none
Unbekannte SID RRS feed

  • Frage

  • Z. B. beim setzen von Sicherheitseinstellungen werden vorhandene Berechtigungen als SID und nicht als bekannter Benutzer/Gruppe aufgelistet.

    Umgebung: 3 DC's als Windows 2000 Server, 1 neuer DC mit Server 2008

    R2, Domänenmodus: 2000 einheitlich.

     

    Woran liegt das, bzw. wie kann die Auflösung wieder hergestellt werden ?

     

    Danke im voraus für eure Hinweise :-)

    Mittwoch, 7. Juli 2010 12:35

Alle Antworten

  • Hallo,

    prüfe mal in der Default Domain Controller Policy folgende Einstellung:

    Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
    "Auf diesem Computer Netzwerk aus zugreifen"
    Wer darf das alles bei Dir?
    Viele Grüße
    Frank

    -- Frank Röder MVP Directory Services blog.iteach-online.de --
    Mittwoch, 7. Juli 2010 12:53
  • Hallo Frank,

    - gucke ich von meinem Windows Admin PC, sind 12 SID's gelistet und zusätzlich Administratoren, authentifizierte Benutzer, Jeder und Sicherungs Operatoren.

    - gucke ich vom Windows 2008 R2 DC, werden die Namen aufgelöst.
    Dort sehe ich dann zusätzlich zu den oben angeführten Benutzern noch
    "Domainame\IUSR_....." und
    "Domainname\IWAM_....." der DC's.

     

    Viele Grüße zurück,

    Jörn

    Mittwoch, 7. Juli 2010 13:20
  • Hallo Jörn,

    das ist aber komisch. Eigentlich sollte die Gruppenrichtlinie im Standard immer auf dem PDC-Emulator geöffnet werden. Dadurch sollten die Einträge eigentlich immer identisch sein. Was sagt denn das Eventlog auf den jeweiligen Servern?

    Führe mal auf dem Admin-PC ein "gpresult" aus und poste mal die Ausgabe hier.

    Viele Grüße

    Frank

     


    -- Frank Röder MVP Directory Services blog.iteach-online.de --
    Mittwoch, 7. Juli 2010 13:47
  • Hier gpresult:
    (Ich habe mich mit der Gruppenrichtlinienverwaltung zum PDC - Emulator verbunden)
    Interessant ist dabei, das ich noch in ca. 35 weiteren Gruppen Mitglied bin, die GPRESULT nicht listet,
    die meiner Meinung nach unter "Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen" auftauchen müssten.

     

    Betriebssystem Microsoft (R) Windows (R) Gruppenrichtlinienergebnis-Tool v2.0
    Copyright (C) Microsoft Corp. 1981-2001
    Am 07.07.2010, um 15:56:12 erstellt

    RSOP-Daten fr DOMAIN\User auf User-LB: Protokollmodus
    ------------------------------------------------------------------

    Betriebssystemkonfiguration: Mitglied der Dom„ne/Arbeitsgruppe
    Betriebssystemversion:       6.1.7600
    Standortname:                DE
    Zwischengespeichertes Profil:Nicht zutreffend
    Lokales Profil:              C:\Users\User.DOMAIN
    Langsame Verbindung?         Nein


    COMPUTEREINSTELLUNGEN
    ----------------------
        CN=User-LB,OU=BOG/AC-Computer,OU=EDV,OU=DE,OU=de,DC=DOMAIN,DC=Kundenname,DC=com
        Letzte Gruppenrichtlinienanwendung:   07.07.2010, um 15:16:48
        Gruppenrichtlinieanwendung von:       clu3node1.DOMAIN.Kundenname.com
        Schwellenwert fr langsame Verbindung:500 kbps
        Dom„nenname:                          DOMAIN
        Dom„nentyp:                           Windows 2000

        Angewendete Gruppenrichtlinienobjekte
        --------------------------------------
            Default Domain Policy
            IE Settings
            Richtlinien der lokalen Gruppe

        Der Computer ist Mitglied der folgenden Sicherheitsgruppen
        ----------------------------------------------------------
            Administratoren
            Jeder
            Benutzer
            NETZWERK
            Authentifizierte Benutzer
            Diese Organisation
            Systemverbindlichkeitsstufe
           

    BENUTZEREINSTELLUNGEN
    ----------------------
        CN=J”rn Henrichs,OU=Standard,OU=User,OU=de,DC=DOMAIN,DC=Kundenname,DC=com
        Letzte Gruppenrichtlinienanwendung:   07.07.2010, um 15:55:56
        Gruppenrichtlinieanwendung von:       clu3node1.DOMAIN.Kundenname.com
        Schwellenwert fr langsame Verbindung:500 kbps
        Dom„nenname:                          DOMAIN
        Dom„nentyp:                           Windows 2000
       
        Angewendete Gruppenrichtlinienobjekte
        --------------------------------------
            Kontosperrung
            Administrative GPO
            Ordnerumleitung entfernen
            Default Domain Policy

        Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
        ----------------------------------------------------------------------
            IE Settings
                Filterung:  Verweigert (Sicherheit)

            Richtlinien der lokalen Gruppe
                Filterung:  Nicht angewendet (Leer)

        Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen
        ----------------------------------------------------------
            Dom„nen-Benutzer
            Jeder
            Benutzer
            Administratoren
            INTERAKTIV
            KONSOLENANMELDUNG
            Authentifizierte Benutzer
            Diese Organisation
            LOKAL
            Internet-Grp
            Dom„nen-Admins
            Hohe Verbindlichkeitsstufe
           

    Mittwoch, 7. Juli 2010 14:09
  • Hallo Jörn,

    ich nehme an der neue 2008er soll DC in deiner bestehenden Domäne werden (oder ist er schon)

    Hast du die Schemamastererweiterung durchgezogen?
    Muss zugeben das ich einen 2008 in eine Domäne integriert habe - bestehender Server war ein 2003.

    Hierzu mehr:
    http://www.faq-o-matic.net/2009/04/08/ad-schemaerweiterung-ein-paar-hinweise/

    Wie sieht es mit der Replizierung aus?

    --

    Andreas

    Mittwoch, 7. Juli 2010 18:34
  • Hallo,

    ich glaube, wir haben da gerade aneinander vorbei geredet. Mach mal bitte ein gpresult auf dem neuen DC und auf einem alten DC.
    Ich habe die Vermutung, dass die Default Domain Controllers Policy nicht mehr korrekt zwischen den DCs repliziert wird. Ich vermute also ein Problem beim Dateireplikationsdienst. Das würde auch die unterschiedlichen Einstellungen erklären. Allerdings müsste dann der Fokus des Gruppenrichtlinieneditors nicht mehr auf den PDC Emulator zeigen, da eigentlich die GPOs immer im Sysvol des PDC Emulators geöffnet werden.

    Das scheint bei Dir nicht mehr der Fall zu sein.

    Lege doch einfach mal zum Test ein Textfile in das Sysvol Verzeichnis von einem DC. Wird das korrekt auf alle anderen DCs repliziert?

    Viele Grüße

    Frank


    -- Frank Röder MVP Directory Services blog.iteach-online.de --
    Donnerstag, 8. Juli 2010 09:06
  • Moin, moin und Hallo,

    die Replizierung funktioniert.
    Ein Datei im SYSVOL wird sofort auf alle DC's repliziert. Dort liegen auch die LOGIN-Scripts, die auch repliziert werden.
    In der Replizierung sehe ich erst einmal kein Problem.

    @andreas: ja, der neue 2008 R2 ist bereits DC in der Domäne. Dazu musste natürlich vorher ein "Domainprep" und ein "Forestprep" laufen, was auch fehlerfrei funktioniert hat.

    @frank: Ein Vergleich der beiden GPResults zeigt mir die gleichen Mitgliedschaften für Gruppen- und Benutzerrichtlinien (bis auf versionsbedingte Namensänderungen)

    Ich vermutet ein Problem, je nach dem wie der Client die Sicherheitseinstellungen abfragt.
    Ein Muster-Ordner zeigt die SID in den Sicherheitseigenschfaten des DC's, der auch die Freigabe hält, während mein WIN 7 Client die SID mit Namen auflöst.
    Es reicht aber aus auf dem WIN 7 Client die Sicherheitseinstellungen eines anderen Ordners aufzurufen:
    schon sehe ich dort nur noch eine SID ...

    Ist das Problem vermutlich behoben, wenn ich in der Domänen keine Windows 2000 DC's mehr habe ?

    Was meint Ihr ?

    Montag, 12. Juli 2010 09:34