none
GPP local users and groups RRS feed

  • Frage

  • hi

    warum ist der gewünschte effekt erst nach reboot so. wenn ich z.B. in den gpp local users and groups action: update group name: administrators (built-in) -> add the current user, mache wird mein user in der administratorengruppe angezeigt. die tatsächlichen rechte entsprechen dem aber nicht. z.b. ist es nicht möglich software zu installieren oder direkt auf c:\ zu schreiben. nach einem reboot klappts dann.

    warum? und kann ich mir den reboot irgendwie ersparen?

    danke&lg peter

    Mittwoch, 16. Februar 2011 13:19

Antworten

  • Am 16.02.2011 15:06, schrieb peter.e:

    kann ich den token refresh/reload auch irgendwie anders antriggern?

    Ja, durch abmelden und anmelden. ;-)
    Der "Rucksack" der SID, den das Objekt mit sich trägt ist immer für die
    Dauer einer Sitzung gültig.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    • Als Antwort markiert peter.e Donnerstag, 17. Februar 2011 08:03
    Mittwoch, 16. Februar 2011 21:44
  • Nein - wird nur bei Boot (für Computer) und Logon (für Benutzer) ausgewertet. Sperren/entsperren dürfte nicht helfen, aber da gibt's widersprüchliche Aussagen (hab schon gesehen, daß das TGT nach Unlock erneuert wurde, hab aber auch gesehen, dass es NICHT erneuert wird, da diskutieren wir grad mit PFE und GTSC...)

    mfg Martin

    • Als Antwort markiert peter.e Donnerstag, 17. Februar 2011 08:03
    Mittwoch, 16. Februar 2011 21:47
    Beantworter

Alle Antworten

  • Hi,

    der User hat in seinem Zugriffstoken ja noch nicht die Mitgliedschaft in der lokalen ADmingruppe hinterlegt.

    Entweder rebooten (wie du gemacht hast) oder neu anmelden. Kann auch sein, dass es reicht, wenn du den Rechner sperrst und dann entsperrst mit Benutzername/Kennwort. (-> ausprobieren)

     

    Gruss

    Bastian

    Mittwoch, 16. Februar 2011 13:41
  • Am 16.02.2011 schrieb peter.e:

    warum ist der gewünschte effekt erst nach reboot so. wenn ich z.B. in den gpp local users and groups action: update group name: administrators (built-in) -> add the current user, mache wird mein user in der administratorengruppe angezeigt. die tatsächlichen rechte entsprechen dem aber nicht. z.b. ist es nicht möglich software zu installieren oder direkt auf c:\ zu schreiben. nach einem reboot klappts dann.

    Ab- und erneutes Anmelden sollte ausreichen.
    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Mittwoch, 16. Februar 2011 13:42
  • hi & danke für die tipps. kann ich den token refresh/reload auch irgendwie anders antriggern? lg peter

    Mittwoch, 16. Februar 2011 14:06
  • Am 16.02.2011 15:06, schrieb peter.e:

    kann ich den token refresh/reload auch irgendwie anders antriggern?

    Ja, durch abmelden und anmelden. ;-)
    Der "Rucksack" der SID, den das Objekt mit sich trägt ist immer für die
    Dauer einer Sitzung gültig.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    • Als Antwort markiert peter.e Donnerstag, 17. Februar 2011 08:03
    Mittwoch, 16. Februar 2011 21:44
  • Nein - wird nur bei Boot (für Computer) und Logon (für Benutzer) ausgewertet. Sperren/entsperren dürfte nicht helfen, aber da gibt's widersprüchliche Aussagen (hab schon gesehen, daß das TGT nach Unlock erneuert wurde, hab aber auch gesehen, dass es NICHT erneuert wird, da diskutieren wir grad mit PFE und GTSC...)

    mfg Martin

    • Als Antwort markiert peter.e Donnerstag, 17. Februar 2011 08:03
    Mittwoch, 16. Februar 2011 21:47
    Beantworter
  • Servus,

    ... da diskutieren wir grad mit PFE und GTSC...)

    das Ergebnis der Diskussionen würde mich brennend interessieren. ;-)


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Donnerstag, 17. Februar 2011 10:35
  • PFE ist Michael Frommhold - wenn ich dran denke, poste ich das Ergebnis. De facto haben wir Systeme, auf denen der User nach Screensaver-Unlock ein neues Ticket bekommt (Ja, ein neues - nachvollziehbar auf dem DC, da kommt eine TGT-Anforderung im Sec-Log an), und  andere, auf denen das nicht passiert. Mehr wissen wir grad noch nicht wirklich...

    mfg Martin


    Kein MVP, kein MCSE. Nur ein wenig Erfahrung.
    Donnerstag, 17. Februar 2011 20:04
    Beantworter
  • > PFE ist Michael Frommhold

    Ach sieh' an.

    Bzgl. deiner Signatur: Saug' Michael aus, dann bist du in Kürze beides. ;-)


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Donnerstag, 17. Februar 2011 22:47
  • servus martin

    ev. gibts ja ein update zu der sache?

    mfg peter

    Donnerstag, 3. März 2011 16:45