killtux 11 Geschrieben 17. Februar 2011 Melden Teilen Geschrieben 17. Februar 2011 Hallo, das hier passt in dieses Forum als auch zu den Exchang'lern desshalb poste ich mal einfach hier vorab. Vorab-Erklärung für die das ganze Interessiert: SDProp ist ein Hintergrundprozess in Windows Domänen (soweit ich weiß ab 2003 in dieser Form) der alle 60 Minuten läuft, und das Objekt AdminSDHolder verändert. Der Prozess markiert alle Benutzer/Gruppen im AD welche mit Administrativen Rechten gerüstet sind. Also Admintratoren, Domänen-Admins, Administrator... etc.. Wer eine Abfrage in der "dsa.msc" startet mit dem Benutzerdefiniertem Satz "admincount=1" erhält so alle Benutzerkonten mit Administrativen rechten. Problem: So weit so gut. Jetzt ist es erklärt um was es prinzipiell geht. Mein Problem ist nun, dass ab Exchange Server 2010 keine Synchronisierung mit Mobilen Geräten mehr funktioniert, wenn eben "admincount=1" lautet für einen Benzutzer. Da die faulen Admins immer noch gerne als Admin arbeiten, gehen dann Ihre Mobilen Gerät nicht mehr. Jetzt hat man 2 Möglicheiten. Entweder seine Admin-Rechte aufgeben. Kann dann aber wie viele es gerne habe nicht mehr Administrative aufgaben mit dem selben Benutzer machen aus welchen Grund auch immer. Oder man versucht den admincount eines gewünschten Benutzers/Gruppe immer wieder auf 0 zu zwingen. Den Exchange 2010 hat keine Option dazu nicht auf den admincount abzufragen. Meine Frage nun: Wer weiß eine Möglichkeit das zu tun? Es gibt ein VBScript von Microsoft "resetaccountsadminsdholder.vbs" danach lässt sich leicht suchen. Dieses setzt alle Admincounts wieder auf "0". Jetzt muss man noch in die Erweiterten Sicherheitseinstellungen des Benutzerkontos oder der Gruppe, und dort die Vererbungsfunktion aktivieren. Danach geht Mobiles-Sync, Aber nach 60min nachdem der HintergrundDienst SDProp wieder durch ist, admincount wieder "1" hat, und somit in den Sicherheitseinstellungen die vererbung bei diesen Konten dann wieder deaktiviert ist, dann ist es wieder vorbei. Weiß also jemand eine Bessere Möglichkeit außer das Script zu verändern dass es nur auf bestimmte User wirkt udn ständig laufen zu lassen? Einen Geheimschalter für den Exchange Server? Oder ist so klug dass er noch eine Bessere Idee hat? ---------------- Vorab: Aussagen wie "arbeite doch nicht als Admin" nützen mir leider nichts. Zitieren Link zu diesem Kommentar
Gulp 256 Geschrieben 17. Februar 2011 Melden Teilen Geschrieben 17. Februar 2011 Vorab: Die Lösung, die Du nicht hören möchtest ist die einzig sinnige Lösung, vor allem seit Einführung der UAC. Grüsse Gulp Zitieren Link zu diesem Kommentar
killtux 11 Geschrieben 17. Februar 2011 Autor Melden Teilen Geschrieben 17. Februar 2011 Hab's mir gedacht, will es aber nicht wahrhaben. Wir haben hauptsächlich KMU's als Kunden. Da ist schnell Jemand für die EDV "Kleinigkeiten" intern zuständig. Der Arbeitet dann als Admin weil sonst kann er sich ja nicht so praktisch auf die anderen Systeme verbinden etc... Ich will es nicht wahrhaben dass nicht tausende Andere auch vor diesem Problem stehen (oder werden, sobald Sie migrieren ^^ ) und noch kein Genie was entdeckt hat... Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 17. Februar 2011 Melden Teilen Geschrieben 17. Februar 2011 .oO(Wo ist da ein Problem?) Zitieren Link zu diesem Kommentar
killtux 11 Geschrieben 17. Februar 2011 Autor Melden Teilen Geschrieben 17. Februar 2011 .oO(Wo ist da ein Problem?) Raus mit der Sprache wenn du gerne was teilen möchtest .... ;-) Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 17. Februar 2011 Melden Teilen Geschrieben 17. Februar 2011 Aussagen wie "arbeite doch nicht als Admin" nützen mir leider nichts. Ok, dann sage ich was anderes: Wer Admins hat, die mit Admin-Konten produktiv arbeiten wollen, braucht neue Admins. Diesen Prozess hat MSFT nicht zum Spaß gemacht, denk mal darüber nach! Allerdings scheinst auch Du den Prozess nicht richtig verstanden haben, denn er wirkt nur auf bestimmte Dom-Admin-Gruppen. Die braucht aber niemand wirklich auf lokalen Servern oder Workstations. Da reicht auch die Mitgliedschaft des normalen Kontos in der Gruppe der lokalen Admins (damit kann man sogar Exchange bedienen!). Wer als Dom-Admin auf lokalen Maschinen normale arbeite, der ist entweder extrem faul (raus damit) oder vollkommen unfähig (erst recht raus damit). Und um noch ein wenig produktives zu sagen: Ich kenne keine echt funktionierende Lösung, zumal es *kein* Exchange-Thema, sondern ein Windows-Thema ist. Zitieren Link zu diesem Kommentar
killtux 11 Geschrieben 17. Februar 2011 Autor Melden Teilen Geschrieben 17. Februar 2011 Ok, dann sage ich was anderes: Wer Admins hat, die mit Admin-Konten produktiv arbeiten wollen, braucht neue Admins. Diesen Prozess hat MSFT nicht zum Spaß gemacht, denk mal darüber nach! Allerdings scheinst auch Du den Prozess nicht richtig verstanden haben, denn er wirkt nur auf bestimmte Dom-Admin-Gruppen. Die braucht aber niemand wirklich auf lokalen Servern oder Workstations. Da reicht auch die Mitgliedschaft des normalen Kontos in der Gruppe der lokalen Admins (damit kann man sogar Exchange bedienen!). Wer als Dom-Admin auf lokalen Maschinen normale arbeite, der ist entweder extrem faul (raus damit) oder vollkommen unfähig (erst recht raus damit). Und um noch ein wenig produktives zu sagen: Ich kenne keine echt funktionierende Lösung, zumal es *kein* Exchange-Thema, sondern ein Windows-Thema ist. Genau solche Geistesentladungen braucht Keiner! Du würdest also deinen Kunden vorschlagen dass sie am besten kündigen sollen. Das sagt mir dass -du- gerade nicht verstanden hast um was es geht...; Warum schreibst du solchen Müll rein wenn ich doch extra darum bitte das nicht zu tun?.... Lass es das nächste mal bitte einfach bleiben. Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 17. Februar 2011 Melden Teilen Geschrieben 17. Februar 2011 Ja, ich sage meinen Kunden, dass das nicht sinnvoll ist und sie sich eine andere Arbeitsweise zulegen sollen. Wo ist dein Problem? Abgesehen davon, hast du doch eigentlich die FUnktion (halbwegs) verstanden. Dann dürften dir auch die "sinnlosen" Lösungen aufgefallen sein. Da ich aber kein Interesse daran habe, Leute bei sowas zu unterstützen... Denk dir dein Teil. Bye Norbert Zitieren Link zu diesem Kommentar
killtux 11 Geschrieben 17. Februar 2011 Autor Melden Teilen Geschrieben 17. Februar 2011 Ja, ich sage meinen Kunden, dass das nicht sinnvoll ist und sie sich eine andere Arbeitsweise zulegen sollen. Wo ist dein Problem? Abgesehen davon, hast du doch eigentlich die FUnktion (halbwegs) verstanden. Dann dürften dir auch die "sinnlosen" Lösungen aufgefallen sein. Da ich aber kein Interesse daran habe, Leute bei sowas zu unterstützen... Denk dir dein Teil. Bye Norbert Ich sage meinen Kunden auch sie sollten ihre Arbeitsweise ändern! Das brauchst du mir nicht zu erklären, das weiß ich selbst! Aber wenn es nicht gewollt ist, dann ist es eben so, jedem Ratschlag entgegen. Dann habe ich trotzdem noch eine Lösung zu finden und desshalb poste ich hier. Um Grundsatzdiskussionen auszulösen mache ich das nicht verdamt noch mal. Kann ein Admin bitte die lezten 3 posts inkl. dem meinen hier löschen - Ich habe keine Lust am Board zu streiten - ich will eine Lösung finden wie Andere auch. Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 17. Februar 2011 Melden Teilen Geschrieben 17. Februar 2011 entgegen. Dann habe ich trotzdem noch eine Lösung zu finden und desshalb poste ich hier. Echt? Und wenn es keine geben sollte? :) Kann ein Admin bitte die lezten 3 posts inkl. dem meinen hier löschen - Ich habe keine Lust am Board zu streiten - ich will eine Lösung finden wie Andere auch. Och manno. :shock: Bye Norbert Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 17. Februar 2011 Melden Teilen Geschrieben 17. Februar 2011 Es gibt aber keine Lösung, so wie Du sie Dir vorstellst - und das aus gutem Grund. Denk nochmal an Deinen Satz: "Ich will es nicht wahrhaben dass nicht tausende Andere auch vor diesem Problem stehen" und warum die anderen wohl kein Problem haben. ;) Ich wiederhole mich hier auch gerne nochmal: Mach Dich mit dem Prinzip des AdminSDHOlder vertraut und Du wirst feststellen, dass es überhaupt keinen Grund gibt, dass die so wirksam wird, dass man sie *negativ* bemerkt. Du musst kein Script basteln und der "Admin" kann mit minimalen Komfortverlust weiterhin Admin sein. Und ja: Manchmal verwende ich meinen Kunden gegenüber auch diese drastischen, kämpferischen Worte. Spätestens dann merken die meisten, dass sie auf dem falschen Dampfer sind. Und auf die, die es dann immer noch nicht merken, kann ich problemlos verzichten, die sind eh nicht meine Zielgruppe. ;) Zitieren Link zu diesem Kommentar
NilsK 2.939 Geschrieben 18. Februar 2011 Melden Teilen Geschrieben 18. Februar 2011 Moin, Um Grundsatzdiskussionen auszulösen mache ich das nicht verdamt noch mal. dann solltest du die Art deiner Postings ändern. Es gibt nämlich auch noch einen Prozess mit Wäldern und Schall, denn du gerade missachtet hast. Gruß, Nils Zitieren Link zu diesem Kommentar
killtux 11 Geschrieben 18. Februar 2011 Autor Melden Teilen Geschrieben 18. Februar 2011 Echt? Und wenn es keine geben sollte? :) - Na dann suche ich trotzdem weiter bis ich was hab das mich befriedigt ;-)= Och manno. :shock: Ok, sollen die Anderen halt ihren spaß haben, von mir aus. Aber ich warte trotzdem noch auf gute Tipps Zitieren Link zu diesem Kommentar
killtux 11 Geschrieben 18. Februar 2011 Autor Melden Teilen Geschrieben 18. Februar 2011 Und auf die, die es dann immer noch nicht merken, kann ich problemlos verzichten, die sind eh nicht meine Zielgruppe. ;) Aber Geld frohlockt und lockt ... ;-) Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 18. Februar 2011 Melden Teilen Geschrieben 18. Februar 2011 Aber Geld frohlockt und lockt ... ;-) Nö, die von Dir erwähnte Gruppe der KMU hat ja eben kein Geld, sonst würden sie nicht mit solchen Krücken leben wollen. Na ja, meinen Tipp hast Du ja eingangs schon gelesen - neben den "Geistensentladungen" war da auch das praktisch umsetzbare Prinzip erklärt. :D Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.