none
Sicherheitsberechtigungen von AD-Objekten für verwaiste SID entfernen RRS feed

  • Allgemeine Diskussion

  • Hallo,

    ich habe hier das folgende Problem. Vor kurzer Zeit haben wir von Notes/Domino auf Exchange "migriert". Da es bei der ersten Installation einige Probleme gab, musste der Exchange-Server neu installiert werden. Blöderweise wurden soweit mir noch bekannt ist damals zuerst alle Exchange-Objekte in der Active Directory-Benutzer und -Computer Verwaltungsoberfläche gelöscht. Darauf hin war eine einfache Neuinstallation nicht mehr möglich. Nach dem löschen der Exchange-Einträge über ADSI, konnte der Server dann ohne Probleme wieder neu aufgesetzt werden. Dieser läuft auch mehr oder weniger ohne Probleme. ;-)

    Nun ist es aber so, dass sämtliche Sicherheitsberechtigungen aller AD-Objekte verwaiste SID´s aufweisen (auch neu angelegte Objekte). Diese SID´s sind laut den Berechtigungen ohne Zweifel den alten Exchange-Objekten (Organization-Management, Exchange-Servers, Exchange Trusted Subsystem, Exchange Windows Permissions) zuzuordnen.

    Gibt es eine Möglichkeit diese Berechtigungen für alle Objekte zu entfernen? Hab mir schon mal SubInACL‎ angeschaut. Aber so richtig komm ich nicht klar.

    Vielen Dank im Voraus

    Martin

     

    PS Habe parallel hierzu auch hier einen Thread aufgemacht:

    http://social.technet.microsoft.com/Forums/de-DE/exchange_serverde/thread/5a4632b7-fa55-4ea1-a697-8f1be7586a4a



    Mittwoch, 14. September 2011 12:22

Alle Antworten

  • Hallo,

    also ich habe zwar noch keinerlei Erfahrung mit dem Tool gemacht, aber der Hersteller Javelina Software bietet ein entsprechendes Toolkit an, welche solche AD Operationen durchführen können soll. Es gibt eine Testversion, mit der Du vielleicht weiter kommst.

    http://www.javelinasoftware.com/products/ad-toolkit/ad-toolkit-features


    Martin Forch
    Mittwoch, 14. September 2011 14:29
  • Hallo Martin,

    erstmal danke für die Info.

    Aber irgendwie muss es doch auch mit Boardmitteln möglich sein die Einträge zu entfernen und zu verhindern, dass diese überhaupt jedem neuen Objekt zugeordnet werden. Denke mal hierfür ist das Attribut "defaultSecurityDescriptor" in irgendeinem Schema verantwortlich.

    Ich hoffe es hat noch jemand Ideen. ;-)

     

    PS Im Schema "CN=Organizational-Unit,CN=Schema,CN=Configuration,DC=xxx,DC=xxx" steht unter dem Attribut "defaultSecurityDescriptor" der folgende String:

    D:(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)(OA;;CCDC;bf967a86-0de6-11d0-a285-00aa003049e2;;AO)(OA;;CCDC;bf967aba-0de6-11d0-a285-00aa003049e2;;AO)(OA;;CCDC;bf967a9c-0de6-11d0-a285-00aa003049e2;;AO)(OA;;CCDC;bf967aa8-0de6-11d0-a285-00aa003049e2;;PO)(A;;RPLCLORC;;;AU)(A;;LCRPLORC;;;ED)(OA;;CCDC;4828CC14-1437-45bc-9B07-AD6F015E5F28;;AO)

    Kann der Wert was damit zu tun haben?

    • Bearbeitet Martin Rae Mittwoch, 14. September 2011 16:03
    Mittwoch, 14. September 2011 15:13
  • Hallo Martin,

    bitte im Zukunft nur einen Thread für dasselbe Thema eröffnen. Das ist auch in den Forenregeln geschrieben.

    Danke und Gruss,
    Raul

    Montag, 19. September 2011 08:08
    Moderator