Jump to content

Berechtigung SendAs verschwindet


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Liebe Freunde,

die SuFu bringt mir leider nicht das gewünschte Ergebnis, daher das neue Thema. Zur Ausgangslage. Ich habe einen Win 2008 R2 Server mit Exchange 2010 und Clients mit Outlook 2007 und Outlook 2010. Im Exchange sind 2 Domänen eingetragen und jeder Benutzer hat demnach auch 2 Emailadressen / Postfächer. Des Weiteren gibt es ein paar Verteilergruppen, in denen die Benutzer je nach Zugehörigkeit eingetragen sind oder eben nicht.

 

Nun zu meinem Problem: Ich habe die Benutzer des ersten Postfaches bei den zweiten Postfächern mit Vollzugriff und SendAs eingetragen. 2 dieser 3 Benutzer sind / waren Mitglieder der lokalen Administratoren-Gruppe. Am Anfang hat auch alles tadellos geklappt, bis genau die 1 Stunde um war und das AD mittels eines laufenden Hintergrundprozesses seine Administratoren schützt (siehe http://www.msxfaq.net/konzepte/adminsdholder.htm). Ich habe, wie schon vorhin geschrieben, mal einen Benutzer aus der lokalen Admin-Gruppe genommen und auch das im o. a. Link angeführte Script http://www.msxfaq.net/konzepte/resetaccountsadminsdholder.vbs.txt) durchgeführt und dann die Berechtigung SendAs wieder gesetzt. Leider erfolglos. Die Berechtigung SendAs ist wieder weg. Nun weiß ich mir leider keinen Rat mehr und bitte Euch hiermit um Eure Unterstützung und Hilfe.

 

Btw - beim Benutzer, der nie Mitglied der lokalen Admin-Gruppe war, funktioniert alles wunderbar.

 

Danke schon mal und lG

Robert

Link to comment

Bei den Usern, bei denen SendAs zurückgesetzt wird ist anscheinend in den Attributen noch admincount=1 gesetzt. Setz das mal auf Null und nimm evtl. auch den Haken mit der Vererbung rein.

 

Es gibt immer wieder Probleme damit, daß admincount nicht zurückgesetzt wird, wenn der User aus der geschützten Gruppe entfernt wurde.

 

Sollte nach einer Stunde admincount wieder auf 1 stehen, dann ist der User noch Mitglied einer geschützten Gruppe. Muß nicht direkt sein, es kann auch sein, daß einer der Gruppen in der er ist Mitglied einer durch AdminSH--Holder geschützten Gruppe ist.

Link to comment

Hallo zusammen,

 

recht herzlichen Dank für Eure Antworten. Ich konnte das Problem nun wie folgt lösen. Zuerst hab ich über die Powershell mal den Befehl ([adsisearcher]"(AdminCount=1)").findall() abgesetzt und geguckt, wer denn noch den admincount auf 1 hat. Danach hab ich mir im AD die besagten Benutzer angesehen und mußte feststellen, dass in den Einträgen keine Auffälligkeiten waren (also keine Eintrag, dass sie Mitglieder einer geschützten Gruppe wären). Nun bin ich im AD in die Gruppen selbst gegangen und habe plötzlich in der Gruppe Administratoren meine Benutzer als Mitglieder gefunden. Nun habe diese Einträge gelöscht und das von Norbert vorhin und auch von mir ganz oben angesprochene Script ausgeführt, welches den Admincount zurücksetzt und noch was anderes auch macht. Jetzt im Exchange "SendAs" gesetzt und mal gewartet. Heute Morgen hab ich dann den Command in der Powershell nochmals durchgeführt und meine Benutzer sind nicht mehr aufgetaucht. Auch ein Blick in die Definition der Empfängerpostfächer im Exchange hat mir gezeigt, dass die "SendAs" Berechtigung noch immer da sind.

 

Herzlichen Dank für Eure Unterstützung - ohne Eurer Hilfe wäre ich mit ziemlicher Sicherheit nicht auf die Lösung gekommen :jau:

 

LG aus dem Ösiland

Robert

Link to comment

Hi,

 

nur der Vollständigkeit halber - das AdminCount Attribut selbst wirkt sich nicht auf den AdminSDHolder Prozess aus. Das Attribut gibt nur einen Status und hat keinen Einfluss auf das Schützen oder nicht-Schützen von Accounts.

 

Zur Dokumentation bzw. besseren Nachvollziehbarkeit: http://gallery.technet.microsoft.com/scriptcenter/Reset-AD-adminCount-195bf65e

 

Viele Grüße

olc

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...