Löschen von AD-Objekt schlägt aufgrund ActiveSync Device fehl
Möchte man ein AD-Objekt löschen und bekommt die Fehlermeldung „You do not have sufficient privileges to delete …, or this object is protected from accidental deletion.“ hat man im Grunde zwei Möglichkeiten: Entweder wurde das Objekt wirklich mit dem Attribut „Protect object from accidental deletion“ geschützt – was übrigens bei OUs üblich ist – oder ein fehlerhaftes Exchange ActiveSync Device verhindert es. In diesem Beitrag möchte ich Option 2 etwas näher beleuchten.
Exchange ActiveSync Devices entfernen
In meinem Fall habe ich zuerst die Mailbox über die Exchange Management Powershell deaktiviert (nicht gelöscht). Anschließend wollte ich den dazugehörigen Active Directory User löschen. Beim Versuch den Benutzer zu entfernen, bekomme ich vorab folgende Meldung angezeigt.
Akzeptiert man das Pop-Up wird anschließend folgende Fehlermeldung ausgegeben.
Dabei wird das Problem bereits auf dem ersten Screenshot ersichtlich. Unter dem Benutzer „Schweiger Test“ gibt es einen Ordner namens „ExchangeActiveSyncDevices“. Darin befinden sich noch zwei Objekte, welche für die Fehlermeldung verantwortlich sind. Damit man übrigens zu dieser Ansicht kommt, muss unter dem Reiter „View“ die Option „Users, Contacts, Groups and Computers as containers“ aktiviert sein.
Normalerweise hätten die ActiveSync Geräte des Benutzers bereits bei der Deaktivierung der Mailbox entfernt werden sollen. Wurde allerdings offensichtlich nicht erledigt. Daher müssen wir per Hand eingreifen und weiterhelfen. Das Entfernen über die AD-Konsole funktioniert dabei leider nicht, wir müssen etwas tiefer graben:
- ADSI über den ServerManager öffnen
- Den „Default naming context“ aufrufen und zur OU wechseln, in welcher sich der Benutzer befindet.
- Die fehlerhaften ActiveSync Objekte auswählen und über die „Advanced Security Settings“ den Besitzer übernehmen.
Standardmäßig ist als Besitzer natürlich der Exchange Node, bzw. Cluster eingetragen. Anschließend können die zwei Objekte und der Ordner über die ADSI Konsole entfernt werden. Sobald das erledigt ist, sollte auch das Löschen des Benutzers kein Problem mehr darstellen.