4 Replies Latest reply on May 23, 2018 5:39 AM by MWiega

    Importierte Gruppe aus AD aktualisiert nicht

    MWiega Apprentice

      DSM 2016.2

      Wir setzen für die Zugriffsverwaltung mit den Rollen eine importierte Sicherheitsgruppe aus dem AD ein. Ich würde jetzt erwarten, dass wenn ich Änderungen in der AD Gruppe vornehme, dies dann auch in der Gruppe im DSM abgebildet wird. Oder muss die Gruppe bei Änderungen jedes Mal entfernt und neu eingelesen werden? Falls nein, wann sollte die Aktualisierung erfolgen?

       

      Danke schon einmal für Input.

        • 1. Re: Importierte Gruppe aus AD aktualisiert nicht
          derniwi Master

          Hallo Anonymer,

           

          es gibt out-of-the-box nur den Import und keine Synchronisation.

          Daher muss man diesen Import immer mal wieder durchführen, wenn man Zuordnungen auf eine AD-Gruppe eingerichtet hat.

           

          Etwas anders sieht es meines Wissens aus, wenn man innerhalb eines Paketes die Gruppenmitgliedschaft prüft, aber das will man oft nicht.

           

          Gruß

          Nils

          • 2. Re: Importierte Gruppe aus AD aktualisiert nicht
            MWiega Apprentice

            Hallo Nils,

             

            wieso Anonymer? Wird bei mir kein Name angezeigt?

             

            Zum Sync: Verstehe, das wäre nicht so schlimm. So oft haben wir da keine Änderungen. Ich habe zum Test mal eine neue Gruppe im AD angelegt und einen Testuser reingeschoben. Nachdem ich die Gruppe beim vergeben einer Berechtigung auf einer OU importiert habe, wird sie mir im DSM in der Struktur des ADs abgelegt. Da kommt ja eine entsprechende Abfrage. Die Gruppe im DSM ist jedoch leer und daran ändert sich auch nichts.

             

            Mache ich da was falsch oder haben wir ein anderes Problem?

            Hochgekommen ist das Thema aktuell, da ein Kollege vom Helpdesk plötzlich auf einer OU kein Zugriffsrecht mehr hat. Geändert haben wir augenscheinlich nichts.

             

            Grüße,

            Michael

            • 3. Re: Importierte Gruppe aus AD aktualisiert nicht
              swabedoo Apprentice

              Hallo Michael, Nils,

               

              das mit den AD Gruppen für die Vergabe von Rechten funktioniert so:

               

              1) AD Gruppe in DSM importieren

              2) AD User in DSM importieren (falls sie nicht schon über den AutoInsert reingekommen sind)

              3) Rolle auf einem Kontext (Container, Gruppe) für die AD Gruppe vergeben

               

              Die Mitglieder der Gruppe werden über zwei Wege aktualisiert (dazu braucht es keinen Import, da der Import keine Gruppenmitgliedschaften aktualisiert und noch nie aktualisiert hat):

              1) Bei einem Sync des Clients, an dem sich der Benutzer angemeldet hat (z.B. AutoInstaller, Software Shop)

              2) Einmalig beim Start der DSMC (hier wird die in der Windows Identity gecachte Liste der Gruppen verwendet, wobei nur die Mitgliedschaft in den Gruppen aktualisiert wird, die für die Berechtigung verwendet wurden)

               

              Wenn man also Benutzer zu der AD Gruppe hinzugefügt oder von ihr weggenommen hat, muss zuerst ein Sync stattfinden oder der Benutzer muss die DSMC neu starten, nachdem er sich von Windows ab- und wieder angemeldet hat. In seltenen Fällen kann es Situationen geben, wo es zu Ping-Pong-Effekten kommt (d.h. der Benutzer hat sich frisch angemeldet und kann arbeiten und dann nach einer Weile hat er auf einmal keine Rechte mehr). Das liegt dann an der AD Infrastruktur, d.h. der Sync ermittelt andere Gruppenmitgliedschaften als Windows beim Anmelden (z.B. weil verschiedene AD Controller verwendet wurden).

               

              Ich hoffe, das hilft weiter.

              swabedoo

              1 of 1 people found this helpful
              • 4. Re: Importierte Gruppe aus AD aktualisiert nicht
                MWiega Apprentice

                Hallo swabedoo,

                 

                vielen Dank für die ausführliche Info. Das Hilfe File hatte ich nicht so verstanden, dass es sogar eine Ab- und Anmeldung von Windows benötigt. Das wird aber dann der Aktualisierung der Berechtigungen geschuldet sein. Der "Trick" bestand nun also tatsächlich darin, dass der Sync gefehlt hat. Nachdem ich die DSMC Konsole einmalig mit dem Testuser geöffnet habe, ist dieser plötzlich auch in der Gruppe im DSM erschienen.

                 

                Gestaltete sich also wie folgt:

                Ich importiere eine Gruppe aus dem AD.

                Im AD ist ein User beinhaltet.

                Der AD User ist im DSM selbst vorhanden.

                Im DSM ist die Gruppe leer.

                Der User startet für den Sync z.B. die DSMC, danach ist er in der Gruppe im DSM auch sichtbar.

                 

                 

                Somit verbleibt nur noch das Problem, dass 1 User aus unserer bisherigen Sicherheitsgruppe, auf 1 OU keinen Zugriff mehr hat. Habe die Rolle mit der Gruppe schon einmal entfernt und neu gesetzt, was aber leider nicht half. Ich dachte erst an eine Art Cache auf dem Client aber das Problem tritt bei diesem User auch von einem anderen Rechner aus auf.

                 

                Grüße,

                Michael