Win Server 2003 - globale Sicherheitsgruppen
Hallo Community, ich bin hier langsam am Verzweifeln und benötige deshalb mal dringend eure geballte Wissens-Hilfe!
Guten Morgen zusammen...
Folgendes Phänomen beschäftigt sich momentan in meiner relativ kleinen Domäne hier:
Ich habe globale Gruppen im AD angelegt, diese mittlerweile teils in OUs abgelegt, teils direkt unter "Users". Testweise habe ich mal eine globale Sicherheitsgruppe mit nur einem User als Mitglied angelegt und diese auf eine Freigabe berechtigt. Zusätzlich habe ich natürlich dann auch die Sicherheit für den Ordner entsprechend für diese globale Gruppe angepasst und zwar auf die Ordnersicherheit für diese eine Gruppe vergeben.
Wenn ich jetzt diesen Share anwähle mit dem Benutzer, der in der globalen Gruppe dafür berechtigt ist, bekomme ich die Meldung, dass der Zugriff verweigert wird. Setze ich den Benutzeraccount selber als berechtigt für Freigabe und Ordnersicherheit, habe ich Zugriff. Ebenso, wenn ich die globale Gruppe "Domänen-Benutzer" zum Zugriff berechtige.
Im Endeffekt ist es so, dass augenscheinlich alle von mir neu angelegten globalen Gruppen nicht 100% funktionieren, die systemnahen Gruppen, also z.B. Domänen-Benutzer, Jeder, usw. funktionieren aber immer. Die von mir neu angelegeten Gruppen funktionieren an manchen Ordnern/Freigaben an manchen nicht.
Ich suche jetzt nach Ideen, woran es liegen könnte, wie ich diesen Umstand mal ordentlich analysieren kann und am Ende vllt. sogar beheben kann. Dadurch dass die Gruppen nämlich nicht richtig funktionieren, bzw. ich mich nicht darauf verlassen kann, muss ich immer die einzelnen Useraccount berechtigen, was manchmal etwas mühsam ist.
Die Ereignisanzeige des Fileservers hat mir bisher auch nicht wirklich weitergeholfen, eine Überwachung auf Erfolg/Nichterfolg loggt mir nämlich nur, dass es funktioniert hat oder eben nicht, aber nicht, warum es nicht funktioniert hat.
Die Ordner/Freigaben und die Berechtigungen habe ich immer auf die gleiche Art und Weise angelegt und deshalb komme ich nicht dahinter, warum es manchmal funktioniert und manchmal nicht.
So, hoffe dass die Problematik etwas verständlich geworden ist. Wenn ich mich unklar ausgedrückt habe, bzw. etwas nicht erwähnt habe, bitte ich natürlich um entsprechende Rückfragen. Ich muss diesem Problem endlich mal beikommen...
Ach ja, offensichtliche Probleme im AD gibt es nicht, es funktioniert an sich alles. Wir haben auch das AD-sensitive Exchange im Einsatz, was keine Probleme macht. Die Replikation zw. den beiden Domänen-Controllen funktioniert einwandfrei, neu angelegte Gruppen tauchen innerhalb kurzer Zeit auch auf dem zweiten Domänen-Controller auf. Beide Domänen-Controller sind Win Server 2003, laufen aber noch im Mixed-Mode. Aber ob das des Rätsel´s Lösung ist??
Vielen Dank im Voraus für eure Anregungen...
Guten Morgen zusammen...
Folgendes Phänomen beschäftigt sich momentan in meiner relativ kleinen Domäne hier:
Ich habe globale Gruppen im AD angelegt, diese mittlerweile teils in OUs abgelegt, teils direkt unter "Users". Testweise habe ich mal eine globale Sicherheitsgruppe mit nur einem User als Mitglied angelegt und diese auf eine Freigabe berechtigt. Zusätzlich habe ich natürlich dann auch die Sicherheit für den Ordner entsprechend für diese globale Gruppe angepasst und zwar auf die Ordnersicherheit für diese eine Gruppe vergeben.
Wenn ich jetzt diesen Share anwähle mit dem Benutzer, der in der globalen Gruppe dafür berechtigt ist, bekomme ich die Meldung, dass der Zugriff verweigert wird. Setze ich den Benutzeraccount selber als berechtigt für Freigabe und Ordnersicherheit, habe ich Zugriff. Ebenso, wenn ich die globale Gruppe "Domänen-Benutzer" zum Zugriff berechtige.
Im Endeffekt ist es so, dass augenscheinlich alle von mir neu angelegten globalen Gruppen nicht 100% funktionieren, die systemnahen Gruppen, also z.B. Domänen-Benutzer, Jeder, usw. funktionieren aber immer. Die von mir neu angelegeten Gruppen funktionieren an manchen Ordnern/Freigaben an manchen nicht.
Ich suche jetzt nach Ideen, woran es liegen könnte, wie ich diesen Umstand mal ordentlich analysieren kann und am Ende vllt. sogar beheben kann. Dadurch dass die Gruppen nämlich nicht richtig funktionieren, bzw. ich mich nicht darauf verlassen kann, muss ich immer die einzelnen Useraccount berechtigen, was manchmal etwas mühsam ist.
Die Ereignisanzeige des Fileservers hat mir bisher auch nicht wirklich weitergeholfen, eine Überwachung auf Erfolg/Nichterfolg loggt mir nämlich nur, dass es funktioniert hat oder eben nicht, aber nicht, warum es nicht funktioniert hat.
Die Ordner/Freigaben und die Berechtigungen habe ich immer auf die gleiche Art und Weise angelegt und deshalb komme ich nicht dahinter, warum es manchmal funktioniert und manchmal nicht.
So, hoffe dass die Problematik etwas verständlich geworden ist. Wenn ich mich unklar ausgedrückt habe, bzw. etwas nicht erwähnt habe, bitte ich natürlich um entsprechende Rückfragen. Ich muss diesem Problem endlich mal beikommen...
Ach ja, offensichtliche Probleme im AD gibt es nicht, es funktioniert an sich alles. Wir haben auch das AD-sensitive Exchange im Einsatz, was keine Probleme macht. Die Replikation zw. den beiden Domänen-Controllen funktioniert einwandfrei, neu angelegte Gruppen tauchen innerhalb kurzer Zeit auch auf dem zweiten Domänen-Controller auf. Beide Domänen-Controller sind Win Server 2003, laufen aber noch im Mixed-Mode. Aber ob das des Rätsel´s Lösung ist??
Vielen Dank im Voraus für eure Anregungen...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 129846
Url: https://administrator.de/forum/win-server-2003-globale-sicherheitsgruppen-129846.html
Ausgedruckt am: 27.12.2024 um 03:12 Uhr
2 Kommentare
Neuester Kommentar
Hi Simon,
meine Frage dazu lautet wieso du überhaupt Globale Gruppen verwendest?
Globale Gruppen gelten zwar auch für die lokale Domäne, sind aber eigentlich dazu gedacht über mehr als eine Domäne hinweg Berechtigungen zu vergeben. Die Lokalen Gruppen dagegen gelten nur für die Domäne in der das AD steht.
Also dein Problem hat wahrscheinlich einerseits damit zu tun das du Globale Gruppen verwendest und andererseits das du nicht im Native Modus arbeitest.
Ist sehr schön hier dargestellt:
http://www.msxfaq.de/verschiedenes/gruppen.htm
Versuch bitte das ganze mit Lokalen Gruppen und ob der Fehler dort auch auftaucht.
meine Frage dazu lautet wieso du überhaupt Globale Gruppen verwendest?
Globale Gruppen gelten zwar auch für die lokale Domäne, sind aber eigentlich dazu gedacht über mehr als eine Domäne hinweg Berechtigungen zu vergeben. Die Lokalen Gruppen dagegen gelten nur für die Domäne in der das AD steht.
Also dein Problem hat wahrscheinlich einerseits damit zu tun das du Globale Gruppen verwendest und andererseits das du nicht im Native Modus arbeitest.
Ist sehr schön hier dargestellt:
http://www.msxfaq.de/verschiedenes/gruppen.htm
Versuch bitte das ganze mit Lokalen Gruppen und ob der Fehler dort auch auftaucht.
Mit großer Sicherheit ist es Folgendes:
Erstellst Du eine Gruppe und packst Deinen (bereits am Testsystem angemeldeten Nutzer) dort rein, so "weiß" der Nutzer davon noch nichts. Erst nach Ab- und wieder Anmeldung funktioniert es. Das Verhalten ist normal, erst bei der Anmeldung bekommt der Nutzer den aktuellen Token.
Erstellst Du eine Gruppe und packst Deinen (bereits am Testsystem angemeldeten Nutzer) dort rein, so "weiß" der Nutzer davon noch nichts. Erst nach Ab- und wieder Anmeldung funktioniert es. Das Verhalten ist normal, erst bei der Anmeldung bekommt der Nutzer den aktuellen Token.