Löschen eines administrativen User aus allen MAilboxen

[Osmo 10]

Hallo

 

ich habe seit ganz kurzer Zeit einen Exchange Server 2010 laufen. Installiert hat ihn ein externer Kollege der sich allerdings nur noch selten in der Firma befindet. Soweit kein PRoblem. Jetzt habe ich aber gesehen dass er auf ALLE Mailboxen vollzugriff hat. Das passt wieedr mir noch unserer Geschäftsführung. kann ich auf den bestehenden 400 Mailboxen diese Person vom Zugriff entfernen? und wenn ja wie?

Wie kann ich auch sicherstellen dass dieser Benutzer auf neur eure Hilfe

[GuentherH 61]

Hallo.

 

Schau hier einmal nach - Remove-MailboxPermission: Hilfe zu Exchange 2010 SP1

 

LG Günther

[Osmo 10]

Hallo Günther

 

Danke für deine rasche Antwort! Diese Seite wäre wirklich perfekt gewesen wenn nicht folgende Fehlermeldung beim ausführen in der powershell kommen würde... (ich habe auch noch nicht probiert ob ich wildcards verwenden kann oder ob ich jeden user einzeln ausführen muss)

 

 

WARNUNG: Ein geerbter Steuerungslisteneintrag wurde angegeben: [Rights: CreateChild, ControlType: Allow] und für Objekt "LDAP Objekt=Username in betreffender OU"... wurde ignoriert

 

ich würde gerne den User generell aus der Richtline rausnehmen... - ob das dann vererbt wird weiß ich nicht...

 

LG Roman

[RobertWi 81]

Moin,

 

es würde uns bestimmt die Fehlersuche erleichtern, wenn Du den Befehl posten würdest, den Du vorher ausprobiert hast. ;)

[Osmo 10]

Sorry anbei der Befehl:

 

[PS] C:\Windows\system32>Remove-MailboxPermission -Identity anyuser -User deluser -AccessRights FullAccess -InheritanceType All

[RobertWi 81]

Nimm mal den Paramter "-InheritanceType All" weg.

[Osmo 10]

[PS] C:\Windows\system32>Remove-MailboxPermission -Identity any -User deluser -AccessRights FullAccess

 

Bestätigung

Möchten Sie diese Aktion wirklich ausführen?

Die Postfachberechtigung 'anyuser' für den Benutzer 'deluser' mit AccessRights ''FullAccess'' wird entfernt.

[J] Ja [A] Ja, alle [N] Nein [K] Nein, keine [?] Hilfe (Standard ist "J"): a

WARNUNG: Ein geerbter Steuerungslisteneintrag wurde angegeben: [Rights: CreateChild, ControlType: Allow] und für Objekt

"LDAP Queryl" ignoriert.

[PS] C:\Windows\system32>

 

leider ohne Erfolg..

[RobertWi 81]

Moin,

 

was kommt denn raus bei:

 

Get-MailboxPermission anyuser | Where-Object { $_.User -ilike "*deluser*" } | fl

[Osmo 10]

Add-MailboxPErmission -Identity anyuser -User 'domäne\deluser' -Deny -AccessRights 'fullAccess'

 

mit dem Befehl klappts - aber nur pro User - das ist bei 400 Mailboxen etwas fad...

 

Gibt es da eine Möglichkeit für Wildcards? wenn ich einen User neu anlege ziehen doch die alten BErechtigungen aus eienr Art vorlage.. wo finde ich diese?

[Dukel 468]

User auslesen und in ner Schleife diesen Befehl durchgehen.

[Osmo 10]

Moin,

 

was kommt denn raus bei:

 

Get-MailboxPermission anyuser | Where-Object { $_.User -ilike "*deluser*" } | fl

 

 

RunspaceId : a88046f1-15da-460d-983b-3690d27ed877

AccessRights : {FullAccess}

Deny : False

InheritanceType : All

User : domäne\deluser

Identity : Domäne/username

IsInherited : True

IsValid : True

[RobertWi 81]

Da das zwei unterschiedliche Befehle sind, ist es erstmal nicht verwunderlich, dass der zweite geht, der erste aber nicht. Dann hilft Dir auch eine Schleife nicht.

 

edit: Ok, der Eintrag ist vererbt.

 

Dann hilft Dir eine Schleife nichts, weil es ja gar nicht bei den einzelnen Benutzern drin steht -> es ist ja nur vererbt.

 

Aus dem Kopf weiß ich nicht, wie man bei Ex2010 eine solche Vererbung einstellt - aber ich schaue nach.

[Osmo 10]

Hallo RobertWi

 

Sorry ich arbeite gerade simultan an 3 Problemen und s oungern ich das zugebe, mein Hirn ist nicht multitaskingfähig...

 

Wobei ich dachte der output den ich gepostet habe sollte ausreichen...

 

aber ich dake auch vielmals für die Hilfe - ich bin leider neu auf den Gebite und habe noch viel zu lernen... (manchmal nicht so leichtw ei alles immer sofort erledigt sein muss)

[RobertWi 81]

Ok, dann poste mal bitte die Ausagabe von:

 

Get-MailboxDatabase -identity “mailbox database name” | Add-ADPermission -user deluser -AccessRights GenericAll

 

und

 

Add-AdPermission -Identity “mailbox database name” -User deluser -InheritedObjectType msExchPrivateMDB -AccessRights ExtendedRight -ExtendedRights Receive-As,Send-As

[Osmo 10]

Ok, dann poste mal bitte die Ausagabe von:

 

Get-MailboxDatabase -identity “mailbox database name” | Add-ADPermission -user deluser -AccessRights GenericAll

 

 

[PS] C:\Windows\system32>Get-MailboxDatabase -identity "mailbox database 1" | Add-ADPermission -user deluser -AccessR

ights GenericAll

 

Identity User Deny Inherited

-------- ---- ---- ---------

Mailbox Database 1 domäne\deluser False False

 

 

 

 

 

 

und

 

Add-AdPermission -Identity “mailbox database name” -User deluser -InheritedObjectType msExchPrivateMDB -AccessRights ExtendedRight -ExtendedRights Receive-As,Send-As

 

[PS] C:\Windows\system32>Add-AdPermission -Identity "mailbox database 1" -User deluser -InheritedObjectType msExchPri

vateMDB -AccessRights ExtendedRight -ExtendedRights Receive-As,Send-As

WARNUNG: Ein entsprechender Zugriffssteuerungseintrag (ACE) ist bereits in Objekt "CN=Mailbox Database

1,CN=Databases,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=PADEX,CN=Microsoft

Exchange,CN=Services,CN=Configuration,DC=domäne,DC=dom" für Konto "domäne\deluser" vorhanden.

 

Identity User Deny Inherited

-------- ---- ---- ---------

Mailbox Database 1 dom\deluser False False

Mailbox Database 1 dom\deluser False False

 

hoffe das passt so