Zu Content springen
Deutsch
Anmelden
  • Es gibt keine Vorschläge, da das Suchfeld leer ist.

AD User hat zu viele Rollen

Sporadisch kommt es dazu, dass ein User im PPS mehr Rollen hat als ihm über das AD zugewiesen wurden. Hier erfahren Sie die Gründe

Werden Benutzer und Rollen aus dem AD dem importiert, werden die Rollenzugehörigkeiten bei jedem Sync und Anmeldevorgang mit dem AD abgeglichen. Wird der User im AD aus einer Gruppe entfernt, verliert er im Pleasant Password Server die entsprechende Rollenzugehörigkeit. In seltenen Fällen kommt es leider dazu, dass der User im Pleasant Password Server mehr Rollen hat als im AD. Die Ursache hierfür ist ein Bug im AD

Microsoft führte 2016 die Funktion zeitbasierte Gruppenmitgliedschaft ein, die es erlaubt, Mitgliedschaften mit einem Ablaufdatum zu versehen. Die zeitliche Begrenzung kann nur über Powershell konfiguriert werden. Um zu prüfen, ob eine Mitgliedschaft zeitlich begrenzt ist, kann man ebenfalls Powershell verwenden. Folgender Befehl zeigt sowohl dauerhafte als auch zeitbasierte Mitgliedschaften an. Zeitbasierte Mitgliedschaften sind im Ergebnis mit einem TTL-Wert gekennzeichnet, der angibt, wie lange das Objekt noch Mitglied bleibt.

(Get-ADGroup -LDAPFilter "(CN=ROL-TEST-DIFEO)" -Properties member -ShowMemberTimeToLive).member

Bekommt ein User im AD eine zeitbasierte Gruppenmitgliedschaft so wird diese auch in den Pleasant Password Server synchronisiert. Leider gibt es nun AD seitig einen Bug: Selbst wenn die zeitbasierte Gruppenmitgliedschaft abgelaufen ist, gibt das AD die Gruppenzugehörigkeit weiterhin zurück. Dies wird im AD allerdings nicht dargestellt. Das Problem äußert sich so, dass der User im AD weniger Rollen hat als im Pleasant Password Server. 

Lösungsansätze

Der Bug wurde von Microsoft für Windows Server 2019 und 2022 bereits behoben. Im Windows Server 2016 tritt das Problem allerdings noch immer auf. Sollten Sie von diesem Bug betroffen sein, müsste also das Betriebssystem des Domaincontrollers aktualisiert werden. 

Alternativ können Sie auch folgenden Workaround testen: 

1.   Nehmen Sie den betroffenen User im AD nochmals in die Gruppe auf

2.  Starten Sie im Pleasant Password Server einen Synchronisationslaufstarten

3.   Enterfernen Sie den User  im AD aus der Gruppe

4.   Synchronisieren Sie erneut