Symptom

Ein Benutzer wurde aus der Gruppe der Domänenadministrator entfernt und wieder zu einem regulären Benutzer herabgestuft. Er wird einer speziellen Gruppe als Mitglied hinzugefügt, die über eine Delegierung ähnliche Rechte erlangen soll. Jedoch werden die Parameter der Gruppe nicht korrekt auf das Objekt des Benutzers übertragen bzw. angewandt.

Problem

Bei genauerem Hinsehen wird ersichtlich, dass die Vererbung seitens der Gruppen zwar korrekt gesetzt ist, aber der Benutzer die Erbschaft von darüberliegenden Objekten deaktiviert hat. Dies kommt daher, dass für bestimmte Konten und Gruppen in einem festen Intervall die Vererbung deaktiviert wird. Die Gruppe der Domänenadministratoren ist eine solche Gruppe. Die deaktivierte Eigenschaft bleibt dann auch beim Verlassen der Gruppe erhalten und wird nicht durch die Aufnahme in eine neue Gruppe aktiviert.

Lösungsstrategie

Durch manuelles Aktivieren der Erbschaft vom Benutzerobjekt kann die Vererbung der Gruppenrechte korrekt durchgeführt werden.

Der Beitrag Active Directory – Delegierte Berechtigungen sind nicht verfügbar und Vererbung wird automatisch deaktiviert erschien zuerst auf Maximilian Krieg.