Jump to content

Öffentlicher Ordner - Alias mit Leerzeichen - keine Berechtigung zum Ändern des Alias


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo allerseits,

 

Seit der Migration vom SBS2003 zum SBS2008R2 ist einer meiner öffentlichen Ordner nicht mehr per Mail erreichbar. Nun habe ich herausgefunden, daß es am Leerzeichen im Alias liegt. Was dem SBS2003 nichts ausmachte, darüber stolpert der SBS2008 nun, doch wurde dieser Fehler (aus Exchange 2007-Sicht) bei der Migration nicht korrigiert. Will ich das Problem nun selbst beheben, bekomme ich die Meldung, daß für diesen Vorgang kein Wiederholungsversuch möglich ist und die Benutzerrechte nicht ausreichen. Ich habe es wahlweise als Benutzer der Domänenadministratoren probiert und auch mit dem Administrator selbst. Bei beiden erhalte ich dieselbe Fehlermeldung:

 

set-mailpublicfolder

Fehler bei Active Directory-Vorgang mit SBS2008.eict.local. Bei diesem Fehler ist kein Wiederholungsversuch möglich. Zusätzliche Informationen: Die Zugriffsrechte reichen für diesen Vorgang nicht aus.

Active Directory-Antwort: 00002098: SecErr: DSID-03150E8A, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

 

Testweise habe ich dem Domänenadministrator die Berechtigungen "Exchange Organization Administrators" und "Exchange Public Folder Administrators" hinzugefügt, weil ich dahinter die nötige Berechtigung vermutete. Das war jedoch nicht ausreichend. Kann mir jemand einen Hinweis darauf geben, woran es scheitert?

Link zu diesem Kommentar

Danke für die schnellen Antworten. Zu den ersten beiden Links muß ich folgendes sagen: es handelt sich um einen öffentlichen Ordner, also liegt kein Benutzer dahinter. Demzufolge kann ich keine Berechtigungen für ihn einsehen oder setzen, wie im ersten Link gedacht. Außerdem wurde die Mailbox ja bereits verschoben, es scheitert also nicht am Verschieben selbst sondern am anschließenden Zustellen einer Mail an diesen Ordner. Seine Mailadresse ist sehr wohl gültig, nur der Alias dummerweise nicht mehr unter dem neuen Exchange, und der wird offensichtlich zum Auflösen gebraucht.

 

Zum dritten Link: ich hatte bisher den hier gefunden: Set-AddressList: Exchange 2007 Help . Es geht meines Wissens um das ForceUpgrade. Allerdings habe ich das noch nicht kapiert, wie das genau gehen soll. Ich denke, daß ich über die AddressList nicht an den Alias herankomme, jedenfalls habe ich das bisher nicht gefunden. Dazu hatte ich auch schon diesen alten Thread gefunden: http://www.mcseboard.de/ms-exchange-forum-80/exchange-07-set-addresslist-rights-problem-134432.html . Das hat mich bisher aber auch nicht weitergebracht.

 

Gibt es vielleicht noch weitere Ideen?

Link zu diesem Kommentar
Danke für die schnellen Antworten. Zu den ersten beiden Links muß ich folgendes sagen: es handelt sich um einen öffentlichen Ordner, also liegt kein Benutzer dahinter. Demzufolge kann ich keine Berechtigungen für ihn einsehen oder setzen, wie im ersten Link gedacht.

 

Doch, auch ein ÖO hat Berechtigungen. Sieh Dir meinen Link an, geht halt leider nur über die Shell.

 

Zum dritten Link: ich hatte bisher den hier gefunden: Set-AddressList: Exchange 2007 Help . Es geht meines Wissens um das ForceUpgrade.

 

Das ist was anderes. Das wirst Du auch am Ende machen müssen, hat aber mit dem Alias erst mal vermutlich nichts zu tun.

Link zu diesem Kommentar

Ich habe noch einmal alle Links durchgelesen. Bei EX2K7 OWA - microsoft.public.exchange.setup | Google Groups wurde ich stutzig. Soll das bedeuten, daß der Benutzer, der diese Änderung durchführen will, Exchangeadmin sein muß, aber KEIN Domänenadmin sein darf? So verstehe ich den Kommentar von Neil Hobson ("stop elevation of privilege attacks"). Welche expliziten Rechte (Gruppenzugehörigkeiten) muß derjenige Benutzer dann besitzen? Und welche Gruppe ist dann effektiv "Exchangeadministrator"? Gemäß http://www.mcseboard.de/ms-exchange-forum-80/exchange-07-set-addresslist-rights-problem-134432.html ist damit der "Exchange Organization Administrator" gemeint, richtig? Im übrigen hatte ich den Eingriff mit zwei verschiedenen Konten versucht: einmal als Domänenadmin, dann als Domänenadmin mit den oben genannten hinzugefügten Rechten und als zweites mit dem lokalen Admin des SBS, der kein Domänenadmin ist. In allen Varianten bekam ich jedoch dieselbe Fehlermeldung angezeigt. Sollte ich also einen zusätzlichen Benutzer anlegen, der nur Mitglied von "Domänenbenutzer" und "Exchange Organization Administrators" ist?

 

Dem lokalen Admin kann ich keine Exchangerechte geben, weil er kein Domänenkonto hat. Deshalb taucht er im AD nicht auf, aber wenn ich in den Lokalen Benutzern und Gruppen Einstellungen ändern will, wird mir das verwehrt und auf das AD verwiesen.

Wenn ich in ADUC/Sicherheit den Haken für die Vererbung der Berechtigung setze, kann ich mit dem lokalen (nicht Domänen-) Admin immer noch nicht in der Shell den Alias für den öffentlichen Ordner ändern, es bleibt bei der Fehlermeldung.

 

 

Nochmal zur Reihenfolge:

Den Haken für den neuen Benutzer zum Erben der Rechte ist gesetzt (er war es bereits). Dann will ich ihm per Exchange-Verwaltungsshell mit Add-PublicFolderAdministrativePermission: Exchange 2007-Hilfe das Recht geben, daß er Änderungen an dem öffentlichen Ordner vornehmen darf. Wenn das erledigt ist, darf ich (hoffentlich) endlich den Alias ändern, um schließlich mit forceupgrade den öffentlichen Ordner in das Exchange2007-Format zu bringen, damit der öffentliche Ordner wieder Mails annimmt. Korrekt?

 

Ich habe einen Benutzer "karl" angelegt, der Mitglied von Domänenbenutzer (kein Admin) ist und ihm zusätzlich die Rechte für "Exchange Organization Administrator" und "Exchange Public Folder Administrator" gegeben. Wenn ich als der neue Benutzer in der Shell "Add-PublicFolderAdministrativePermission" ohne Argumente ausführe, fragt er mich als erstes nach dem öffentlichen Ordner, danach nach einem User, dann nach "AccessRights[0]" und erhöht für jede Eingabe den Zähler um eins. Gebe ich bei [0] also "AllExtendedRights" ein, kommt die Frage nach "AccessRights[1]". Drücke ich dann Return, kommt nach einer Weile die rote Fehlermeldung: "Es ist kein 'PublicFolderEntry' vorhanden, das der folgenden Identität entspricht: 'BereitsOhneLeerzeichenBestehenderOrdner'. Gebe ich die Argumente gleich mit, fragt er nicht nach weiteren AccessRights[x], sondern bringt:

 

[PS] C:\Windows\system32>add-publicfolderadministrativepermission -identity "\Al

ter Name" -user karl -accessrights AllExtendedRights

 

Identity User AccessRights IsInherited Deny

-------- ---- ------------ ----------- ----

\Alter Name ABCD\karl {AllExtendedRights} False False

Link zu diesem Kommentar

Ich habe noch einmal alle Links durchgelesen. Bei http://groups.google.com/group/microsoft.public.exchange.setup/browse_thread/thread/ec9a8f11a0e5f15/dce38bcaf103c986?lnk=st wurde ich stutzig. Soll das bedeuten, daß der Benutzer, der diese Änderung durchführen will, Exchangeadmin sein muß, aber KEIN Domänenadmin sein darf? So verstehe ich den Kommentar von Neil Hobson ("stop elevation of privilege attacks"). Welche expliziten Rechte (Gruppenzugehörigkeiten) muß derjenige Benutzer dann besitzen? Und welche Gruppe ist dann effektiv "Exchangeadministrator"? Gemäß http://www.mcseboard.de/ms-exchange-forum-80/exchange-07-set-addresslist-rights-problem-134432.html ist damit der "Exchange Organization Administrator" gemeint, richtig? Im übrigen hatte ich den Eingriff mit zwei verschiedenen Konten versucht: einmal als Domänenadmin, dann als Domänenadmin mit den oben genannten hinzugefügten Rechten und als zweites mit dem lokalen Admin des SBS, der kein Domänenadmin ist. In allen Varianten bekam ich jedoch dieselbe Fehlermeldung angezeigt. Sollte ich also einen zusätzlichen Benutzer anlegen, der nur Mitglied von "Domänenbenutzer" und "Exchange Organization Administrators" ist?

 

Dem lokalen Admin kann ich keine Exchangerechte geben, weil er kein Domänenkonto hat. Deshalb taucht er im AD nicht auf, aber wenn ich in den Lokalen Benutzern und Gruppen Einstellungen ändern will, wird mir das verwehrt und auf das AD verwiesen.

Wenn ich in ADUC/Sicherheit den Haken für die Vererbung der Berechtigung setze, kann ich mit dem lokalen (nicht Domänen-) Admin immer noch nicht in der Shell den Alias für den öffentlichen Ordner ändern, es bleibt bei der Fehlermeldung.

 

 

Nochmal zur Reihenfolge:

Den Haken für den neuen Benutzer zum Erben der Rechte ist gesetzt (er war es bereits). Dann will ich ihm per Exchange-Verwaltungsshell mit http://technet.microsoft.com/de-de/library/aa997986(EXCHG.80).aspx das Recht geben, daß er Änderungen an dem öffentlichen Ordner vornehmen darf. Wenn das erledigt ist, darf ich (hoffentlich) endlich den Alias ändern, um schließlich mit forceupgrade den öffentlichen Ordner in das Exchange2007-Format zu bringen, damit der öffentliche Ordner wieder Mails annimmt. Korrekt?

 

Ich habe einen Benutzer "karl" angelegt, der Mitglied von Domänenbenutzer (kein Admin) ist und ihm zusätzlich die Rechte für "Exchange Organization Administrator" und "Exchange Public Folder Administrator" gegeben. Wenn ich als der neue Benutzer in der Shell "Add-PublicFolderAdministrativePermission" ohne Argumente ausführe, fragt er mich als erstes nach dem öffentlichen Ordner, danach nach einem User, dann nach "AccessRights[0]" und erhöht für jede Eingabe den Zähler um eins. Gebe ich bei [0] also "AllExtendedRights" ein, kommt die Frage nach "AccessRights[1]". Drücke ich dann Return, kommt nach einer Weile die rote Fehlermeldung: "Es ist kein 'PublicFolderEntry' vorhanden, das der folgenden Identität entspricht: 'BereitsOhneLeerzeichenBestehenderOrdner'. Gebe ich die Argumente gleich mit, fragt er nicht nach weiteren AccessRights[x], sondern bringt:

 

[PS] C:\Windows\system32>add-publicfolderadministrativepermission -identity "\Al

ter Name" -user karl -accessrights AllExtendedRights

 

Identity User AccessRights IsInherited Deny

-------- ---- ------------ ----------- ----

\Alter Name ABCD\karl {AllExtendedRights} False False

bearbeitet von Bodenklappe
Forens-SW hat Teil1 mit "wird freigeschaltet, nachdem ein Moderator draufgeschaut hat" zurückgehalten, Teil2 direkt angenomme
Link zu diesem Kommentar

Aber:

[PS] C:\Windows\system32>set-mailpublicfolder -identity "\Alter Name" -alias

"NeuerName"

Set-MailPublicFolder : Fehler bei Active Directory-Vorgang mit SBS2008.abcd.loc

al. Bei diesem Fehler ist kein Wiederholungsversuch möglich. Zusätzliche Inform

ationen: Die Zugriffsrechte reichen für diesen Vorgang nicht aus.

Active Directory-Antwort: 00002098: SecErr: DSID-03150E8A, problem 4003 (INSUFF

_ACCESS_RIGHTS), data 0

.

Bei Zeile:1 Zeichen:21

+ set-mailpublicfolder <<<< -identity "\Alter Name" -alias "NeuerName"

+ CategoryInfo : NotSpecified: (0:Int32) [set-MailPublicFolder],

ADOperationException

+ FullyQualifiedErrorId : 9718229,Microsoft.Exchange.Management.MapiTasks.

SetMailPublicFolder

 

 

 

Gebe ich zweimal AllExtendedRights interaktiv in der Shell ein und danach Return, bringt er mir, daß das Argument "AllExtendedRights" nicht gültig ist sondern "AllExtendedRight" (ohne "s") heißt:

[PS] C:\Windows\system32>add-publicfolderadministrativepermission

 

Cmdlet Add-PublicFolderAdministrativePermission an der Befehlspipelineposition

1

Geben Sie Werte für die folgenden Parameter an:

Identity: "Alter Name"

User: karl

AccessRights[0]: AllExtendedRights

AccessRights[1]: AllExtendedRights

AccessRights[2]:

Das angegebene Zugriffsrechte ''AllExtendedRights', 'AllExtendedRights'' sind u

ngültig. Gültige Zugriffsrechte sind unter anderem 'AllStoreRights', 'AllExtend

edRight' und die Kombination aus acht spezifischen Administratorrechten für Öff

entliche Ordner ohne Eintragsduplikate.

Parametername: AccessRights

Bei Zeile:1 Zeichen:1

+ <<<< add-publicfolderadministrativepermission

+ CategoryInfo : InvalidArgument: (:) [], ArgumentException

+ FullyQualifiedErrorId : 77B44613

 

Gebe ich dann aber "AllExtendedRight" an, erzählt er mir, daß das Argument "AllExtendedRights" (mit "s"!) heißt! Allmählich komme ich mir verar***t vor!

[PS] C:\Windows\system32>add-publicfolderadministrativepermission

 

Cmdlet Add-PublicFolderAdministrativePermission an der Befehlspipelineposition

1

Geben Sie Werte für die folgenden Parameter an:

Identity: "Alter Name"

User: karl

AccessRights[0]: AllExtendedRight

AccessRights[1]:

Add-PublicFolderAdministrativePermission : Der Parameter "AccessRights" kann ni

cht gebunden werden. Der Wert "AllExtendedRight" kann aufgrund von ungültigen E

numerationswerten nicht in den Typ "Microsoft.Exchange.Management.MapiTasks.Pub

licFolderAdministrativePermission" konvertiert werden. Geben Sie einen der folg

enden Enumerationswerte an, und versuchen Sie es erneut. Mögliche Enumerationsw

erte sind "None, ModifyPublicFolderACL, ModifyPublicFolderAdminACL, ModifyPubli

cFolderDeletedItemRetention, ModifyPublicFolderExpiry, ModifyPublicFolderQuotas

, ModifyPublicFolderReplicaList, AdministerInformationStore, ViewInformationSto

re, AllStoreRights, AllExtendedRights".

Bei Zeile:1 Zeichen:41

+ add-publicfolderadministrativepermission <<<<

+ CategoryInfo : InvalidArgument: (:) [Add-PublicFolderAdministra

tivePermission], ParameterBindingException

+ FullyQualifiedErrorId : CannotConvertArgumentNoMessage,Microsoft.Exchang

e.Management.MapiTasks.AddPublicFolderAdministrativePermission

 

Welcher Benutzer muß welche Rechte haben und welche nicht? Mit welcher Kommandozeile gewähre ich ihm die Rechte, damit ich den Alias korrigieren und die Mailbox nach Ex2007 konvertieren darf? Das kann doch alles nicht so kompliziert sein.

Link zu diesem Kommentar

Moin,

 

die missverstehst die erste Fehlermeldung. Du darfst eine Berechtigung nur *einmal* eintragen. Du hast probiert "AllExtendedRights" zweimal einzutragen:

 

AccessRights[0]: AllExtendedRights

AccessRights[1]: AllExtendedRights

 

In der Fehlermeldung steht ja im letzten Halbsatz auch: "ohne Eintragsduplikate.".

 

Der Text in der Fehlermeldung ist aber falsch, es muss mit "s" geschrieben werden. Die zweite Fehlermeldung ist daher korrekt.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...