none
AD Gruppensuche RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    folgendes Problem.

    AD-Gruppenermittlung ist aktiviert. Als Pfad habe ich die OU-Gruppe der AD angegeben, wo sich die Gruppen befinden.

    Wenn ich nun eine neue Boundary-Group erstelle, gehe ich wie folgt vor:

    Boundary-Group erstellen -> Abfrage Regel -> Kriterien -> Systemresource / Sicherheitsgruppenname -> und dann über einfacher Wert lasse ich mir alles anzeigen.

    Allerdings fehlen viele Gruppen einfach und ich weiß nicht wieso. Ich hab auch eine erneute Ausführung der AD veranlasst, hat aber auch nichts geholfen.

    Gruß,

    excQ

    Samstag, 17. Oktober 2015 19:11
    |

Antworten

  • Question
    Anmelden
    2
    Anmelden

    Dann müsstest du Sie auch z.B. via Query (Abfrage-Regel) einer Benutzer-Collection hinzufügen können:

    Abfrageanweisung:

    select *  from  SMS_R_User where SMS_R_User.SecurityGroupName = "DOMAIN\\GROUP"

    Sollte auch via Direct-Rule (Direkte Regel) gehen, bin jedoch nicht wirklich ein Fan von Direct Rules :)

    Beim obigen Weg via Query (Abfrage-Regel) hast du den Vorteil, dass du auch die tatsächlichen Benutzern innerhalb der Collections (Sammlungen) siehst und somit auch die Bereitstellungen auf den Eigenschaften des Benutzers.

    Simon Dettling | msitproblog.com | @SimonDettling

    • Bearbeitet Simon Dettling Montag, 19. Oktober 2015 09:17
    • Als Antwort markiert excQ Montag, 19. Oktober 2015 09:41
    Montag, 19. Oktober 2015 09:16
    |
  • Question
    Anmelden
    2
    Anmelden
    Erstelle auf der Benutzersammlung eine neue Abfrageregel -> Abfrageanweisung bearbeiten -> Abfragesprache anzeigen und dann das obenstehende Code Snippet verwenden mit den entsprechenden Angaben (Domain, Gruppe).

    Simon Dettling | msitproblog.com | @SimonDettling

    • Als Antwort markiert excQ Montag, 19. Oktober 2015 09:41
    • Bearbeitet Simon Dettling Montag, 19. Oktober 2015 09:42
    Montag, 19. Oktober 2015 09:36
    |
  • Question
    Anmelden
    1
    Anmelden 

    select * from SMS_R_System where SMS_R_System.SecurityGroupName = "DOMAIN\\GROUP"

    Simon Dettling | msitproblog.com | @SimonDettling

    Montag, 19. Oktober 2015 11:59
    |

Alle Antworten

  • Question
    Anmelden
    2
    Anmelden
    Boundary Group passt aber gar nicht in diesen Kontext. Kann es sein, dass Du "Collection" meinst?
    Habe gerade keine Konsole zur Hand, aber ich denke, dass nur AD-Gruppen angezeigt werden, in denen auch (in ConfigMgr verwaltete) Computer sind. Könnte das zutreffen?

    Torsten Meringer | http://www.mssccmfaq.de

    Sonntag, 18. Oktober 2015 08:34
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    ja klar, Collection meine ich damit.

    Naja, eigtl mache ich ja eine Abfrageregel innerhalb einer neuen Collection, wo ich die AD-Sicherheitsgruppen abfrage. Und in der Ermittlungsmethode gebe ich ja klar die passende Gruppe zum durchsuchen an. Ob da ein Zusammenhang zwischen den verwalteten Computern und den AD-Gruppen herscht, glaube ich daher nicht.

    Sonntag, 18. Oktober 2015 08:59
    |
  • Question
    Anmelden
    0
    Anmelden

    Wenn ich bei der Gruppenermittlung eine neue Gruppe hinzufügen möchte, dann suche ich nach dieser und füge sie der Detection-Methode hinzu.

    Nun lese ich im Log-File adsgdis:

    INFO: Found invalid Search Path: LDAP://CN=SVMEGO,OU=FACHANWENDUNGEN,OU=SCCM,OU=ANWENDUNGEN,OU=GRUPPEN,OU=ABC,DC=IITADADS,DC=TEST,DC=DE. Probably it's sub search path of other search path and will be covered by them. $$<SMS_AD_SECURITY_GROUP_DISCOVERY_AGENT><10-18-2015 12:26:04.374-120><thread=2500 (0x9C4)>

    Wenn ich nun nur die OU verwende, wo die Anwendungsgruppen enthalten sind, sagt mir die Log, das 0 Objekte gefunden worden sind. In der OU sind aber definitiv Sicherheitsgruppen enthalten.

    • Bearbeitet excQ Sonntag, 18. Oktober 2015 10:40
    Sonntag, 18. Oktober 2015 10:31
    |
  • Question
    Anmelden
    0
    Anmelden

    INFO: Found invalid Search Path: LDAP://CN=SVMEGO,OU=FACHANWENDUNGEN,OU=SCCM,OU=ANWENDUNGEN,OU=GRUPPEN,OU=ABC,DC=IITADADS,DC=TEST,DC=DE. Probably it's sub search path of other search path and will be covered by them.

    Kann es sein, dass ConfigMgr damit recht hat? Vermutlich hast Du schon eine OU angegeben, die diese beinhaltet.

    Torsten Meringer | http://www.mssccmfaq.de

    Sonntag, 18. Oktober 2015 13:28
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Aber nicht in der Gruppen-Detection. Nur in der Gesamtermittlung.

    Benötigt SCCM zur AD irgendwie bestimmte Rechte? Denn wie oben geschrieben, habe ich ja für die Gruppen-Detection mal den direkten OU-Pfad hinterlegt. In der Log findet er ihn, sagt dann aber, dass 0 Objekte vorhanden sind, was natürlich falsch ist.

    Sonntag, 18. Oktober 2015 17:48
    |
  • Question
    Anmelden
    0
    Anmelden

    Ich hab jetzt in der Log gesehen, dass die von mir erstelle Sicherheitsgruppe gefunden wurde:

    Successfully updated the Group membership tables for group 'Domäne\MeineSicherheitsgruppe' $$<SMS_AD_SECURITY_GROUP_DISCOVERY_AGENT>

    Nun finde ich diese aber nicht über die Abfrageregel.

    Ich erstelle die neue Collection, wähle die Direkte Abfrageregel aus, dann Kriterien und Systemressource und entsprechend Sicherheitsgruppenname. Dort wird diese aber nicht aufgelistet.

    Montag, 19. Oktober 2015 07:35
    |
  • Question
    Anmelden
    0
    Anmelden

    Jetzt ist es aus der LOG wieder verschwunden. Yey :)

    Aber an sich gibt er ja folgendes wieder:

    "INFO: Found invalid Search Path: LDAP://OU=YXY,OU=ASDASD,OU=ASD,OU=ASD,DC=ASDASD,DC=ASDASD,DC=DE. Probably it's sub search path of other search path and will be covered by them."

    Heißt ja, dass er wohl bei der Gesamtsystemermittlung diesen Pfad mit absucht. Also müssen die Gruppen ja irgendwo vorhanden sein :/

    Montag, 19. Oktober 2015 08:28
    |
  • Question
    Anmelden
    0
    Anmelden

    Ist die entsprechende Gruppe gelistet, wenn du diese suchst unter "Bestand und Kompatibilität" -> Benutzer?

    Simon Dettling | msitproblog.com | @SimonDettling

    Montag, 19. Oktober 2015 08:45
    |
  • Question
    Anmelden
    0
    Anmelden
    ja, ist sie.
    Montag, 19. Oktober 2015 09:03
    |
  • Question
    Anmelden
    2
    Anmelden

    Dann müsstest du Sie auch z.B. via Query (Abfrage-Regel) einer Benutzer-Collection hinzufügen können:

    Abfrageanweisung:

    select *  from  SMS_R_User where SMS_R_User.SecurityGroupName = "DOMAIN\\GROUP"

    Sollte auch via Direct-Rule (Direkte Regel) gehen, bin jedoch nicht wirklich ein Fan von Direct Rules :)

    Beim obigen Weg via Query (Abfrage-Regel) hast du den Vorteil, dass du auch die tatsächlichen Benutzern innerhalb der Collections (Sammlungen) siehst und somit auch die Bereitstellungen auf den Eigenschaften des Benutzers.

    Simon Dettling | msitproblog.com | @SimonDettling

    • Bearbeitet Simon Dettling Montag, 19. Oktober 2015 09:17
    • Als Antwort markiert excQ Montag, 19. Oktober 2015 09:41
    Montag, 19. Oktober 2015 09:16
    |
  • Question
    Anmelden
    0
    Anmelden
    Die angegebene Ressourcenklasse passt nicht zum aktuellen Sammlungstyp. Was muss ich den auswählen, damit er mit diese Abfrage erlaubt?
    Montag, 19. Oktober 2015 09:24
    |
  • Question
    Anmelden
    2
    Anmelden
    Erstelle auf der Benutzersammlung eine neue Abfrageregel -> Abfrageanweisung bearbeiten -> Abfragesprache anzeigen und dann das obenstehende Code Snippet verwenden mit den entsprechenden Angaben (Domain, Gruppe).

    Simon Dettling | msitproblog.com | @SimonDettling

    • Als Antwort markiert excQ Montag, 19. Oktober 2015 09:41
    • Bearbeitet Simon Dettling Montag, 19. Oktober 2015 09:42
    Montag, 19. Oktober 2015 09:36
    |
  • Question
    Anmelden
    0
    Anmelden

    Wenn ich das mache, kommt der obige Fehler bei mir.

    "Die angegebene Ressourcenklasse passt nicht zum aktuellen Sammlungstyp"

    Montag, 19. Oktober 2015 09:37
    |
  • Question
    Anmelden
    0
    Anmelden
    Mein Fehler. War bei der Gerätesammlung und nicht bei der Benutzersammlung. Teste es nun durch.
    Montag, 19. Oktober 2015 09:41
    |
  • Question
    Anmelden
    0
    Anmelden
    Wie wäre denn die Abfrageanweisung für eine Gerätesammlung zur passenden Gruppe?
    Montag, 19. Oktober 2015 10:12
    |
  • Question
    Anmelden
    1
    Anmelden 

    select * from SMS_R_System where SMS_R_System.SecurityGroupName = "DOMAIN\\GROUP"

    Simon Dettling | msitproblog.com | @SimonDettling

    Montag, 19. Oktober 2015 11:59
    |