Los permisos asignados a los usuarios del dominio no se propagan

0

Utilizamos Microsoft Windows 2008 Server como nuestros controladores de dominio, y usamos políticas de grupo para distribuir el acceso a recursos compartidos de red, paquetes de software, etc. La distribución de paquetes de software se realiza a través de LANDesk Desktop Manager.

El desafío es el siguiente: tenemos una política llamada "software libre de Windows 7", a la que todos los usuarios deben tener acceso. Para lograr esto, los usuarios de dominio, a los que pertenecen todos los usuarios (naturalmente), se les ha dado acceso a la política de "software libre de Windows 7". Esto no funciona.

Me parece recordar que hay un problema conocido con la implementación de LDAP de Microsoft, que hace que los permisos otorgados a los usuarios del dominio no se propaguen correctamente, y me pregunto si alguien tuvo más detalles sobre esto antes de registrar una solicitud de cambio.

razumny
fuente

Respuestas:

0

No he encontrado una confirmación firme de esto, más allá de observarlo por mí mismo.

La solución es evitar el uso de Usuarios de dominio para asignar permisos, utilizando en su lugar una OU de contenedor diferente.

Actualización 22/08/17:

Encontré una confirmación independiente del comportamiento, afirmando que:

La mayoría de los métodos no revelan la pertenencia al grupo "primario". Para la mayoría de los usuarios, el grupo "primario" debe ser "Usuarios del dominio". Específicamente, el atributo memberOf de los objetos de usuario, y el atributo de miembro de los objetos de grupo, nunca revela la pertenencia al grupo "primario". En la mayoría de los dominios, el atributo de miembro del grupo "Usuarios del dominio" está vacío, y es seguro asumir que todos los usuarios pertenecen a este grupo.   Si necesita consultar a todos los usuarios que tienen "Usuarios de dominio" designados como sus "principales", busque todos los usuarios cuyo atributo de ID de grupo principal sea 513. El atributo de Grupo de Usuarios primario del grupo "Usuarios de dominio" es el mismo número entero, 513. El LDAP El filtro de sintaxis podría ser:   (primaryGroupID = 513)   O, para encontrar todos los miembros directos de "Usuarios del dominio", más todos los usuarios que tienen este grupo designado como su "principal":   (| (memberOf = cn = Usuarios de dominio, cn = Usuarios, dc = MiDominio, dc = com) (primaryGroupID = 513))   Para encontrar a todos los usuarios que tienen algún otro grupo designado como su "primario", el filtro podría ser:   (& amp; (objectCategory = person) (objectClass = user) (! primaryGroupID = 513))

Fuente aquí: https://social.technet.microsoft.com/Forums/windowsserver/en-US/373febac-665c-494d-91f7-834541c74bee/cant-get-all-member-objects-from-domain-users-in-ldap? forum = winserverDS

razumny
fuente