Der Benutzer ist / war Mitglied einer Schutzgruppe in ADUC und wie dieser rückgängig gemacht werden kann. - Wie Man

Der Benutzer ist / war Mitglied einer Schutzgruppe in ADUC und wie dieser rückgängig gemacht werden kann.

Schlüsselwörter: admincount, AdminSdHolder, SDProp

Vor dem Start wurde dies auf einem Windows 2008 R2-DC und Exchange 2010 SP1 durchgeführt.

Problem:
Ich habe versucht, einem Benutzer (A) "Senden als" -Berechtigungen für einen anderen Benutzer (B) zu erteilen, konnte dies jedoch nicht. Jedes Mal, wenn A versuchte, eine E-Mail für B zu senden, erhielt sie eine Fehlermeldung, dass sie keine Berechtigung hatte. Nach ein paar Tagen Recherche fand ich schließlich das Problem, Benutzer B war Teil einer sogenannten "Schutzgruppe" in Windows. Nur aus dieser Gruppe B zu nehmen, hatte keine großen Auswirkungen. Es gab einige manuelle Schritte, um alles wieder normal zu machen. Um Ihnen etwas Leid zu ersparen, hier das schnelle und schmutzige Vorgehen. Wenn Sie gerne mehr über dieses Thema erfahren möchten, ist der AdminSDHolder-Benutzer von Google Mitglied der Schutzgruppe ". Es gibt einige nette Berichte, die alles im Detail erklären. Ich wollte es kurz halten.

Fix:
Für den fraglichen Benutzer:

1 - Prüfen Sie, ob das adminCount-Attribut auf 1 gesetzt ist

Gehen Sie zu ADUC, klicken Sie mit der rechten Maustaste auf den Benutzer und wählen Sie Eigenschaften. Klicken Sie auf die Registerkarte Attribut-Editor. Der zweite Eintrag sollte adminCount sein, wenn der Wert auf 1 gesetzt ist, wenn Sie ein anderes Problem haben.

2 - Entfernen Sie den Benutzer in Fragen aus einer beliebigen Schutzgruppe. In Server 2008 R2 sind dies:

Kontobetreiber
Administrator
Administratoren
Sicherungsoperatoren
Domain-Admins
Domänencontroller
Unternehmensadministratoren
Krbtgt
Druckoperatoren
Schreibgeschützte Domänencontroller
Replikator
Schema-Admins
Serveroperatoren

3 - Führen Sie adsiedit.msc aus und führen Sie einen Drilldown für den Benutzer aus. Klicken Sie mit der rechten Maustaste, und wechseln Sie zu den Eigenschaften. Markieren Sie den AdminCount-Eintrag und klicken Sie auf Bearbeiten. Ändern Sie den Wert in '0'.

4 - Eröffnen Sie ein Benutzerkonto in ADUC. Klicken Sie mit der rechten Maustaste auf Eigenschaften, Registerkarte Sicherheit, Erweitert. Klicken Sie auf Standard wiederherstellen und Übernehmen. Dadurch wird automatisch das Kontrollkästchen neben "Vererbbare Berechtigungen des übergeordneten Objekts dieses Objekts einschließen" aktiviert.

Das ist es, jetzt können Sie Senden als Berechtigungen festlegen und sie sollten bleiben, wenn nicht, gehen Sie zurück zu Schritt 2. Möglicherweise haben Sie es versäumt, eine der Gruppen zu überprüfen.

Hier der übliche Haftungsausschluss: Testen Sie zuerst in einer Laborumgebung, bevor Sie dies in der Produktion versuchen, und schreien Sie mich nicht an, wenn etwas schief geht. Es wurde bestätigt, in meiner Umgebung zu arbeiten, aber jedes Setup ist anders ...

Lassen Sie mich wissen, wenn Sie einen Fehler in der Dokumentation finden, und korrigiere ich entsprechend. Vielen Dank!