AD DS Benutzer mit eingeschränktem Zugriff - Authentifizierung an Seite funktioniert nicht

mspano Als Antwort am 21 Feb. 2012 08:34

Hi,

kann mir denn keiner sagen, an welchen Rechnern, bzw welchen Services ein SPF User sich mindestens authentifizieren muss, damit ich die entsprechende Anmeldeerlaubnis an den Servern in seinem AD DS Accouont hinterlegen kann?

Leider habe ich mir einen Wolf gegooglet und nichts richtiges dazu gefunden. Vielleicht habe ich auch die falschen Suchbegriffe benutzt - wer weiß.

Danke schon mla und viele Grüße.

Christian Müller Als Antwort am 21 Feb. 2012 10:45

Hallo mspano,

erst mal zu der weisen Seite nach 3maligem Anmelden. Versuch mal das hier das Problem hatte ich auch schon öfters.

http://sharepointadam.com/2010/03/06/disable-the-loopback-check-via-powershell/

Wenn dein Problem immer noch auftritt gib bitte noch mal kurz bescheid.

Gruß Chris

mspano Als Antwort am 21 Feb. 2012 11:37

Hi,

danke für den Tipp. Daran kann es aber nicht liegen, da die Anmeldung funktioniert, wenn ich dem Benutzer die Erlaubnis gebe, sich überall anzumelden. Er darf sich mit seinem Domain Account aber nur am SPF Server selbst anmelden. Gebe ich ihm Zugriff auf alles, klappt´s auch mit dem FQDN.Ich habe ihm auch bereits testweise (Anmelde)Zugriff auf einen DC/DNS (in der Vermutung, es könne mit der Namensauflösung zu tun haben) und auf den SQL Server (in der Vermutung, der Account müsse sich auch da anmelden, aber am SQL meldet sich ja lediglich der SPF-Account an, um die DBs auszulesen) gegeben - leider alles ohne Erfolg.

Ich habe es dennoch mit dem Reg.Key versucht, aber es hat leider nicht hingehauen.

Ich bin für jeden Tipp dankbar

Andi Fandrich Als Antwort am 21 Feb. 2012 11:53

Ich nehme an, Du hast den Benutzer aus der Standardgruppe "Domain User" entfernt. Damit verliert er aber auch das Leserecht auf die Domäne und somit können seine Credentials nicht geprüft werden. Versuche mal, ob Du im dieses Recht nicht separat geben kannst. Genauer kann ich es Dir nicht erklären - ich bin kein AD-Spezialist.

mspano Als Antwort am 21 Feb. 2012 12:15

Hi Andi,

leider nicht - ist aber ein sehr guter Einwand - da hätte ich ihn fast rausgeschmissen. Danke.

Wie gesagt, der Benutzer ist Mitglied in Domänen-Benutzer und Domänen-Benutzer sind "Primary group"

Any suggestions?

Andi Fandrich Als Antwort am 21 Feb. 2012 12:26

Tut mir leid - keine weiteren Ideen .-(

mspano Als Antwort am 21 Feb. 2012 12:37

[quote user="Andi Fandrich"]

Tut mir leid - keine weiteren Ideen .-(

[/quote]

Gegen wen/was muss sich denn ein User generell authentifizieren, um die SPF Site öffnen zu können?

AFAIK fragt SP das AD und jede zur Verfügung stehende Authentifizierungsliste, ob der Zugriff gestattet ist, oder? Mehr nicht.... Dann sollte doch eigentlich der domain user die Zugangsberechtigung bekommen....?Lege ich einen lokalen User auf dem SP Server an, funktioniert die Anmeldung an der SiteCollection ja auch... Ich steh hier absolut im Dunkeln - keine Idee....

Andi Fandrich Als Antwort am 21 Feb. 2012 12:54

SharePoint fragt beim AD, ob der angegebene Login und Passwort stimmen. Falls ja, wird geprüft, ob der Benutzer Rechte innerhalb SharePoint besitzt.

Wenn es mit lokalen Benutzern funktioniert, hört sich das eher danach an, daß der SharePoint Server entweder den DC nicht findet oder keinen Zugriff hat. Ich würde mal die verschiedenen Accounts der SharePoint-Installation prüfen, insbesondere den Application Pool der Webanwendung. Das müssen Domänen-Accounts sein.

mspano Als Antwort am 21 Feb. 2012 13:02

[quote user="Andi Fandrich"]

SharePoint fragt beim AD, ob der angegebene Login und Passwort stimmen. Falls ja, wird geprüft, ob der Benutzer Rechte innerhalb SharePoint besitzt.

Wenn es mit lokalen Benutzern funktioniert, hört sich das eher danach an, daß der SharePoint Server entweder den DC nicht findet oder keinen Zugriff hat. Ich würde mal die verschiedenen Accounts der SharePoint-Installation prüfen, insbesondere den Application Pool der Webanwendung. Das müssen Domänen-Accounts sein.

[/quote]

Es funktioniert ja auch mit Domänen Benutzern - nur eben nicht, wenn diese Domänenbenutzer sich nur an bestimmten Computern anmelden dürfen. Also sollte doch mit den Accounts und dem Application Pool der Webanwendung alles in Ordnung sein, oder? Im Übrigen habe ich die Accounts überprüft und es sind Domänen-Accounts.

Trotzdem Danke...

Andi Fandrich Als Antwort am 21 Feb. 2012 13:17

OK, ich verstehe Deine Argumente.

[quote user="mspano"]wenn diese Domänenbenutzer sich nur an bestimmten Computern anmelden dürfen[/quote]

Wie habt Ihr das denn verwirklicht? Evtl. ist es für SharePoint notwendig, daß die Benutzer sich am Client anmelden dürfen. Sie müssen das natürlich nicht machen, aber das Recht dazu könnte notwendig sein.

Ist aber nur eine Vermutung. Ich bin da wie gesagt kein Experte.

mspano Als Antwort am 21 Feb. 2012 13:44

Ich habe die Lösung:

Der Domänenbenutzer, der sich nur auf bestimmten Rechnern anmelden darf, muss auch von einem erlaubten Rechner aus kommen. Das heißt, meldet er sich von einem externen beliebigen Computer über die URL der SPF Site an, wird erkannt, dass er sich zwar am SP Server anmelden darf - er kommt aber von einem Computer, an dem er sich laut seines AD Profils nicht anmelden darf - also wird der Zugriff verweigert.

Ich dachte, dass dieses Verhalten mit der Zuweisung der Zone "Internet" für die WebApplikation umgangen wird - tut es aber nicht.

So wie ich das sehe, kann sich also ein DomänenBenutzer nicht auf einer öffentlich erreichbaren URL an der SPF Website anmelden, wenn sein Domänenaccount eingeschränkte Berechtigungen zur Anmeldung an bestimmten Geräten hat.

Schade - aber wenigstens verstanden.

Andi Fandrich Als Antwort am 21 Feb. 2012 14:31

Das ist ja genau das, was ich oben vermutete...

Nur zur Info: das Problem scheint sich auf Rechner innerhalb der Domäne zu beschränken, wo das Anmeldeverbot greift. Wir haben jede Menge von außen zugängliche SharePoints und es können sich alle Benutzer mit den entsprechenden Domänenaccounts anmelden. Auch wenn deren Rechner in keiner oder einer anderen Domäne sind.

mspano Als Antwort am 21 Feb. 2012 15:25

[quote user="Andi Fandrich"]

Das ist ja genau das, was ich oben vermutete...

Nur zur Info: das Problem scheint sich auf Rechner innerhalb der Domäne zu beschränken, wo das Anmeldeverbot greift. Wir haben jede Menge von außen zugängliche SharePoints und es können sich alle Benutzer mit den entsprechenden Domänenaccounts anmelden. Auch wenn deren Rechner in keiner oder einer anderen Domäne sind.

[/quote]

"Wie habt Ihr das denn verwirklicht? Evtl. ist es für SharePoint notwendig, daß die Benutzer sich am Client anmelden dürfen. Sie müssen das natürlich nicht machen, aber das Recht dazu könnte notwendig sein."

Hi Andi,

wenn Du das gemeint hast, dann habe ich es wohl falsch verstanden. Fakt ist, dass auch ein Gerät, das extern steht und nicht in der Doäne ist (also meinetwegen ein Privatrechner, oder Internetcafe, oder was auch immer), über den Browser seinen Computernamen weitergibt. Hat der Doänenaccount auf diesen (externen) Computer keine "Log Ont To..." Berechtigung, funktioniert es auch nicht.

Also nicht nur von einem Domänencomputer aus, sondern auch von einem externen Computer aus, der nicht erlaubt ist, funktioniert es nicht.

Wir haben die Zugriffsbeschränkung über die Properties des AD Benutzeraccounts realisiert: Writer "Account" -> Button "Log On To..." und darin nicht "All computers" sondern "The following computers" markiert und dort die erlaubten Computer eingetragen.

Trotzdem Danke für Deine Ideen. Wie eine unserer Mitarbeiterninnen immer sagt: "again what learnt" (wieder was gelernt) ;-)

Andi Fandrich Als Antwort am 21 Feb. 2012 15:40

[quote user="mspano"]Wir haben die Zugriffsbeschränkung über die Properties des AD Benutzeraccounts realisiert: Writer "Account" -> Button "Log On To..." und darin nicht "All computers" sondern "The following computers" markiert und dort die erlaubten Computer eingetragen[/quote]

Ah, das könnte sich dann natürlich wirklich auf ALLE Rechner auswirken, also über die Domäne hinweg. Gibt es dort keine Negativliste, also so daß man angeben kann, auf welcher Maschine sich der Benutzer nicht anmelden darf? Dann wären ja alle anderen erlaubt...

[quote user="mspano"]"again what learnt"[/quote]

Me 2 :-)

mspano Als Antwort am 21 Feb. 2012 17:40

...leider nicht :-(