Rechte verschwinden einfach wieder

26/08/2008 - 14:46 von Friedrich Kölbel | Report spam
Hallo Newsgroup,

Ich habe seit einigen Wochen ein Problem, dem ich einfach nicht Herr
werde:

"Verschiedene Rechte, die ich im ActiveDirectory vergebe(n muß)
verschwinden einfach nach kurzer Zeit wieder."

Mir ist nicht klar, ob das ein Fehler der Replikation ist (keine
Hinweise darauf) und mir ist auch nicht klar woher die "alten" Rechte
überhaupt kommen!
Im besonderen betrifft Berechtigungen, bei denen man einem User
Zugriffe wie "senden als" bei einem anderen User erteilt.
Aus diesem Grund können viele (aber nicht alle) User kein Blackberry-
Mail mehr versenden, weil der Blackberry Admin hier und da nicht mehr
das Recht hat im fremden Namen zu senden - zumindest nach 2-3 Stunden
nicht mehr...

Wir haben eine recht komplexe Struktur mit 8 DCs (Eine Hauptdomain und
3 Subdomains mit jeweils 2 DCŽs)

domain.com
sub1.domain.com
sub2.domian.com
sub2.domain.com

Alle Serverrollen pro Domain sind sauber verteilt, derzeit habe ich
nur einen Rechner als globalen Katalog definiert (um das Problem
einzugrenzen) im Normalfall hat jede Domain einen eigenen GC.
Jeder DC ist repliziert sich mit allen anderen 7 Partnern fehlerlos.

Die Ereignisanzeigen sàmtlicher DCŽs sind so gut wie fehlerlos,
"repadmin /showrepl", "dcdiag", "netdiag" laufen überall problemlos,
die Zeiten sind syncronisiert. (kann ich posten, ich will Euch aber
nicht zumüllen)

Der Ausgang des Problems war ziemlich sicher eine gröbere
Umstrukturierung der DCŽs durch mehrere neue VMWare-Server. Weil wir
die selben DC-Namen auf den neuen VMWare-Servern verwenden wollten
haben wir uns entschieden, temporàr zu jeder Domain einen DCxy-TEMP
(statt 03GR10, 03GR10-1) zu installieren, dann die Rollen zu
übertragen und die alten zu löschen.
Danach haben wir das Spiel auf den neuen VMWare-Servern nochmal
gemacht - diesmal wieder mit den alten Namen, die schon einige Tage
nicht mehr in Verwendung waren.

Das ist alles ohne Probleme gelaufen, bis auf ein paar DNS-
Schwierigkeiten im Zusammenhang mit Exchange-RUS - der muß nàmlich in
allen domains auf alle Server ohne die vollstàndige url zugreifen
können (der Nebiosname ohne Domain muss also von überall pingbar sein,
was laut KB-Artikel dadurch erreicht wird, dass man die Server
wechselweise in die DNS-Äste eintràgt - also 03GR10.domain.com 03GR10.sub1.domain.com = 192.168.60.10 usw.)

Ich habe auch versucht, mich pro Domain in beide Controller ein zu
loggen und auf beiden (vor der replication) Rechte zu setzen - damit
ich draufkomme - welcher Server "zieht" - mit dem selben Ergebnis -
tàglich grüßt das Murmeltier...

In einem KB-Artikel, den ich nicht mehr finde, hab ich was von einem
"Hintergrundtask" gelesen, der bestimmte wichtige Rechte wieder setzt/
löschet, die der Admin nicht veràndern sollte. ist es möglich dass ein
solcher Task mein Problem ist (?)

So, das war eine recht umfangreiche Beschreibung - vielleicht hat
dadurch aber jemand von Euch eine konkrete Idee, woran das Problem
liegen kann, bzw. wer mir die alten Rechte stàndig wieder
unterschiebt.

Lieben Dank für Tipps im Voraus!

Friedrich Kölbel
 

Lesen sie die antworten

#1 Nils Kaczenski [MVP]
26/08/2008 - 15:06 | Warnen spam
Moin,

Friedrich Kölbel schrieb:
"Verschiedene Rechte, die ich im ActiveDirectory vergebe(n muß)
verschwinden einfach nach kurzer Zeit wieder."



"du hast ein Problem mit dem AdminSDHolder."

[AdminSDHolder - or where did my permissions go? - Directory
Services/Active Directory]
http://msmvps.com/blogs/ulfbsimonwe...49659.aspx

Genau betrachtet, ist dein Problem (sehr wahrscheinlich), dass du
offenbar Benutzer zu Admins gemacht hast, die keine Admins sein sollten.


Schöne Grüße, Nils

Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/p....Kaczenski

Ähnliche fragen