cement
Goto Top

Einstellungen in AD verschwinden wieder

SBS2003

Moin Leute,

in den Eigenschaften eines AD-Users habe ich unter "Sicherheit" eine Benutzergruppe hinzugefügt, der ich (ausschließlich) das Recht "Senden als" zugeteilt habe.
Mitglieder dieser Gruppe können anschließend auch "als Chef" senden (nicht im Auftrag von...!)

Ich übernehme die Änderungen, klicke auf OK, schließe den Konsolenstamm und melde mich vom Server ab.
Schnell eine Test-Mail geschrieben: Alles OK...

Aaaber:

Warte ich ein paar Minuten, ist die gerade eingefügte Benutzergruppe wieder aus dem Register "Sicherheit" in der AD verschwunden!!
Und somit natürlich auch die Berechtigung "Senden als" (nun steht in der Mail auch wieder "im Auftrag von...")

Ich kapier's echt nicht!
Hat wohl jemand von Euch eine Idee, warum die Benutzergruppe nur einige Minuten die Berechtigung hat, und dann aus dem AD-Profil vom "Chef" wieder verschwindet?

Danke schon mal,

Gruß CeMeNt

Content-ID: 128039

Url: https://administrator.de/contentid/128039

Ausgedruckt am: 15.11.2024 um 17:11 Uhr

60730
60730 27.10.2009, aktualisiert am 18.10.2012 um 18:39:47 Uhr
Goto Top
Servus cement,

auch wenn meine Vorliebe für SBS mittlerweile bekannt sein dürfte face-wink9

Schau mal in den Policys vom Exchange - da ist eine Policy - die die verbogenen Einstellungen wieder grade biegt.
Und die würde ich an einer Stelle auch ungerne abklemmen - in meinen Augen hat das schon seinen Grund, warum der Chef als Chef sendet und die Sekretöse im Auftrag des Chefs.

Irgendwann hier in grauer Vorzeit hab ich (mit anderen) mal ne Lösung beigesteuert - wie man das auch anders lösen kann.

2 Postfächer - eines nur fürn Chef, eines für den Chef und die Sekretöse. - Mehr Stichworte hab ich grad nicht parat (sekretöse) sollte eines sein.

edit face-wink
Gruß
Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 27.10.2009 um 20:07:11 Uhr
Goto Top
Servus,

der Übeltäter, dem Volksmund auch als "Prozess" bekannt, der das ändert nennt sich "AdminSDHolder".

Siehe dazu:

[The "Send As" right is removed from a user object after you configure the "Send As" right in the Active Directory Users and Computers snap-in in Exchange Server]
http://support.microsoft.com/kb/907434/en-us


Die Erklärung des AdminSDHolder:

Das Active Directory enthält einen Schutz - Mechanismus, dass Benutzerkonten und Gruppen die Mitglieder von
Dienstadministratorgruppen sind, speziell schützt. Der Domänencontroller, der die FSMO - Rolle des
PDC - Emulators innehat, überprüft alle 60 Minuten, dass die DACLs dieser Konten mit der Berechtigungsliste
eines speziellen AdminSDHolder - Objekts übereinstimmen.

Hinweis: Wenn im folgenden Registry - Pfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters der Schlüssel
"AdminSDProtectFrequency" nicht gesetzt ist (der standardmäßig nicht existiert), dann lautet das Überprüfungsintervall des PDC - Emulators 60 Minuten.
Der Wert kann zwischen 1 Minute (60 Sekunden) und 2 Stunden (7200 Sekunden) liegen.

Dieser Prozess soll verhindern, dass die Sicherheitsberechtigung an administrativen Konten geändert
wird und somit zu viele Domänenadministratoren oder andere Anwender mit höheren Rechten, administrative Tätigkeiten
ausführen können.

Der Prozess geht dabei folgendermaßen vor:

- Es prüft, welche Benutzerkonten direkt oder verschachtelt in einer der geschützten Gruppen sind und setzt dessen
Attribute „adminCount“ auf den Wert von größer 0
- Der AdminSDHolder Prozess expandiert dabei alle Gruppenmitgliedschaften der Domänen-Benutzerobjekte bei jedem Durchlauf. Der Wert "adminCount"
bildet dabei nur einen Mechanismus zur Kennzeichnung der bearbeiteten Objekte, und ist nicht der Indikator für das Zurücksetzen der ACLs.
- Das bedeutet, dass die Rechte die man auf der Registerkarte „Sicherheit“ des Benutzerkonto`s sieht,
zurückgesetzt werden und auch für alle administrativen Konten gilt.
- Der Standardwert basiert auf den Berechtigungen des Objektes CN=AdminSDHolder,CN=System,DC=<Domäne>,DC=<TLD>
und dient als Vorlage für alle administrativen Konten.
- Damit wird ebenfalls die Vererbung durch darüber liegende OUs deaktiviert


Folgende Gruppen (samt den direkten oder verschachtelten Mitgliedern sowie Gruppen) ab Windows 2000, einschließlich
Service Pack 3 werden durch den AdminSDHolder geschützt:

- Organisations-Administratoren
- Schema - Administratoren
- Domänen - Administratoren
- Administratoren


Ab dem Service Pack 4 für Windows 2000 (oder mit installiertem Hotfix 327825 auch mit früherem SP) bzw.
Windows Server 2003 werden folgende Gruppen mitgeschützt:

- Server - Operatoren
- Sicherungs - Operatoren
- Konten - Operatoren
- Druck - Operatoren
- Zertifikatherausgeber

Zusätzlich werden die Benutzerkonten „Administrator“ und „KRBTGT“ ebenfalls vom AdminSDHolder Prozess geschützt
sowie Benutzerkonten die in Verteilergruppen (auch verschachtelt) ebenfalls Mitglied einer der geschützten Gruppen sind.

Die Operatoren - Konten (und nur diese) können von dem AdminSDHolder - Prozess ausgenommen werden. Dazu muss ein
Hotfix installiert werden, der aus diesem Artikel angefordert werden kann:

[Delegated permissions are not available and inheritance is automatically disabled]
http://support.microsoft.com/kb/817433/en-us

Dort ist auch erklärt, wie der Schutz für bestimmte Gruppen deaktiviert werden kann.

Erkennt der PDC - Emulator eine Abweichung in der Berechtigungsliste (ausgehend von der Berechtigungsliste
des AdminSDHolder), wird diese dahingehend geändert, um eine Übereinstimmung mit der Liste des
AdminSDHolder`s zu erzielen. Wenn Benutzerkonten aus den geschützten Konten entfernt werden, bekommen sie nicht
automatisch die Sicherheitseigenschaften angepasst, damit sie erneut die vererbten Berechtigungen akzeptieren.

Diese Änderung muss manuell oder durch ein Script (ein Beispielscript befindet sich im oben angegebenen
Artikel) erledigt werden.

Werden Änderungen in der Berechtigungsliste des AdminSDHolder - Objekts vorgenommen, werden diese für
alle Mitglieder der Dienstadministratorgruppe übernommen. Daher stellt eine Änderung des AdminSDHolder - Objekts ein
Sicherheitsrisiko dar und deshalb sollten diese (falls nötig), gut durchdacht worden sein.

Falls Änderungen am AdminSDHolder - Objekt getätigt werden, wird dieses im Ereignisprotokoll der Domänencontroller
aufgezeichnet, der in etwa wie folgt aussieht: Die Quelle lautet „Security“, als Kategorie wird „Verzeichnisdienstzugriff“
vermerkt, der Typ lautet „Erfolg“ und als „Ereignis - ID“ wird die „ID 565“ gespeichert. Dieses gilt es auf allen
Domänencontrollern zu kontrollieren.

Wenn eine nicht autorisierte Änderung am AdminSDHolder - Objekt vorgenommen wurde, kann diese aus dem Pfad CN=AdminSDHolder,
CN=System, DC=<Domäne>, DC=DE der Domänenverzeichnispartition, wiederhergestellt werden.

Falls es notwendig wäre, andere Rechte auf administrative Konten zu vergeben, kann man diese mit ADSIEdit aus den
Windows Support Tools (die sich auf der Windows Server 2003-CD im Ordner Support befindet) ändern.


Viele Grüße
Yusuf Dikmenoglu
CeMeNt
CeMeNt 29.10.2009 um 12:55:51 Uhr
Goto Top
Moin Leute!

Vielen Dank für die ausführliche Erläuterung!

Ich werde das alles mal in Ruhe durchgehen und dann Bescheid geben, was ich gemacht habe.
Oder eben, bei weiteren Fragen noch mal nachhaken.

Bis später,

CeMeNt