Probleme bei Senden-Als und Vollzugriff auf Exchange 2013 Postfach

[Andreas83 11]

Hallo Zusammen,

 

2003 AD wurde migriert auf 2012 R2

 

In der 2003 Domain war kein Exchange vorhanden. Nun zwei 2012 R2 Server, DC und Exchange 2013.

 

Postfächer sind eingerichtet und soweit funktioniert fast alles. 

 

Berechtigungen für "Senden-Als" enden im ECP und auch in der Shell mit:

 

Fehler bei Active Directory-Vorgang mit DC.DOMAIN. Bei diesem Fehler ist kein Wiederholungsversuch möglich. Zusätzliche
Informationen: Zugriff verweigert.
Active Directory-Antwort: 00000005: SecErr: DSID-03152612, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
    + CategoryInfo          : WriteError: (0:Int32) [Add-ADPermission], ADOperationException
    + FullyQualifiedErrorId : [server=EXCHANGE,RequestId=fabf9493-680c-4ed3-b092-bdc9eae69603,TimeStamp=13.02.2016 15:
   23:13] [FailureCategory=Cmdlet-ADOperationException] BC69A166,Microsoft.Exchange.Management.RecipientTasks.AddADPe
  rmission
    + PSComputerName        : exchange.domain

 

 

Berechtigung Vollzugriff kann ich per Shell geben, das Postfach wird dann durch Automount angezeigt, aber ich kann nicht darauf Zugreifen.

 

 

Ich habe Stundenlang recherchiert und getestet und wende mich nun an euch. 

 

Was habe ich bereits versucht?

Dem AD User wessen Postfach freigegeben wird habe ich bereits unter AD - Erweiterte Ansicht -  Sicherheit - Erweitert bereits dem Exchange Trusted Subsystem die Berechtigung lesen und bearbeiten gegeben.

 

Auch einem Hinweis dort die Vererbung zu aktivieren bin ich nachgegangen. 

 

Jedoch werden diese Veränderungen nach 10 bis 30 Minuten meist wieder Rückgängig gemacht. 

 

Was gibt es noch für Infos?

- Shell wird als Dom-Admin ausgeführt.

 

 

Habt ihr weitere Ideen oder Tipps

 

Danke

 

Gruß Andreas

 

[XP-Fan 234]

Hallo,

 

hat der User welcher betroffen ist Adminrechte in der Domain, Mitglied der Domänen Admins ?

[Andreas83 11]

nein, weder noch. Es gibt 3 Postfächer, Info, Verkauf und Bestellung, bei allen habe ich das Problem.

Jedem der Postfächer sollen bestimmte Personen mit Vollzugriff das ganze Postfach haben und auch Mails in dessen Namen senden können

bearbeitet 13. Februar 2016 von Andreas83

[Nobbyaushb 1.580]

Worauf der automatische Entzug der Rechte aber hindeutet.

 

Einem User Ex-Admin Rechte Domänenweit zu geben ist - sagen wir mal vorsichtig - ziemlich mutig.

 

Wenn du das ab der Powershell oder via GUI am Exchange absetzt, welcher Fehler mit welcher Quelle wird am DC und am Exchange geloggt?

 

Automapping ist auch keine gute Idee, dazu später...

 

bearbeitet 13. Februar 2016 von Nobbyaushb

[NorbertFe 2.281]

Die Vererbung ist unterbrochen auf den ad Konten. Beheb das, dann geht's auch.

[Andreas83 11]

@Nobbyaushb

sorry, stehe auf dem Schlauch. In welchem Moment gebe ich dem User Ex-Admin Rechte? 

In dem ich in den Sicherheitseinstellungen des Users dem Exchange Trusted Subsystem lese und bearbeiten Rechte gebe?

 

Im Ereignis Protokoll taucht nicht´s auf, hab es eben nochmal getestet.

 

@NorbertFe

auch bei deiner Antwort stehe ich auf dem Schlauch. Mit "Vererbung ist unterbrochen und soll dies beheben" meinst du ich soll wie oben geschildert dem User unter Sicherheit - Erweitert - Vererbung aktivieren wieder anklicken? Wenn ja, das habe ich ja schon gemacht, wird aber wieder Rückgängig gemacht.

[tesso 384]

auch bei deiner Antwort stehe ich auf dem Schlauch. Mit "Vererbung ist unterbrochen und soll dies beheben" meinst du ich soll wie oben geschildert dem User unter Sicherheit - Erweitert - Vererbung aktivieren wieder anklicken? Wenn ja, das habe ich ja schon gemacht, wird aber wieder Rückgängig gemacht.

 

Das ist ein typisches Zeichen für einen User der Adminrechte hat. Schau dir sämtliche Gruppenmitgliedschaften dieses Users an. Er ist definitiv ein Admin.

Anschauen und kontrollieren.

[NorbertFe 2.281]

Dann ist der User in einer adminsdholder geschützten Gruppe. Nimm ihn da raus.

[Andreas83 11]

:( Ihr hattet Recht  :thumb1:

 

Ich habe die User geprüft, keine war in einer Admin Gruppe. Beim Prüfen der GPO ist mir aufgefallen dass eine Richtlinie die für einen bestimmte Computer OU gedacht war auf die Domäne verknüpft war. Somit wurden die User in die lokale Administratoren Gruppe hinzugefügt. Somit auch am Exchange!

 

Danke für eure Hilfe! 

@Nobbyaushb

 

ich habe nun den Vollzugriff mit der Shell mit -Automapping $false gemacht. Was genau spricht gegen Automapping?

[NorbertFe 2.281]

Dein Exchange ist dc?

Gegen automapping? Merkst du dann schon ;)

[Andreas83 11]

Nein, 1. Server DC und der zweite Exchange.

[Nobbyaushb 1.580]

Moin,

 

OK, gut so.

 

Bei Automapping gibt es diverse lustige Nebeneffekte, die gesendeten Mail land trotz richtiger Einstellung da wo sie sollen, neuen Mails werden nicht angezeigt usw. und so fort, die Liste ist mittlerweile lang, zudem ist das alles in der gleichen ost.

 

;)

[Andreas83 11]

Ok, danke für die Info! Legt ihr das zweite Postfach dann in den Konto Einstellungen an oder bindet ihr es als weiteres Postfach in den Einstellungen des Haupt Postfachs ein?

[NorbertFe 2.281]

Ersteres ist oft die beste Lösung. Aber probier's halt aus. Bei einigen stört automapping nicht, und bei anderen ständig.

[Andreas83 11]

Problem und hoffentlich auch die Lösung!

 

über den PS Befehl

 

([adsisearcher]"(AdminCount=1)").findall()

 

werden mir tatsächlich die User um dies es sich handelt angezeigt!

 

Laut http://www.msxfaq.de/konzepte/adminsdholder.htm

habe ich gefunden dass es nicht reicht ein User aus einer Admin Gruppe zu entfernen, die AdminCount Info bleibt erhalten und muss anderweitig entfernt werden.

 

Dazu hat MS ein VBS Script welches im Link zu finden ist. 

 

Hoffe das war´s.

bearbeitet 15. Februar 2016 von Andreas83