none
Exchange 2010 ActiveSync AdminCount Inheritance RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hi bei der Exchange Migration auf 2010 ist es von Bedeutung, dass die Vererbung unter Sicherheit angehakt ist damit das ActiveSync funktioniert. Nur wenn der User nicht in einer Administrativen Gruppe ist bleibt der Haken auch stehen.

    Gibt es eine Lösung, in der die User die ActiveSync machen auch in einer administrativen Gruppe sind?

    Alexander Rü

    Dienstag, 17. Juni 2014 14:31
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Moin,

    offiziell: Nein. Admin-User arbeiten aus Sicherheitsgründen niemals produktiv und es gibt spätestens seit UAC auch keine Begründung mehr dafür.

    Und die Exchange-Entwickler sind da recht hart: Wer nicht produktiv arbeiten darf, auf den wird auch keine Rücksicht genommen.

    Inoffiziell kann man einfach den AdminCount auf "0" stellen und die Berechtigungsvererbung reaktivieren. Dann werden die Berechtigungen auch nicht mehr korrigiert.

    Würde ich in der Praxis aber nicht machen, denn das System gibt es ja aus gutem Grund. Ohne diesen Rettungsanker könnte ein Dom-Admin sich so aus der Domäne aussperren, dass er diese theoretisch nicht mehr verwalten kann. Und wenn es dann keinen anderen Dom-Admin mehr gibt, dann kannst Du das AD (und den Exchange) wegwerfen und neu machen.

    Im Jahr 2014 sollte man die Sicherheit eigentlich nicht mehr auf die leichte Schulter nehmen. Das sollte sich auch bei kleineren Kunden rumgesprochen haben.

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    • Als Antwort vorgeschlagen Thomas Linnepe Donnerstag, 19. Juni 2014 04:46
    • Als Antwort markiert Alex Pitulice Dienstag, 24. Juni 2014 11:04
    Dienstag, 17. Juni 2014 16:03
    |
  • Question
    Anmelden
    1
    Anmelden

    Moin,

    User aufrufen (ADUC oder ADSIEDIT) und im Feld AdminCount eine 0 eintragen.

    Wie gesagt: Nur auf eigene Gefahr.

    Gruesse aus Berlin schickt Robert - MVP Exchange Server


    Mittwoch, 18. Juni 2014 14:29
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Moin,

    offiziell: Nein. Admin-User arbeiten aus Sicherheitsgründen niemals produktiv und es gibt spätestens seit UAC auch keine Begründung mehr dafür.

    Und die Exchange-Entwickler sind da recht hart: Wer nicht produktiv arbeiten darf, auf den wird auch keine Rücksicht genommen.

    Inoffiziell kann man einfach den AdminCount auf "0" stellen und die Berechtigungsvererbung reaktivieren. Dann werden die Berechtigungen auch nicht mehr korrigiert.

    Würde ich in der Praxis aber nicht machen, denn das System gibt es ja aus gutem Grund. Ohne diesen Rettungsanker könnte ein Dom-Admin sich so aus der Domäne aussperren, dass er diese theoretisch nicht mehr verwalten kann. Und wenn es dann keinen anderen Dom-Admin mehr gibt, dann kannst Du das AD (und den Exchange) wegwerfen und neu machen.

    Im Jahr 2014 sollte man die Sicherheit eigentlich nicht mehr auf die leichte Schulter nehmen. Das sollte sich auch bei kleineren Kunden rumgesprochen haben.

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    • Als Antwort vorgeschlagen Thomas Linnepe Donnerstag, 19. Juni 2014 04:46
    • Als Antwort markiert Alex Pitulice Dienstag, 24. Juni 2014 11:04
    Dienstag, 17. Juni 2014 16:03
    |
  • Question
    Anmelden
    0
    Anmelden

    Wie?

    "Inoffiziell kann man einfach den AdminCount auf "0" stellen und die Berechtigungsvererbung reaktivieren. Dann werden die Berechtigungen auch nicht mehr korrigiert."

    Alexander Rü

    Mittwoch, 18. Juni 2014 11:31
    |
  • Question
    Anmelden
    0
    Anmelden

    Was "wie?"

    Bitte stell doch eindeutige Fragen, dann musst Du dich auch nicht beschweren, wenn die Antwort zu Deiner gewünschten Frage passt.

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Mittwoch, 18. Juni 2014 13:50
    |
  • Question
    Anmelden
    0
    Anmelden

    Wie ausführlich soll das WIE sein?

    Wie macht man das?

    Alexander Rü

    Mittwoch, 18. Juni 2014 13:54
    |
  • Question
    Anmelden
    1
    Anmelden

    Moin,

    User aufrufen (ADUC oder ADSIEDIT) und im Feld AdminCount eine 0 eintragen.

    Wie gesagt: Nur auf eigene Gefahr.

    Gruesse aus Berlin schickt Robert - MVP Exchange Server


    Mittwoch, 18. Juni 2014 14:29
    |