Try our new Certificate Revocation List Check Tool
CRLcheck.exe is a tool developed to verify digital signatures of executable files. It collects files from known paths on your client, checks their signature, and checks Certificate Revocation Lists (CRL) and OCSP download. This helps avoid delays in launching files.
Category published:  Exchange 2007 Exchange 2010   Click on the Category button to get more articles regarding that product.

Exchange 2003 > 2007 > 2010 User Move Request fails, ADMINCOUNT=1, INSUFF_ACCESS_RIGHTS

Posted by admin on 01.11.2013

Exchange 2003 > 2007 > 2010 User Move Request fails with INSUFF_ACCESS_RIGHTS. (Red box)

Error:

New-MoveRequest : Active Directory operation failed on as400.butsch.ch. This error is not retriable. Additional information: Insufficient access rights
to perform the operation. Active directory response: 00002098: SecErr: DSID-03150BB9, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

 

Problem:

Standard Spezial Windows Konten wie Administrator, Service Konten des IIS, oder spezielle Service Konten wie Acronis, Backup Exec haben das Active Directory Attribut “ADMINCOUNT=1” aktiv.

Die Windows Konten haben dies von Haus aus die Service Konten wird in der Regel durch einen Installer gesetzt falls der Installer unter einem Domain Admin Konto ausgeführt wird.

Das Settings verhindert, dass Permission, Passwort Policies oder speziellen GPO bei diesen Konten greifen.

Zum Beispiel will man sicherstellen, dass das “Administrator” Konto kein Passwort Policy zieht.

Es gibt einen Service auf dem Domain Controller der bei solchen Konten in Intervallen von 1-2 Stunden bei allen Konten welche das FLAG “ADMINCOUNT=1” gewisse Sachen kontrolliert und ggf. die Settings aus dem USER ADMINSDHOLDER dorthin kopiert.

 

 

Ursache warum dies teilweise bei regulären Konten vorhanden ist:

  1. Jemand loggt sich mit dem Normalen User ein
  2. Eine Software geht nicht zum installieren MUSS aber unter dem User installiert werden
  3. User wird temporär DOMAINADMIN gemacht und erhält das Attribut AdminCOUNT=0 > AdminCOUNT=1 automatisch
  4. IT nimmt den User wieder aus DOMAINADMIN
  5. Das Attribut AdminCOUNT=1 bleibt aber weiterhin und kann/könnte zu Problemen führen

 

Erstellen eine Liste mit allen Konten welche dies aktiv haben:

Windows Server 2008R2, blaue Powershell aufmachen

Import-Module ActiveDirectory

Get-ADUser -LDAPFilter “(objectcategory=person)(samaccountname=*)(admincount=1)”

Get-ADUser -LDAPFilter “(objectcategory=person)(samaccountname=*)(admincount=1)”

 

 

 

So kann man dies temporär beheben um die Exchange Mailbox zu verschieben

Aktivieren des Hakens

“Inlcude inheritable permissions from this object”

Natürlich kann man dies auch mit Scripts oder Powershell bei allen Usern setzen.

 

Links:

http://msmvps.com/blogs/ulfbsimonweidner/archive/2005/05/29/49659.aspx

Script to compare those Settings and see which get RESET by Domain Controller:

http://gallery.technet.microsoft.com/scriptcenter/Reset-AD-adminCount-195bf65e

Frank Exchange FAQ, so he get’s some hits again and not only our site 😉

http://www.msxfaq.de/konzepte/adminsdholder.htm

Technet:

http://technet.microsoft.com/en-us/magazine/2009.09.sdadminholder.aspx

Konten Excluden:

 

Achtung Sie stufen die Sicherheit der ganzen DOMAIN/Forest fuer einzelne Konten runter:

Attention you drill down security fpr whole Domain/Forest if you use any of these options:

http://support.microsoft.com/kb/817433/en-us

 


 Category published:  Exchange 2007 Exchange 2010   Click on the Category button to get more articles regarding that product.

Related Post

CRLcheck.exe Certificate Revocation List Check Tool to verify all CRL and OCSP on Windows client

Unable to delete Exchange Mailbox DSID-03152d1c, problem 4003 INSUFF_ACCESS_RIGHTS

Exchange-Powershell-list-all-user-who-have-a-Forward-or-Redirect-active

Template theme: Newsup by Themeansar (External Link, you will leave www.butsch.ch).