[AD] Clients reboot voor sec group herkenning - Netwerken

donderdag 2 maart 2006 13:39

Acties:

010101011110010101??

Topicstarter

Alweer een enorm vreemd problem met ACL

Materiaal:
• Twee DC’s
• Één Fileserver

Ik maak een security group aan op de DC en voeg er user accounts aan toe. Vervolgens gebruik ik deze security group om de toegang tot een map te beperken op de Fileserver. De groep heeft als leden enkele user accounts. Ik noem de security group gemakshalve mijngroep.

De share rechten staan op een bovenliggende map staan op everyone met full control.

MAP NTFS-RECHTEN
-----------------------------------
De NTFS-situatie voor was:
Domain admins  Ful control
Domain Users  full control
System  full control
FILESERVER\administrators  full control

De NTFS situatie na is:
Domain admins  Ful control
Mijngroep  full control
System  full control
FILESERVER\administrators  full control

ECHTER de clients hebben allemaal een reboot nodig voor ze de groep mijngroep herkennen?! Terwijl als ik de accounts gewoon apart toevoeg dat ze meteen reageren en direct toegang hebben…. Hoe komt dit????

SvennieG

donderdag 2 maart 2006 13:44

Acties:

elevator

Officieel moto fan :)

Groupmembership wordt enkel geevalueerd bij een login.

donderdag 2 maart 2006 14:02

Acties:

Tybo

010101011110010101??

Topicstarter

elevator schreef op donderdag 02 maart 2006 @ 13:44:
Groupmembership wordt enkel geevalueerd bij een login.

dank u, o edele mod $_/-\o_$

SvennieG

donderdag 2 maart 2006 14:24

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

elevator schreef op donderdag 02 maart 2006 @ 13:44:
Groupmembership wordt enkel geevalueerd bij een login.

Ligt aan het gebruikte authenticatie-protocol.

Als men uitgaat van Kerberos wordt Group membership geëvalueerd tijdens het aanvragen van een TGT (ticket-granting ticket),wat niet alleen gebeurt tijdens aanloggen. Ook als je TGT expired is (niet je sessie ticket), wordt een nieuw TGT aangevraagd en opnieuw (automatisch) je groupmembership geëvalueerd.

The PAC data are added to a ticket on the KDC level and are inherited between subsequent TGT and ticket requests and renewals. The PAC data are not refreshed at ticket-request time. This means that if a user's group memberships change during its logon session, he or she will have to log off-log on (just as in NT4), wait for an automatic TGT renewal to occur, or purge the Kerberos ticket cache (using the klist or kerbtray utilities explained next). Note that even though Windows does not refresh the authorization data it will check whether the account hasn't been disabled (see also the sidenote on "Kerberos and disabled accounts").

[/mierenneukmode]

[ Voor 6% gewijzigd door Question Mark op 02-03-2006 14:30 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 2 maart 2006 14:55

Acties:

Tybo

010101011110010101??

Topicstarter

[/mierenneukmode]

Nee hoor, heel leerzaam. Dus als het ticket vervalt, zou de user eigenlijk wel group membership hebben zonder dat ie weer moet inloggen (als hij tenminste een nieuw ticket krijgt).

SvennieG

donderdag 2 maart 2006 18:20

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Ik heb het nooit getest, maar het zou wel moeten werken. Of het zin heeft is weer een tweede... De default lifetime van een TGT is 10 uur, een werkdag duurt bij ons 8 uur. Management verplicht gebruikers na afloop van de werkdag de pc af te sluiten... Een gebruiker bij 'ons' werk dus de gehele dag met hetzelfde TGT.

Overigens zijn ticket lifetimes via de default domain policy te regelen. Zie oa. hier en hier.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 2 maart 2006 21:03

Acties:

elevator

Officieel moto fan :)

Question Mark schreef op donderdag 02 maart 2006 @ 14:24:
Ligt aan het gebruikte authenticatie-protocol.

Wist ik niet, thanks