Jump to content

Exchange 2010 - Postfach Automount ohne Berechtigung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo

 

ich habe hier einen Benutzer des Postfach (User1) das immer beim AdminAccount eingebunden wird.

Gucke ich mir in der GUI das Postfach von User1 an, sind keine FullAccess Rechte gesetzt. Laut ADSIEdit ist auch msexchdelegateListLink leer

 

Gucke ich mir das Postfach jedoch per Powershell an finde ich folgende Einstellung:

 

 

Get-MailboxPermission User1

 
Identity             User                 AccessRights                                                IsInherited Deny 
--------             ----                 ------------                                                ----------- ---- 
DOMAIN.local/MyBu... DOMAIN\ADMIN         {FullAccess}                                                False       True 
DOMAIN.local/MyBu... NT-AUTORITÄT\SELBST  {FullAccess, ReadPermission}                                False       False
DOMAIN.local/MyBu... DOMAIN\Domänen-Ad... {FullAccess}                                                True        True 
DOMAIN.local/MyBu... DOMAIN\Organisati... {FullAccess}                                                True        True 
DOMAIN.local/MyBu... DOMAIN\Organizati... {FullAccess}                                                True        True 
DOMAIN.local/MyBu... DOMAIN\ADMIN         {FullAccess}                                                True        True 
DOMAIN.local/MyBu... DOMAIN\Administrator {FullAccess}                                                True        True 
DOMAIN.local/MyBu... DOMAIN\Exchange S... {FullAccess}                                                True        False
DOMAIN.local/MyBu... DOMAIN\Organizati... {ReadPermission}                                            True        False
DOMAIN.local/MyBu... DOMAIN\Public Fol... {ReadPermission}                                            True        False
DOMAIN.local/MyBu... NT-AUTORITÄT\NETZ... {ReadPermission}                                            True        False
DOMAIN.local/MyBu... NT-AUTORITÄT\SYSTEM  {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True        False
DOMAIN.local/MyBu... DOMAIN\Exchange S... {ReadPermission}                                            True        False
DOMAIN.local/MyBu... DOMAIN\Delegated ... {ReadPermission}                                            True        False
DOMAIN.local/MyBu... DOMAIN\Organizati... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True        False
DOMAIN.local/MyBu... DOMAIN\Exchange T... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True        False
DOMAIN.local/MyBu... DOMAIN\ADMIN         {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True        False
DOMAIN.local/MyBu... DOMAIN\Administrator {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True        False
DOMAIN.local/MyBu... DOMAIN\Organisati... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True        False
DOMAIN.local/MyBu... DOMAIN\Domänen-Ad... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True        False
 
Ein anderes Postfach (selber Server, selbe DB) sieht wie folgt aus:
 
Get-MailboxPermission User2
 
Identity             User                 AccessRights                                                IsInherited Deny 
--------             ----                 ------------                                                ----------- ---- 
DOMAIN.local/MyBu... NT-AUTORITÄT\SELBST  {FullAccess, ReadPermission}                                False       False
DOMAIN.local/MyBu... DOMAIN\Domänen-Ad... {FullAccess}                                                True        True 
DOMAIN.local/MyBu... DOMAIN\Organisati... {FullAccess}                                                True        True 
DOMAIN.local/MyBu... DOMAIN\Organizati... {FullAccess}                                                True        True 
DOMAIN.local/MyBu... DOMAIN\ADMIN         {FullAccess}                                                True        True 
DOMAIN.local/MyBu... DOMAIN\Administrator {FullAccess}                                                True        True 
DOMAIN.local/MyBu... DOMAIN\Exchange S... {FullAccess}                                                True        False
DOMAIN.local/MyBu... DOMAIN\Organizati... {ReadPermission}                                            True        False
DOMAIN.local/MyBu... DOMAIN\Public Fol... {ReadPermission}                                            True        False
DOMAIN.local/MyBu... NT-AUTORITÄT\NETZ... {ReadPermission}                                            True        False
DOMAIN.local/MyBu... NT-AUTORITÄT\SYSTEM  {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True        False
DOMAIN.local/MyBu... DOMAIN\Exchange S... {ReadPermission}                                            True        False
DOMAIN.local/MyBu... DOMAIN\Delegated ... {ReadPermission}                                            True        False
DOMAIN.local/MyBu... DOMAIN\Organizati... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True        False
DOMAIN.local/MyBu... DOMAIN\Exchange T... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True        False
DOMAIN.local/MyBu... DOMAIN\ADMIN         {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True        False
DOMAIN.local/MyBu... DOMAIN\Administrator {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True        False
DOMAIN.local/MyBu... DOMAIN\Organisati... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True        False
DOMAIN.local/MyBu... DOMAIN\Domänen-Ad... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True        False

 

Zusätzlich ist also der Eintrag in der ersten Zeile.

Wie kann ich den wieder entfernen?

 

Per Powershell erhalte ich den folgenden Fehler, bzw Warnung (ist Gelb). Entfernt wird aber nichts.

 

 

[PS] C:\Windows\system32>Remove-MailboxPermission -Identity User1 -User ADMIN -AccessRights "fullaccess" -InheritanceType all

 
Bestätigung
Möchten Sie diese Aktion wirklich ausführen?
Die Postfachberechtigung 'User1' für den Benutzer 'ADMIN' mit AccessRights ''FullAccess'' wird entfernt.
[J] Ja  [A] Ja, alle  [N] Nein  [K] Nein, keine  [?] Hilfe (Standard ist "J"):
WARNUNG: Ein geerbter Steuerungslisteneintrag wurde angegeben: [Rights: CreateChild, Delete, ReadControl, WriteDacl,WriteOwner, ControlType: Allow] und für Objekt "CN=User1,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=DOMAIN,DC=local" ignoriert.

 

In Outlook kann ich mir zwar den Inhalt des Postfaches anschauen, jedoch habe ich als Admin wegen fehlender Berechtigungen keine Möglichkeit mir hier die Berechtigungen anzuschauen. Der Benutzer sieht nur die normalen Anonym und Standard (wie bei Fullaccess üblich)

 

Umgebung ist SBS 2011 mit aktuellem Patchlevel (also Exchange 2010 SP3 + RU7).

 

Danke

Thomas


Entweder der REmoverequest oder der Mailboxrepairrequest (Als ERgebnis kahm aber nur ein 10048) haben wohl doch was gebracht zumindest ist das PF jetzt weg ....

 

Hat sich also erledigt.

Link zu diesem Kommentar

Moin,

 

die Warnung im PowerShell-Befehl kam, weil Du "-InheritanceType all" angegeben hattest. Damit hat der Befehl versuch, BEIDE Berechtigungen zu entfernen, was natürlich bei der vererbten nicht funktioniert.

 

Ansonsten werden Berechtigungen gecacht. Es kann also ein wenig dauern, bis die wirksam werden.

 

Vermutlich hast Du nur wieder die wichtigste Tugend eines Exchange-Admins vergessen: Geduld. :P

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...