Jump to content
Jetter

Remove-MailboxPermission

Recommended Posts

Hallo,

 

bei der Durchsicht unsere Postfachberechtigungen ist aufgefallen das ein User "S-1-5-21-2830485571-536432520-3136091751-1205" Vollzugriff auf alle Postfächer hat. Es scheint sich hierbei ja um ein gelöschtes Konto zu handeln.

Wenn ich aber versuche diesen bei einem User zu entfernen dann kommt folgende Meldung, zur Vollständigkeit den kompletten Vorgang:

 

[PS] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Exchange Server 2013>Remove-MailboxPermission -Identity aduser -User "S-1-5-21-2830485571-536432520-3136091751-1205" -AccessRights FullAccess

Bestätigung
Möchten Sie diese Aktion wirklich ausführen?
Die Postfachberechtigung 'aduser' für den Benutzer 'S-1-5-21-2830485571-536432520-3136091751-1205' mit
AccessRights ''FullAccess'' wird entfernt.
[J] Ja  [A] Ja, alle  [N] Nein  [K] Nein, keine  [?] Hilfe (Standard ist "J"): J
WARNUNG: Ein geerbter Steuerungslisteneintrag wurde angegeben: [Rights: CreateChild, ControlType: Allow] und für Objekt
 "CN=aduser,OU=Benutzer,OU=Domain,DC=Domain,DC=loc" ignoriert.

 

Ich finde aber nicht heraus woher die Vererbung kommen soll...in der AD war der zwar noch eingetragen, dort habe ich diesen aber gestern entfernt, und auch heute geprüft das dieser nicht wieder da ist.

 

Gruß,

Jörg

Edited by Jetter

Share this post


Link to post
Share on other sites

Hi,

 

eine Möglichkeit wäre, das die Vererbung über eine Berechtigung auf der Datenbank kommt. Prüfe mal, ob du was mit folgendem Befehl findest.

Get-MailboxDatabase | Get-ADPermission | ? User -like "S-*"

Gruß

Jan

Share this post


Link to post
Share on other sites

Hallo,

 

genau diesen Befehl habe ich gesucht ;)

Die Ausgabe ist wie folgt:

---

[PS] C:\Windows\system32>Get-MailboxDatabase | Get-ADPermission | ? User -like "S-*"

Identity             User                 Deny  Inherited
--------             ----                 ----  ---------
MailboxDB            S-1-5-21-28304855... False False
MailboxDB            S-1-5-21-28304855... False False


[PS] C:\Windows\system32>Get-MailboxDatabase | Get-ADPermission | ? User -like "S-*" | fl


User                : S-1-5-21-2830485571-536432520-3136091751-1205
Identity            : MailboxDB
Deny                : False
AccessRights        : {ExtendedRight}
IsInherited         : False
Properties          :
ChildObjectTypes    :
InheritedObjectType :
InheritanceType     : All

User                : S-1-5-21-2830485571-536432520-3136091751-1205
Identity            : MailboxDB
Deny                : False
AccessRights        : {ExtendedRight}
IsInherited         : False
Properties          :
ChildObjectTypes    :
InheritedObjectType :
InheritanceType     : All

---

 

 

Was mich aber jetzt stutzig macht, ist das anscheinend nur dieser besagte User Rechte auf die DB hat, wenn ich die jetzt entferne, wäre die Liste ja leer...?

Was auch komisch ist, ist das der User quasi 2x die gleichen Rechte hat...?

Kann das denn richtig sein?

 

Gruß,

Jörg

Share this post


Link to post
Share on other sites
vor 25 Minuten schrieb Jetter:

Was mich aber jetzt stutzig macht, ist das anscheinend nur dieser besagte User Rechte auf die DB hat, wenn ich die jetzt entferne, wäre die Liste ja leer...?

Es wird ja auch nur auf User gefiltert die mit "S-*" anfangen. Die restlichen User existieren halt einfach noch, sodass nicht die verwaiste SID angezeigt wird. Lass doch einfach mal "| ? User -like "S-*"" am Ende weg. ;)

 

Die erweiterten Rechte sollten dir angezeigt werden mit mit "fl *" oder eben mit

Get-MailboxDatabase | Get-ADPermission | ? User -like "S-*" | fl Identity, User, ExtendedRights, AccessRights

 

Evtl. solltest du aber auch mal in dich gehen und prüfen, warum da ein User auf die DB berechtigt war. Gab es mal einen Black Berry Server o.ä wo sowas vllt. gewollt war / ist.

Share this post


Link to post
Share on other sites

Hallo,

 

du hast natürlich vollkommen recht, bei der Anzeige werden ja nur die "S-*" User angezeigt. Da war ich zu schnell mit meiner Antwort, und kurz bevor du geantwortest hast dachte ich noch...es könnte der alte besadmin sein ;)

 

Ich werde das morgen dann mal angehen...ich denke das sollte nun kein Problem mehr sein.

 

Gruß,

Jörg

Share this post


Link to post
Share on other sites

Moin,

 

ich konnte nun die Berechtigung auf die Postfach Datenbank entfernen. Musste dieses allerdings per ADSIEdit machen.

Nun habe ich nur noch das Problem das bei einem User dieser gelöschte Account extra Rechte hat:

---

RunspaceId      : 2b34482e-3fbd-46f1-9256-cd3f42941034
AccessRights    : {FullAccess}
Deny            : True
InheritanceType : All
User            : S-1-5-21-2830485571-536432520-3136091751-1205
Identity        : DOMAIN.loc/DOMAIN/Benutzer/USER
IsInherited     : False
IsValid         : True
ObjectState     : Unchanged

---

 

Wenn ich versuche die zu entfernen bekomme ich aber eine Fehlermeldung:

---

[PS] C:\Windows\system32>remove-MailboxPermission -Identity USER -User S-1-5-21-2830485571-536432520-313
6091751-1205 -AccessRights FullAccess

Bestätigung
Möchten Sie diese Aktion wirklich ausführen?
Die Postfachberechtigung 'USER' für den Benutzer 'S-1-5-21-2830485571-536432520-3136091751-1205' mit
AccessRights ''FullAccess'' wird entfernt.
[J] Ja  [A] Ja, alle  [N] Nein  [K] Nein, keine  [?] Hilfe (Standard ist "J"):
WARNUNG: Der Zugriffssteuerungseintrag für das Objekt "CN=USER,OU=Benutzer,OU=DOMAIN,DC=DOMAIN,DC=loc" für
Konto "S-1-5-21-2830485571-536432520-3136091751-1205" kann nicht entfernt werden, da er nicht vorhanden ist.

---

 

Gruß,

Jörg

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...