Remove From My Forums

Übernahme Gruppenmitgliedschaft dauert auf filesystemebene sehr lange

Allgemeine Diskussion
0

Anmelden
Hallo,

ein Kund von uns hat eine AD Umgebung mit Subdomains.

Es gibt eine root Domain und 4 subdomains, da es eine Konzernstruktur ist.

So, nun das Problem:

Wenn ich einem User über eine Gruppe zugriff auf einen Ordner geben möchte, dann dauert das sehr lange (teilweise ist die Änderung erst am nächsten Tag aktiv). Auch wenn ich die gerade vorgenommene Änderung im AD repliziere. Woher kommt es, dass die Gruppen bei den NTFS Berechtigungen nicht sofort Wirkung zeigen? Kann das irgendetwas mit dem Globalen Katalog zu tun haben?

Viele Grüße

Sven
- Typ geändert Raul TalmaciuMicrosoft contingent staff Mittwoch, 25. Mai 2011 14:53 Inaktiver Thread
Dienstag, 3. Mai 2011 08:30

Antworten

|

Zitieren

Alle Antworten

0

Anmelden

Am 03.05.2011 schrieb S.Koch:

Wenn ich einem User über eine Gruppe zugriff auf einen Ordner geben möchte, dann dauert das sehr lange (teilweise ist die Änderung erst am nächsten Tag aktiv).

NAchdem sich der Benutzer ab- und wieder abgemeldet hat, oder was
genau meinst Du damit? Gruppenmitgliedschaftsänderungen ziehen nicht
sofort.
http://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/

Auch wenn ich die gerade vorgenommene Änderung im AD repliziere. Woher kommt es, dass die Gruppen bei den NTFS Berechtigungen nicht sofort Wirkung zeigen? Kann das irgendetwas mit dem Globalen Katalog zu tun haben?

Die betroffenen Benutzer müssen sich ab- und wieder anmelden. Dann
sollten die neuen Gruppenmitgliedschaften greifen.

Servus
Winfried

Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: http://www.gruppenrichtlinien.de
Community Forums NNTP Bridge: http://communitybridge.codeplex.com/
Reg2xml: http://www.reg2xml.com - Registry Export File Converter

Dienstag, 3. Mai 2011 08:52

Antworten

|

Zitieren
0

Anmelden

Hallo Winfried,

danke für die schnelle Antwort. OK, dann werde ich das ganze mal etwas detaillierter schreiben.

Natürlich meldet sich der Benutzer ab und wieder an.

Wir arbeiten hier mit Globalen Sicherheitsgruppen wo die User je nach Zugehörigkeit hinzugefügt oder entfernt werden.

anhand dieser Gruppen bestimmen wir die Zugriffe auf den Fileserver.

Wenn ein Benutzer nun Zugriff auf Order xy bekommen soll, fügen wir Ihn in die passende Gruppe hinzu. Hiernach iniziiren wir eine AD Replikation und nach ca. 10 min. sagen wir dem Benutzer, dass er sich ab und anmelden soll. Allerdings hat er dann immer noch keinen zugriff auf diesen Ordner. Die Replikation ist zu diesem Zeitpunkt schon 3 mal durch und somit sollte dies greifen, tut es aber nicht. Wenn wir dann das ganze mit memberof Prüfen, sehen wir bei dem Benutzer auch die Gruppe, aber er hat keinen zugriff.

Ich hoffe das ist jetzt etwas deutlicher geworden was ich meine ;-)

Viele Grüße

Sven

Dienstag, 3. Mai 2011 09:08

Antworten

|

Zitieren
0

Anmelden

Hallo,

nutzt ihr die Gruppenverschachtelung?

Quasi lokale Gruppen auf die Ordnerressourcen hinzufügen. In den lokalen wären dann die globalen enthalten.

Weiß nicht ob ihr direkt globale gruppen in eure Ordnerfreigaben hinzufügt.

Hoffe hier evtl. einen weiteren denkanstoß gegeben zu haben.

gruss

mighty

Dienstag, 3. Mai 2011 10:06

Antworten

|

Zitieren
0

Anmelden

Hallo,

Danke Mighty.

nein, wir benutzen keine Gruppenverschachtelung.

Wir fügen die Benutzer direkt den Globalen Gruppen hinzu und weisen dann die Gruppe der Ressource zu.

Viele Grüße

Sven

Dienstag, 3. Mai 2011 10:19

Antworten

|

Zitieren
0

Anmelden

Hallo,

Danke Mighty.

nein, wir benutzen keine Gruppenverschachtelung.

Wir fügen die Benutzer direkt den Globalen Gruppen hinzu und weisen dann die Gruppe der Ressource zu.

Viele Grüße

Sven

Hm Ok,

ob das eine rolle spielen würde... Ich mein wenn ihr globale Gruppen nutzt wird diese ja wie der Name es sagt Global auf der Gesamtstruktur der AD angezeigt. Daher evtl. die Replikation was solange dauert. Ich mein wenn man lokale Gruppen mal Testweise an eine Ressource vergibt und dann mal testet wie es sich verhält von der dauer wäre mal ein Ansatz....

Quasi: User -> GLOBAL GROUP -> LOCAL GROUP -> FOLDER SHARE

In der Ereignisanzeige ist nichts auffälliges enthalten oder? DirectoryService, etc..

Gruss

Dienstag, 3. Mai 2011 10:39

Antworten

|

Zitieren
0

Anmelden

Irgendwie klingt das alles etwas eigenartig... Direkt nach einer Änderung, was sagt (für den entsprechenden Benutzer) ein "whoami /groups", und was sagt ein "icacls \\server\ressource"?

Ändert Ihr tatsächlich nur die Gruppenmitgliedschaften des Users oder ändert Ihr auch noch die ACLs auf den Ressourcen? Ist da DFS im Spiel?

mfg Martin
Kein MVP, kein MCSE. Nur ein wenig Erfahrung.

Dienstag, 3. Mai 2011 11:56

Antworten

|

Zitieren
0

Anmelden

Hallo,

wir arbeiten nicht mit verschachtelten Gruppen. In der Ereignisanzeige steht leider nichts besonderes, das wäre schön, dann wüste ich wonach ich suchen soll. ;-)

Wir ändern bei den Usern nur die Gruppenmitgliedschaften, an der ACL ändern wir nichts. Es ist kein DFS.

Es geht hier um die Gruppe "Infra-NTFS-Kam". Aktuell ist er nicht in dieser Gruppe und repliziert wurde auch. Dies ist ca. 10 min. nach der Replikation.

Hier die outputs:

whoami /groups:

GROUP INFORMATION
-----------------

Group Name                            Type             SID                                            Attributes
===================================== ================ ============================================== ==================================================
Everyone                              Well-known group S-1-1-0                                        Mandatory group, Enabled by default, Enabled group
BUILTIN\Users                         Alias            S-1-5-32-545                                   Mandatory group, Enabled by default, Enabled group
BUILTIN\Remote Desktop Users          Alias            S-1-5-32-555                                   Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\REMOTE INTERACTIVE LOGON Well-known group S-1-5-14                                       Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\INTERACTIVE              Well-known group S-1-5-4                                        Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Authenticated Users      Well-known group S-1-5-11                                       Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\This Organization        Well-known group S-1-5-15                                       Mandatory group, Enabled by default, Enabled group
LOCAL                                 Well-known group S-1-2-0                                        Mandatory group, Enabled by default, Enabled group
INFRA\Infra-NTFS-KAM                  Group            S-1-5-21-4237421341-3915234517-2731328363-2911 Mandatory group, Enabled by default, Enabled group
INFRA\AFRRMD-PR051-1                  Group            S-1-5-21-4237421341-3915234517-2731328363-2133 Mandatory group, Enabled by default, Enabled group
INFRA\Infra-Appl-MPC                  Group            S-1-5-21-4237421341-3915234517-2731328363-2870 Mandatory group, Enabled by default, Enabled group
INFRA\Infra-Appl-Citrix               Group            S-1-5-21-4237421341-3915234517-2731328363-1229 Mandatory group, Enabled by default, Enabled group
INFRA\Infra-Desktop-100-Procent       Group            S-1-5-21-4237421341-3915234517-2731328363-1539 Mandatory group, Enabled by default, Enabled group
INFRA\Infra-Appl-Office               Group            S-1-5-21-4237421341-3915234517-2731328363-1231 Mandatory group, Enabled by default, Enabled group
INFRA\Infra-NTFS-AllUsers             Group            S-1-5-21-4237421341-3915234517-2731328363-1126 Mandatory group, Enabled by default, Enabled group

icacls \\Infrahst-fs02\Department\KAM

\\Infrahst-fs02\Department\KAM INFRA\Infra-NTFS-Directie-all:(OI)(CI)(RX)
                               INFRA\Infra-NTFS-KAM:(OI)(CI)(M)
                               INFRA\suppvma:(I)(OI)(CI)(N)
                               BUILTIN\Administrators:(I)(OI)(CI)(F)
                               NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)

Successfully processed 1 files; Failed processing 0 files

viele Grüße

Sven

Montag, 9. Mai 2011 08:40

Antworten

|

Zitieren
0

Anmelden

INFRA\Infra-NTFS-KAM Group S-1-5-21-4237421341-3915234517-2731328363-2911 Mandatory group, Enabled by

Doch, whoami sagt, daß er drin ist. Habt Ihr Domain Controller in mehreren Sites? Inter Site Replikationsintervall (default) sind 30 Minuten nach der letzten Änderung... Da müßte man jetzt Eure Topologie mal genau anschauen.

mfg Martin
Kein MVP, kein MCSE. Nur ein wenig Erfahrung.

Montag, 9. Mai 2011 09:06

Antworten

|

Zitieren
0

Anmelden

Hallo,

wo hast Du das whoami /groups ausgeführt? Ich hoffe doch auf dem Rechner, auf dem der Benutzer mit den Problemen auch arbeitet. Sonst wäre das "whoami".

Ich könnte mir gut vorstellen, das Ihr über die Replikation stolpert. Das wäre also die Richtung, in die Martin geht. Wie triggert Ihr die Replikation denn nach der Veränderung der Gruppenmitgliedschaft an?

@Martin

Der Replikationsintervall (Inter-Site) beträgt im Standard 180min.

Viele Grüße

Frank
-- Frank Röder blog.iteach-online.de --

Montag, 9. Mai 2011 09:35

Antworten

|

Zitieren
0

Anmelden

Hallo,

haben die Tipps hier weitergeholfen?

Gruss,
Raul

Freitag, 13. Mai 2011 12:55

Antworten

|

Zitieren