Exchange 2010 vererbte Postfachberechtigungen entfernen

[wuerzer 10]

Hallo Gemeinde!

 

ich habe hier seit längerer Zeit ein Problem mit unserem Exchange Server, mit dem ich nicht zurechtkkomme.

Der Server wurde vor längerer Zeit von einem Exchange 2003 migriert, weiß aber nicht, ob das Problem von daher führt, oder auch bereits im alten 2003er System vorhanden war.

 

Zumindest ist es erst jetzt aufgefallen....

 

Problem:

Auf alle Userpostfächer hat "jeder" Vollzugriff - und das bekomme ich nicht weg, da es scheinbar vererbt ist.

Ein "deny" für "Jeder" darf ich nicht setzen, sonst hat KEINER mehr Zugriff auf sein Postfach (irgendwie logisch)...

 

Ich muss also das "Jeder" wegkriegen - weiß nur nicht wie.

Ich habe folgendes versucht:

 

Remove-MailboxPermission -Identity 'mailboxname' -user 'jeder' -AccessRights 'FullAccess'

-> hier wird angemeckert, dass das Entfernen nicht mgl. ist, da es sich um ein Vererbtes Recht handelt. Auch der zusätzliche Parameter -InheritanceType 'all' hilft an dieser Stelle nicht weiter.

 

Der nächste Schritt war, herauszufinden, WO denn der "Jeder" überhaupt gesetzt wird!? scheinbar in der Mailboxdatabase - über die AD.

Also, recherchiert und folgenden Versuch unternommen:

Get-Mailboxdatabase | Remove-ADPermission -user 'jeder' -AccessRights 'FullAccess'

 

hier nun folgende Meldung:

 

Die Argumenttransformation für den Parameter "AccessRights" kann nicht verarbeitet werden. Der Wert "FullAccess" kann n

icht in den Typ "System.DirectoryServices.ActiveDirectoryRights[]" konvertiert werden. Fehler: "Der Wert "FullAccess" k

ann aufgrund von ungültigen Enumerationswerten nicht in den Typ "System.DirectoryServices.ActiveDirectoryRights" konver

tiert werden. Geben Sie einen der folgenden Enumerationswerte an, und versuchen Sie es erneut. Mögliche Enumerationswer

te sind "CreateChild, DeleteChild, ListChildren, Self, ReadProperty, WriteProperty, DeleteTree, ListObject, ExtendedRig

ht, Delete, ReadControl, GenericExecute, GenericWrite, GenericRead, WriteDacl, WriteOwner, GenericAll, Synchronize, Acc

essSystemSecurity"."

    + CategoryInfo          : InvalidData: (:) [Remove-ADPermission], ParameterBindin...mationException

    + FullyQualifiedErrorId : ParameterArgumentTransformationError,Remove-ADPermission

 

Nun steh ich auf dem Schlauch.

 

Kann jemand helfen, diesen vererbten 'jeder' zu entfernen? 

Das wäre SPITZE!!

 

Danke und bis bald...

 

Michael

 

 

[datmox 26]

Hi,

 

schalte halt die Vererbung aus?

[wuerzer 10]

Macht sinn:-)

ich hab das jetzt mal versucht (in der AD) und prüfe im Anschluss, wie sich das Exchangeseitig auswirkt.

das Ausschalten der Vererbung auf ein Postfach hat keine direkten Auswirkungen. ich habe zwar kein 2tes AD, das replizieren muss, trotzdem ist die Änderungen im Exchange noch nicht angekommen, die Powershell Ausgabe zeigt immer noch vererbte Rechte an.

Gibt es einen Befehl, der die Einstellungen aktualisiert, sowas wie bei den GPOs das "gpupdate /force"?

 

Ich bin folgendermaßen vorgegangen: In der AD, in den usereigenschaften/Sicherheit die Vererbung herausgenommen. Über die Powershell dann über get-mailboxpermission für diesen User die Rechte angezeigt... hier gibt es immer noch isinherited=true für "Jeder"...

 

ich harre erstmal der Dinge, die da kommen...

 

Vielen Dank vorerst...

[NorbertFe 2.283]

Schau nach, von wo aus es vererbt wird. Die Vererbung am Postfach/User zu deaktivieren ist eine schlechte Idee. Wenn du die Stelle gefunden hast, von der aus vererbt wird, kannst du dort dann JEDER entfernen. Typische Stellen sind: OU, Exchange-DB, Exchange-ORG, Domänen-Ebene.

 

Bye

Norbert

[Doso 77]

Jeder Vollzugriff auf alle Postfächer. Wer kommt denn auf solche Ideen  :(