2
Selective Authentication - Allowed to authenticate auf OU-Basis funktioniert nicht
Moin zusammen,
ich hab' hier nen One-Way-Trust zwischen zwei Forests mit selective authentication und möchte nun "Allowed to authenticate" auf OU-Ebene definieren.
In den Eigenschaften der OU => Sicherheit habe ich die entsprechende Gruppe aus dem anderen Forest hinzugefügt: "All descendant computer objects" => "Allowed to authenticate".
Auch nach Aussitzen der Replikation zeigt sich, das das ein oder andere Computerobjekt diese Änderung schlicht nicht übernommen hat; in einer OU mit 12 Servern haben 9 das einwandfrei geschluckt (Anmeldung per RDP etc. klappt), 3 hingegen haben die Einstellung ignoriert und weigern sich auch nach Neustart beharrlich, diese zu übernehmen. Auch das Entfernen und wieder Hinzufügen bringt keine Änderung, es bleiben die gleichen 9 Server, die es übernehmen und die gleichen 3, die es nicht tun. Für meine Workstation-OU dito, selbes Spiel.
Hat jemand von euch ne Idee, wie ich das lösen kann?
Überlege gerade, das "einfach" per PowerShell zu machen, das müsste aber jedes Mal, wenn weitere Maschinen in der jeweilige OU dazukommen, erneut ausgeführt werden (könnte ich mit leben). Verstehe halt nicht, wo hier der Fehler liegen könnte.
Danke euch.
Cheers,
jsysde
ich hab' hier nen One-Way-Trust zwischen zwei Forests mit selective authentication und möchte nun "Allowed to authenticate" auf OU-Ebene definieren.
In den Eigenschaften der OU => Sicherheit habe ich die entsprechende Gruppe aus dem anderen Forest hinzugefügt: "All descendant computer objects" => "Allowed to authenticate".
Auch nach Aussitzen der Replikation zeigt sich, das das ein oder andere Computerobjekt diese Änderung schlicht nicht übernommen hat; in einer OU mit 12 Servern haben 9 das einwandfrei geschluckt (Anmeldung per RDP etc. klappt), 3 hingegen haben die Einstellung ignoriert und weigern sich auch nach Neustart beharrlich, diese zu übernehmen. Auch das Entfernen und wieder Hinzufügen bringt keine Änderung, es bleiben die gleichen 9 Server, die es übernehmen und die gleichen 3, die es nicht tun. Für meine Workstation-OU dito, selbes Spiel.
Hat jemand von euch ne Idee, wie ich das lösen kann?
Überlege gerade, das "einfach" per PowerShell zu machen, das müsste aber jedes Mal, wenn weitere Maschinen in der jeweilige OU dazukommen, erneut ausgeführt werden (könnte ich mit leben). Verstehe halt nicht, wo hier der Fehler liegen könnte.
Danke euch.
Cheers,
jsysde
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 594171
Url: https://administrator.de/contentid/594171
Printed on: April 20, 2024 at 04:04 o'clock
2 Comments
Latest comment
N'Abend.
Um es noch etwas mysteriöser zu machen:
Nach wie vor ist den einzelnen ACLs der Computer-Objekte der Eintrag von der OU-Ebene nicht sichtbar - die Anmeldung per RDP klappt nun, ein paar Tage später und ohne weitere Änderungen vorgenommen zu haben, trotzdem. AD-Replikation mehrfach geprüft, Trust mehrfach überprüft, alles einwandfrei und ohne Fehler.
Eigentlich könnte ich das Thema dann schließen, aber mich würde halt schon interessieren, was da grad passiert und warum es dann plötzlich doch funktioniert. Hat jemand von euch ein ähnliches Szenario im Einsatz?
Cheers,
jsysde
Um es noch etwas mysteriöser zu machen:
Nach wie vor ist den einzelnen ACLs der Computer-Objekte der Eintrag von der OU-Ebene nicht sichtbar - die Anmeldung per RDP klappt nun, ein paar Tage später und ohne weitere Änderungen vorgenommen zu haben, trotzdem. AD-Replikation mehrfach geprüft, Trust mehrfach überprüft, alles einwandfrei und ohne Fehler.
Eigentlich könnte ich das Thema dann schließen, aber mich würde halt schon interessieren, was da grad passiert und warum es dann plötzlich doch funktioniert. Hat jemand von euch ein ähnliches Szenario im Einsatz?
Cheers,
jsysde
Mahlzeit.
Auf die einfachste Lösung bin ich natürlich nicht gekommen: Vererbung für die Maschinen war aus welchem Grund auch immer nicht (mehr) aktiv, entsprechend haben die sich nicht für die Einstellung auf OU-Ebene interessiert. Grad gezogen, alles gut, Haken dran.
Cheers,
jsysde
Auf die einfachste Lösung bin ich natürlich nicht gekommen: Vererbung für die Maschinen war aus welchem Grund auch immer nicht (mehr) aktiv, entsprechend haben die sich nicht für die Einstellung auf OU-Ebene interessiert. Grad gezogen, alles gut, Haken dran.
Cheers,
jsysde
