none
Пользователь не появляется/не удаляется в группе безопасности AD RRS feed

  • Вопрос

  • Имеется лес с одним корневых доменом и множеством поддоменов.

    Создается группа безопасности к примеру Глобальная (может быть и универсальная, и локальная не важно), в нее добавляется пользователь. Пользователь производит logoff и logon. После входа gpresult /r, в отчете добавленной группы в списке нету, права предоставляемые данной группой отсутствую. Через недели две пользователь появляется в данной группе. При удалении пользователя изменения так же применяются примерно через 2 недели.

    Эта проблема проявляется как в одном домене, так и между доменами.

    Подскажите пожалуйста в каком направлении искать решение данной проблемы?


    • Изменено 2strike 4 апреля 2018 г. 10:40
    4 апреля 2018 г. 10:38

Ответы

  • SID может не прописываться только по одной причине - его нет. Источник SID при локальном входе - билет Kerberos (ну, кроме тех редких случаев, когда ПК вынужден использовать  NTLM, используемый протокол аутентификации можно увидеть в событиях успешного локального входа (с кодом 2) ), а билет должен выдаваться выбранным для аутентификации КД (он же и запросы по NTLM удовлетворяет).

    Поэтому рекомендую проверить репликацию между КД - в журналах событий Directory service смотрите наличие ошибок/предупреждений, ну и команда repadmin /showrepl из командной строки в режиме администратора вам в помощь.

    PS И ещё есть возможный вариант (в наше время - редкий, но вдруг у вас так): наличие в AD контроллеров, не являющихся GC. Чтобы такой контроллер добавил пользователю группы из другого домена, необходим правильно размещённый (не на GC!) и функционирующий хозяин FSMO Infrastructure master


    Слава России!

    • Помечено в качестве ответа 2strike 5 апреля 2018 г. 12:41
    4 апреля 2018 г. 11:50
  • Глобальный каталог располагался только на верхнем домене в одном сайте, в субдоменах его не было.

    После выставления глобального каталога в субдоменах пользователи сразу начали своевременно появлятся в группах безопасности.


    Спасибо.
    • Помечено в качестве ответа 2strike 5 апреля 2018 г. 12:44
    • Изменено 2strike 5 апреля 2018 г. 12:45
    5 апреля 2018 г. 12:44

Все ответы

  • Возможно, проблема - в кэше билетов Kerberos: срок жизни билета (с учётом обновлений) - 7 дней, кажется, по умолчанию, настраивается через GPO на уровне домена.

    Попробуйте сбрасывать кэш на ПК при изменении членства в группе - klist -purge из сеанса пользователя.


    Слава России!

    4 апреля 2018 г. 10:56
  • После удаления тикета произведен logoff и logon. Появилась одна группа безопасности Локальная из 3 недостающих. Остальные две так и не отобразились. Такое чувство что Sid группы безопасности не прописывается в маркер доступа при logon пользователя...
    4 апреля 2018 г. 11:29
  • SID может не прописываться только по одной причине - его нет. Источник SID при локальном входе - билет Kerberos (ну, кроме тех редких случаев, когда ПК вынужден использовать  NTLM, используемый протокол аутентификации можно увидеть в событиях успешного локального входа (с кодом 2) ), а билет должен выдаваться выбранным для аутентификации КД (он же и запросы по NTLM удовлетворяет).

    Поэтому рекомендую проверить репликацию между КД - в журналах событий Directory service смотрите наличие ошибок/предупреждений, ну и команда repadmin /showrepl из командной строки в режиме администратора вам в помощь.

    PS И ещё есть возможный вариант (в наше время - редкий, но вдруг у вас так): наличие в AD контроллеров, не являющихся GC. Чтобы такой контроллер добавил пользователю группы из другого домена, необходим правильно размещённый (не на GC!) и функционирующий хозяин FSMO Infrastructure master


    Слава России!

    • Помечено в качестве ответа 2strike 5 апреля 2018 г. 12:41
    4 апреля 2018 г. 11:50
  • Глобальный каталог располагался только на верхнем домене в одном сайте, в субдоменах его не было.

    После выставления глобального каталога в субдоменах пользователи сразу начали своевременно появлятся в группах безопасности.


    Спасибо.
    • Помечено в качестве ответа 2strike 5 апреля 2018 г. 12:44
    • Изменено 2strike 5 апреля 2018 г. 12:45
    5 апреля 2018 г. 12:44