LDAP/AD Sync: nicht alle Mitglieder der Gruppe werden synchronisiert

[SchengFui]

Hallo zusammen,

ich habe unter "Realms" eine Verbindung zu einem Active Directory konfiguriert. Solange ich im User Filter nichts eintrage, werden auch alle User synchronisiert. Im AD gibt es eine Gruppe "Proxmox_Admins" mit acht Mitgliedern.

Nun trage ich im User Filter folgenden Filter ein: (MemberOf=CN=Proxmox_Admins,OU=Sicherheitsgruppen,OU=Konzern,DC=foo,DC=bar)

Es werden nur vier der acht Benutzer synchronisiert, und zwar nur die, welche zusätzlich noch in der Gruppe "Domänen-Admins" enthalten sind, die anderen vier ohne diese Gruppenmitgliedschaft erscheinen nicht...

Ich filtere an keiner Stelle zusätzlich noch auf "Domänen Admins", warum erscheinen nur die Benutzer mit dieser Gruppenmitgliedschaft?

Ich hab keine Idee mehr und bin für Tipps sehr dankbar.

 

[SchengFui]

OK, nach etwas mehr testen ist es wohl ein Bug/Rechteproblem in Active Directory... was genau hab ich noch nicht rausgefunden

 

[Falk R.]

Mit welchem User greifst du aufs AD zu?
Ich erstelle immer einen der überall Zugriff hat, natürlich nur lesend.
Damit habe ich noch nie Probleme gehabt.

 

[SchengFui]

ursprünglich nur mit einem Benutzer der ausschließlich in der Gruppe der Domänen-Benutzer drin ist. Dann zeigt sich das beschriebene Bild. Wird der Benutzer den Konten-Operatoren hinzugefügt funktioniert es. Also definitiv ein Rechteproblem/Effekt im AD. Spannend ist auch, warum eine Abfrage ohne Filter alle Ergebnisse lieferte, eine Abfrage mit Filter nur verstümmelt.

 

[Falk R.]

Das hat bestimmt eine Sinnvolle Ursache im Rechtesystem, aber dazu befrage mal einen AD Profi. Meine letzte Microsoft Zertifizierung war der MCSE 2003.

 

[SchengFui]

Da muss ich zum Glück nicht weit laufen, ich bin selber AD-Profi ;-) Mein Fehler war leider, dass ich hier gepostet habe, bevor ich auf die Idee gekommen bin die Abfrage mittels dsquery direkt gegen das AD zu prüfen. Diese Abfrage lieferte dasselbe Ergebnis, daher konnte es nicht am Proxmox liegen...