Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Einstellungen in AD verschwinden wieder

Frage Microsoft Windows Server

Mitglied: CeMeNt

CeMeNt (Level 2) - Jetzt verbinden

27.10.2009, aktualisiert 18.10.2012, 6853 Aufrufe, 3 Kommentare

SBS2003

Moin Leute,

in den Eigenschaften eines AD-Users habe ich unter "Sicherheit" eine Benutzergruppe hinzugefügt, der ich (ausschließlich) das Recht "Senden als" zugeteilt habe.
Mitglieder dieser Gruppe können anschließend auch "als Chef" senden (nicht im Auftrag von...!)

Ich übernehme die Änderungen, klicke auf OK, schließe den Konsolenstamm und melde mich vom Server ab.
Schnell eine Test-Mail geschrieben: Alles OK...

Aaaber:

Warte ich ein paar Minuten, ist die gerade eingefügte Benutzergruppe wieder aus dem Register "Sicherheit" in der AD verschwunden!!
Und somit natürlich auch die Berechtigung "Senden als" (nun steht in der Mail auch wieder "im Auftrag von...")

Ich kapier's echt nicht!
Hat wohl jemand von Euch eine Idee, warum die Benutzergruppe nur einige Minuten die Berechtigung hat, und dann aus dem AD-Profil vom "Chef" wieder verschwindet?

Danke schon mal,

Gruß CeMeNt
Mitglied: 60730
27.10.2009, aktualisiert 18.10.2012
Servus cement,

auch wenn meine Vorliebe für SBS mittlerweile bekannt sein dürfte 9

Schau mal in den Policys vom Exchange - da ist eine Policy - die die verbogenen Einstellungen wieder grade biegt.
Und die würde ich an einer Stelle auch ungerne abklemmen - in meinen Augen hat das schon seinen Grund, warum der Chef als Chef sendet und die Sekretöse im Auftrag des Chefs.

Irgendwann hier in grauer Vorzeit hab ich (mit anderen) mal ne Lösung beigesteuert - wie man das auch anders lösen kann.

2 Postfächer - eines nur fürn Chef, eines für den Chef und die Sekretöse. - Mehr Stichworte hab ich grad nicht parat (sekretöse) sollte eines sein.

">edit
Gruß
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
27.10.2009 um 20:07 Uhr
Servus,

der Übeltäter, dem Volksmund auch als "Prozess" bekannt, der das ändert nennt sich "AdminSDHolder".

Siehe dazu:

[The "Send As" right is removed from a user object after you configure the "Send As" right in the Active Directory Users and Computers snap-in in Exchange Server]
http://support.microsoft.com/kb/907434/en-us


Die Erklärung des AdminSDHolder:

Das Active Directory enthält einen Schutz - Mechanismus, dass Benutzerkonten und Gruppen die Mitglieder von
Dienstadministratorgruppen sind, speziell schützt. Der Domänencontroller, der die FSMO - Rolle des
PDC - Emulators innehat, überprüft alle 60 Minuten, dass die DACLs dieser Konten mit der Berechtigungsliste
eines speziellen AdminSDHolder - Objekts übereinstimmen.

Hinweis: Wenn im folgenden Registry - Pfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters der Schlüssel
"AdminSDProtectFrequency" nicht gesetzt ist (der standardmäßig nicht existiert), dann lautet das Überprüfungsintervall des PDC - Emulators 60 Minuten.
Der Wert kann zwischen 1 Minute (60 Sekunden) und 2 Stunden (7200 Sekunden) liegen.

Dieser Prozess soll verhindern, dass die Sicherheitsberechtigung an administrativen Konten geändert
wird und somit zu viele Domänenadministratoren oder andere Anwender mit höheren Rechten, administrative Tätigkeiten
ausführen können.

Der Prozess geht dabei folgendermaßen vor:

- Es prüft, welche Benutzerkonten direkt oder verschachtelt in einer der geschützten Gruppen sind und setzt dessen
Attribute „adminCount“ auf den Wert von größer 0
- Der AdminSDHolder Prozess expandiert dabei alle Gruppenmitgliedschaften der Domänen-Benutzerobjekte bei jedem Durchlauf. Der Wert "adminCount"
bildet dabei nur einen Mechanismus zur Kennzeichnung der bearbeiteten Objekte, und ist nicht der Indikator für das Zurücksetzen der ACLs.
- Das bedeutet, dass die Rechte die man auf der Registerkarte „Sicherheit“ des Benutzerkonto`s sieht,
zurückgesetzt werden und auch für alle administrativen Konten gilt.
- Der Standardwert basiert auf den Berechtigungen des Objektes CN=AdminSDHolder,CN=System,DC=<Domäne>,DC=<TLD>
und dient als Vorlage für alle administrativen Konten.
- Damit wird ebenfalls die Vererbung durch darüber liegende OUs deaktiviert


Folgende Gruppen (samt den direkten oder verschachtelten Mitgliedern sowie Gruppen) ab Windows 2000, einschließlich
Service Pack 3 werden durch den AdminSDHolder geschützt:

- Organisations-Administratoren
- Schema - Administratoren
- Domänen - Administratoren
- Administratoren


Ab dem Service Pack 4 für Windows 2000 (oder mit installiertem Hotfix 327825 auch mit früherem SP) bzw.
Windows Server 2003 werden folgende Gruppen mitgeschützt:

- Server - Operatoren
- Sicherungs - Operatoren
- Konten - Operatoren
- Druck - Operatoren
- Zertifikatherausgeber

Zusätzlich werden die Benutzerkonten „Administrator“ und „KRBTGT“ ebenfalls vom AdminSDHolder Prozess geschützt
sowie Benutzerkonten die in Verteilergruppen (auch verschachtelt) ebenfalls Mitglied einer der geschützten Gruppen sind.

Die Operatoren - Konten (und nur diese) können von dem AdminSDHolder - Prozess ausgenommen werden. Dazu muss ein
Hotfix installiert werden, der aus diesem Artikel angefordert werden kann:

[Delegated permissions are not available and inheritance is automatically disabled]
http://support.microsoft.com/kb/817433/en-us

Dort ist auch erklärt, wie der Schutz für bestimmte Gruppen deaktiviert werden kann.

Erkennt der PDC - Emulator eine Abweichung in der Berechtigungsliste (ausgehend von der Berechtigungsliste
des AdminSDHolder), wird diese dahingehend geändert, um eine Übereinstimmung mit der Liste des
AdminSDHolder`s zu erzielen. Wenn Benutzerkonten aus den geschützten Konten entfernt werden, bekommen sie nicht
automatisch die Sicherheitseigenschaften angepasst, damit sie erneut die vererbten Berechtigungen akzeptieren.

Diese Änderung muss manuell oder durch ein Script (ein Beispielscript befindet sich im oben angegebenen
Artikel) erledigt werden.

Werden Änderungen in der Berechtigungsliste des AdminSDHolder - Objekts vorgenommen, werden diese für
alle Mitglieder der Dienstadministratorgruppe übernommen. Daher stellt eine Änderung des AdminSDHolder - Objekts ein
Sicherheitsrisiko dar und deshalb sollten diese (falls nötig), gut durchdacht worden sein.

Falls Änderungen am AdminSDHolder - Objekt getätigt werden, wird dieses im Ereignisprotokoll der Domänencontroller
aufgezeichnet, der in etwa wie folgt aussieht: Die Quelle lautet „Security“, als Kategorie wird „Verzeichnisdienstzugriff“
vermerkt, der Typ lautet „Erfolg“ und als „Ereignis - ID“ wird die „ID 565“ gespeichert. Dieses gilt es auf allen
Domänencontrollern zu kontrollieren.

Wenn eine nicht autorisierte Änderung am AdminSDHolder - Objekt vorgenommen wurde, kann diese aus dem Pfad CN=AdminSDHolder,
CN=System, DC=<Domäne>, DC=DE der Domänenverzeichnispartition, wiederhergestellt werden.

Falls es notwendig wäre, andere Rechte auf administrative Konten zu vergeben, kann man diese mit ADSIEdit aus den
Windows Support Tools (die sich auf der Windows Server 2003-CD im Ordner Support befindet) ändern.



Viele Grüße
Yusuf Dikmenoglu
Bitte warten ..
Mitglied: CeMeNt
29.10.2009 um 12:55 Uhr
Moin Leute!

Vielen Dank für die ausführliche Erläuterung!

Ich werde das alles mal in Ruhe durchgehen und dann Bescheid geben, was ich gemacht habe.
Oder eben, bei weiteren Fragen noch mal nachhaken.

Bis später,

CeMeNt
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst AD: Dateien und Verknüpfungen verschwinden oder lassen sich nicht löschen (13)

Frage von McLion zum Thema Windows Server ...

Windows Server
Windows Firewall Einstellungen für OpenVPN Tunnel (3)

Frage von Aubanan zum Thema Windows Server ...

Windows Server
Windows Server 2012 R2 Benutzerkonto für Zugriff auf AD Benutzer (1)

Frage von JulianOhm zum Thema Windows Server ...

Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...