Exchange 2013 - Senden Als Berechtigungen werden nicht gespeichert

Mitglied: LKaderavek

LKaderavek (Level 2) - Jetzt verbinden

31.03.2016 um 09:43 Uhr, 5159 Aufrufe, 14 Kommentare, 1 Danke

Hallo,

ich habe auf meinem Exchange 2013 und einem gemeinsam genutzten Postfach ein Problem mit den "Senden Als" Berechtigungen.

Bei Einrichtung des Postfachs konnte ich sowohl Senden Als, Im Auftrag senden und Vollzugriff vergeben und Speichern.

Ich habe die Outlook Profile eingerichtet und konnte damit wunderbar arbeiten.

Seit gestern, werden die Senden Als Berechtigungen selbständig aus dem Postfach entfernt.

Erst nach Verändern der Sicherheitseinstellungen des Benutzers im Active Directory kann ich die Senden Als Berechtigung setzen und speichern, nach ein paar Stunden, gehen diese Einstellungen wieder verloren.

Sicherheitseinstellungen -> Vererbung aktivieren -> Exchange Trusted Subsystem -> Senden Als.

In der KB habe ich dazu nichts gefunden.

Warum werden die Einstellungen nicht mehr gespeichert bzw. gehen verloren?

Bitte um Info.

Danke

LG

Lukas
Mitglied: 114757
114757 (Level 4)
31.03.2016, aktualisiert um 10:47 Uhr
Bitte warten ..
Mitglied: LKaderavek
31.03.2016 um 17:18 Uhr
OK, werde ich mir zu Gemüte führen.

Komme mit den Erkenntnissen zurück.
Bitte warten ..
Mitglied: LKaderavek
31.03.2016 um 23:28 Uhr
Vielleicht sollte ich erwähnen, dass ich ausschließlich Windows Server 2012 R2 und eine entsprechende Domäne einsetze.

Weiteres wollte ich wissen, welche Gruppe ich nun ausnehmen muss und welchen Hex-, Binärcode ich einsetzen soll?

Der Beitrag ist sehr verwirrend...wird aber definitiv mein Problem lösen, denn es kommt mit dem 60 Minuten hin, wo auch wie beschrieben, Vererbung deaktiviert und die gesetzten Einstellungen verschwinden.

Ich habe die FixInheritance Anweisung ausgeführt und die Benutzer und Gruppen ausgelesen.

Soll ich nun eine Gruppe aus den AdminSDHolder entfernen?
Ich möchte da nichts falsch machen, ist mir zu riskant.

Nachdem diese Infos doch eher einer elitären Minderheit bekannt sind, danke ich dir erst mal für den Link und die Infos.

Leider traue ich mich nicht drüber und wollte dich bitten, mir zu sagen, welche Infos du benötigst um mir aktiv helfen zu können.

Sofern du das überhaupt möchtest.

Bitte um kurze Nachricht.

Danke

LG

Lukas
Bitte warten ..
Mitglied: 114757
114757 (Level 4)
01.04.2016, aktualisiert um 09:33 Uhr
OK dann nochmal auf Deutsch
Die Berechtigung "Senden als" wird aus dem Benutzerobjekt entfernt, nachdem sie im Snap-In "Active Directory-Benutzer und -Computer" in Exchange Server konfiguriert wurde

Ebenso auch hier nochmal ausführlich beschrieben:
http://www.msxfaq.de/konzepte/adminsdholder.htm

Dort ist das Problem für einem Admin eigentlich unmissverständlich beschrieben :-) face-smile => Best Practice : Nutze keine administrativen Konten als
Mailbenutzer!

Gruß jodel32
Bitte warten ..
Mitglied: LKaderavek
01.04.2016 um 16:44 Uhr
Ich habe den englischen Artikel auch gut verstanden.

Ich nutze keinen administrativen Konten als Mailbenutzer, habe es auch nicht so aktiviert.

Die Situation ist Folgende:

Exchange 2013 Neu-Installation
Benutzer und Postfächer angelegt.
Ein Benutzer OFFICE hat ein Postfach (office@domain.com), wo mehrere Benutzer Rechte: Vollzugriff, Senden Als und im Auftrag Senden haben.
Nach der Einrichtung hat das wunderbar funktioniert.

Ich habe im Outlook 2010 über den Benutzer das Office-Postfach als Standard Exchange-Account eingefügt und das persönliche Postfach ebenfalls als Exchange-Account verbunden.

Wir konnten als office versenden und das Postfach verwalten.

Nach zwei oder drei Tagen konnten die Nachrichten nicht mehr als office versendet werden, die Berechtigungen im Postfach waren verschwunden und man musste die Vererbung aktivieren um wieder Berechtigungen setzen zu können, diese verschwanden wieder nach 2 Stunden.

Warum erst nach ein paar Tagen?
Warum hat diese Konstellation bei Exchange 2003, 2007 und 2010 wunderbar funktioniert und bei 2013 macht es nun diese Probleme.

Wir haben in den Vorversionen nicht anders gemacht...

Die Sicherheitseinstellungen des Users sehen überhaupt sehr wirr aus...habe sie jetzt auf den Standard gesetzt.

Hattest du das bereits auf einem Exchange 2013 und SRV 2012 R2??
Bitte warten ..
Mitglied: 114757
114757 (Level 4)
01.04.2016, aktualisiert um 16:55 Uhr
man musste die Vererbung aktivieren um wieder Berechtigungen setzen zu können

Man muss hier gar nichts an der Vererbung drehen, das ist euer Problem das ihr da an Berechtigungen fummelt von den Ihr nicht wisst von wo und wozu sie aus dem AD kommen.

Das kann aber durch alles mögliche ausgelöst werden. Z.B. gibt es schrottige Backupagenten die bestimmte Zugriffe auf Mailboxen oder die Berechtigungen auf Datenbank-Level manipulieren.

Was das bei euch auslöst kann ich von hier aus ohne vor der Kiste zu sitzen nicht sagen.

Ich setze die Rechte nur per Powershell und nicht per GUI und hatte damit bisher keine Probleme in dieser Hinsicht.
Eventuell mal Update auf das letzte CU fahren.
Bitte warten ..
Mitglied: LKaderavek
01.04.2016 um 17:17 Uhr
CU ist das letzte drauf.

Sobald ich im Exchange Admin Center die Rechte setze wird das verdreht...es funktioniert kurz und nach ca. 10 Minuten wieder nicht mehr.

Ich setze zum Sichern WindowsBackup ein, also kein Agent oder so.
Sollte ich Postfächer und Elemente wiederherstellen müssen, habe ich Ontrack.

An Berechtigungen fummeln?
Ich setze Senden-Als Berechtigungen, mehr nicht...das macht das SCH.M$ selbst...

Jetzt mal PowerShell gesetzt - in der GUI geht's halt schneller für 10 User...
Bitte warten ..
Mitglied: 114757
114757 (Level 4)
01.04.2016 um 17:25 Uhr
in der GUI geht's halt schneller für 10 User...
Wenn man sich in der PS noch nicht heimisch fühlt dann ja :-) face-smile
Bitte warten ..
Mitglied: LKaderavek
01.04.2016 um 17:41 Uhr
Das kommentiere ich jetzt nicht weiter...

Ich habs jetzt mal mit PS gesetzt...10 Minuten schon ohne, dass es sich geändert hat...
Bitte warten ..
Mitglied: LKaderavek
01.04.2016 um 18:42 Uhr
Das hat auch nix gebracht, wie denn auch die GUI führt ja auch nur die CMDlets aus.

Dein Wink mit dem Zaunpfahl war zu gut...aber warum stellt der AdminSDHolder das bei diesem Account, der bereits als Shared Postfach markiert ist um??

Gibts ja nicht...
Bitte warten ..
Mitglied: LKaderavek
01.04.2016 um 22:21 Uhr
Das Zurücksetzen der AdminCounts und neu vergeben der SendAs Berechtigungen hat nun einmal das Problem in den letzten zwei Stunden nicht mehr aufgeworfen.

Ich werde das morgen noch einmal weiter prüfen.

Kann man eigentlich sagen, wieso jedes Benutzer-Element im AD einen Admin-Count von "1" hatte?

Nach dem Zurücksetzen und neuerlichen automatischen Setzen haben nur noch die vorgesehenen Standard-Konten den Admin-Count "1".

Bei der Installation von AD und Exchange 2013, SP1 und CU11 wurden nach Lehrbuch vorgegangen und alle PreRequisites eingehalten.

...ich verstehe es einfach nicht...zudem ich so etwas noch nie hatte...es gibt bekanntlich immer ein erstes Mal...doch so eine einflussreiche Mini-Geschichte hatte ich noch nicht.

Danke jedenfalls für deine Hinweise und Links!
Echt geil!

LG

Lukas
Bitte warten ..
Mitglied: 114757
114757 (Level 4)
01.04.2016, aktualisiert um 23:18 Uhr
Kann man eigentlich sagen, wieso jedes Benutzer-Element im AD einen Admin-Count von "1" hatte?
Das kann eigentlich nur passieren wenn man z.B. die Domain-Users Gruppe oder eine andere Gruppe in der alle User Mitglied sind in eine der administrativen Gruppen, auch nur kurzzeitig steckt.
Es gilt hier das der User nicht nur direkt sondern auch indirekt rekursiv Mitglied einer solchen Gruppe gewesen sein kann. War ein User oder auch eine Gruppe von deinen Usern einmal Mitglied von einer dieser administrativen Gruppen so wird das Artribut auf 1 gesetzt. Dieses wird aber nicht wieder zurückgesetzt wenn die Gruppe/User wieder aus den Gruppen entfernt werden.
http://m.windowsitpro.com/active-directory/advanced-active-directory-se ...

Es braucht also nur kurzzeitig eine unbedachte Änderung damit sowas passiert.
Warum das bei euch passiert ist, keine Ahnung, was ihr sonst noch alles gemacht habt :-) face-smile
Aber mit dem Exchange hat das eigentlich nichts zu tun, das kann auch schon vorher passiert sein.

Naja, Hauptsache et lüppt wieder, und du bist um eine Erfahrung reicher.

Gruß jodel
Bitte warten ..
Mitglied: LKaderavek
02.04.2016 um 17:44 Uhr
Ich habe die Domänen-Benutzer in die Gruppe der Druck-Operatoren kurz davor gesetzt.
Bitte warten ..
Mitglied: 114757
114757 (Level 4)
LÖSUNG 02.04.2016, aktualisiert um 18:37 Uhr
Zitat von @LKaderavek:
Ich habe die Domänen-Benutzer in die Gruppe der Druck-Operatoren kurz davor gesetzt.
Dann hast du deine Ursache gefunden! Diese Gruppe gehört zu diesen "geschützten" Gruppen :-) face-smile

  • Account Operators
  • Administrator
  • Administrators
  • Backup Operators
  • Domain Admins
  • Domain Controllers
  • Enterprise Admins
  • Krbgt
  • Print Operators
  • Read-only Domain Controllers
  • Replicator
  • Schema Admins
  • Server Operators

Ursache erkannt, Fehler gebannt, das freut einen doch :-) face-smile

Schönes Wochenende
Gruß jodel
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Ein Weg weg von Microsoft. Wie würde man es angehen? Lasst uns doch etwas spinnen
it-fraggleVor 1 TagAllgemeinOff Topic48 Kommentare

Guten Morgen Kollegen, es treibt mich schon seit einigen Jahren um, dass es sinnvoll wäre langsam einen Weg weg von Microsoftprodukten zu finden. Mir ...

Batch & Shell
Wieso funktioniert das nicht?
gelöst Hundy132Vor 1 TagFrageBatch & Shell10 Kommentare

Hallo Freunde, kann mir irgendjemand sagen wieso meine Batch datei nicht funktioniert? So sieht Sie aus: Hier soll ein ein vorgegebenes Passwort Eingegeben werden ...

Server-Hardware
HPE ProLiant MicroServer Gen10 Plus - Wo wird das OS installiert?
mayho33Vor 1 TagFrageServer-Hardware13 Kommentare

Hallo @ All, Ich liebäugle mit einem neuem Server (siehe Überschrift). Mein alter Gen8 ist zwar immer noch am laufen, aber es gibt einiges ...

Windows Server
Server 2019 RDS-CALs für Domänen-Admins? Ernsthaft?
gelöst anteNopeVor 1 TagFrageWindows Server7 Kommentare

Nabend zusammen, ich habe hier heute einen RDS auf Basis eines Server 2019 STD installiert und mit User-CALs lizenziert. Soweit funktioniert auch alles. Nur ...

Router & Routing
Probleme mit VPN Verbindung über shrewsoft
martenkVor 1 TagFrageRouter & Routing25 Kommentare

Hallo Gemeinschaft, habe ein Problem mit der o.g. Verbindung die Verbindung wird aufgebaut und ich kann auch den entfernten Rechner anpingen unter ipconfig sehe ...

Exchange Server
Outlook Automatisch auf alle eingehendem Mail eine Antwortvorlage versenden
shooanVor 1 TagFrageExchange Server13 Kommentare

Guten Morgen, ich hätte da gerne mal ein Problem zur Lösung. Auf das Freigegeben Postfach Bewerbung@ wünscht nun die Führung das auf alle Mail ...

Hardware
Versorgungsengpass Chips
NebellichtVor 21 StundenAllgemeinHardware11 Kommentare

Allg. frage ich mich ja warum Apple auf ARM frühzeitig gesetzt hat. Die Automobilindustrie gerade Absatzprobleme hat, weil keine Chips mehr geliefert werden können. ...

LAN, WAN, Wireless
100m GBit-Richtfunk im Freien - Produktempfehlungen?
mstrd308Vor 1 TagFrageLAN, WAN, Wireless9 Kommentare

Hallo zusammen, ich bin auf der Suche nach Produktempfehlungen um einen Richtfunk von einem Gebäude zu einen weiteren zu realisieren. Die Peripherie soll draußen ...