Exchange 2003 > 2007 > 2010 User Move Request fails with INSUFF_ACCESS_RIGHTS. (Red box)
Error:
New-MoveRequest : Active Directory operation failed on as400.butsch.ch. This error is not retriable. Additional information: Insufficient access rights
to perform the operation. Active directory response: 00002098: SecErr: DSID-03150BB9, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
Problem:
Standard Spezial Windows Konten wie Administrator, Service Konten des IIS, oder spezielle Service Konten wie Acronis, Backup Exec haben das Active Directory Attribut “ADMINCOUNT=1” aktiv.
Die Windows Konten haben dies von Haus aus die Service Konten wird in der Regel durch einen Installer gesetzt falls der Installer unter einem Domain Admin Konto ausgeführt wird.
Das Settings verhindert, dass Permission, Passwort Policies oder speziellen GPO bei diesen Konten greifen.
Zum Beispiel will man sicherstellen, dass das “Administrator” Konto kein Passwort Policy zieht.
Es gibt einen Service auf dem Domain Controller der bei solchen Konten in Intervallen von 1-2 Stunden bei allen Konten welche das FLAG “ADMINCOUNT=1” gewisse Sachen kontrolliert und ggf. die Settings aus dem USER ADMINSDHOLDER dorthin kopiert.
Ursache warum dies teilweise bei regulären Konten vorhanden ist:
- Jemand loggt sich mit dem Normalen User ein
- Eine Software geht nicht zum installieren MUSS aber unter dem User installiert werden
- User wird temporär DOMAINADMIN gemacht und erhält das Attribut AdminCOUNT=0 > AdminCOUNT=1 automatisch
- IT nimmt den User wieder aus DOMAINADMIN
- Das Attribut AdminCOUNT=1 bleibt aber weiterhin und kann/könnte zu Problemen führen
Erstellen eine Liste mit allen Konten welche dies aktiv haben:
Windows Server 2008R2, blaue Powershell aufmachen
Import-Module ActiveDirectory
Get-ADUser -LDAPFilter “(objectcategory=person)(samaccountname=*)(admincount=1)”
Get-ADUser -LDAPFilter “(objectcategory=person)(samaccountname=*)(admincount=1)”
So kann man dies temporär beheben um die Exchange Mailbox zu verschieben
Aktivieren des Hakens
“Inlcude inheritable permissions from this object”
Natürlich kann man dies auch mit Scripts oder Powershell bei allen Usern setzen.
Links:
http://msmvps.com/blogs/ulfbsimonweidner/archive/2005/05/29/49659.aspx
Script to compare those Settings and see which get RESET by Domain Controller:
http://gallery.technet.microsoft.com/scriptcenter/Reset-AD-adminCount-195bf65e
Frank Exchange FAQ, so he get’s some hits again and not only our site 😉
http://www.msxfaq.de/konzepte/adminsdholder.htm
Technet:
http://technet.microsoft.com/en-us/magazine/2009.09.sdadminholder.aspx
Konten Excluden:
Achtung Sie stufen die Sicherheit der ganzen DOMAIN/Forest fuer einzelne Konten runter:
Attention you drill down security fpr whole Domain/Forest if you use any of these options:
http://support.microsoft.com/kb/817433/en-us