Das Active Directory von Microsoft ist der Verzeichnisdienst einer Windows-Domäne. Hier lassen sich granulare Zugriffsrechte für Benutzer, Gruppen, Computer, Dienste, Server, Dateien und andere Geräte für das Netzwerk festlegen. Dieser Funktionsumfang wird durch Vererbungen und Delegierungen erheblich erweitert. In bestimmten Fällen greift die Vererbung jedoch nicht mehr.
Symptom
Ein Benutzer wurde aus der Gruppe der Domänenadministrator entfernt und wieder zu einem regulären Benutzer herabgestuft. Er wird einer speziellen Gruppe als Mitglied hinzugefügt, die über eine Delegierung ähnliche Rechte erlangen soll. Jedoch werden die Parameter der Gruppe nicht korrekt auf das Objekt des Benutzers übertragen bzw. angewandt.
Problem
Bei genauerem Hinsehen wird ersichtlich, dass die Vererbung seitens der Gruppen zwar korrekt gesetzt ist, aber der Benutzer die Erbschaft von darüberliegenden Objekten deaktiviert hat. Dies kommt daher, dass für bestimmte Konten und Gruppen in einem festen Intervall die Vererbung deaktiviert wird. Die Gruppe der Domänenadministratoren ist eine solche Gruppe. Die deaktivierte Eigenschaft bleibt dann auch beim Verlassen der Gruppe erhalten und wird nicht durch die Aufnahme in eine neue Gruppe aktiviert.
Lösungsstrategie
Durch manuelles Aktivieren der Erbschaft vom Benutzerobjekt kann die Vererbung der Gruppenrechte korrekt durchgeführt werden.