lkaderavek
Goto Top

Exchange 2013 - Senden Als Berechtigungen werden nicht gespeichert

Hallo,

ich habe auf meinem Exchange 2013 und einem gemeinsam genutzten Postfach ein Problem mit den "Senden Als" Berechtigungen.

Bei Einrichtung des Postfachs konnte ich sowohl Senden Als, Im Auftrag senden und Vollzugriff vergeben und Speichern.

Ich habe die Outlook Profile eingerichtet und konnte damit wunderbar arbeiten.

Seit gestern, werden die Senden Als Berechtigungen selbständig aus dem Postfach entfernt.

Erst nach Verändern der Sicherheitseinstellungen des Benutzers im Active Directory kann ich die Senden Als Berechtigung setzen und speichern, nach ein paar Stunden, gehen diese Einstellungen wieder verloren.

Sicherheitseinstellungen -> Vererbung aktivieren -> Exchange Trusted Subsystem -> Senden Als.

In der KB habe ich dazu nichts gefunden.

Warum werden die Einstellungen nicht mehr gespeichert bzw. gehen verloren?

Bitte um Info.

Danke

LG

Lukas

Content-Key: 300437

Url: https://administrator.de/contentid/300437

Ausgedruckt am: 28.03.2024 um 19:03 Uhr

Mitglied: 114757
114757 31.03.2016 aktualisiert um 10:47:24 Uhr
Goto Top
Mitglied: LKaderavek
LKaderavek 31.03.2016 um 17:18:11 Uhr
Goto Top
OK, werde ich mir zu Gemüte führen.

Komme mit den Erkenntnissen zurück.
Mitglied: LKaderavek
LKaderavek 31.03.2016 um 23:28:09 Uhr
Goto Top
Vielleicht sollte ich erwähnen, dass ich ausschließlich Windows Server 2012 R2 und eine entsprechende Domäne einsetze.

Weiteres wollte ich wissen, welche Gruppe ich nun ausnehmen muss und welchen Hex-, Binärcode ich einsetzen soll?

Der Beitrag ist sehr verwirrend...wird aber definitiv mein Problem lösen, denn es kommt mit dem 60 Minuten hin, wo auch wie beschrieben, Vererbung deaktiviert und die gesetzten Einstellungen verschwinden.

Ich habe die FixInheritance Anweisung ausgeführt und die Benutzer und Gruppen ausgelesen.

Soll ich nun eine Gruppe aus den AdminSDHolder entfernen?
Ich möchte da nichts falsch machen, ist mir zu riskant.

Nachdem diese Infos doch eher einer elitären Minderheit bekannt sind, danke ich dir erst mal für den Link und die Infos.

Leider traue ich mich nicht drüber und wollte dich bitten, mir zu sagen, welche Infos du benötigst um mir aktiv helfen zu können.

Sofern du das überhaupt möchtest.

Bitte um kurze Nachricht.

Danke

LG

Lukas
Mitglied: 114757
114757 01.04.2016 aktualisiert um 09:33:55 Uhr
Goto Top
OK dann nochmal auf Deutsch
Die Berechtigung "Senden als" wird aus dem Benutzerobjekt entfernt, nachdem sie im Snap-In "Active Directory-Benutzer und -Computer" in Exchange Server konfiguriert wurde

Ebenso auch hier nochmal ausführlich beschrieben:
http://www.msxfaq.de/konzepte/adminsdholder.htm

Dort ist das Problem für einem Admin eigentlich unmissverständlich beschrieben face-smile => Best Practice : Nutze keine administrativen Konten als
Mailbenutzer!

Gruß jodel32
Mitglied: LKaderavek
LKaderavek 01.04.2016 um 16:44:10 Uhr
Goto Top
Ich habe den englischen Artikel auch gut verstanden.

Ich nutze keinen administrativen Konten als Mailbenutzer, habe es auch nicht so aktiviert.

Die Situation ist Folgende:

Exchange 2013 Neu-Installation
Benutzer und Postfächer angelegt.
Ein Benutzer OFFICE hat ein Postfach (office@domain.com), wo mehrere Benutzer Rechte: Vollzugriff, Senden Als und im Auftrag Senden haben.
Nach der Einrichtung hat das wunderbar funktioniert.

Ich habe im Outlook 2010 über den Benutzer das Office-Postfach als Standard Exchange-Account eingefügt und das persönliche Postfach ebenfalls als Exchange-Account verbunden.

Wir konnten als office versenden und das Postfach verwalten.

Nach zwei oder drei Tagen konnten die Nachrichten nicht mehr als office versendet werden, die Berechtigungen im Postfach waren verschwunden und man musste die Vererbung aktivieren um wieder Berechtigungen setzen zu können, diese verschwanden wieder nach 2 Stunden.

Warum erst nach ein paar Tagen?
Warum hat diese Konstellation bei Exchange 2003, 2007 und 2010 wunderbar funktioniert und bei 2013 macht es nun diese Probleme.

Wir haben in den Vorversionen nicht anders gemacht...

Die Sicherheitseinstellungen des Users sehen überhaupt sehr wirr aus...habe sie jetzt auf den Standard gesetzt.

Hattest du das bereits auf einem Exchange 2013 und SRV 2012 R2??
Mitglied: 114757
114757 01.04.2016 aktualisiert um 16:55:17 Uhr
Goto Top
man musste die Vererbung aktivieren um wieder Berechtigungen setzen zu können

Man muss hier gar nichts an der Vererbung drehen, das ist euer Problem das ihr da an Berechtigungen fummelt von den Ihr nicht wisst von wo und wozu sie aus dem AD kommen.

Das kann aber durch alles mögliche ausgelöst werden. Z.B. gibt es schrottige Backupagenten die bestimmte Zugriffe auf Mailboxen oder die Berechtigungen auf Datenbank-Level manipulieren.

Was das bei euch auslöst kann ich von hier aus ohne vor der Kiste zu sitzen nicht sagen.

Ich setze die Rechte nur per Powershell und nicht per GUI und hatte damit bisher keine Probleme in dieser Hinsicht.
Eventuell mal Update auf das letzte CU fahren.
Mitglied: LKaderavek
LKaderavek 01.04.2016 um 17:17:19 Uhr
Goto Top
CU ist das letzte drauf.

Sobald ich im Exchange Admin Center die Rechte setze wird das verdreht...es funktioniert kurz und nach ca. 10 Minuten wieder nicht mehr.

Ich setze zum Sichern WindowsBackup ein, also kein Agent oder so.
Sollte ich Postfächer und Elemente wiederherstellen müssen, habe ich Ontrack.

An Berechtigungen fummeln?
Ich setze Senden-Als Berechtigungen, mehr nicht...das macht das SCH.M$ selbst...

Jetzt mal PowerShell gesetzt - in der GUI geht's halt schneller für 10 User...
Mitglied: 114757
114757 01.04.2016 um 17:25:53 Uhr
Goto Top
in der GUI geht's halt schneller für 10 User...
Wenn man sich in der PS noch nicht heimisch fühlt dann ja face-smile
Mitglied: LKaderavek
LKaderavek 01.04.2016 um 17:41:14 Uhr
Goto Top
Das kommentiere ich jetzt nicht weiter...

Ich habs jetzt mal mit PS gesetzt...10 Minuten schon ohne, dass es sich geändert hat...
Mitglied: LKaderavek
LKaderavek 01.04.2016 um 18:42:06 Uhr
Goto Top
Das hat auch nix gebracht, wie denn auch die GUI führt ja auch nur die CMDlets aus.

Dein Wink mit dem Zaunpfahl war zu gut...aber warum stellt der AdminSDHolder das bei diesem Account, der bereits als Shared Postfach markiert ist um??

Gibts ja nicht...
Mitglied: LKaderavek
LKaderavek 01.04.2016 um 22:21:25 Uhr
Goto Top
Das Zurücksetzen der AdminCounts und neu vergeben der SendAs Berechtigungen hat nun einmal das Problem in den letzten zwei Stunden nicht mehr aufgeworfen.

Ich werde das morgen noch einmal weiter prüfen.

Kann man eigentlich sagen, wieso jedes Benutzer-Element im AD einen Admin-Count von "1" hatte?

Nach dem Zurücksetzen und neuerlichen automatischen Setzen haben nur noch die vorgesehenen Standard-Konten den Admin-Count "1".

Bei der Installation von AD und Exchange 2013, SP1 und CU11 wurden nach Lehrbuch vorgegangen und alle PreRequisites eingehalten.

...ich verstehe es einfach nicht...zudem ich so etwas noch nie hatte...es gibt bekanntlich immer ein erstes Mal...doch so eine einflussreiche Mini-Geschichte hatte ich noch nicht.

Danke jedenfalls für deine Hinweise und Links!
Echt geil!

LG

Lukas
Mitglied: 114757
114757 01.04.2016 aktualisiert um 23:18:03 Uhr
Goto Top
Kann man eigentlich sagen, wieso jedes Benutzer-Element im AD einen Admin-Count von "1" hatte?
Das kann eigentlich nur passieren wenn man z.B. die Domain-Users Gruppe oder eine andere Gruppe in der alle User Mitglied sind in eine der administrativen Gruppen, auch nur kurzzeitig steckt.
Es gilt hier das der User nicht nur direkt sondern auch indirekt rekursiv Mitglied einer solchen Gruppe gewesen sein kann. War ein User oder auch eine Gruppe von deinen Usern einmal Mitglied von einer dieser administrativen Gruppen so wird das Artribut auf 1 gesetzt. Dieses wird aber nicht wieder zurückgesetzt wenn die Gruppe/User wieder aus den Gruppen entfernt werden.
http://m.windowsitpro.com/active-directory/advanced-active-directory-se ...

Es braucht also nur kurzzeitig eine unbedachte Änderung damit sowas passiert.
Warum das bei euch passiert ist, keine Ahnung, was ihr sonst noch alles gemacht habt face-smile
Aber mit dem Exchange hat das eigentlich nichts zu tun, das kann auch schon vorher passiert sein.

Naja, Hauptsache et lüppt wieder, und du bist um eine Erfahrung reicher.

Gruß jodel
Mitglied: LKaderavek
LKaderavek 02.04.2016 um 17:44:02 Uhr
Goto Top
Ich habe die Domänen-Benutzer in die Gruppe der Druck-Operatoren kurz davor gesetzt.
Mitglied: 114757
Lösung 114757 02.04.2016 aktualisiert um 18:37:38 Uhr
Goto Top
Zitat von @LKaderavek:
Ich habe die Domänen-Benutzer in die Gruppe der Druck-Operatoren kurz davor gesetzt.
Dann hast du deine Ursache gefunden! Diese Gruppe gehört zu diesen "geschützten" Gruppen face-smile

  • Account Operators
  • Administrator
  • Administrators
  • Backup Operators
  • Domain Admins
  • Domain Controllers
  • Enterprise Admins
  • Krbgt
  • Print Operators
  • Read-only Domain Controllers
  • Replicator
  • Schema Admins
  • Server Operators

Ursache erkannt, Fehler gebannt, das freut einen doch face-smile

Schönes Wochenende
Gruß jodel