Problem
Im ActiveDirectory wurde die Vererbung von übergeordneten Rechten für Benutzer oder Computerobjekte ausgeschaltet. Obwohl es bestimmte Szenarien gibt, in denen eine solche Anpassung Sinn ergibt, führt das auslassen der Domänen-Rechtehirachie doch gerne auch zu schwer zu suchenden Fehlern.
Zum Beispiel:
- ExchangeSynchronisationsfehler 86000C0A bei betroffenen Benutzern, obwohl OWA korrekt funktioniert
- Dateisystems-Auflistung im Explorer schlängt mit 0x86000Cxx Fehlern Fehl
- Fehler im Ereignisprotokoll von MSExchange ActiveSync mit dem Inhalt „Active directory Antwort: 00000005: SecErr: DSID-031521D0, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0″.“
Das sind noch nicht alle Fehler, es gibt noch einige weitere. Oft auch im Zusammenhang mit BlackBerry Enterprise Servern oder -Services.
Lösung
Wenn nur ein Objekt betroffen ist: Im Benutzerobjekt auf dem Tab Sicherheit unten die „Vererbung aktivieren“ und die folgenden Meldung abnicken.
Für mehrere Objekte hilft ein kurzes PowerShell-Script. Am einfachsten ist die Anwendung, wenn man eine PowerShell ISE als Administrator ausführt (!) und das Script in den oberen Script-Teil einfügt:
Import-Module activedirectory
$OU = "OU=INDIESEROUWERDENUSERGESUCHT,DC=MEINDOMAENE,DC=TLD"
$Users=get-aduser -Filter * -SearchBase $OU
if ($Users -ne $null) {
foreach ($Entry in $Users) {
[string]$dn = (Get-ADUser $Entry).DistinguishedName
$user = [ADSI]”LDAP://$dn”
$acl = $user.objectSecurity
Write-Host "Pruefe Benutzer:" (Get-ADUser $Entry).SamAccountName
if ($acl.AreAccessRulesProtected){
Write-Host "Fixe Benutzer:" (Get-ADUser $Entry).SamAccountName
$acl.SetAccessRuleProtection($false,$true)
$inherited = $acl.AreAccessRulesProtected
$user.commitchanges()
}
}
}
else {
Write-Host "Keine Benutzer in $OU gefunden"
}
Referenz: http://support.microsoft.com/kb/2579075 und http://www.techguy.at/active-directory-objekte-mittels-powershell-wiederherstellen/
