none
Nombre de usuario no se muestra correctamente.

    Question

  • Hola,

    Hace unos días planteé una cuestión acerca de renombrar nombres de usuario por cambio corporativo, que resolví con un script.

    He hecho una prueba con un par de usuarios, antes de proceder al cambio masivo, y los nombres de usuario, tanto el UPN como el pre-windows2000 se han cambiado perfectamente, pero en el servidor de archivos donde se encuentran sus carpetas personales, al mirar los permisos NTFS de sus carpetas, el nombre que se muestra es el antiguo, aunque los permisos efectivos son los que tienen que ser.

    Es decir, si el usuario tenía un nombre de inicio de sesión francisco.perez, ahora se ha cambiado a dgcofp. Si en las propiedades de la carpeta miro los permisos efectivos de dgcofp, tiene permisos de modificación en esa carpeta, pero en el listado de usuarios y grupos que tienen permisos en esa carpeta me aparece francisco.perez, no dgcofp.

    ¿Sabéis por qué ocurre esto y cómo se puede solucionar?

    Saludos

     

    Monday, May 17, 2010 10:06 AM

Answers

  • Paco, por las dudas, recuerda que cuando incluyes a un usuario en un grupo, el mismo debe cerrar y abrir nuevamene la sesión local, para que se actualice el Access Token (credencial de inicio de sesión). También se crea una en el servidor destino.

    Respecto a que el cambio se vea reflejado en el Catalogo Global inmediatamente, yo no me preocuparía mucho, porque lo importante es el acceso a los recursos y eso funciona.
    Y segundo es que hay que tener en cuenta que los Catalogo Global reciben replicación de todos los dominios del Bosque, por lo que acelerar ese proceso te podría llegar a generar mucho más tráfico de red, sobre todo hacia sitios remotos que se conetan por WAN.

    Igual si me permites te aconsejo que utilices la asignación de permisos que recomienda Microsoft: poner los usuarios en grupos Globales (creados por función o departamento, etc.), poner el/los grupos Globales dentro de Locales de Dominio, y por último darle los permisos a los Locales de Dominio.
    Al principio parece complicado, pero tiene sus ventajas.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    Monday, May 17, 2010 12:46 PM
    Moderator
  • Hola Guillermo,

    Ya sé que una vez cambiado el nombre de usuario y la pertenencia a grupos tiene que volver a iniciar sesión. Lo importante, en efecto, es el acceso a los recursos, y eso no funciona inmediatamente a pesar de haber forzado una replicación; tarda entre 30 y 60 minutos en funcionar.

    Gracias, por último, por el consejo que me das sobre cómo anidar los grupos para proporcionar permisos. Fue una de las primeras cosas que recomendé cuando llegué aquí, pero yo solo soy uno de los administradores del directorio activo, y no soy el que toma las decisiones. Cuando vi que se daban permisos a grupos globales, dije que eso no eran buenas prácticas, y me contestaron que como solo tenemos un bosque con un dominio, no era importante.

    Es algo bastante común en esta jodida profesión: los que toman las decisiones, normalmente no son los que más saben.

    :-)

     

    Tuesday, May 18, 2010 7:33 AM

All replies

  • Hola,

    y si añades de nuevo al usuario en los permisos, te muestra el nuevo nombre o te sigue mostrando el nombre antiguo?

    Lo unico que se me ocurre ahora mismo es que el Global Catalog tenga el valor antiguo del nombre de usuario y el servidor de archivos utilice el Global Catalog para mostrar el nombre asociado al SID de la entrada ACL.

     


    MCTS: Windows Server 2008 Active Directory, Configuring
    Monday, May 17, 2010 10:59 AM
    Moderator
  • Eso mismo he pensado yo. La cuestión es que se ha hecho réplica a todos los controladores de dominio, y que en el controlador de dominio de la sede donde ocurre esto, aparece el nuevo nombre de usuario.

    No he probado a añadir el nuevo nombre con los permisos, pero si busco el antiguo no lo encuentra. Voy a probar a ver.

     

    Monday, May 17, 2010 11:05 AM
  • Pues acabo de probar a quitar al usuario de la lista, y volverlo a añadir con el nuevo nombre, y sigue apareciendo con el antiguo.

    Qué cosa más rara.

     

    Monday, May 17, 2010 11:07 AM
  • Hola,

    y tras realizar el cambio de nombre con el Script, has probado a conectarte al DC con AdsiEdit y echar un vistazo a la ficha completa de un usuario y verificar que todos los campos han reflejado correctamente el cambio?  quizas los permisos ACLs obtienen el nombre de usuario de otro campo... puedes crear un usuario de prueba y realizar modificaciones en los campos que reflejen su nombre y tratar de deducir cual es el utilizado para mostrarse en las entradas ACL.

     

     


    MCTS: Windows Server 2008 Active Directory, Configuring
    Monday, May 17, 2010 11:26 AM
    Moderator
  • Acabo de abrir el dc con ASDI Edit y he visto todos los campos y valores uno a uno, y no hay ningún sitio donde aparezca el antiguo nombre de usuario.

    Es como si estuviera asociado a fuego en la ACL del servidor de archivos.

     

     

    Monday, May 17, 2010 11:47 AM
  • Bueno,

    que no este en "la ficha" del usuario no significa que no este en otro sitio. Grabarse "a fuego" en el servidor de archivos no creo, en la ACL se guarda el SID y en funcion de ese se obtiene el nombre que se muestra, prueba de ello es que cuando borras un usuario y ves las seguridad de una carpeta donde ese usuario tenia privilegios, en lugar del nombre se muestra el SID y un interrogante en rojo indicando que no pudo resolver el nombre correctamente, si lo tuviera guardado "a fuego" como tu dices entonces mostraria el nombre aunque estuviese eliminado.

    Sigo pensando que puede ser que en el Global Catalog no se hayan reflejado los cambios, trata de ejecutar ADSIEdit y conectate con el GC mas cercano al file server ( el que se supone que utilizará), pero en el ADsiedit especifica el puerto 3268 para forzar la conexion contra la particion del Global Catalog, selecciona un usuario y revisa las propiedades de nuevo, a ver que encuentras...

     

     

     


    MCTS: Windows Server 2008 Active Directory, Configuring
    Monday, May 17, 2010 12:14 PM
    Moderator
  • Pues finalmente ha debido ser algún tipo de problema en el Global Catalog, porque ahora ya se muestra correctamente.

    La cuestión es: ¿cómo se puede hacer para que el Global Catalog se reflejen los cambios inmediatamente? Porque también estoy teniendo problemas con permisos asignados en nuevas carpetas de ese mismo servidor de ficheros, de usuarios a los que les doy permiso de lectura/escritura en una carpeta compartida mediante la asignación de membresía al grupo que tiene esos permisos, y cuando intentan acceder les dice acceso denegado, mientras que usuarios que pertenecen al grupo que tiene los permisos desde hace días, acceden sin problemas.

     

     

    Monday, May 17, 2010 12:22 PM
  • Hola,

    no tengo claro que puedas forzar el cambio en el Global Catalog ya que es una particion especial que maneja el propio Sistema Operativo, solo puedes modificar en el Schema que atributos quieres que se guarden en el GC pero no la frecuencia con la que se verifica/actuliza ese valor. Supongo que lo mejor es asegurarse de que la replicacion de todas las particiones del bosque y dominios se realizan correctamente entre todos nuestros DCs y eso deberia ser suficiente, para ello puedes hacerlo con repadmin o replmon.

    Si le proporcionas acceso a recursos con grupos ya creados y el usuario no refresca ese Token, puede ser porque tengas problemas de conectividad y ese usuario este iniciando con credenciales en cache y no se ha refrescado la pertenencia a nuevos grupos que le otorgan acceso a otras carpetas, quizas lo recomendable es que aproveches para revisar toda tu topologia, DCs, Sitios, Global Catalogs, replicas, registros SRV en el DNS,  el servidor que tiene el rol PDC, el LOGONSERVER de ese usuario ( para asegurarte de que se autentifica en el DC correcto)  etc...  quizas tengas algun pequeño problema de conectividad o de configuracion ( creas que te validas con un servidor y lo estas haciendo en otro que todavia no ha recibido el cambio ) y por eso tienes esas discrepancias temporales, normalmente un usuario no deberia tardar mas que el siguiente inicio de sesion para obtener la pertenencia a los nuevos grupos.

     


    MCTS: Windows Server 2008 Active Directory, Configuring
    Monday, May 17, 2010 12:38 PM
    Moderator
  • Paco, por las dudas, recuerda que cuando incluyes a un usuario en un grupo, el mismo debe cerrar y abrir nuevamene la sesión local, para que se actualice el Access Token (credencial de inicio de sesión). También se crea una en el servidor destino.

    Respecto a que el cambio se vea reflejado en el Catalogo Global inmediatamente, yo no me preocuparía mucho, porque lo importante es el acceso a los recursos y eso funciona.
    Y segundo es que hay que tener en cuenta que los Catalogo Global reciben replicación de todos los dominios del Bosque, por lo que acelerar ese proceso te podría llegar a generar mucho más tráfico de red, sobre todo hacia sitios remotos que se conetan por WAN.

    Igual si me permites te aconsejo que utilices la asignación de permisos que recomienda Microsoft: poner los usuarios en grupos Globales (creados por función o departamento, etc.), poner el/los grupos Globales dentro de Locales de Dominio, y por último darle los permisos a los Locales de Dominio.
    Al principio parece complicado, pero tiene sus ventajas.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    Monday, May 17, 2010 12:46 PM
    Moderator
  • Hola Guillermo,

    Ya sé que una vez cambiado el nombre de usuario y la pertenencia a grupos tiene que volver a iniciar sesión. Lo importante, en efecto, es el acceso a los recursos, y eso no funciona inmediatamente a pesar de haber forzado una replicación; tarda entre 30 y 60 minutos en funcionar.

    Gracias, por último, por el consejo que me das sobre cómo anidar los grupos para proporcionar permisos. Fue una de las primeras cosas que recomendé cuando llegué aquí, pero yo solo soy uno de los administradores del directorio activo, y no soy el que toma las decisiones. Cuando vi que se daban permisos a grupos globales, dije que eso no eran buenas prácticas, y me contestaron que como solo tenemos un bosque con un dominio, no era importante.

    Es algo bastante común en esta jodida profesión: los que toman las decisiones, normalmente no son los que más saben.

    :-)

     

    Tuesday, May 18, 2010 7:33 AM
  • Hola Paco, no sólo que muchas veces los que toman las decisiones no son los que conocen, sino que tampoco son los que lo tienen que implementar :-D

    Lo importante es que funcionó :-)

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    Tuesday, May 18, 2010 10:28 AM
    Moderator