Exchange: Berechtigungen “Senden Als” werden automatisch entfernt

Manchmal steht EDV als Abkürzung für “Ende der Vernunft”, es geschehen nämlich mitunter seltsame Dinge. Nachfolgend geht es um Berechtigungen, die plötzlich nicht mehr vorhanden sind und mir etwas Kopfzerbrechen bereitet haben.

Fehlerbeschreibung: Beim Antworten auf Termineinladungen vom Blackberry aus, erscheint die Antwort beim Empfänger mit den Absenderangaben “Besadmin im Auftrag von Roland Ehle”. Das Phänomen tritt nur bei Antworten auf Termineinladungen auf, “normale” E-Mails kommen beim Empfänger mit korrekten Absenderangaben an.

Fehlerursache: Laut RIM Knowledgebase wird der Fehler durch fehlende “Senden Als” Berechtigungen für den BesAdmin Account verursacht. 

Wenn man einem Benutzerkonto die Berechtigung “Senden Als” auf ein anderes Konto vergibt, kann es unter bestimmten Umständen geschehen, dass diese Berechtigung nach einiger Zeit “verschwinden”.  Dies gilt auch für den Fall, dass die Berechtigungen vererbt wurden.

Laut Microsoft Knowledgebase Artikel 907434 tritt das Phänomen dann auf, wenn der Account auf den die Berechtigungen vergeben werden, Mitglied in einer geschützten Gruppe (protected group) ist.  Das Active Directory hat einen Prozess, der sicherstellt, dass der Security Descriptor von Mitgliedern der protected groups  nicht manipuliert wird. Dazu vergleicht der Prozess den Security Descriptor des Accounts mit dem des AdminSDHolder Objekts. Bei Nichtübereinstimmung wird der Security Descriptor des User Accounts mit einem neuen Security Descriptor überschrieben, der vom AdminSDHolder Objekt entnommen wird. Bei solchen Accounts wird auch die Vererbung von Berechtigungen aus übergeordneten Objekten deaktiviert.

Die “Senden Als” Berechtigung wird durch Manipulation des Security Descriptors delegiert.

Zur Vermeidung des Problems empfiehlt Microsoft, Konten, die Mitglied in einer protected Group sind, nicht für E-Mail Zwecke zu verwenden, soll heißen solche Konten sollten kein Postfach besitzen.

Zu den protected groups gehören unter anderem:

• Enterprise Admins
• Schema Admins
• Domain Admins
• Administrators
• Account Operators
• Print Operators
• Cert Publishers
• Backup Operators

Darüber hinaus werden die Konten Administrator und krbtgt als geschützt betrachtet.

Einen interessanten Artikel zum Thema protected groups habe ich noch hier gefunden: http://www.expta.com/2007/12/how-to-overcome-windows-protected.html

Verwandte Artikel

• Serie: Digitale Signatur für E-Mails (1) (0)
• Projekt: Überwachung BlackBerry Enterprise Server mit Nagios – OIDs (0)
• Microsoft Exchange 2010 SP1 Beta und BlackBerry Enterprise Server 5.0.1 (0)
• MAPI Subsystem für BlackBerry Enterprise Server (0)
• Exchange 2007: Berechtigungen Vollzugriff und “Senden Als” per Powershell vergeben (0)