Article Number: 000196070
NetWorker: NMC-login mislykkes for AD- eller LDAP-bruger med "Du har ikke rettigheder til at bruge NetWorker Management Console".
Summary: Når du forsøger at logge på NetWorker Management Console (NMC) med en AD- eller LDAP-bruger, vises der en meddelelse om, at du ikke har rettigheder til at bruge NetWorker Management Console. Konsollen er tilgængelig via NetWorker Administrator eller en anden lokal NMC-konto. ...
Article Content
Symptoms
- Følgende fejl vises, når du forsøger at logge på NMC som en ekstern (AD/LDAP) bruger:
- Den samme AD-bruger kan logge på ved hjælp af kommandolinjeindstillingen nsrlogin .
- Godkendelse gennemføres for NetWorker-standardadministratorkontoen.
- I nogle situationer kan denne fejl kun påvirke specifikke brugere.
nsrlogin
På NetWorker-serveren skal du åbne en kommandoprompt (eller SSH-session) og køre følgende kommandosyntaks:nsrlogin -t tenant_name -t domain -u username
- tenant_name: I de fleste konfigurationer er denne værdi standard. Ellers vil det være lejernavnet, der er konfigureret af NetWorker-administratoren.
- domæne: den domæneværdi, som du normalt bruger, når du logger på NMC.
- Brugernavn: AD/LDAP-brugernavn uden domænepræfiks
Cause
Resolution
1. Log på NetWorker Management Console (NMC) som standard NetWorker Administrator-konto.
2. Gå til Opsætnings->Brugere og Roller->NMC-roller.
3. Gennemgå konsolbrugeres og programadministratorroller . Felterne for de eksterne roller skal indeholde det entydige navn 
(fuld sti) for en AD-gruppe, som brugeren tilhører. Alternativt kan stien til en enkelt bruger indstilles.
F.eks.:
4. Når AD-gruppe DN for AD-brugeren er føjet til de relevante NMC-roller for den pågældende bruger, skal du teste login til NMC med den pågældende AD-bruger.
Additional Information
Hvis problemet fortsætter, kan du kontrollere AD/LDAP-gruppemedlemskab med følgende indstillinger:
Windows Powershell:
Kør følgende PowerShell-kommando fra et Windows-system på samme domæne:
Get-ADPrincipalGroupMembership -Identity USERNAME
F.eks:
PS C:\Users\Administrator.EMCLAB> Get-ADPrincipalGroupMembership -Identity bkupadmin
...
...
distinguishedName : CN=NetWorker_Admins,CN=Users,DC=emclab,DC=local
GroupCategory : Security
GroupScope : Global
name : NetWorker_Admins
objectClass : group
objectGUID : 058495c7-71c7-42c6-be92-2d8f96a5c2aa
SamAccountName : NetWorker_Admins
SID : S-1-5-21-4085282181-485696706-820049737-1104
Det entydigeName , der er outputtet af kommandoen, kan bruges i NetWorker til at give AD-brugeradgang til NMC.
Du kan få flere oplysninger om denne kommando i: https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-adprincipalgroupmembership?view=windowsserver2022-ps
NetWorker-authc_mgmt Kommando:
Du kan bruge kommandoen authc_mgmt til at forespørge på AD/LDAP-bruger-/gruppemedlemskab. På NetWorker-serveren skal du åbne en kommandoprompt (eller SSH-session) og køre følgende kommandosyntaks:
authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=TENANT_NAME -D query-domain=DOMAIN_NAME -D user-name=USER_NAME
F.eks.:
PS C:\> authc_mgmt -u Administrator -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab.local -D user-name=bkupadmin
Enter password:
The query returns 2 records.
Group Name Full Dn Name
Remote Desktop Users CN=Remote Desktop Users,CN=Builtin,dc=emclab,dc=local
NetWorker_Admins CN=NetWorker_Admins,CN=Users,dc=emclab,dc=local
Det fulde Dn-navn på en af grupperne kan bruges til at give denne AD-brugeradgang til NMC.
Den konfiguration og de værdier, der er nødvendige for authc_mgmt kommandoer, kan indsamles ved at køre:
authc_config -u Administrator -e find-all-configs authc_config -u Administrator -e find-config -D config-id=CONFIG_ID authc_config -u Administrator -e find-all-tenants
Article Properties
Affected Product
NetWorker, NetWorker Management Console
Product
NetWorker Family, NetWorker Series
Last Published Date
02 Jun 2023
Version
5
Article Type
Solution