domänenbenutzer. Suche ich eine Gruppe und weise diese zu, erscheint für diese dann auch der Klartextname.

    Poste ein ipconfig /all vom Client und vom DC. Ist der DC auch als DNS
    Server konfiguriert? Hast Du auf dem DC Fehlermeldungen im
    Ereignisprotokoll?

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Donnerstag, 25. November 2010 09:53
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Nils,

    > auf welchem technischen Stand ist die Domäne?

    Windows 2000 und dort in der maximal verfügbaren Einstellungen. Genauer Fachbegriff ist mir entfallen, man kann jedenfalls danach Gruppen schachteln.

    > Hilft es, wenn du den Client einmal aus der Domäne nimmst und neu hinzufügst?

    Eben mal probiert. Nö, keine Abhilfe.

    Ich kann über "Lokale Benutzer und Gruppen" das AD durchsuchen und bekomme dort die Gruppen im Klartext angezeigt. Teilweise werden in den lokalen Gruppen nicht der Klartextname aus dem AD angezeigt, sondern SIDs. Wie z.B. bei Benutzer, da steht neben 2x "NT-AUTORITÄT\..." eine Gruppe "S-1-5-21-1....", was wohl für MYDOMÄNE\Domänen-Benutzer stehen soll.

     

    Genauso zeigt ein "whoami /groups" nur SIDs und keine Klartextnamen für die Gruppe an. Und gpresult /r liefert mir nicht die Domänengruppen. Okay, keine Ahnung, ob letzteres das auch müsste.

    Das scheint wohl das Hauptproblem zu sein, das das Mapping nicht funzt, liegt wohl an "ifmember" und das der nicht den Namen in Klartext aufgelöst bekommt.

    >Was sagt das Eventlog

    Im Eventlog des Domänencontrollers (ermittelt via set logon) finde ich im Sicherheitsprotokoll Einträge wie:

     

    ID 677

    Fehlgeschlagene Anfrage für Dienstticket

    Benutzername: W7PRO$

    Fehlercode: 0x29

    Und das selbe für den Benutzername, der sich dann an Windows 7 angemeldet hat.

     

    Ciao

     

     

     

     

    Donnerstag, 25. November 2010 10:01
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Winfried,

    "Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten" = aktiviert

    Das war aktiv.

    "Anmeldeskripts gleichzeitig ausführen" = aktiviert

    Das nicht. Okay, müsste ich zur Gruppenrichtlinien hinzufügen, wenn es für Skripts was bringt.

    Ich beobachte sowieso immer wieder das auf Clients Fehlermeldungen erscheinen, weil Netzwerkaktion vor Start des TCPIP-Protokolls laut Systemprotokoll durchgeführt werden sollen. Vielleicht muss ich zur sicheren Erstübernahme "gpupdate /target:computer /force" auf den neuen Rechner ausführen?

    Das löst aber wohl nicht mein Problem mit "Windows 7 Pro" und der nicht aufzulösenden Gruppennamen.

    ipconfig /all auf Windows 7 Rechner


    Windows-IP-Konfiguration

       Hostname  . . . . . . . . . . . . : w7pro
       Prim„res DNS-Suffix . . . . . . . : firma.loc
       Knotentyp . . . . . . . . . . . . : Hybrid
       IP-Routing aktiviert  . . . . . . : Nein
       WINS-Proxy aktiviert  . . . . . . : Nein
       DNS-Suffixsuchliste . . . . . . . : firma.loc

    Ethernet-Adapter LAN-Verbindung:

       Verbindungsspezifisches DNS-Suffix: firma.loc
       Beschreibung. . . . . . . . . . . : Realtek PCIe GBE Family Controller
       Physikalische Adresse . . . . . . : 6C-62-6D-70-E6-2F
       DHCP aktiviert. . . . . . . . . . : Ja
       Autokonfiguration aktiviert . . . : Ja
       IPv4-Adresse  . . . . . . . . . . : 172.16.100.53(Bevorzugt)
       Subnetzmaske  . . . . . . . . . . : 255.255.0.0
       Lease erhalten. . . . . . . . . . : Donnerstag, 25. November 2010 11:24:08
       Lease l„uft ab. . . . . . . . . . : Freitag, 25. November 2011 11:24:07
       Standardgateway . . . . . . . . . : 172.16.0.100
       DHCP-Server . . . . . . . . . . . : 172.16.0.2
       DNS-Server  . . . . . . . . . . . : 172.16.0.2
                                           172.16.0.3
                                           172.16.0.8
       Prim„rer WINS-Server. . . . . . . : 172.16.0.2
       Sekund„rer WINS-Server. . . . . . : 172.16.0.8
       NetBIOS �ber TCP/IP . . . . . . . : Aktiviert

    Tunneladapter isatap.firma.loc:

       Medienstatus. . . . . . . . . . . : Medium getrennt
       Verbindungsspezifisches DNS-Suffix: firma.loc
       Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
       Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP aktiviert. . . . . . . . . . : Nein
       Autokonfiguration aktiviert . . . : Ja

    ipconfig /all auf einem der Domänencontroller


    Windows 2000-IP-Konfiguration



        Hostname. . . . . . . . . . . . . : DC01
        Prim„res DNS-Suffix . . . . . . . : firma.loc
        Knotentyp . . . . . . . . . . . . : Hybridadapter

        IP-Routing aktiviert. . . . . . . : Nein

        WINS-Proxy aktiviert. . . . . . . : Nein

        DNS-Suffixsuchliste . . . . . . . : firma.loc

    Ethernetadapter "LAN-Verbindung":



        Verbindungsspezifisches DNS-Suffix: firma.loc
        Beschreibung. . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter
        Physikalische Adresse . . . . . . : 00-0C-29-D3-18-64

        DHCP-aktiviert. . . . . . . . . . : Nein

        IP-Adresse. . . . . . . . . . . . : 172.16.0.8

        Subnetzmaske. . . . . . . . . . . : 255.255.0.0

        Standardgateway . . . . . . . . . : 172.16.0.100

        DNS-Server. . . . . . . . . . . . : 172.16.0.2
                                            172.16.0.3
                                            172.16.0.8
        Prim„rer WINS-Server. . . . . . . : 172.16.0.8

    Ciao

     

    Donnerstag, 25. November 2010 10:41
    |
  • Question
    Anmelden
    0
    Anmelden

       DNS-Server  . . . . . . . . . . . : 172.16.0.2
                                           172.16.0.3
                                           172.16.0.8
       Prim„rer WINS-Server. . . . . . . : 172.16.0.2
       Sekund„rer WINS-Server. . . . . . : 172.16.0.8


    die .0.8 ist der eine DC - was sind 0.2 und 0.3?

    Gruß, Nils

     

    Nils Kaczenski
    MVP Directory Services
    Hannover, Germany
    Donnerstag, 25. November 2010 11:13
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 25.11.2010 schrieb HessischerBub:

    "Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten" = aktiviert

    Das war aktiv.

    OK.

    "Anmeldeskripts gleichzeitig ausführen" = aktiviert

    Das nicht. Okay, müsste ich zur Gruppenrichtlinien hinzufügen, wenn es für Skripts was bringt.

    Aktiviere das auch.

    Ich beobachte sowieso immer wieder das auf Clients Fehlermeldungen erscheinen, weil Netzwerkaktion vor Start des TCPIP-Protokolls laut Systemprotokoll durchgeführt werden sollen. Vielleicht muss ich zur sicheren Erstübernahme "gpupdate /target:computer /force" auf den neuen Rechner ausführen?

    Das wird nichts bringen wenn der Client die GPOs nicht übernimmt.

    Das löst aber wohl nicht mein Problem mit "Windows 7 Pro" und der nicht aufzulösenden Gruppennamen.

    Nein, aber es ist sauberer. Hast Du das Problem nur auf W7 Rechnern
    oder auch auf anderen Betriebssystemen?

    Windows 2000-IP-Konfiguration
    Ethernetadapter "LAN-Verbindung":
        Verbindungsspezifisches DNS-Suffix: firma.loc
        Beschreibung. . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter
        Physikalische Adresse . . . . . . : 00-0C-29-D3-18-64

    Ist die Zeitsynchronisation zwischen Host und Guest abgeschaltet?
    Funktioniert das Zeitmanagment zwischen den DCs und den Clients
    sauber? Läuft die Replikation zwischen den DCs ohne Fehlermeldungen im
    Eventlog?

    Für das Event 677 aus dem anderen Posting gibts hier eine
    Anlaufstelle:
    http://www.eventid.net/display.asp?eventid=677&eventno=4&source=Security&phase=1

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Donnerstag, 25. November 2010 11:21
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Nils.

    die anderen beiden DCs. Und ich glaube, ich habe die Regeln für "DNS becomes an Island" beherzigt. Im Prinzip müsste DNS und die Auflösung vom Windows 7 Client aus klappen, sonst könnte der da nicht in die Domäne ohne meckern eingefügt werden und auf die Netzwerklaufwerke (manuell gemappt) kann ich auch zugreifen. Auch ein "nslookup firma.loc" wird aufgelöst.

    Ach ja, aktiviert habe ich Windows 7 noch nicht. Das wird aber wohl nicht die Ursache sein, oder? Patches sind alle eingespielt.

     

    Ciao

     

    Donnerstag, 25. November 2010 11:23
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Winfried,

    ich habe eben mal die Uhrzeit am Windows 7 Client verstellt und neu gebootet. Uhrzeit wurde sauber übernommen. Also haut dort die Zeitsynchronisation hin. Replikationsfehler sehe ich in den Logfiles der DCs keine.

    Was ich hier ab und an habe, ist die fehlende Zeitsynchronisationnach Übernahme eines neuen Clients (Windows XP Pro). Gucke ich dann in das Ereignisprotokoll sehe ich das die Zeit vor dem Start des TCPIP-Protokolls übernommen werden soll. Es half da öfters anstatt einem neuen Realtek-Netzwerktreibers den von Microsoft zu nutzen.

    Bei einem bestimmten Image (mit sysprep vorbereitet) zeigt auch dies ein Erfolg: "w32tm /config /update /syncfromflags:DOMHIER"

    Ciao

     

     

    Donnerstag, 25. November 2010 11:39
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 25.11.2010 schrieb HessischerBub:

    ich habe eben mal die Uhrzeit am Windows 7 Client verstellt und neu gebootet. Uhrzeit wurde sauber übernommen. Also haut dort die Zeitsynchronisation hin. Replikationsfehler sehe ich in den Logfiles der DCs keine.

    OK.

    Was ich hier ab und an habe, ist die fehlende Zeitsynchronisationnach Übernahme eines neuen Clients (Windows XP Pro). Gucke ich dann in das Ereignisprotokoll sehe ich das die Zeit vor dem Start des TCPIP-Protokolls übernommen werden soll. Es half da öfters anstatt einem neuen Realtek-Netzwerktreibers den von Microsoft zu nutzen.

    Der Client hat vermutlich dann die Einstellung "Immer auf das Netzwerk
    warten" noch nicht übernommen. Beim zweiten Neustart sollte das dann
    allerdings funktionieren.

    Bei einem bestimmten Image (mit sysprep vorbereitet) zeigt auch dies ein Erfolg: "w32tm /config /update /syncfromflags:DOMHIER"

    Du kannst das auch mit einer GPO einstellen:
    http://www.gruppenrichtlinien.de/HowTo/Zeitserver_per_GPO.htm

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Donnerstag, 25. November 2010 12:36
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich habe nun Windows 7 Pro aus der Domäne geworfen und auf diesem Rechner Windows Vista Business installiert. Ergebnis: SIDs werden im Klartext aufgelöst und auf Anhieb funzt mein Anmeldeskript (jedenfalls, wenn der Benutzer kein lokaler Admin wird).

    Im Unterschied zur vorherigen Installation habe ich die Arbeitsgruppe auf "Workgroup" gelassen und bin dann sofort nach Installation aller Hardwaretreiber in die Domäne eingetreten. Das wird aber doch wohl kein großen Einfluss haben, oder?

    Nachher mache ich noch eine Installation von Windows 7 Pro und versuche das dort genauso und melde das Ergebnis.

    Also warum löst Windows 7 Pro in meiner Firmendomäne die Domänen-SIDs nicht auf. Sucht man ein wenig im Internet, schreiben da einige drüber. Ich habe aber keine Lösung gefunden. Vielleicht, wenn ich mal in Englisch suche? Hmmm...

    Ciao

     

    Donnerstag, 25. November 2010 14:23
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    noch schnell eine Anmerkung:

    Nochmal Windows 7 Pro installiert.

     

    --> Domänen-SIDs werden nicht mit Klartextname angezeigt.

    Tja...

    Ciao

     

    Donnerstag, 25. November 2010 15:02
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 25.11.2010 schrieb HessischerBub:

    ich habe nun Windows 7 Pro aus der Domäne geworfen und auf diesem Rechner Windows Vista Business installiert. Ergebnis: SIDs werden im Klartext aufgelöst und auf Anhieb funzt mein Anmeldeskript (jedenfalls, wenn der Benutzer kein lokaler Admin wird).

    Das mit dem lokalen Admin kann man mit einer GPO umgehen.
    http://www.gruppenrichtlinien.de/adm/Beispiele.htm Beispiel No. 44
    sollte helfen.

    Im Unterschied zur vorherigen Installation habe ich die Arbeitsgruppe auf "Workgroup" gelassen und bin dann sofort nach Installation aller Hardwaretreiber in die Domäne eingetreten. Das wird aber doch wohl kein großen Einfluss haben, oder?

    Nein, Du kannst aber auch VISTA nicht mit 7 an der Stelle vergleichen.

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Donnerstag, 25. November 2010 15:28
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 25.11.2010 schrieb HessischerBub:

    noch schnell eine Anmerkung:

    Nochmal Windows 7 Pro installiert.

    Von einer Original DVD oder eine Recovery DVD?

    --> Domänen-SIDs werden nicht mit Klartextname angezeigt.

    Du solltest Du den MS-Support anrufen und einen Call eröffnen.

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Donnerstag, 25. November 2010 15:28
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Zusammen,

    ich habe genau das selbe Problem mit Server 2008R2 und Windows 7 Ent Clients. Seit gestern werden nur noch SIDs angezeigt und Berechtigungen (admin) fehlen auch. Es herrschte eine komplett funktionierende Infrastruktur, mit 2 DCs.

    Hat dazu jemand eine Idee?

    Dienstag, 21. April 2015 05:49
    |