3
BuiltIn Gruppe in Schaltdomäne nicht sichtbar in anderer Child Domain-Gruppe Recht greift aber
Liebe Community, ich habe folgendes Problem und eine Frage. Vielleicht ist es auch nur ein Denkfehler.
Ich habe eine Multi-Domänen-Umgebung.
In child-domain
test.contoso.de befindet sich eine Gruppe die heißt TestGruppe1
In der child-domain
haus.contoso.de befindet sich die BuiltIn Gruppe "Account Operators"
Ich gehe nun in die Gruppe TestGruppe1 und füge die BuiltIn Gruppe "Account Operators" aus der haus.contoso.de hinzu. Ich bestätige und öffne die Gruppe wieder. Das soeben gesetzte Recht wird mir nicht angezeigt.
Gehe ich nun jedoch in die child domain haus.contoso.de und schaue dort in die Mitglieder der Gruppe "Account Operators" sehe ich als Mitglied meine TestGruppe1.
Das Recht funktioniert auch! Es wird mir nur weder via PowerShell noch via MMC angezeigt.
Mir ist der Workaround mit einer Globalen Gruppe, die ich in haus.contoso.de erstellen könnte bewusst, jedoch sollte es entweder nicht funktionieren oder die Anzeige hat einen fehler. Aber so hätten wir das Problem, wenn das so gesetzt würde, man später nicht mehr nachvollziehen kann, welche Rechte eine Gruppe tatsächlich hat.
Wo ist mein Denkfehler oder ist es ein MS Problem
?
Ich habe eine Multi-Domänen-Umgebung.
In child-domain
test.contoso.de befindet sich eine Gruppe die heißt TestGruppe1
In der child-domain
haus.contoso.de befindet sich die BuiltIn Gruppe "Account Operators"
Ich gehe nun in die Gruppe TestGruppe1 und füge die BuiltIn Gruppe "Account Operators" aus der haus.contoso.de hinzu. Ich bestätige und öffne die Gruppe wieder. Das soeben gesetzte Recht wird mir nicht angezeigt.
Gehe ich nun jedoch in die child domain haus.contoso.de und schaue dort in die Mitglieder der Gruppe "Account Operators" sehe ich als Mitglied meine TestGruppe1.
Das Recht funktioniert auch! Es wird mir nur weder via PowerShell noch via MMC angezeigt.
Mir ist der Workaround mit einer Globalen Gruppe, die ich in haus.contoso.de erstellen könnte bewusst, jedoch sollte es entweder nicht funktionieren oder die Anzeige hat einen fehler. Aber so hätten wir das Problem, wenn das so gesetzt würde, man später nicht mehr nachvollziehen kann, welche Rechte eine Gruppe tatsächlich hat.
Wo ist mein Denkfehler oder ist es ein MS Problem
?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 328240
Url: https://administrator.de/contentid/328240
Ausgedruckt am: 22.11.2024 um 16:11 Uhr
3 Kommentare
Neuester Kommentar
Hi,
"Schaltdomäne" ??? Du hast nicht etwa "child domain" rein phonetisch übersetzt?
Das Verhalten ist normal, weil "Mitglied von" (memberOf) nur ein Backlink Attribut ist. Das ist kein "echtes" Attrribut eines Objekts.
"Mitglieder" (member) hingegen schon.
Wenn Du in einer Gruppe bei "Mitglieder" schaust, dann siehst Du also immer alle Mitglieder, weil diese dort direkt eingetragen sind.
Wenn Du in einer Gruppe bei "Mitglied von" schaust, dann wird die Anzeige in diesem Augenblick erst berechnet. Und dabei werden nicht alle Gruppen angezeigt, z.B. Universelle Gruppen aus anderen Domänen, Globale Gruppen aus extern-vertrauten Domänen usw.
E.
"Schaltdomäne" ??? Du hast nicht etwa "child domain" rein phonetisch übersetzt?
Das Verhalten ist normal, weil "Mitglied von" (memberOf) nur ein Backlink Attribut ist. Das ist kein "echtes" Attrribut eines Objekts.
"Mitglieder" (member) hingegen schon.
Wenn Du in einer Gruppe bei "Mitglieder" schaust, dann siehst Du also immer alle Mitglieder, weil diese dort direkt eingetragen sind.
Wenn Du in einer Gruppe bei "Mitglied von" schaust, dann wird die Anzeige in diesem Augenblick erst berechnet. Und dabei werden nicht alle Gruppen angezeigt, z.B. Universelle Gruppen aus anderen Domänen, Globale Gruppen aus extern-vertrauten Domänen usw.
E.
Ich habe das so gelesen, daher Schaltdomäne. Habe es mal vorsichtig geändert *G*.
Aber wenn MemberOf nur eine Momentaufnahme ist, wie kann ich dann anhand einer Gruppe feststellen in welchen Gruppen diese wirklich ist, wenn das MemberOf demnach nicht alles zeigt?
Vielen Dank.
Aber wenn MemberOf nur eine Momentaufnahme ist, wie kann ich dann anhand einer Gruppe feststellen in welchen Gruppen diese wirklich ist, wenn das MemberOf demnach nicht alles zeigt?
Vielen Dank.
In dem Du alle Gruppen des gesamten Forest abfragst.
Suchstamm: Gesamtes Verzeichnis
Abfrage: (member=CN=blablabla)
CN=blablabla --> Der Distingusihed Name der Gruppe, deren Mitgliedschaft Du wissen willst.
z.B.
Domain\Group1 ---> CN=Group1,CN=Users,DC=domain,DC=local
Domain\Group2 ---> CN=Group2,CN=Users,DC=domain,DC=local
CHILDDOMAIN\Group3 ---> CN=Group3,CN=Users,DC=childdomain,DC=domain,DC=local
Domain\Group1 ist Mitglied in Domain\Group2 und in CHILDDomain\Group3
Abfrage: (member=CN=Group1,CN=Users,DC=domain,DC=local)
Suchstamm: Gesamtes Verzeichnis
Abfrage: (member=CN=blablabla)
CN=blablabla --> Der Distingusihed Name der Gruppe, deren Mitgliedschaft Du wissen willst.
z.B.
Domain\Group1 ---> CN=Group1,CN=Users,DC=domain,DC=local
Domain\Group2 ---> CN=Group2,CN=Users,DC=domain,DC=local
CHILDDOMAIN\Group3 ---> CN=Group3,CN=Users,DC=childdomain,DC=domain,DC=local
Domain\Group1 ist Mitglied in Domain\Group2 und in CHILDDomain\Group3
Abfrage: (member=CN=Group1,CN=Users,DC=domain,DC=local)
