Im UCServer gesetzte Berechtigungen für eine Gruppe (ActiveDirectory) werden ignoriert

Beobachtung

Die Berechtigungen, die in der UCServer Verwaltung für die Mitglieder einer AD Gruppe (Active Directory) gesetzt wurden, werden nicht berücksichtigt und greifen nicht.

Mögliche Ursache

Für die Benutzer/Mitglieder der Gruppe ist im AD (Active Directory) eingestellt, dass es sich um die Primäre Gruppe (Primary Group) handelt.

Hintergrund

Im Active Directory wird die Primäre Gruppe anders gespeichert als normale Gruppenmitgliedschaften.

Normale Gruppenzuordnung

Mitgliedschaft in der Gruppe wird im Feld "member" der Gruppe gespeichert.

Primäre Gruppe

Hier wird direkt im User-Objekt über das Feld "primaryGroupID" die Primäre Gruppe bestimmt. Hier steht allerdings nicht die Gruppe, sondern nur ihre RID (Relative Identifier).

Das bedeutet, dass die Zuordnung einer Primary Group nicht im Feld “member” der betreffenden Gruppe gespeichert wird. Die Gruppe selbst “weiß” also gar nicht, dass diese Mitglieder auch dazugehören!

Überprüfung möglicher Ursachen

In der UCServer Verwaltung kann in der Gruppe im Reiter "Mitglieder" geprüft werden, was für ein Typ diese Mitgliedschaft ist.
Wenn im Feld "Typ" ein 'P' steht, handelt es sich um eine Primäre Gruppe.

Beispiel Screenshot Einstellungen Gruppe - Mitglieder - Typ P

Lösung

Damit die Berechtigungen korrekt ausgewertet werden, darf keine Primäre Gruppe verwendet werden.