Mithilfe des AD MMC-Snap-Ins zeige ich, dass ein bestimmter Benutzer Mitglied einer Gruppe ist. Wenn ich jedoch die Dienstprogramme net userund verwende net groups, ist die Gruppenmitgliedschaft anders und – was noch wichtiger ist – widersprüchlich.
Wir versuchen, ein Problem aufzuspüren, das damit zusammenzuhängen scheint, dass ein Benutzer nicht in den richtigen Gruppen ist, aber die MMC-Tools sagen, dass er in der Gruppe ist, net userund net groupsagen, dass er es nicht ist. Was ist los und wie gehen wir vor?
Antwort1
Haben Sie das auf mehreren Domänencontrollern überprüft? Sehen Sie weitere Inkonsistenzen mit Gruppen bei anderen Benutzern? Wenn AD inkonsistent ist, haben Sie echte Probleme.
Haben Sie außerdem versucht, sie aus den betreffenden Gruppen herauszuziehen, dann die NTDS-Replikation zwischen den DCs (von Active Directory-Sites und -Diensten) zu erzwingen, sie dann wieder zu den Gruppen hinzuzufügen und dann die Replikation erneut zu erzwingen?
Wenn Sie die Replikation erzwingen, werden in den Ereignisprotokollen Fehler angezeigt?
Antwort2
Mit welcher Art von Gruppe liegt das Problem vor? Global, Domänenlokal, Universal? NET ist ein sehr alter Legacy-Befehl und funktioniert nicht für nicht globale Gruppen. Versuchen Sie, die neueren DSQUERY-Tools zu verwenden, wenn das Problem bei einem der neuen Gruppentypen liegt.
http://technet.microsoft.com/en-us/library/cc725702%28WS.10%29.aspx
Beispiel:
dsquery user -samid THEUSER| dsget user -memberof -expand | dsget group -samid | sort