t_bern 10 Geschrieben 4. Januar 2013 Melden Geschrieben 4. Januar 2013 Hallo zusammen, ich hab mit einem PowerShell-Befehl für Exchange 2010 ein kleines Problem und finde den Fehler nicht. Es wäre nett, wenn ihr mir helfen könntet !!! Ich benötige einen Befehl, der auf der Datenbank 10GB_A-D, dem Benutzer Blackberry auf jede Mailbox Vollzugriff vergibt (für jedes neue Postfach und für die bereits angelegten) Get-MailboxDatabase -identity “10GB_A-D” | Add-ADPermission -user "blackberry" -AccessRights GenericAll Der Befehl wir ausgeführt, aber die Berechtigung wird in den Mailboxen nicht angezeigt ! :confused:
RobertWi 81 Geschrieben 4. Januar 2013 Melden Geschrieben 4. Januar 2013 (bearbeitet) Moin, warum experimentierst Du so wild rum? Gerade bei BB ist die Dokumentation doch nahezu perfekt. Laut BB-Doku sieht der Befehl korrekt so aus: Get-MailboxDatabase NAME | Add-ADPermission -User "BESAdmin" -AccessRights ExtendedRight -ExtendedRights Receive-As,ms-Exch-Store-Admin,ms-Exch-Store-Visible Das ist aber nicht alles. Bitte arbeite die Doku von BB durch, nur mit diesem Befehl wird BB nicht funktionieren! bearbeitet 4. Januar 2013 von RobertWi
t_bern 10 Geschrieben 4. Januar 2013 Autor Melden Geschrieben 4. Januar 2013 Hi, der Benutzer blackberry war ein blödes Beispiel ! Sorry ... es hat nichts mit dem BB-Server zu tun. Was ich nicht verstehe ist, egal ob ich Deinen oder meinen PowerSehll Befehl ausführe, die Rechte werden nicht in den Postfächern angezeigt. Wieso ? Muss ich den Exchange-Server neustarten ?
RobertWi 81 Geschrieben 4. Januar 2013 Melden Geschrieben 4. Januar 2013 Wo genau schaust Du denn nach?
t_bern 10 Geschrieben 4. Januar 2013 Autor Melden Geschrieben 4. Januar 2013 in der Exchange Verwaltungskonsole unter dem Postfach des Benutzers - Berechtigung "Vollzugriff" verwalten
RobertWi 81 Geschrieben 4. Januar 2013 Melden Geschrieben 4. Januar 2013 Moin, falsche Stelle. Das sind die Postfachberechtigungen, die würdest Du in der Shell mit dem Befehl "Add-Mailboxpermission" setzen. Du hast aber "Add-Adpermission" benutzt -> die Berechtigungen siehst Du in AD.
t_bern 10 Geschrieben 4. Januar 2013 Autor Melden Geschrieben 4. Januar 2013 ok ... hm :) und wie schaffe ich es, dass jede Mailbox die auf der DB 10GB-A_D angelegt wird, der Benutzer z.B. Blackberry Vollzugriff auf diese Mailbox bekommt ? so ?? Get-MailboxDatabase NAME | "Add-Mailboxpermission -User "BESAdmin" -AccessRights ExtendedRight -ExtendedRights Receive-As,ms-Exch-Store-Admin,ms-Exch-Store-Visible
RobertWi 81 Geschrieben 4. Januar 2013 Melden Geschrieben 4. Januar 2013 Was hast Du denn gegen die Doku von BB? Der Befehl aus #2 richtet einen Teil der benötigten Berechtigungen ein. Der Rest steht in der Doku. Den "Vollzugriff", den Du meinst und von normalen Postfächern kennst, den nutzt BB nicht.
t_bern 10 Geschrieben 4. Januar 2013 Autor Melden Geschrieben 4. Januar 2013 ich habe keine Doku von BB der BB-User war nur ein Beispiel !!! es geht hier nicht um BB
RobertWi 81 Geschrieben 4. Januar 2013 Melden Geschrieben 4. Januar 2013 Dann definiere doch erstmal genau, was Du haben willst.
t_bern 10 Geschrieben 4. Januar 2013 Autor Melden Geschrieben 4. Januar 2013 (bearbeitet) :rolleyes: wie oben beschrieben ! jedes Emailpostfach, das auf der DB 10GB-A_D angelegt wird soll der Benutzer XJ Vollzugriff auf diese Mailbox bekommt. bearbeitet 4. Januar 2013 von t_bern
RobertWi 81 Geschrieben 4. Januar 2013 Melden Geschrieben 4. Januar 2013 Definiere "Vollzugriff": - so, dass ein User als Anwender das Postfach in Outlook öffnen kann - so, dass ein Programm/Dienst auf die Inhalte des Postfaches zugreifen kann
t_bern 10 Geschrieben 4. Januar 2013 Autor Melden Geschrieben 4. Januar 2013 ich benötige - so, dass ein User als Anwender das Postfach in Outlook öffnen kann schön wäre es trotzdem wenn Du mir beides erklärst ... wo ist der Unterschied ?
RobertWi 81 Geschrieben 4. Januar 2013 Melden Geschrieben 4. Januar 2013 Moin, der Unterschied liegt in der Schnittstelle und dem Werkzeug, das verwendet wird. Blackberry oder eine Backup-Software als Programm/Dienst benutzt eine andere Schnittstelle, als Outlook, was ein Benutzer verwendet. Ein Programm/Dienst bekommt Vollzugriff über "Add-ADPermission -AccessRights ExtendedRight -ExtendedRights Receive-As". Über die andere Schnittstelle ist sichergestellt, dass jemand, der sich mit dem Dienst-Konto anmeldet, keinen Zugriff auf fremde Inhalte hat. Der Angreifer müsste hierzu ein extra Programm erstellen. Dieser Zugriff kann vererbt werden (von der Datenbank, der OU, der Organisation, IMHO sogar vom Server). Ein User mit Outlook bekommt den Vollzugriff mit "Add-Mailboxpermission -AccessRights Fullacess". Diese Berechtigungen können NICHT vererbt werden, da sie nur auf der Mailbox gesetzt werden können. Du hast ein wenig Verwirrung reingebracht, weil Du immer Blackberry erwähnt hast, das ist als Beispiel aber in Deinem Fall falsch. Es gibt leider in Deinem Problem keine andere Lösung, als Vollzugriff nachträglich zu vergeben und periodisch ein Script laufen zu lassen (es reicht: get-mailbox -resultsize unlimited | add-mailboxpermission -user BENUTZER --AccessRights Fullacess".
t_bern 10 Geschrieben 4. Januar 2013 Autor Melden Geschrieben 4. Januar 2013 danke schon mal für die Info, bin jetzt ein wenig schlauer ! vielleicht könntest Du mir noch eins erklären. Der Exchange wurde nicht von mir eingerichtet (dass nur so zur Info) :D Auf dem Exchange liegen Datenbanken z.B. 2GB_A-C jedes Mal, wenn ich in dieser DB einen Postfach anlege, bekommt automatisch ein weiterer Benutzer Vollzugriff (so das er in Outlook die Mailbox öffnen kann) eingeräumt. (der Benutzer steht zusätzlich unter Vollzugriff verwalten) Wie wird das gemacht ... oder wie funktionier dass ?
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden