4
Client-PCs ziehen sich keine Zugehörigkeit zu Sicherheitsgruppen
Hi Community!
Folgende Situation:
Ich bin gerade am Antivirus testen für unseren Betrieb. Unsere Entscheidung schwankt zwischen Sophos und TrendMicro.
Zu Testzwecken habe ich folgendes aufgesetzt:
Domäne1: Sophos
Win Server2003 + 2 XP Clients (1Workstation & 1Notebook)
Antivir-Verwaltung: über Sophos Admin Console
Domäne2: Trend
Win Server2003 + 1 XP Client (Workstation)
Antivir-Verwaltung: über Web-Oberfläche
Nun das Problem:
Um unserem Bereichsleiter die Möglichkeit zu geben, auf die Verwaltung einen Blick zu werfen, bekommt er (in meinem Fall der Testuser "Peter") von mir für Sophos die Software zum Zugriff auf die Adminconsole installiert. Um auf die Console zugreifen zu können muss er Mitglied der Gruppe "Sophos Console Administrators" sein. Wenn ich ihn nun im AD in eben die Gruppe stecke, kann ich aber vom Client (egal ob WS oder NB) trotzdem nicht auf die Console zugreifen. Fehlermeldung: Der Benutzer muss Mitglied der Gruppe "Sophos Console Administrators" sein....
Ein gpresult hat ergeben, dass der Benutzer sich die Zugehörigkeit zur neuen Gruppe garnicht erst zieht und damit logischerweise auch keine Zugriff hat. Melde ich mich mit dem Testuser auf dem Server an, gibt es keinerlei Probleme. Hier bekommt er die neue Gruppenzugehörigkeit.
Ich bin jetzt schon seit 2 Tagen auf Fehlersuche und hab die ganze Zeit gedacht ich hätte irgendwas in Sophos falsch konfiguriert, dann aber irgendwann während eines Tests in der anderen Domäne (Trend) festgestellt, dass die Testuser sich hier ebenfalls keine neuen Sicherheitsgruppen ziehen!
Auf den Clients habe ich dynamische IP Adressen (die auf dem Server nach der ersten Anmeldung im DHCP registriert wurden) und als DNS-Server eben meinen DC eingetragen. Namensauflösung funktioniert problemslos.
Wo kann ich noch suchen? Ist das ein DNS Problem? Ich habe beim Server installieren alles auf Standard gelassen, ebenso beim Hochstufen zum DC. Hab ich hier irgendwelche Einstellungen vergessen?
Danke für hilfreiche Antworten
MfG SykesX
Folgende Situation:
Ich bin gerade am Antivirus testen für unseren Betrieb. Unsere Entscheidung schwankt zwischen Sophos und TrendMicro.
Zu Testzwecken habe ich folgendes aufgesetzt:
Domäne1: Sophos
Win Server2003 + 2 XP Clients (1Workstation & 1Notebook)
Antivir-Verwaltung: über Sophos Admin Console
Domäne2: Trend
Win Server2003 + 1 XP Client (Workstation)
Antivir-Verwaltung: über Web-Oberfläche
Nun das Problem:
Um unserem Bereichsleiter die Möglichkeit zu geben, auf die Verwaltung einen Blick zu werfen, bekommt er (in meinem Fall der Testuser "Peter") von mir für Sophos die Software zum Zugriff auf die Adminconsole installiert. Um auf die Console zugreifen zu können muss er Mitglied der Gruppe "Sophos Console Administrators" sein. Wenn ich ihn nun im AD in eben die Gruppe stecke, kann ich aber vom Client (egal ob WS oder NB) trotzdem nicht auf die Console zugreifen. Fehlermeldung: Der Benutzer muss Mitglied der Gruppe "Sophos Console Administrators" sein....
Ein gpresult hat ergeben, dass der Benutzer sich die Zugehörigkeit zur neuen Gruppe garnicht erst zieht und damit logischerweise auch keine Zugriff hat. Melde ich mich mit dem Testuser auf dem Server an, gibt es keinerlei Probleme. Hier bekommt er die neue Gruppenzugehörigkeit.
Ich bin jetzt schon seit 2 Tagen auf Fehlersuche und hab die ganze Zeit gedacht ich hätte irgendwas in Sophos falsch konfiguriert, dann aber irgendwann während eines Tests in der anderen Domäne (Trend) festgestellt, dass die Testuser sich hier ebenfalls keine neuen Sicherheitsgruppen ziehen!
Auf den Clients habe ich dynamische IP Adressen (die auf dem Server nach der ersten Anmeldung im DHCP registriert wurden) und als DNS-Server eben meinen DC eingetragen. Namensauflösung funktioniert problemslos.
Wo kann ich noch suchen? Ist das ein DNS Problem? Ich habe beim Server installieren alles auf Standard gelassen, ebenso beim Hochstufen zum DC. Hab ich hier irgendwelche Einstellungen vergessen?
Danke für hilfreiche Antworten
MfG SykesX
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 138332
Url: https://administrator.de/contentid/138332
Ausgedruckt am: 20.11.2024 um 16:11 Uhr
4 Kommentare
Neuester Kommentar
Moin,
DNS-Problem ist das sicher nicht....
Hört sich eher an, als würde dein AD-Design nicht ganz stimmen. Verstehe ich dich richtig:
Du hast im AD eine globale Sicherheitsgruppe angelegt und hast diese am lokalen Rechner der Gruppe "Sophos Console Administrators" hinzugefügt. Danach hast du ein Benutzer direkt in die AD-Gruppe gesteckt.
Was du noch versuchen kannst:
Grüße,
Dani
DNS-Problem ist das sicher nicht....
Hört sich eher an, als würde dein AD-Design nicht ganz stimmen. Verstehe ich dich richtig:
Du hast im AD eine globale Sicherheitsgruppe angelegt und hast diese am lokalen Rechner der Gruppe "Sophos Console Administrators" hinzugefügt. Danach hast du ein Benutzer direkt in die AD-Gruppe gesteckt.
Was du noch versuchen kannst:
- Füge den Benutzer der Gruppe "Sophos Console Administrators" mal direkt zu.
- Rechner neustarten nach Änderungen
Grüße,
Dani
ne ich HABE den benutzer in der Gruppe, nicht den Rechner. Also die Gruppe heisst "Sophos Console Administrators" und da ist der Testuser "Peter" Mitglied.
Rechner wurde schon zig mal neugestartet.
Wie gesagt die "Standard-Sachen" hab ich schon alle durchprobiert.
Ich hab foolgendes noch überlegt:
Die beiden Server sind VMs, wurden aus einer Win Server 2003 Vorlage erstellt (kopiert). Diese ist allerdings sauber, mit der arbeiten wir ständig ohne Probleme.
Allerdings habe ich diesmal übersehen "newSID" auszuführen, um dem Server eine neue SID zu vergeben. Kann es hierran liegen? Hab den Server grad zurückgestuft, AD entfernt etc. dann newSID ausgeführt und jetzt wieder zum DC gemacht. mal schaun ob das was bringt, ich poste dann die Ergebnisse
Rechner wurde schon zig mal neugestartet.
Wie gesagt die "Standard-Sachen" hab ich schon alle durchprobiert.
Ich hab foolgendes noch überlegt:
Die beiden Server sind VMs, wurden aus einer Win Server 2003 Vorlage erstellt (kopiert). Diese ist allerdings sauber, mit der arbeiten wir ständig ohne Probleme.
Allerdings habe ich diesmal übersehen "newSID" auszuführen, um dem Server eine neue SID zu vergeben. Kann es hierran liegen? Hab den Server grad zurückgestuft, AD entfernt etc. dann newSID ausgeführt und jetzt wieder zum DC gemacht. mal schaun ob das was bringt, ich poste dann die Ergebnisse
ne ich HABE den benutzer in der Gruppe, nicht den Rechner.
Ich hab nie was anders behauptet... 
Also die Gruppe heisst "Sophos Console Administrators" und da ist der Testuser "Peter" Mitglied
Wenn du dich mit dem lokalen Admin bzw. Domänen-Admin anmeldest und die Gruppe über die Computerverwaltung anschaust ist der Peter auch noch drinne?!Das mit der SSID könnte ein kl. Problem darstellen...
Grüße,
Dani
okay hat sich geklärt. ich seh dir gruppen zwar immer noch nicht aber ich glaub das soll so sein
jedenfalls klappt der zugriff jetzt. ich musste den Benutzer noch zusätzlich in die Gruppe "Distributed COM-Benutzer" hinzufügen dann ging es.
jedenfalls klappt der zugriff jetzt. ich musste den Benutzer noch zusätzlich in die Gruppe "Distributed COM-Benutzer" hinzufügen dann ging es.
