jsysde
Goto Top

Selective Authentication - Allowed to authenticate auf OU-Basis funktioniert nicht

Moin zusammen,

ich hab' hier nen One-Way-Trust zwischen zwei Forests mit selective authentication und möchte nun "Allowed to authenticate" auf OU-Ebene definieren.
In den Eigenschaften der OU => Sicherheit habe ich die entsprechende Gruppe aus dem anderen Forest hinzugefügt: "All descendant computer objects" => "Allowed to authenticate".

Auch nach Aussitzen der Replikation zeigt sich, das das ein oder andere Computerobjekt diese Änderung schlicht nicht übernommen hat; in einer OU mit 12 Servern haben 9 das einwandfrei geschluckt (Anmeldung per RDP etc. klappt), 3 hingegen haben die Einstellung ignoriert und weigern sich auch nach Neustart beharrlich, diese zu übernehmen. Auch das Entfernen und wieder Hinzufügen bringt keine Änderung, es bleiben die gleichen 9 Server, die es übernehmen und die gleichen 3, die es nicht tun. Für meine Workstation-OU dito, selbes Spiel.

Hat jemand von euch ne Idee, wie ich das lösen kann?
Überlege gerade, das "einfach" per PowerShell zu machen, das müsste aber jedes Mal, wenn weitere Maschinen in der jeweilige OU dazukommen, erneut ausgeführt werden (könnte ich mit leben). Verstehe halt nicht, wo hier der Fehler liegen könnte.

Danke euch.

Cheers,
jsysde

Content-Key: 594171

Url: https://administrator.de/contentid/594171

Printed on: February 24, 2024 at 00:02 o'clock

Member: jsysde
jsysde Aug 10, 2020 at 19:32:03 (UTC)
Goto Top
N'Abend.

Um es noch etwas mysteriöser zu machen:
Nach wie vor ist den einzelnen ACLs der Computer-Objekte der Eintrag von der OU-Ebene nicht sichtbar - die Anmeldung per RDP klappt nun, ein paar Tage später und ohne weitere Änderungen vorgenommen zu haben, trotzdem. AD-Replikation mehrfach geprüft, Trust mehrfach überprüft, alles einwandfrei und ohne Fehler.

Eigentlich könnte ich das Thema dann schließen, aber mich würde halt schon interessieren, was da grad passiert und warum es dann plötzlich doch funktioniert. Hat jemand von euch ein ähnliches Szenario im Einsatz?

Cheers,
jsysde
Member: jsysde
jsysde Aug 11, 2020 at 10:43:20 (UTC)
Goto Top
Mahlzeit.

Auf die einfachste Lösung bin ich natürlich nicht gekommen: Vererbung für die Maschinen war aus welchem Grund auch immer nicht (mehr) aktiv, entsprechend haben die sich nicht für die Einstellung auf OU-Ebene interessiert. Grad gezogen, alles gut, Haken dran.

Cheers,
jsysde