Gruppe "Domain Admins" anstatt "Domänen-Admin"

german

#1

Hallo,
ich betreibe ein UCS “4.2-3 errata310”.

Seit 1. März funktioniert die Anmeldung an einer Freigabe nicht mehr. Die Freigabe benutzte als Besitzergruppe die “Domänen-Admins”. Magischerweise wandelte die sich in “Domain Admins”, was der Windows-Server nun nicht akzeptiert.

Die “Domänen-Benutzer”-Gruppe bspw. ist korrekt.

So ist nun die Frage, wie kann ich “Domain Admins” korrigieren? Und wie konnte das überhaupt passieren?

Falls wichtig: Im System wird der Univention-AD-Connector benutzt.

Edit: Ich habe nun, bin mir aber nicht sicher, ob’s das vorher schon gab, auch Gruppen “Domain Users” und “Domain Guests” gefunden - die existieren aber *zusätzlich zu “Domänen-Benutzer” bzw. “Domänen-Gäste”. Ist das richtig so?

Danke,
Jeff


#2

Hi,

you are using UCS as a member server in an MS-AD domain, right?
Did you perform a re-join lately?

So yes, renaming the groups is default behaviour when UCS joins AD as a member server. Depends on the language of the MS-AD server which ones are used.

It appears the rename process started lately (and possibly did not correctly run during the first join?) an renamed the groups.

So far no issues here…you should reconfigure your shares to match the MS-AD domains- which is the better place anyways as there is a single point of administration…

/KNEBB


#3

Sorry - I had not noticed your answer :frowning:

Well, I hadn’t performed a re-join. Actually there wasn’t any change but a new user. It seems the rename took place during regular synchronization.


#4

Hey,

as an addendum: having groups with both the German and the English names is definitely not normal. Those groups usually have well-known RIDs on the Windows side (e.g. 512 for Domain Admins/Domänen-Admins or 513 for Domain Users/Domänen-Benutzer), and a lot of functionality is determined via the group’s RID instead of the group’s name.

You can check the RIDs with something like this:

univention-ldapsearch objectclass=sambagroupmapping dn sambasid