Hallo Leser,
über folgendes bin ich letztens gestoßen als ich die „Senden als“ Berechtigungen bei einem unserer Kunden bearbeiten wollte. Es handelte sich um einen normalen Account, also kein Domänenadmistrator o.ä. .
„Senden als“ Berechtigungen verschwinden nach kurzer Zeit
In der Exchange Managment Konsole verschwinden nach dem Eintragen der Berechtigungen für „Senden als“ diese nach einiger Zeit wieder. Selbst der Eintrag „NT-AUTORITÄTSELBST“ ist nicht vorhanden bei den Benutzern.
Ein Check offenbarte, das dies bei allen Domänen-Benutzer der Fall war, was mich dann doch etwas beunruhigte. Ebenfalls eine Abfrage per Exchange-Powershell zeigte die selben fehlenden Berechtigungen.
Nach der Recherche tritt dies z.B. bei administrativen Accounts auf. Dort wird im AD, beim Benutzerobjekt das Flag „admincount=1“ gesetzt.
Eine kurze Abfrage in der „AD Benutzer&Computer“ Konsole bestätigte dies. Alle „Domänen-Benutzer“ hatten dieses Flag.
Nun stellte ich mir die Frage warum.
Nach einem Blick in die Gruppenmitgliedschaften stellte sich heraus das die Gruppe „Domänen-Benutzer“ Mitglied der Gruppe „Druck-Operatoren“ war. (Warum auch immer!?)
Da die Gruppe „Druck-Operatoren“ auch eine administrative Gruppe ist, wurden bei allen Domänen-Benutzern der „admincount=1“ gesetzt.
Hintergrund:
Im AD läuft standardmässig jede Stunde der sogenannte „AdminSDHolder Thread“ durch, welcher nach administrativen Gruppen und deren Mitgliedern sucht und dann verschiedene Dinge an den AD Objekten und ihren Berechtrigungen duchführt.
Beispielsweise:
1. im AD wird für das entsprechende Objekt das Attribut „admincount=1“ gesetzt
2. es wird die Vererbung bei den Sicherheitsberechtigugnen deaktiviert
3. es werden die Berechtigungen an Hand des „AdminSDHolder-Templates“ neu gesetzt
Bereinigung:
Nach dem entfernen der Gruppe „Domänen-Benutzer“ aus der Gruppe „Druckoperatoren“ habe ich die Berechtigungen auf Standard wiederhergestellt und die Vererbung wieder eingeschaltet.
Dann muss per „adsiedit“ das Flag „admincount“ für den Benutzer wieder auf 0 gestezt werden.
Abschließend können die „Senden als “ Berechtigungen neu gesetzt werden.
„NT-AUTORITÄTSELBST“ erscheint wieder automatisch und die Berechtigungen für neu hinzugefügte Benutzer bleiben nun wieder erhalten und das Recht „Senden als“ greift.