saftnase
Goto Top

Berechtigung im AD kann nicht gelöscht werden

Nach einer Testinstallation eines Exchange 2010 (und Deinstallation) sind im AD noch unaufgelöste SIDs vorhanden.

Ich hatte zu Testen einen Exchange 2010 auf W2K8 R2 aufgesetzt.

Die Test waren erfolgreich und ich habe daraufhin den Exchange 2010 vollständig deinstalliert und aus der Domäne entfernt.
Als ich nun den echten Exchange 2010 (anderer Computername) neu aufgesetzt hatte merkte ich, dass im AD noch die Berechtigungen der alten Exchange Gruppen auf den Objekten vorhanden waren. Allerdings nicht mehr mit den Gruppennamen, sondern nur noch als unaufgelöste SIDs.

Also kurz geflucht und mich dran gemacht die verwaisten SIDs rauszuschmeissen. So weit so gut.
Das dumme ist nur: Nach einiger Zeit sind die Rechte mit den SIDs wieder da, als hätte ich sie nie gelöscht.

Wer hat nen Plan was daran schuld sein könnte ?

Ich habe 2 DCs mit W2K8, Domäne im 2008 Funktionsmode, Replikation funktioniert AD Eventlog ist auch unauffällig.

Content-Key: 177024

Url: https://administrator.de/contentid/177024

Printed on: April 19, 2024 at 15:04 o'clock

Member: lenny4me
lenny4me Nov 30, 2011 at 06:52:15 (UTC)
Goto Top
Hallo,

entschuldige die blöde Frage aber hast du allenernstes in dein Produktivsystem testweise nen Exchange gepflanzt?

Grüße
Member: Saftnase
Saftnase Dec 01, 2011 at 10:13:56 (UTC)
Goto Top
Was hat das mit meiner Frage zu tun ?
Member: Saftnase
Saftnase Dec 07, 2011 at 15:01:17 (UTC)
Goto Top
Jetzt bin ich schon mal etwas weiter.
Im Security Log steht ein Hinweis auf die lsass.exe (Local Security Authority Subsystem Service), die bei jeder Gruppenrichtlinienverarbeitung die Berechtigungen wieder neu einträgt.

Gruppenrichtlinien und Lokale Systemrichtlinie habe ich gecheckt, leider tauchen die SIDs dort nicht auf.
Member: Saftnase
Saftnase Dec 27, 2011 at 13:08:02 (UTC)
Goto Top
Nu isser wech. face-smile
Problem gelöst, und es war noch nicht mal n Exchange Problem.

Der Kern des Pudels war der AdminSD Holder, der von Exchange bei jeder Installation einige Berechtigungen beschert bekommt, aber bei der Deinstallation von Exchange leider vernachlässigt wird.

Trotzdem vielen Dank für die "hilfreichen" Hinweise.

btw. Der Test-Exchange läuft mittlerweile Produktiv und schnurrt wie ein Kätzchen.