Powershell Probleme - Vollzugriff Auf Eine Datenbank

[t_bern 10]

Hallo zusammen,

 

ich hab mit einem PowerShell-Befehl für Exchange 2010 ein kleines Problem und finde den Fehler nicht.

Es wäre nett, wenn ihr mir helfen könntet !!!

 

Ich benötige einen Befehl, der auf der Datenbank 10GB_A-D, dem Benutzer Blackberry  auf jede Mailbox Vollzugriff vergibt

(für jedes neue Postfach und für die bereits angelegten)

 

Get-MailboxDatabase -identity “10GB_A-D” | Add-ADPermission -user "blackberry" -AccessRights GenericAll 

Der Befehl wir ausgeführt, aber die Berechtigung wird in den Mailboxen nicht angezeigt !

 

:confused:

[RobertWi 81]

Moin,

 

warum experimentierst Du so wild rum? Gerade bei BB ist die Dokumentation doch nahezu perfekt.

 

Laut BB-Doku sieht der Befehl korrekt so aus:

 

Get-MailboxDatabase NAME | Add-ADPermission -User "BESAdmin" -AccessRights ExtendedRight -ExtendedRights Receive-As,ms-Exch-Store-Admin,ms-Exch-Store-Visible

 

Das ist aber nicht alles. Bitte arbeite die Doku von BB durch, nur mit diesem Befehl wird BB nicht funktionieren!

bearbeitet 4. Januar 2013 von RobertWi

[t_bern 10]

Hi,

 

der Benutzer blackberry war ein blödes Beispiel !

Sorry ... es hat nichts mit dem BB-Server zu tun.

 

Was ich nicht verstehe ist, egal ob ich Deinen oder meinen PowerSehll Befehl ausführe, die Rechte werden nicht in den Postfächern angezeigt.

Wieso ? Muss ich den Exchange-Server neustarten ?

[RobertWi 81]

Wo genau schaust Du denn nach?

[t_bern 10]

in der Exchange Verwaltungskonsole unter dem Postfach des Benutzers - Berechtigung "Vollzugriff" verwalten

[RobertWi 81]

Moin,

 

falsche Stelle.

 

Das sind die Postfachberechtigungen, die würdest Du in der Shell mit dem Befehl "Add-Mailboxpermission" setzen.

 

Du hast aber "Add-Adpermission" benutzt -> die Berechtigungen siehst Du in AD.

[t_bern 10]

ok ... hm :)

und wie schaffe ich es, dass jede Mailbox die auf der DB 10GB-A_D angelegt wird, der Benutzer z.B. Blackberry Vollzugriff auf diese Mailbox bekommt ?

so ??

Get-MailboxDatabase NAME | "Add-Mailboxpermission -User "BESAdmin" -AccessRights ExtendedRight -ExtendedRights Receive-As,ms-Exch-Store-Admin,ms-Exch-Store-Visible

[RobertWi 81]

Was hast Du denn gegen die Doku von BB?

 

Der Befehl aus #2 richtet einen Teil der benötigten Berechtigungen ein. Der Rest steht in der Doku. Den "Vollzugriff", den Du meinst und von normalen Postfächern kennst, den nutzt BB nicht.

[t_bern 10]

ich habe keine Doku von BB der BB-User war nur ein Beispiel !!!

es geht hier nicht um BB

[RobertWi 81]

Dann definiere doch erstmal genau, was Du haben willst.

[t_bern 10]

:rolleyes:  wie oben beschrieben !

 

jedes Emailpostfach, das auf der DB 10GB-A_D angelegt wird soll der Benutzer XJ Vollzugriff auf diese Mailbox bekommt.

bearbeitet 4. Januar 2013 von t_bern

[RobertWi 81]

Definiere "Vollzugriff":

 

 - so, dass ein User als Anwender das Postfach in Outlook öffnen kann

 - so, dass ein Programm/Dienst auf die Inhalte des Postfaches zugreifen kann

[t_bern 10]

ich benötige  - so, dass ein User als Anwender das Postfach in Outlook öffnen kann

 

schön wäre es trotzdem wenn Du mir beides erklärst ... wo ist der Unterschied ?

[RobertWi 81]

Moin,

 

der Unterschied liegt in der Schnittstelle und dem Werkzeug, das verwendet wird.

 

Blackberry oder eine Backup-Software als Programm/Dienst benutzt eine andere Schnittstelle, als Outlook, was ein Benutzer verwendet.

 

Ein Programm/Dienst bekommt Vollzugriff über "Add-ADPermission -AccessRights ExtendedRight -ExtendedRights Receive-As".

 

Über die andere Schnittstelle ist sichergestellt, dass jemand, der sich mit dem Dienst-Konto anmeldet, keinen Zugriff auf fremde Inhalte hat. Der Angreifer müsste hierzu ein extra Programm erstellen.

 

Dieser Zugriff kann vererbt werden (von der Datenbank, der OU, der Organisation, IMHO sogar vom Server).

 

Ein User mit Outlook bekommt den Vollzugriff mit "Add-Mailboxpermission -AccessRights Fullacess".

 

Diese Berechtigungen können NICHT vererbt werden, da sie nur auf der Mailbox gesetzt werden können.

 

Du hast ein wenig Verwirrung reingebracht, weil Du immer Blackberry erwähnt hast, das ist als Beispiel aber in Deinem Fall falsch.

 

Es gibt leider in Deinem Problem keine andere Lösung, als Vollzugriff nachträglich zu vergeben und periodisch ein Script laufen zu lassen (es reicht: get-mailbox -resultsize unlimited | add-mailboxpermission -user BENUTZER --AccessRights Fullacess".

[t_bern 10]

danke schon mal für die Info, bin jetzt ein wenig schlauer !

vielleicht könntest Du mir noch eins erklären.

 

Der Exchange wurde nicht von mir eingerichtet (dass nur so zur Info)

:D

Auf dem Exchange liegen Datenbanken z.B.

2GB_A-C 

jedes Mal, wenn ich in dieser DB einen Postfach anlege, bekommt automatisch ein weiterer Benutzer Vollzugriff (so das er in Outlook die Mailbox öffnen kann) eingeräumt.

(der Benutzer steht zusätzlich unter Vollzugriff verwalten)

 

Wie wird das gemacht ... oder wie funktionier dass ?