Get-Exchange Certificate -Server ‚SERVER‘ : Access is denied

Heute Morgen wollte ich mir ein Problem mit der Generierung des OAB anschauen und bin in der EMC auf folgende Fehlermeldung gestoßen:

Um das ganze zu verifizieren habe ich dann den Befehl nochmal von hand in der EMS ausgeführt – leider das gleiche Ergebnis:

Get-ExchangeCertificate -Server ‚SERVER‘

Bei der Fehlermeldung schoss mir sofort in den Kopf, dass ich vor zwei Wochen eine neue GPO erstellt habe mit der ich einem User Rechte auf allen Maschinen eingeräumt hatte. Anscheinend habe ich damit aber die Gruppe der lokalen Admins auf den Servern etwas geleert…

Was definitiv fehlte, war das „Exchange Trusted Subsystem“, also einfach „Add“ wählen und wieder rein mit ihm…

Und sofort funktionierte der Befehl wieder wie gewünscht:

Der Fehler war, dass ich beim Anlegen einer GPO mit der Einstellung „Restricted Group Access“ nur den „neuen“ User, den ich eintragen wollte, ausgewählt habe und nicht die Mitglieder der jeweils lokalen Gruppe „Administrators“.

Dadurch wurden alle bis auf den neuen User aus der Gruppe gelöscht. 

Wenn man aber den Eintrag „Administrators“ hinzufügt, werden die Mitglieder der lokalen Administrator-Gruppe erhalten. Muss man wissen!