olifant77 10 Geschrieben 7. November 2004 Melden Teilen Geschrieben 7. November 2004 habe eine W2K-Active Directory. Nun habe ich folgendes Problem, dass sich bei einigen User-Objekten die standardmäßig aktivierte Vererbung einfach abschaltet und somit manche Rechte einfach nicht mehr vorhanden sind. Wenn ich nun zB auf einem betroffenen User-Objekt das Häckchen bei "vererbbare übergeordnete Berechtigungen übernehme" wieder setze und übernehme, bleibt das eine zeitlang auch so und es funzt wieder alles. Schaue ich einige Zeit später nochmal rein (45-60 Mintuen) - ist der Haken wieder draußen... Hat jemand eine Idee, was das sein kann?? Bin echt ratlos... In den Event-Logs etc. finde ich keine Hinweise... Oli Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 7. November 2004 Melden Teilen Geschrieben 7. November 2004 Was sind das für "User-Objekte", meine wo bzw. mit was passiert das genau? Kann es auch sein, dass es so um die 90 Minuten plusminus 30 sind? Dann käme eine Gruppenrichtlinieneinstellungen dafür in Frage Das ist sehr spekulativ, aber eine andere Idee - ausser jemand anderes verstellt die Berechtigungen - hätte ich jetzt nicht. grizzly999 Zitieren Link zu diesem Kommentar
olifant77 10 Geschrieben 7. November 2004 Autor Melden Teilen Geschrieben 7. November 2004 Original geschrieben von grizzly999 Was sind das für "User-Objekte", meine wo bzw. mit was passiert das genau? Also wir haben eine Single-Domain, mehrere Standorte - jeder Standort stellt eine OU dar. Unter der "Standort-OU" gibt es sog. OUAdmins, die für Ihren Standort alles administrieren dürfen, also auf alle Objekte unter Ihrer Standort-OU volle Rechte haben, u.a. weitere OU's etc anlegen dürfen... Betroffen sind diese User-Objekte, die gleichzeitig "OU-Admins" sind - bei denen fehlen plötzlich die verebten Rechte... Kann es auch sein, dass es so um die 90 Minuten plusminus 30 sind? Dann käme eine Gruppenrichtlinieneinstellungen dafür in Frage Das ist sehr spekulativ, aber eine andere Idee - ausser jemand anderes verstellt die Berechtigungen - hätte ich jetzt nicht. Das ist erst noch eine Idee!! 90 +/- 30 könnte durchaus hinhauen, ich habe es nicht gemessen. Aber angenommen, dass hat irgendwie was mit GPO zu tun: Wo kann ich den solch spezifische Dinge definieren, dass da solche "Vererbungseffekte" auftreten?!?...[/b] Oli Zitieren Link zu diesem Kommentar
olifant77 10 Geschrieben 10. November 2004 Autor Melden Teilen Geschrieben 10. November 2004 ich habe es gefunden!!! So wie es aussieht lag es an dem "AdminSDHolder"-Objekt. Sämtliche Berechtigungen sind nun jedenfalls nach der Korrektur dessen ACL wieder da... Hier bin ich draufgestoßen: http://support.microsoft.com/?id=232199. Gruß Oli Zitieren Link zu diesem Kommentar
welle 11 Geschrieben 6. Dezember 2004 Melden Teilen Geschrieben 6. Dezember 2004 Original geschrieben von olifant77 ich habe es gefunden!!! So wie es aussieht lag es an dem "AdminSDHolder"-Objekt. Sämtliche Berechtigungen sind nun jedenfalls nach der Korrektur dessen ACL wieder da... Hier bin ich draufgestoßen: http://support.microsoft.com/?id=232199. Gruß Oli Hallo olifant! Ich habe das gleiche Problem! Habe mich schon gefreut, das Du die Lösung hast und voller vorfreude aud Deinen Link geklickt... :( funzt nicht!!! Was hast Du gemacht damit das alles wieder läuft? :) Gruß Welle Zitieren Link zu diesem Kommentar
olifant77 10 Geschrieben 7. Dezember 2004 Autor Melden Teilen Geschrieben 7. Dezember 2004 Original geschrieben von welle Hallo olifant! Ich habe das gleiche Problem! Habe mich schon gefreut, das Du die Lösung hast und voller vorfreude aud Deinen Link geklickt... :( funzt nicht!!! Was hast Du gemacht damit das alles wieder läuft? :) Gruß Welle Links zum Prob: - http://support.microsoft.com/?id=318180 - http://support.microsoft.com/kb/232199 ich hatte zuerst das Häkchen im AdminSDHolder Objekt gesetzt, dass alle Objekte die Vererbung von oben wieder erhalten (ist aber per Default deaktiv und das macht auch Sinn!). Allerdings hat das den Nachteil, dass man sich selbst ausschließen kann, wenn man zB mal versehentlich den DomAdmin in eine OU ohne Rechte verschieben würde. Als Lösung habe ich Haken wieder rausgenommen. Bei mir waren die betroffenen Objekte Mitglied in den Gruppen "Backup Operators"; "Server Operators" und "Printer Operators". Vor SP4 spielte das keine Rolle - sie fielen da nicht unter die AdminSHHolder-Mimik. Das hat sich wohl erst seit SP4 geändert. Oli Zitieren Link zu diesem Kommentar
welle 11 Geschrieben 8. Dezember 2004 Melden Teilen Geschrieben 8. Dezember 2004 Danke! Ich werde es mir heute mal genau ansehen! gruß Welle Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.