none
WinNT Abfrage über mehrere Domänen RRS feed

  • Frage

  • Hallo zusammen,

    ich habe ein Problem mit dem WinNT Provider. Der Server in DomainA macht eine WinNT Abfrage aus einer Gruppe (GroupeType: Security; GroupScope: Universal) die ebenfalls in der DomainA angelegt wurde. Dies klappt solange bis ich einen Benutzer aus DomainB zu dieser hinzufüge. Danach werden mir keinerlei Benutzer mehr in der Gruppe über den WinNT Provider zurückgegeben. Via LDAP klappt die Abfrage aber weiterhin. Leider kann ich kein LDAP nutzen, da die benötigte Software die Abfrage via WinNT macht und eine Umstellung nicht ohne weiteres möglich ist. DomainA und DomainB stehen in einer gegenseitigen Vertrauensbeziehung zueinander. Über die Suche bin ich leider nicht fündig geworden und hoffe das Ihr mir Hinweise geben könntet wo der Fehler liegt.

    Danke!!! : )

    Montag, 19. Februar 2018 11:11

Alle Antworten

  • Hi
     
    Am 19.02.2018 um 12:11 schrieb CyborgNRW:
    > [...] Dies klappt solange bis ich einen Benutzer aus DomainB zu
    > dieser hinzufüge.
     
    Ich werfe mal AGDLP als allgemeine Lösung in den Raum.
     
    Man steckt keine User direkt in die Gruppen andere Domänen. Das mag mit
    universellen Gruppen gehen, aber das ist "Zauberwerk", das hat es in den
    Anfängen nicht gegeben. AGDLP ist der Klasisker, der bei alter Technik
    immer gehen sollte.
     
    "A"ccount in eine "G"localgroup der KontoDomäne, diese in eine "D"omain
    "L"ocal der Zieldomäne, für die dann "P"ermission in der Zieldomäne
    gesetzt werden.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Montag, 19. Februar 2018 14:48
  • Du hast eine Universelle Gruppe in DomA, die einen User aus DomB enthält, und DomB ist nicht im gleichen Forest wie DomA? Das geht eigentlich gar nicht... https://technet.microsoft.com/en-us/library/cc755692(v=ws.10).aspx

    Dienstag, 20. Februar 2018 11:31
  • Danke für eure Antworten!!!

    RootDomain
    |- DomainA
    |- DomainB
    |- weitere Domänen...

    Die sind im gleichen Forest und haben ein transitive Vertrauensstellung zueinander. Was ich aber seltsam finde ist die Rückmeldung des SAMR Protokolls die ich in Wireshark sehen kann:

    QueryGroupMember response, STATUS_DS_GLOBAL_CANT_HAVE_CROSSDOMAIN_MEMBER, Error: STATUS_DS_GLOBAL_CANT_HAVE_CROSSDOMAIN_MEMBER

    NT Error: STATUS_DS_GLOBAL_CANT_HAVE_CROSSDOMAIN_MEMBER (0xc00002da)

    Die Gruppe ist aber definitiv auf "universal" eingestellt...

    Mittwoch, 21. Februar 2018 09:57
  • Ich habe mir mal den GroupType der Gruppe über den WinNT Provider zurückgeben lassen und dieser ist auch dort 2 (Global) anstatt 8 (Universal).

    https://msdn.microsoft.com/en-us/library/ms675935(v=vs.85).aspx

    Gibt es ggf. irgendein Cache der diese Daten vorhält oder muss dies noch irgendwie aktiviert werden?
    Die Gruppe war ursprünglich mal eine Global Gruppe.

    Mittwoch, 21. Februar 2018 10:25