Andreas83 11 Geschrieben 13. Februar 2016 Melden Teilen Geschrieben 13. Februar 2016 Hallo Zusammen, 2003 AD wurde migriert auf 2012 R2 In der 2003 Domain war kein Exchange vorhanden. Nun zwei 2012 R2 Server, DC und Exchange 2013. Postfächer sind eingerichtet und soweit funktioniert fast alles. Berechtigungen für "Senden-Als" enden im ECP und auch in der Shell mit: Fehler bei Active Directory-Vorgang mit DC.DOMAIN. Bei diesem Fehler ist kein Wiederholungsversuch möglich. ZusätzlicheInformationen: Zugriff verweigert.Active Directory-Antwort: 00000005: SecErr: DSID-03152612, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 + CategoryInfo : WriteError: (0:Int32) [Add-ADPermission], ADOperationException + FullyQualifiedErrorId : [server=EXCHANGE,RequestId=fabf9493-680c-4ed3-b092-bdc9eae69603,TimeStamp=13.02.2016 15: 23:13] [FailureCategory=Cmdlet-ADOperationException] BC69A166,Microsoft.Exchange.Management.RecipientTasks.AddADPe rmission + PSComputerName : exchange.domain Berechtigung Vollzugriff kann ich per Shell geben, das Postfach wird dann durch Automount angezeigt, aber ich kann nicht darauf Zugreifen. Ich habe Stundenlang recherchiert und getestet und wende mich nun an euch. Was habe ich bereits versucht? Dem AD User wessen Postfach freigegeben wird habe ich bereits unter AD - Erweiterte Ansicht - Sicherheit - Erweitert bereits dem Exchange Trusted Subsystem die Berechtigung lesen und bearbeiten gegeben. Auch einem Hinweis dort die Vererbung zu aktivieren bin ich nachgegangen. Jedoch werden diese Veränderungen nach 10 bis 30 Minuten meist wieder Rückgängig gemacht. Was gibt es noch für Infos? - Shell wird als Dom-Admin ausgeführt. Habt ihr weitere Ideen oder Tipps Danke Gruß Andreas Zitieren Link zu diesem Kommentar
XP-Fan 216 Geschrieben 13. Februar 2016 Melden Teilen Geschrieben 13. Februar 2016 Hallo, hat der User welcher betroffen ist Adminrechte in der Domain, Mitglied der Domänen Admins ? Zitieren Link zu diesem Kommentar
Andreas83 11 Geschrieben 13. Februar 2016 Autor Melden Teilen Geschrieben 13. Februar 2016 (bearbeitet) nein, weder noch. Es gibt 3 Postfächer, Info, Verkauf und Bestellung, bei allen habe ich das Problem. Jedem der Postfächer sollen bestimmte Personen mit Vollzugriff das ganze Postfach haben und auch Mails in dessen Namen senden können bearbeitet 13. Februar 2016 von Andreas83 Zitieren Link zu diesem Kommentar
Nobbyaushb 1.464 Geschrieben 13. Februar 2016 Melden Teilen Geschrieben 13. Februar 2016 (bearbeitet) Worauf der automatische Entzug der Rechte aber hindeutet. Einem User Ex-Admin Rechte Domänenweit zu geben ist - sagen wir mal vorsichtig - ziemlich mutig. Wenn du das ab der Powershell oder via GUI am Exchange absetzt, welcher Fehler mit welcher Quelle wird am DC und am Exchange geloggt? Automapping ist auch keine gute Idee, dazu später... bearbeitet 13. Februar 2016 von Nobbyaushb Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 13. Februar 2016 Melden Teilen Geschrieben 13. Februar 2016 Die Vererbung ist unterbrochen auf den ad Konten. Beheb das, dann geht's auch. Zitieren Link zu diesem Kommentar
Andreas83 11 Geschrieben 13. Februar 2016 Autor Melden Teilen Geschrieben 13. Februar 2016 @Nobbyaushb sorry, stehe auf dem Schlauch. In welchem Moment gebe ich dem User Ex-Admin Rechte? In dem ich in den Sicherheitseinstellungen des Users dem Exchange Trusted Subsystem lese und bearbeiten Rechte gebe? Im Ereignis Protokoll taucht nicht´s auf, hab es eben nochmal getestet. @NorbertFe auch bei deiner Antwort stehe ich auf dem Schlauch. Mit "Vererbung ist unterbrochen und soll dies beheben" meinst du ich soll wie oben geschildert dem User unter Sicherheit - Erweitert - Vererbung aktivieren wieder anklicken? Wenn ja, das habe ich ja schon gemacht, wird aber wieder Rückgängig gemacht. Zitieren Link zu diesem Kommentar
tesso 373 Geschrieben 13. Februar 2016 Melden Teilen Geschrieben 13. Februar 2016 auch bei deiner Antwort stehe ich auf dem Schlauch. Mit "Vererbung ist unterbrochen und soll dies beheben" meinst du ich soll wie oben geschildert dem User unter Sicherheit - Erweitert - Vererbung aktivieren wieder anklicken? Wenn ja, das habe ich ja schon gemacht, wird aber wieder Rückgängig gemacht. Das ist ein typisches Zeichen für einen User der Adminrechte hat. Schau dir sämtliche Gruppenmitgliedschaften dieses Users an. Er ist definitiv ein Admin. Anschauen und kontrollieren. Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 13. Februar 2016 Melden Teilen Geschrieben 13. Februar 2016 Dann ist der User in einer adminsdholder geschützten Gruppe. Nimm ihn da raus. Zitieren Link zu diesem Kommentar
Andreas83 11 Geschrieben 13. Februar 2016 Autor Melden Teilen Geschrieben 13. Februar 2016 :( Ihr hattet Recht :thumb1: Ich habe die User geprüft, keine war in einer Admin Gruppe. Beim Prüfen der GPO ist mir aufgefallen dass eine Richtlinie die für einen bestimmte Computer OU gedacht war auf die Domäne verknüpft war. Somit wurden die User in die lokale Administratoren Gruppe hinzugefügt. Somit auch am Exchange! Danke für eure Hilfe! @Nobbyaushb ich habe nun den Vollzugriff mit der Shell mit -Automapping $false gemacht. Was genau spricht gegen Automapping? Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 13. Februar 2016 Melden Teilen Geschrieben 13. Februar 2016 Dein Exchange ist dc? Gegen automapping? Merkst du dann schon ;) Zitieren Link zu diesem Kommentar
Andreas83 11 Geschrieben 14. Februar 2016 Autor Melden Teilen Geschrieben 14. Februar 2016 Nein, 1. Server DC und der zweite Exchange. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.464 Geschrieben 14. Februar 2016 Melden Teilen Geschrieben 14. Februar 2016 Moin, OK, gut so. Bei Automapping gibt es diverse lustige Nebeneffekte, die gesendeten Mail land trotz richtiger Einstellung da wo sie sollen, neuen Mails werden nicht angezeigt usw. und so fort, die Liste ist mittlerweile lang, zudem ist das alles in der gleichen ost. ;) Zitieren Link zu diesem Kommentar
Andreas83 11 Geschrieben 14. Februar 2016 Autor Melden Teilen Geschrieben 14. Februar 2016 Ok, danke für die Info! Legt ihr das zweite Postfach dann in den Konto Einstellungen an oder bindet ihr es als weiteres Postfach in den Einstellungen des Haupt Postfachs ein? Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 14. Februar 2016 Melden Teilen Geschrieben 14. Februar 2016 Ersteres ist oft die beste Lösung. Aber probier's halt aus. Bei einigen stört automapping nicht, und bei anderen ständig. Zitieren Link zu diesem Kommentar
Andreas83 11 Geschrieben 15. Februar 2016 Autor Melden Teilen Geschrieben 15. Februar 2016 (bearbeitet) Problem und hoffentlich auch die Lösung! über den PS Befehl ([adsisearcher]"(AdminCount=1)").findall() werden mir tatsächlich die User um dies es sich handelt angezeigt! Laut http://www.msxfaq.de/konzepte/adminsdholder.htm habe ich gefunden dass es nicht reicht ein User aus einer Admin Gruppe zu entfernen, die AdminCount Info bleibt erhalten und muss anderweitig entfernt werden. Dazu hat MS ein VBS Script welches im Link zu finden ist. Hoffe das war´s. bearbeitet 15. Februar 2016 von Andreas83 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.