11
Aufgaben der Ereignisanzeige verlangt zur Ausführung höchste Berechtigung beim Exchange Server 2008 R2
Es sind mehrere Server in jeweils eigenen VM´s auf dem gleichen physischen Server installiert.
In der einen VM läuft der AD-Controller, in einer Zweiten der Exchange-Server, in einer Dritten ein(e Art) Diskserver.
Habe jetzt auf allen Servern mehrere Aufgaben eingerichtet, die eine Statusmail am Ende des Window-Backups in Abhängigkeit des Status-Codes versenden.
Da die Ausführung ohne Benutzeranmeldung erfolgt, wurde auch immer der gleiche auszuführende User aus der AD eingetragen.
Die Einträge sind in alle VM´s identisch und trotzdem verlangt Windows zur Ausführung beim Exchange-Server (und nur bei diesem !), dass die Checkbox "Mit höchsten Berechtigung ausführen" angeklickt ist.
Wenn nicht, erscheint folgende Fehlermeldung im Verlaufsprotokoll :
Die Aufgabenplanung konnte die Aufgabe "\Aufgaben der Ereignisanzeige\Microsoft-Windows-Backup_Microsoft-Windows-Backup_4", Instanz "{eaa25d65-fbd5-4ca0-bae5-465d8cee536d}", Aktion "[Exchange] Backup: ok" nicht abschließen. Zusätzliche Daten: Fehlerwert: 2147746321
und die Mail wird nicht versendet.
Die FehlerNr. und die Antworten im Inet kreiseln häufig um irgendwelche SMTP-Einstellungen.
Das tritt (zumindest hier) nicht zu : es handelt sich ausschliesslich um ein Rechtsproblem
Aber warum und wie könnte man es beseitigen ?
P.S. wieso mus ein User Mitglied der Gruppe Domain-Admins sein, um Aufgaben überhaupt anlegen/modifzieren zu dürfen ?
In der einen VM läuft der AD-Controller, in einer Zweiten der Exchange-Server, in einer Dritten ein(e Art) Diskserver.
Habe jetzt auf allen Servern mehrere Aufgaben eingerichtet, die eine Statusmail am Ende des Window-Backups in Abhängigkeit des Status-Codes versenden.
Da die Ausführung ohne Benutzeranmeldung erfolgt, wurde auch immer der gleiche auszuführende User aus der AD eingetragen.
Die Einträge sind in alle VM´s identisch und trotzdem verlangt Windows zur Ausführung beim Exchange-Server (und nur bei diesem !), dass die Checkbox "Mit höchsten Berechtigung ausführen" angeklickt ist.
Wenn nicht, erscheint folgende Fehlermeldung im Verlaufsprotokoll :
Die Aufgabenplanung konnte die Aufgabe "\Aufgaben der Ereignisanzeige\Microsoft-Windows-Backup_Microsoft-Windows-Backup_4", Instanz "{eaa25d65-fbd5-4ca0-bae5-465d8cee536d}", Aktion "[Exchange] Backup: ok" nicht abschließen. Zusätzliche Daten: Fehlerwert: 2147746321
und die Mail wird nicht versendet.
Die FehlerNr. und die Antworten im Inet kreiseln häufig um irgendwelche SMTP-Einstellungen.
Das tritt (zumindest hier) nicht zu : es handelt sich ausschliesslich um ein Rechtsproblem
Aber warum und wie könnte man es beseitigen ?
P.S. wieso mus ein User Mitglied der Gruppe Domain-Admins sein, um Aufgaben überhaupt anlegen/modifzieren zu dürfen ?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 189273
Url: https://administrator.de/contentid/189273
Ausgedruckt am: 23.11.2024 um 12:11 Uhr
11 Kommentare
Neuester Kommentar
Moin.
Ich bin mir sicher, dass Dir geholfen werden kann.
Warum es nur bei einem auftritt: vermutlich ist nur auf diesem PC die UAC an/auf höchster Stufe. Prüf das mal nach, stell das ggf. um und starte neu und teste.
Ich bin mir sicher, dass Dir geholfen werden kann.
wieso mus ein User Mitglied der Gruppe Domain-Admins sein, um Aufgaben überhaupt anlegen/modifzieren zu dürfen ?
Das trifft nicht zu, weder Domänenadmin noch Admin. Jeder Nutzer kann Aufgaben anlegen, solange er damit nicht versucht, andere als seine eigenen Credentials zu verwenden. Hast Du jedoch Aufgaben zu erstellen, die hohe Rechte erfordern oder modifizierst Du solche, dann brauchst Du lokale Adminrechte. Niemals Domänenadminrechte, es sei denn, der Task auf dem Exchange muss mit solchen ausgeführt werden, da in der Exchangeverwaltung der lokale Admin ein recht nicht hat.Warum es nur bei einem auftritt: vermutlich ist nur auf diesem PC die UAC an/auf höchster Stufe. Prüf das mal nach, stell das ggf. um und starte neu und teste.
Zitat von @DerWoWusste:
Warum es nur bei einem auftritt: vermutlich ist nur auf diesem PC die UAC an/auf höchster Stufe. Prüf das mal nach,
stell das ggf. um und starte neu und teste.
Warum es nur bei einem auftritt: vermutlich ist nur auf diesem PC die UAC an/auf höchster Stufe. Prüf das mal nach,
stell das ggf. um und starte neu und teste.
Stimmt: habe jetzt die UAC Einstellungen auf allen Server identisch eingestellt.
Allerdings befinden sich alle in der gleichen Domain. daher macht werden doch die UAC-Gruppenrichtlinien der AD benutzt (http://technet.microsoft.com/de-de/library/ee732416(v=ws.10).aspx) ?
Zitat von @DerWoWusste:
Moin.
Ich bin mir sicher, dass Dir geholfen werden kann.
> wieso mus ein User Mitglied der Gruppe Domain-Admins sein, um Aufgaben überhaupt anlegen/modifzieren zu dürfen ?
Das trifft nicht zu, weder Domänenadmin noch Admin. Jeder Nutzer kann Aufgaben anlegen, solange er damit nicht versucht,
andere als seine eigenen Credentials zu verwenden. Hast Du jedoch Aufgaben zu erstellen, die hohe Rechte erfordern oder
modifizierst Du solche, dann brauchst Du lokale Adminrechte. Niemals Domänenadminrechte, es sei denn, der Task auf dem
Exchange muss mit solchen ausgeführt werden, da in der Exchangeverwaltung der lokale Admin ein recht nicht hat.
Was machen die betroffen Aufgaben:Moin.
Ich bin mir sicher, dass Dir geholfen werden kann.
> wieso mus ein User Mitglied der Gruppe Domain-Admins sein, um Aufgaben überhaupt anlegen/modifzieren zu dürfen ?
Das trifft nicht zu, weder Domänenadmin noch Admin. Jeder Nutzer kann Aufgaben anlegen, solange er damit nicht versucht,
andere als seine eigenen Credentials zu verwenden. Hast Du jedoch Aufgaben zu erstellen, die hohe Rechte erfordern oder
modifizierst Du solche, dann brauchst Du lokale Adminrechte. Niemals Domänenadminrechte, es sei denn, der Task auf dem
Exchange muss mit solchen ausgeführt werden, da in der Exchangeverwaltung der lokale Admin ein recht nicht hat.
1) sie erstellen ein Backup
2) sie senden abschliessend eine Mail an den Exchange-Server
Das Backup und die Mail werden (nur) vom Exchange nicht ausgeführt.
Der verwendete "an"-User für die Mail ist als eine "Verteilergruppe" im Exchange hinterlegt.
Die Anmeldung an den SMTP ist zur Zeit "anonymous".
Insofern sollten keinerlei Adminrechte (oder überhaupt mehr als "Domain-Benutzer") hierfür notwendig sein.
macht werden doch die UAC-Gruppenrichtlinien der AD benutzt ...?
Musst Du mal schauen, ob die angewendet wurden. Am Server rsop.msc ausführen, dann kannst Du es sehen.Zu Deinem zweiten Teil fehlt nun noch ein Fortschritt - gibt's noch Klärungsbedarf? Nebenbei: ein Backup erfordert oft Adminrechte.
Zitat von @DerWoWusste:
> macht werden doch die UAC-Gruppenrichtlinien der AD benutzt ...?
Musst Du mal schauen, ob die angewendet wurden. Am Server rsop.msc ausführen, dann kannst Du es sehen.
Mit rsop.msc ist nichts zu erkennen. Bei dem Exchange- und einem anderen Server sind exakt die gleichen Einstellungen eingetragen.> macht werden doch die UAC-Gruppenrichtlinien der AD benutzt ...?
Musst Du mal schauen, ob die angewendet wurden. Am Server rsop.msc ausführen, dann kannst Du es sehen.
Zitat von @DerWoWusste:
Zu Deinem zweiten Teil fehlt nun noch ein Fortschritt - gibt's noch Klärungsbedarf? Nebenbei: ein Backup erfordert oft
Adminrechte.
Problem mit der Ausführung der Aufgaben besteht weiterhin.Zu Deinem zweiten Teil fehlt nun noch ein Fortschritt - gibt's noch Klärungsbedarf? Nebenbei: ein Backup erfordert oft
Adminrechte.
Habe deshalb dem hinterlegtem User auf dem Exchange die "Domain-Admin"-Rechte entzogen und anstelle dessen den "lokalen Admin.." hinzugefügt : keine Änderung.
Werde bitte deutlicher.
rsop - was steht denn dort. Wenn da nichts steht, dann zieht die Domänne-GPO auch dort nicht. Hätte sie aber dort ziehen sollen, musst Du auf Fehlersuche gehen. gpresult zeigt, welche GPOs denn ziehen (während rsop zeigt, was umgesetzt wurde).
rsop - was steht denn dort. Wenn da nichts steht, dann zieht die Domänne-GPO auch dort nicht. Hätte sie aber dort ziehen sollen, musst Du auf Fehlersuche gehen. gpresult zeigt, welche GPOs denn ziehen (während rsop zeigt, was umgesetzt wurde).
Problem mit der Ausführung der Aufgaben besteht weiterhin
Wenn Sie hohe Rechte erfordern, muss der Haken dafür gesetzt sein, soweit kein problem. Warum aber Domänenadminrechte gebraucht werden, kann ich so nicht sagen, da musst Du erstmal sagen, welchen Befejl der Task nutzt.Zitat von @DerWoWusste:
Werde bitte deutlicher.
rsop - was steht denn dort. Wenn da nichts steht, dann zieht die Domänne-GPO auch dort nicht. Hätte sie aber dort ziehen
sollen, musst Du auf Fehlersuche gehen. gpresult zeigt, welche GPOs denn ziehen (während rsop zeigt, was umgesetzt wurde).
Das prüfe ich dann noch.Werde bitte deutlicher.
rsop - was steht denn dort. Wenn da nichts steht, dann zieht die Domänne-GPO auch dort nicht. Hätte sie aber dort ziehen
sollen, musst Du auf Fehlersuche gehen. gpresult zeigt, welche GPOs denn ziehen (während rsop zeigt, was umgesetzt wurde).
> Problem mit der Ausführung der Aufgaben besteht weiterhin
Wenn Sie hohe Rechte erfordern, muss der Haken dafür gesetzt sein, soweit kein problem. Warum aber Domänenadminrechte
gebraucht werden, kann ich so nicht sagen, da musst Du erstmal sagen, welchen Befejl der Task nutzt.
"wevtutil qe "Microsoft-Windows-Backup" "/q:*[System [(EventID=4)]]" /f:text /rd:true /c:1 1>c:\temp\query.txt"
auf.
Ok, wevtutil schickt mit der Zeile ja noch keine Mail. Wie wird denn das Mailing gemacht?
Zitat von @DerWoWusste:
Ok, wevtutil schickt mit der Zeile ja noch keine Mail. Wie wird denn das Mailing gemacht?
Ich habe zu Testzwecken eine neue Aufgabe erstellt und dort den Eintrag für das Mail versenden rausgenommen.Ok, wevtutil schickt mit der Zeile ja noch keine Mail. Wie wird denn das Mailing gemacht?
Somit kann ich schon einmal ausschliessen, dass es am Mailversand liegt.
Willst Du es damit ausschl. oder hast Du es bereits damit ausgeschl.?
ausschliessen, d.h. der Fehler wird auf jeden Fall durch die Ausführung des Scriptinhalts "wevtutil ..." verursacht.
So, damit wir weiterkommen hab ich's nachgestellt: als lokaler Admin kann ich Dein Kommando ausführen ohne Fehler. Ich muss nicht Domadmin sein. Server war ein Exchange 2007 (auf Server 2008 "R1").
