{"id":827,"date":"2020-06-10T10:28:34","date_gmt":"2020-06-10T08:28:34","guid":{"rendered":"https:\/\/itblogwildi.wordpress.com\/?p=827"},"modified":"2020-06-10T10:28:34","modified_gmt":"2020-06-10T08:28:34","slug":"fehler-beim-erstellen-einer-usermailbox-fur-einen-bestehenden-user","status":"publish","type":"post","link":"https:\/\/itblog.wildi.dk\/?p=827","title":{"rendered":"Fehler beim erstellen einer Usermailbox f\u00fcr einen bestehenden User"},"content":{"rendered":"\n<p>Wir hatten einen Kunden, welcher nachtr\u00e4glich einen Exchange-Server erhielt. Ich installierte Exchange 2019 in die Dom\u00e4ne, und erstellte w\u00e4hrend dem Setup eine neue Exchange Organisation.<\/p>\n\n\n\n<p>Als ich nun f\u00fcr die bestehenden AD-Benutzer Mailboxen erstellen wollte, erhielt ich folgenden Fehler:<\/p>\n\n\n\n<p><\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" src=\"https:\/\/itblog.wildi.dk\/wp-content\/uploads\/2020\/06\/2020-06-10-09_13_35-window-1.png?w=412\" alt=\"\" class=\"wp-image-829\" \/><\/figure>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\"><p>Fehler bei Active Directory-Vorgang mit SERVER.DOMAIN.local. Bei diesem Fehler ist kein Wiederholungsversuch m\u00f6glich. Zus\u00e4tzliche Informationen: Insufficient access rights to perform the operation. Active Directory-Antwort: 00002098: SecErr: DSID-03150F94, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0<\/p><\/blockquote>\n\n\n\n<p>Ich vermutete bereits ein Problem mit den Berechtigungen auf den bestehenden Benutzern. Und siehe da, die Benutzer hatten die Berechtigungsgruppe &#171;Exchange Trusted Subsystem&#187; nicht hinterlegt:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" src=\"https:\/\/itblog.wildi.dk\/wp-content\/uploads\/2020\/06\/image-1.png?w=382\" alt=\"\" class=\"wp-image-830\" \/><\/figure>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" src=\"https:\/\/itblog.wildi.dk\/wp-content\/uploads\/2020\/06\/image-1-2.png?w=372\" alt=\"\" class=\"wp-image-831\" \/><figcaption>sorry f\u00fcr die schlechten Screenshots &#8211; ich w\u00fcnschte, Microsoft w\u00fcrde die Fenster endlich gr\u00f6sser machen&#8230;<\/figcaption><\/figure>\n\n\n\n<p>Also habe ich die Berechtigungen auf der OU der betroffenen Benutzer hinzugef\u00fcgt, und vererben lassen:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Eigenschaften der betroffenen OU<\/li><li>Security &gt; Advanced<\/li><li>Add<\/li><li>Principal = Exchange trusted subsystem &gt; OK<\/li><li>Applies to = &#171;This object and all descendant\u2019s objects&#187;<\/li><li>Unter &#171;Permissions&#187;, &#171;Modify permissions&#187; aktivieren<\/li><li>OK<\/li><\/ul>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" src=\"https:\/\/itblog.wildi.dk\/wp-content\/uploads\/2020\/06\/image-2-1.png?w=916\" alt=\"\" class=\"wp-image-833\" \/><\/figure>\n\n\n\n<p>Die Benutzer erhielten die Berechtigung aber weiterhin nicht. Auf den Benutzerobjekten war die Vererbung nicht aktiv:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" src=\"https:\/\/itblog.wildi.dk\/wp-content\/uploads\/2020\/06\/image-3-1.png?w=770\" alt=\"\" class=\"wp-image-835\" \/><\/figure>\n\n\n\n<p>Das wollte ich nat\u00fcrlich nicht f\u00fcr alle Benutzer einzeln aktivieren. Hier kommt PowerShell zur Hilfe:<\/p>\n\n\n\n<p>Mit folgendem Befehl kann der aktuelle Status ausgelesen werden (achtung: quick&amp;dirty):<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">$AdUsers = Get-ADUser -SearchBase \"OU=Users,OU=OU1,DC=domain,DC=local\" -Filter * -Properties ntsecuritydescriptor,admincount\nforeach ($Aduser in $AdUsers)\n{\n$AdUserName = $AdUser.Name\n$AdUserRule = $AdUser | select -expand ntsecuritydescriptor | select areaccessrulesprotected\n$AdUserAdminCount = $AdUser.AdminCount\nWrite-Host $AdUserName\nWrite-Host $AdUserRule\nWrite-Host $AdUserAdminCount\n}<\/pre>\n\n\n\n<p>True = Vererbung deaktiviert<br>False = Vererbung aktiviert<br>AdminCount = muss zuerst gel\u00f6scht werden. Details folgen in einem sp\u00e4teren Post.<\/p>\n\n\n\n<p>AdminCount l\u00f6schen:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">$AdUsers = Get-ADUser -SearchBase \"OU=Users,OU=OU1,DC=domain,DC=local\" -Filter *\nforeach ($AdUser in $AdUsers)\n{\nset-aduser $AdUser -remove @{adminCount=1}\n}<\/pre>\n\n\n\n<p>SecurityDescriptor auf &#171;False&#187; setzen:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">$AdUsers = Get-ADUser -SearchBase \"OU=Users,OU=OU1,DC=domain,DC=local\" -Filter * -Properties ntsecuritydescriptor\nforeach ($AdUser in $AdUsers)\n{\n$user = get-aduser $AdUser -properties ntsecuritydescriptor\n$user.ntsecuritydescriptor.SetAccessRuleProtection($false,$true)\nset-aduser $AdUser -replace @{ntsecuritydescriptor=$user.ntsecuritydescriptor}\n}<\/pre>\n","protected":false},"excerpt":{"rendered":"<p>Wir hatten einen Kunden, welcher nachtr\u00e4glich einen Exchange-Server erhielt. Ich installierte Exchange 2019 in die Dom\u00e4ne, und erstellte w\u00e4hrend dem&#8230; <a class=\"read-more\" href=\"https:\/\/itblog.wildi.dk\/?p=827\">Read more<\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3,13],"tags":[61],"class_list":["post-827","post","type-post","status-publish","format-standard","hentry","category-active-directory","category-exchange","tag-exchange-2019"],"_links":{"self":[{"href":"https:\/\/itblog.wildi.dk\/index.php?rest_route=\/wp\/v2\/posts\/827","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/itblog.wildi.dk\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/itblog.wildi.dk\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/itblog.wildi.dk\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/itblog.wildi.dk\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=827"}],"version-history":[{"count":0,"href":"https:\/\/itblog.wildi.dk\/index.php?rest_route=\/wp\/v2\/posts\/827\/revisions"}],"wp:attachment":[{"href":"https:\/\/itblog.wildi.dk\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=827"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/itblog.wildi.dk\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=827"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/itblog.wildi.dk\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=827"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}