[gelöst] Windowsuser mit falscher Domäne angezeigt

Wer kann mir erklären, was hier passiert?

Alle Windowsbenutzer wurden ursprünglich unter der Domäne XY angelegt. Unter den NAV Windowsbenutzern sehe ich sie als XY\vnachname und SID 1234.
Irgendwann erfolgte ein Domänenumzug auf YZ. Die neuen User: YZ\vorname.nachname, SID 5678.
Die alten Domänenbenutzer existieren noch immer, werden nur nicht mehr verwendet. Daher sind die Benutzer doppelt als Windowsbenutzer vorhanden, mit jeweils anderer SID.
Bis hierhin ist alles in Ordnung.

Was ich jetzt nicht verstehe:
Schalte ich mich auf die SQL-Server-Maschine, rufe die Produktdivdatenbank auf, öffne die Windowsbenutzer, sehe ich:
XY\vnachname, SID 1234
YZ\vorname.nachname, SID 5678

Rufe ich dieselbe Ansicht für dieselbe!!! Datenbank auf meinem lokalen Client auf, sehe ich aber
YZ\vorname.nachname, SID 1234
YZ\vorname.nachname, SID 5678.

Das gleiche Spiel wiederholt sich auch für die Testdatenbank. Offensichtlich zeigt mir mein lokaler Client Quatsch an. Wie kann das sein?? Ich kann euch versichern, ich greife wirklich auf dieselbe Datenbank zu. NAV 2009 R2 Build 32480.

Folgefehler:
Auf meinem lokalen Client kann ich in der Benutzer Einrichtung keinen Lookup auf den Benutzer tätigen. Fehlermeldung: "Die Anmeldung existiert bereits."

Meinen Login gibt's nur in der "neuen Fassung", also YZ\vorname.nachname.

Bevor dieses Thema über das Wochenende übersehen worden ist

Ich werde - wenn ich Zeit finde - probehalber auch einen neueren Client ausprobieren. Ich würde nur gern wissen, ob jemand das Problem vielleicht kennt und das Problem vielleicht nicht die Buildnummer, sondern die Art der Installation, der Umgebung oder ähnliches ist.

Ich werde - wenn ich Zeit finde - probehalber auch einen neueren Client ausprobieren.

Clientupdate auf Build 36651 hatte übrigens leider diesbezüglich nicht geholfen.

Das Thema der doppelten Domänen holt mich leider noch immer an diversen Stellen ein.

• Es gibt z.B. NAV-User, die, obwohl sie sich nachweislich mit Domäne B an NAV anmelden, die Berechtigungen Ihres alten Users in der Domäne A ziehen. Sehr unschön.
• Auch außerhalb von Navision haben wir "Berechtigungsanomalien": Obwohl ich hier gerade als User der Domäne B arbeite, kann ich auf einen bestimmten, freigegebenen Server-Order nur dann schreibend zugreifen, wenn die Freigabe meinem Domäne-A-User zugeteilt wird.

Sei's drum - bin jedenfalls jederzeit für Hinweise dankbar ...

Ich möchte in diesem Zusammenhang nochmal das Thema NAV-User löschen aufgreifen.
Bedingt durch die duplizierten User (jeweils in Domäne A und B) und die übliche Fluktuation, haben wir eine lange Windows-User-Liste und Benutzer Einrichtung in NAV.
Die meisten User (eben nicht alle) melden sich mittlerweile in NAV nur noch mit Domäne B an. Habe ich eine "saubere" Chance, deren Domäne-A-Zwillinge aus den Windows Login und User Setup Tabellen zu verbannen? Aus der AD sind die A-Benutzer (noch) nicht gelöscht.
Gerade die Bereinigung der Benutzer Einrichtung wäre mir wichtig, weil sie in NAV 2009 keine Domänen anzeigt und man schnell den "falschen Kollegen" am Wickel hat. Wenn sogar der A-Benutzer gelöscht würde, erhoffe ich mir dadurch keine "Vererbungen" bei den Berchtigungen.

Gleiches gilt für ausgeschiedene Mitarbeiter: Wie handhaben das denn andere Unternehmen mit vielen Usern? Wächst die User-Liste ins unermessliche weiter, oder werden die User gelöscht, weil auch das dazu gehörige Windows-Konto immer gleich gelöscht wird?

Für die Suchmaschine und für alle

Zwischen unserer alten Domäne A und unserer neuen Domäne B ist eine Domänen-Vertrauensstellung (Domain Trust) eingerichtet.
Diese bewirkt, dass der von Domäne A nach Domäne B kopierte User als ein User angesehen wird - trotz verschiedener SIDs. Dieser "Verbunduser" kann sich nun fleißig aus beiden Domänen bedienen.

Ist ein AD-User sowohl in Domäne A als auch B angelegt, wirkt sich dies im Zusammenspiel mit NAV wie folgt aus - es ist bidirektional:

• Angenommen, in NAV ist der User nur als A-User (mit der A-SID) angelegt: Trotdzem kann er sich in der B-Domäne an NAV anmelden, erbt alle Berechtigungen des A-Users. Und wird als B-User angezeigt in NAV/gespeichert.
  
  
• Angenommen, ein User ist in NAV mit A- und B-Domäne angelegt: es werden beide Berechtigungen berücksichtigt, wobei (wie immer) die höhere gewinnt. Es nützt also nichts, bei Bedarf nur dem B-User Berechtigungen zu entziehen.
  (Da wir die A-Domäne nicht mehr nutzen, habe ich nicht ausprobiert, was passiert, wenn ich mich mit der A-Domäne anmelde. Es ist aber anzunehmen, dass ... es egal ist, welche Domäne für die Anmeldung gewählt wird.)
  
  
• Durch die Domänen-Vertrauensstellung stimmt die Anzeige in den NAV Windows-Logins nicht mehr: Lokal werden mir A-User als B-User angezeigt, dadurch tauchen User zweimal in der Liste auf, jeweils mit Domäne B. Wenn ich mit meinem lokalen Client einen User-Lookup machen möchte, laufe ich auf eine Fehlermeldung, dass es User XY schon gibt.
  Wechsle ich auf die SQL-Server-Maschine und öffne dort den Classic Client, wird mir der A-User auch mit der A-Domäne angezeigt. Hierbei ist es egal, ob ich den Classic Client als A- oder B-User öffne.
  Dieser Effekt wirkt besonders skurril, wenn die verbundenen User nach einem anderen Schema benannt worden sind. Angenommen, den User gibt es als A\vorname.nachname und B\vnachname. Dann finde ich auf meinem lokalen Rechner als Windowslogin zweimal B\vnachname.

Der Fehler war also nicht im NAV-Client selbst zu suchen, sondern in der Active Directory. Wie man am ersten Punkt sehen konnte, wird NAV der B-User übergeben.

PS:

Wenn ich mit meinem lokalen Client einen User-Lookup machen möchte, laufe ich auf eine Fehlermeldung, dass es User XY schon gibt.

Spätestens das ist übrigens der Grund, warum ich persönlich vor der Verwendung des Domain Trust warnen möchte.