2K3 - Vererbung Sicherheitsberechtigungen wird deaktiviert

[manuel-33]

Hallo beisammen,

folgendes Problem.

Im Active-Directory sind einer OU entsprechende Sicherheitsberechtigungen (Blackberry) definiert. Ebenso ist bei den erweiterten Sicherheitseinstellungen die Option

"Berechtigung übergeordneter Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten........"

aktiviert.

Wenn ich nun in den Sicherheitseinstellungen der Domänen-Benutzer in dieser OU nachschaue fehlt mir dieser Blackberry-Benutzer und somit die entsprechende Sicherheitsberechtigung.
Wird dieser Blackberry-Benutzer und somit die Sicherheitsberechtigung manuell zugewießen und wird auch hier diese Vererbung aktiviert, bleibt dieser Blackberry-Benutzer für einige Zeit hier eingetragen und irgendwann wieder automatisch herausgelöscht.
Diese spezielle Sicherheitsberechtigung benötige ich aber die dieser Blackberry-Benutzer mit sich bringt um Nachrichten vom Blackberry-Gerät verschicken zu können


Wie kann ich es gewährleisten, dass dieser Benutzer dauerhaft in den Sicherheitseinstellungen der Domänen-Benutzer eingetragen bleibt und nicht wieder herausgelöscht wird.
Der Windows2003 Server ist DC und darauf ist gleichzeitig Exchange2003 installiert.

Kann mir hierzu bitte jemand weiterhelfen?


Vielen Dank

[Daim]

Servus,

Zitat von manuel-33 Wird dieser Blackberry-Benutzer und somit die Sicherheitsberechtigung manuell zugewießen und wird auch hier diese Vererbung aktiviert, bleibt dieser Blackberry-Benutzer für einige Zeit hier eingetragen und irgendwann wieder automatisch herausgelöscht.

der Prozess der dafür zuständig ist, nennt sich AdminSDHolder!

Diese spezielle Sicherheitsberechtigung benötige ich aber die dieser Blackberry-Benutzer mit sich bringt um Nachrichten vom Blackberry-Gerät verschicken zu können

Dann entferne diesen Benutzer aus allen administrativen Gruppen. Diese wären:

- Organisations-Administratoren
- Schema - Administratoren
- Domänen - Administratoren
- Administratoren
- Server - Operatoren
- Sicherungs - Operatoren
- Konten - Operatoren
- Druck - Operatoren
- Zertifikatherausgeber

Wie kann ich es gewährleisten, dass dieser Benutzer dauerhaft in den Sicherheitseinstellungen der Domänen-Benutzer eingetragen bleibt und nicht wieder herausgelöscht wird.

Entferne den Benutzer aus den administrativen Gruppen.

[NorbertFe]

Zitat von Daim Entferne den Benutzer aus den administrativen Gruppen

, und setze danach den Haken zur Berechtigungsübernahme.

Bye
Norbert

[manuel-33]

Danke für die Antworten.

In der OU sind ca. 50 - Benutzer. 10 davon Blackberry-Benutzer.
Die Gruppen-Mitgliedschaften dieser Benutzer habe ich schon überprüft und die entsprechenden Gruppen entfernt.

Wie ist das, wenn die anderen Benutzer noch in diesen Gruppen (Druck-Operatoren, Domänen-Admins usw) Mitglieder sind? Wird dann auch bei den 10 Blackberry-Benutzern der Besadmin automatisch mit herausgelöscht obwohl die nicht mehr Mitglied einer dieser Gruppen ist?
Wenn ja, dann wäre es evtl. doch hilfreich extra eine OU für die Blackberry-Benutzer anzulegen oder?

[NorbertFe]

Zitat von manuel-33 Wie ist das, wenn die anderen Benutzer noch in diesen Gruppen (Druck-Operatoren, Domänen-Admins usw) Mitglieder sind?

Warum auch immer man sowas tun will, aber dann ist das Verhalten eben das von dir beschriebene. Delegierte Berechtigungen werden von vom AdminSDHolder geschützten Konten entfernt (innerhalb einer Stunde).

Wird dann auch bei den 10 Blackberry-Benutzern der Besadmin automatisch mit herausgelöscht obwohl die nicht mehr Mitglied einer dieser Gruppen ist?

Nein.

Wenn ja, dann wäre es evtl. doch hilfreich extra eine OU für die Blackberry-Benutzer anzulegen oder?

Wenn es so wäre dann ja.

Bye
Norbert