none
adminSDholder Problem? RRS feed

  • Allgemeine Diskussion

  • Seit der Installation des Sicherheitsupdates  Windows Server 2003 (KB978542) und Update für Windows Server 2003 (KB981793) auf unseren AD-Controller am Montag wurde auf allen  Objekten vom Typ user adminCount=1 gesetzt, auch bei den ungeschützen, normalen Benutzer-Konten. Dadurch wurde die Berechtigung "Senden als..." entfernt. Beim erneutem Setzen über die AD-Verwaltung oder über die Exchange 2007-Verwaltungskonsole wird der Wert automatisch nach 30-60 Minuten zurück gesetzt. Somit können gewisse Benutzer keine Emails im Namen anderer Benutzer versenden.

    Ich habe schon das Internet nach dem Problem durchsucht und bin auch auf einige Lösungsvorschöge gestossen, aber die führten zu keinem Erfolg.

    http://support.microsoft.com/kb/907434
    http://www.msxfaq.de/konzepte/adminsdholder.htm
    http://www.blackberry-forum.de/cgi-bin/YaBB.pl?board=7834;action=display;num=1176787829

    So habe ich versucht, adminCount=0 oder <Not Set> zu setzen, was automatisch wieder rückgängig gemacht wurde. Dann habe ich folgendes Script ausgeführt:
    dsacls "cn=adminsdholder,cn=system,dc=mailex,dc=ch" /G "\SELF:CA;Send As"
    dsacls "cn=adminsdholder,cn=system,dc=mailex,dc=ch" /G
    dsacls "cn=adminsdholder,cn=system,dc=mailex,dc=ch" /G "\SELF:CA;Change Password"
    dsacls "cn=adminsdholder,cn=system,dc=mailex,dc=ch" /G
    dsacls "cn=adminsdholder,cn=system,dc=mailex,dc=ch" /G
    dsacls "cn=adminsdholder,cn=system,dc=mailex,dc=ch" /G "\SELF:RPWP;Web Information"
    was auch nichts brachte.

    Diesen Artikel gibt es noch, doch damit konnte ich nicht wirklich was anfangen:
    http://support.microsoft.com/?id=817433

    Nun bin ich mit meinem Latein am Ende und benötige Hilfe!

    Freitag, 4. Juni 2010 09:13

Alle Antworten

  • Moin,

    ich sehe bei den Security Bulletins zu den Updates, die du ansprichst, keinen Grund, der zu so einem Verhalten führen sollte. Bist du dir sicher, dass ein Zusammenhang besteht? Ich würde eher eine andere Ursache vermuten. Siehe dazu:

    [Probleme mit Security Patch MS08-067, die keine sind - Aktives Verzeichnis Blog - Site Home - TechNet Blogs]
    http://blogs.technet.com/b/deds/archive/2008/10/30/probleme-mit-security-patch-ms08-067-die-keine-sind.aspx

    Betrifft das Problem tatsächlich alle User oder nur einige? In welchen Gruppen sind die betreffenden User Mitglied - sind wirklich keine der "Protected Groups" dabei?

    Wo hast du das dsacls-Skript her? Das sieht mir etwas seltsam aus. Du solltest vermeiden, an so einer kritischen Stelle aufs Geratewohl Änderungen auszuführen. Bevor du am adminSDHolder rummachst, solltest du bei den bestehenden Objekten sicherstellen, dass die Vererbung aktiviert ist, wie es der letzte von dir gepostete Artikel empfiehlt.

    Auf jeden Fall ist jetzt systematisches Vorgehen nötig. Ein Call beim Microsoft-PSS wäre zu erwägen, weil derartige Probleme die Möglichkeiten von Webrecherchen und Foren schnell übersteigen.

    Gruß, Nils

     


    Nils Kaczenski
    MVP Directory Services
    Hannover, Germany
    Freitag, 4. Juni 2010 10:25