[EX 2003] Rechten probleem

Hallo iedereen.

Ik zit met een vaag rechten probleem tussen een management console en de exchange server.

Wanneer ik inlog op de Exchange server kan ik alles doen.
wanneer ik met hetzelfde account ben ingelogged op onze management console, mag ik alles binnen de AD aanpassen, de Exchange server benaderen op file niveau, services stoppen en starten, maar ik mag binnen Exchange een heleboel ineens niet meer

Dit uit zich er in dat ik binnen de ADUC geen e-mail aliassen of andere exchange properties mag bewerken, en dat ik als ik in de exchange system manager kijk de mailstores unmounted lijken te zijn.

Ik heb wel gewoon full exchange administrator rechten, dus ik zou technisch gesproken alles moeten kunnen doen en aanpassen.

Server: Win2003 Enterprise Edition / Exchange 2003 Enterprise + Ex2k3SP1
Management station: Win2003 Standaard eval / Exchange 2k3 admintools + SP1.

Natuurlijk is het wel zo dat er heel veel meer draait op het management station (Dell Open Manage, HP WebJetAdmin, SQL 2000 Client tools, etc) om de complete omgeving centraal te beheren.

Waarom doen wij dat.

We hebben een grote groep servers te beheren (14 servers op dit moment) waarvan ik eigenlijk de enige systeembeheerder ben. Mijn manager neemt van tijd tot tijd enkele taken van mij over.
We werken met een strikt gescheiden niveau van privileges. Werken met Standaard User rechten en met een persoonlijk administratief account wanneer nodig.

Om het beheer te vereenvoudigen, en ook vanuit huis alle beheerstaken te kunnen doen willen wij een machine hebben waar 2 man gelijktijdig remote op kunnen inloggen (= Remote Administration terminal services) Dat gaat niet lukken op een XP doos.

Zoals gezegd omvat het management station veel meer functies, zoals de Dell Open Manage IT assistant, draait er een SNMP monitor op (PRTG) etc.Het is voor mij dus het doel zoveelmogelijk beheerstools en functionaliteiten samen te brengen op dit ene station zodat ik mijn werk voor een groot deel ook thuis kan doen.

Je zou ook met RDP weer door kunnen loggen naar de specifieke servers, maar geneste RDP sessies worden aanzienlijk veel trager, dus niet echt ideaal te noemen. Mijn externe IP's zijn beperkt, dus ik zit er ook niet op te wachten om alle servers via RDP te publishen (nog ervan afgezien dat dat ook niet veel veiligheid bied). Bovendien hou ik er niet van om op servers in te loggen waar dat niet nodig is.

LinuxNewbie: Als het een rechten probleem in de AD zou zijn, zou ik met het zelfde account ingelogged op de server zelf ook niet moeten kunnen. (of vanaf een werkstation).

iis5_rulez: RDP als protocol is niet gekraakt, dat klopt zover ik weet, maar toch liever zo min mogelijk aan poorten open naar buiten toe. Met een MMC connect je naar de services die draaien op een server, je logt niet in op de machine in de zin dat je op de server zelf een proces op start. Ook MMC processen kunnen crashen. Of je profiel kan niet lekker zijn. Dit kan heel goed de stabiliteit van Windows beinvloeden. Beetje zonde om bijv. een Exchange server plat te laten gaan op zo iets knulligs als een verrot profiel.

Nope. Ook als ik achter de console zit krijg ik geen rechten.

Ik heb al de Exchange system manager van het systeem gesloopt en opnieuw geinstalleerd, maar helaas. Ook dat heeft het niet opgelost.?!?!

Access Denied Microsoft AD - Exchange Extention.

In eerste instantie werkte rebooten nog wel eens, maar ook dat nu niet meer.
Profiel heb ik ook al een paar keer getrashed, maar daar lijkt het ook niet in te zitten

Ik heb nog even verder zitten spitten...
Toen bleek dat ik als Domain\Administrator wel de rechten had, toch nog maar een keer mijn beheerders profiel getrashed. Ik heb nu - met een schoon profiel - wel weer de nodige rechten. We wachten lekker af wanneer ie er weer geen zin in heeft. misschien dat we dan wat wijzer worden.

Dat wel, maar die is ingesteld op de container van de Terminal servers, met die instelling van
"Apply userpolicy settingsto all users logging on to these machines."

Het management station valt daar (uiteraard) niet onder.

Nope... RSoP is precies het zelfde als wanneer ik op de console inlog, of wanneer ik op mijn eigen - ietwat functioneel beperkte - werkstation inlog inder het zelfde account.