NetWorker: NMC-Anmeldung schlägt für AD- oder LDAP-Benutzer mit der Meldung "You do not have privileges to use NetWorker Management Console" fehl.

• Der folgende Fehler wird angezeigt, wenn Versucht wird, sich beim NMC als externer (AD/LDAP)-Benutzer anzumelden:

• Derselbe AD-Benutzer kann sich mithilfe der Befehlszeilenoption nsrlogin anmelden.
• Die Authentifizierung für das standardmäßige NetWorker-Administratorkonto ist erfolgreich.
• In einigen Situationen kann sich dieser Fehler nur auf bestimmte Benutzer auswirken.

nsrlogin

nsrlogin -t tenant_name -t domain -u username

• tenant_name: In den meisten Konfigurationen ist dieser Wert standardmäßig. andernfalls ist es der vom NetWorker-Administrator konfigurierte Mandantenname.
• domain: Der Domainwert, den Sie normalerweise verwenden, wenn Sie sich bei NMC anmelden.
• username: AD/LDAP-Benutzername ohne Domainpräfix

1. Melden Sie sich bei der NetWorker Management Console (NMC) als Standardmäßiges NetWorker-Administratorkonto an.
2. Navigieren Sie zu Setup->Users and Roles->NMC Roles.
3. Überprüfen Sie die Rollen Console Users (Konsolennutzer) und Application Administrators (Anwendungsadministratoren). Die Felder "Externe Rollen" sollten den distinguished Name  (vollständigen Pfad) einer AD-Gruppe enthalten, zu der der Benutzer gehört. Optional kann der Pfad eines einzelnen Benutzers festgelegt werden. 
Zum Beispiel:

4. Sobald der AD-Gruppen-DN für den/die AD-NutzerIn zu den entsprechenden NMC-Rollen für diese/n NutzerIn hinzugefügt wurde, versuchen Sie, sich mit dieser/m AD-NutzerIn bei der NMC anzumelden.
 

Wenn das Problem weiterhin besteht, können Sie die AD-/LDAP-Gruppenmitgliedschaft mit den folgenden Optionen überprüfen:
 

Windows Powershell:

Führen Sie auf einem Windows-System in derselben Domäne den folgenden PowerShell-Befehl aus:

Get-ADPrincipalGroupMembership -Identity USERNAME

Z. B.:

PS C:\Users\Administrator.EMCLAB> Get-ADPrincipalGroupMembership -Identity bkupadmin

...
...

distinguishedName : CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local
GroupCategory     : Security
GroupScope        : Global
name              : NetWorker_Admins
objectClass       : group
objectGUID        : 058495c7-71c7-42c6-be92-2d8f96a5c2aa
SamAccountName    : NetWorker_Admins
SID               : S-1-5-21-4085282181-485696706-820049737-1104

Der vom Befehl ausgegebene DistinguishedName kann in NetWorker verwendet werden, um dem AD-Benutzer Zugriff auf die NMC zu gewähren.

Weitere Informationen zu diesem Befehl finden Sie unter: https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-adprincipalgroupmembership?view=windowsserver2022-ps

NetWorker authc_mgmt Befehl:

Sie können den Befehl authc_mgmt verwenden, um die AD-/LDAP-Benutzer-/Gruppenmitgliedschaft abzufragen. Öffnen Sie auf dem NetWorker-Server eine Eingabeaufforderung (oder SSH-Sitzung) und führen Sie die folgende Befehlssyntax aus:

authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME

PS C:\> authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab.local -D user-name=bkupadmin
Enter password:
The query returns 2 records.
Group Name           Full Dn Name
Remote Desktop Users CN=Remote Desktop Users,CN=Builtin,dc=emclab,dc=local
NetWorker_Admins     CN=NetWorker_Admins,CN=Users,dc=emclab,dc=local

Der vollständige Dn-Name einer der Gruppen kann verwendet werden, um diesem AD-Benutzer Zugriff auf die NMC zu gewähren.
Die Konfiguration und die Werte, die für authc_mgmt Befehle benötigt werden, können durch Ausführen von erfasst werden:
 

authc_config -u Administrator -e find-all-configs
authc_config -u Administrator -e find-config -D config-id=CONFIG_ID
authc_config -u Administrator -e find-all-tenants