rgaustria 0 Geschrieben 4. Juni 2013 Melden Geschrieben 4. Juni 2013 Liebe Freunde, die SuFu bringt mir leider nicht das gewünschte Ergebnis, daher das neue Thema. Zur Ausgangslage. Ich habe einen Win 2008 R2 Server mit Exchange 2010 und Clients mit Outlook 2007 und Outlook 2010. Im Exchange sind 2 Domänen eingetragen und jeder Benutzer hat demnach auch 2 Emailadressen / Postfächer. Des Weiteren gibt es ein paar Verteilergruppen, in denen die Benutzer je nach Zugehörigkeit eingetragen sind oder eben nicht. Nun zu meinem Problem: Ich habe die Benutzer des ersten Postfaches bei den zweiten Postfächern mit Vollzugriff und SendAs eingetragen. 2 dieser 3 Benutzer sind / waren Mitglieder der lokalen Administratoren-Gruppe. Am Anfang hat auch alles tadellos geklappt, bis genau die 1 Stunde um war und das AD mittels eines laufenden Hintergrundprozesses seine Administratoren schützt (siehe http://www.msxfaq.net/konzepte/adminsdholder.htm). Ich habe, wie schon vorhin geschrieben, mal einen Benutzer aus der lokalen Admin-Gruppe genommen und auch das im o. a. Link angeführte Script http://www.msxfaq.net/konzepte/resetaccountsadminsdholder.vbs.txt) durchgeführt und dann die Berechtigung SendAs wieder gesetzt. Leider erfolglos. Die Berechtigung SendAs ist wieder weg. Nun weiß ich mir leider keinen Rat mehr und bitte Euch hiermit um Eure Unterstützung und Hilfe. Btw - beim Benutzer, der nie Mitglied der lokalen Admin-Gruppe war, funktioniert alles wunderbar. Danke schon mal und lG Robert
XP-Fan 234 Geschrieben 4. Juni 2013 Melden Geschrieben 4. Juni 2013 Hallo, prüfe mal ob die betroffenen Benutzer in den Domänenadmins Mitglied sind. Da sollten diese auf keinen Fall drin stehen.
rgaustria 0 Geschrieben 4. Juni 2013 Autor Melden Geschrieben 4. Juni 2013 Hallo, danke für Deine Antwort. Dies habe ich bereits geprüft und sie sind auch in dieser Gruppe nicht als Mitglied eingetragen (siehe Anhang). Die 3 Gruppen Office, Verkauf und Vermietung sind 3 Verteilergruppen im Exchange. LG R.
tesso 384 Geschrieben 4. Juni 2013 Melden Geschrieben 4. Juni 2013 Bei den Usern, bei denen SendAs zurückgesetzt wird ist anscheinend in den Attributen noch admincount=1 gesetzt. Setz das mal auf Null und nimm evtl. auch den Haken mit der Vererbung rein. Es gibt immer wieder Probleme damit, daß admincount nicht zurückgesetzt wird, wenn der User aus der geschützten Gruppe entfernt wurde. Sollte nach einer Stunde admincount wieder auf 1 stehen, dann ist der User noch Mitglied einer geschützten Gruppe. Muß nicht direkt sein, es kann auch sein, daß einer der Gruppen in der er ist Mitglied einer durch AdminSH--Holder geschützten Gruppe ist.
NorbertFe 2.283 Geschrieben 4. Juni 2013 Melden Geschrieben 4. Juni 2013 Und wenn man nich unbedingt die Attribute ändern mag/kann, kann man auch einfach den Haken zur Berechtigungsvergabe auf dem Sicherheitsreiter wieder reinsetzen. ;) Wer gern scripten mag: http://support.microsoft.com/kb/817433 Bye Norbert
tesso 384 Geschrieben 4. Juni 2013 Melden Geschrieben 4. Juni 2013 Nach meiner Erfahrung reicht der Haken bei der Berechtigung nicht. Ich musste bei einigen Kunden zusätzlich den admincount explizit zurücksetzen.
NorbertFe 2.283 Geschrieben 4. Juni 2013 Melden Geschrieben 4. Juni 2013 Ich klicke den Haken rein und drücke auf Standard wiederherstellen. Hat bisher bei mir immer funktioniert. Aber man kann den Admincount ja überprüfen. ;)
rgaustria 0 Geschrieben 5. Juni 2013 Autor Melden Geschrieben 5. Juni 2013 Hallo zusammen, recht herzlichen Dank für Eure Antworten. Ich konnte das Problem nun wie folgt lösen. Zuerst hab ich über die Powershell mal den Befehl ([adsisearcher]"(AdminCount=1)").findall() abgesetzt und geguckt, wer denn noch den admincount auf 1 hat. Danach hab ich mir im AD die besagten Benutzer angesehen und mußte feststellen, dass in den Einträgen keine Auffälligkeiten waren (also keine Eintrag, dass sie Mitglieder einer geschützten Gruppe wären). Nun bin ich im AD in die Gruppen selbst gegangen und habe plötzlich in der Gruppe Administratoren meine Benutzer als Mitglieder gefunden. Nun habe diese Einträge gelöscht und das von Norbert vorhin und auch von mir ganz oben angesprochene Script ausgeführt, welches den Admincount zurücksetzt und noch was anderes auch macht. Jetzt im Exchange "SendAs" gesetzt und mal gewartet. Heute Morgen hab ich dann den Command in der Powershell nochmals durchgeführt und meine Benutzer sind nicht mehr aufgetaucht. Auch ein Blick in die Definition der Empfängerpostfächer im Exchange hat mir gezeigt, dass die "SendAs" Berechtigung noch immer da sind. Herzlichen Dank für Eure Unterstützung - ohne Eurer Hilfe wäre ich mit ziemlicher Sicherheit nicht auf die Lösung gekommen :jau: LG aus dem Ösiland Robert
olc 18 Geschrieben 5. Juni 2013 Melden Geschrieben 5. Juni 2013 Hi, nur der Vollständigkeit halber - das AdminCount Attribut selbst wirkt sich nicht auf den AdminSDHolder Prozess aus. Das Attribut gibt nur einen Status und hat keinen Einfluss auf das Schützen oder nicht-Schützen von Accounts. Zur Dokumentation bzw. besseren Nachvollziehbarkeit: http://gallery.technet.microsoft.com/scriptcenter/Reset-AD-adminCount-195bf65e Viele Grüße olc
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden