Jump to content

Empfohlene Beiträge

Hallo,

 

bei der Durchsicht unsere Postfachberechtigungen ist aufgefallen das ein User "S-1-5-21-2830485571-536432520-3136091751-1205" Vollzugriff auf alle Postfächer hat. Es scheint sich hierbei ja um ein gelöschtes Konto zu handeln.

Wenn ich aber versuche diesen bei einem User zu entfernen dann kommt folgende Meldung, zur Vollständigkeit den kompletten Vorgang:

 

[PS] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Exchange Server 2013>Remove-MailboxPermission -Identity aduser -User "S-1-5-21-2830485571-536432520-3136091751-1205" -AccessRights FullAccess

Bestätigung
Möchten Sie diese Aktion wirklich ausführen?
Die Postfachberechtigung 'aduser' für den Benutzer 'S-1-5-21-2830485571-536432520-3136091751-1205' mit
AccessRights ''FullAccess'' wird entfernt.
[J] Ja  [A] Ja, alle  [N] Nein  [K] Nein, keine  [?] Hilfe (Standard ist "J"): J
WARNUNG: Ein geerbter Steuerungslisteneintrag wurde angegeben: [Rights: CreateChild, ControlType: Allow] und für Objekt
 "CN=aduser,OU=Benutzer,OU=Domain,DC=Domain,DC=loc" ignoriert.

 

Ich finde aber nicht heraus woher die Vererbung kommen soll...in der AD war der zwar noch eingetragen, dort habe ich diesen aber gestern entfernt, und auch heute geprüft das dieser nicht wieder da ist.

 

Gruß,

Jörg

bearbeitet von Jetter

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi,

 

eine Möglichkeit wäre, das die Vererbung über eine Berechtigung auf der Datenbank kommt. Prüfe mal, ob du was mit folgendem Befehl findest.

Get-MailboxDatabase | Get-ADPermission | ? User -like "S-*"

Gruß

Jan

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo,

 

genau diesen Befehl habe ich gesucht ;)

Die Ausgabe ist wie folgt:

---

[PS] C:\Windows\system32>Get-MailboxDatabase | Get-ADPermission | ? User -like "S-*"

Identity             User                 Deny  Inherited
--------             ----                 ----  ---------
MailboxDB            S-1-5-21-28304855... False False
MailboxDB            S-1-5-21-28304855... False False


[PS] C:\Windows\system32>Get-MailboxDatabase | Get-ADPermission | ? User -like "S-*" | fl


User                : S-1-5-21-2830485571-536432520-3136091751-1205
Identity            : MailboxDB
Deny                : False
AccessRights        : {ExtendedRight}
IsInherited         : False
Properties          :
ChildObjectTypes    :
InheritedObjectType :
InheritanceType     : All

User                : S-1-5-21-2830485571-536432520-3136091751-1205
Identity            : MailboxDB
Deny                : False
AccessRights        : {ExtendedRight}
IsInherited         : False
Properties          :
ChildObjectTypes    :
InheritedObjectType :
InheritanceType     : All

---

 

 

Was mich aber jetzt stutzig macht, ist das anscheinend nur dieser besagte User Rechte auf die DB hat, wenn ich die jetzt entferne, wäre die Liste ja leer...?

Was auch komisch ist, ist das der User quasi 2x die gleichen Rechte hat...?

Kann das denn richtig sein?

 

Gruß,

Jörg

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 25 Minuten schrieb Jetter:

Was mich aber jetzt stutzig macht, ist das anscheinend nur dieser besagte User Rechte auf die DB hat, wenn ich die jetzt entferne, wäre die Liste ja leer...?

Es wird ja auch nur auf User gefiltert die mit "S-*" anfangen. Die restlichen User existieren halt einfach noch, sodass nicht die verwaiste SID angezeigt wird. Lass doch einfach mal "| ? User -like "S-*"" am Ende weg. ;)

 

Die erweiterten Rechte sollten dir angezeigt werden mit mit "fl *" oder eben mit

Get-MailboxDatabase | Get-ADPermission | ? User -like "S-*" | fl Identity, User, ExtendedRights, AccessRights

 

Evtl. solltest du aber auch mal in dich gehen und prüfen, warum da ein User auf die DB berechtigt war. Gab es mal einen Black Berry Server o.ä wo sowas vllt. gewollt war / ist.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo,

 

du hast natürlich vollkommen recht, bei der Anzeige werden ja nur die "S-*" User angezeigt. Da war ich zu schnell mit meiner Antwort, und kurz bevor du geantwortest hast dachte ich noch...es könnte der alte besadmin sein ;)

 

Ich werde das morgen dann mal angehen...ich denke das sollte nun kein Problem mehr sein.

 

Gruß,

Jörg

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

ich konnte nun die Berechtigung auf die Postfach Datenbank entfernen. Musste dieses allerdings per ADSIEdit machen.

Nun habe ich nur noch das Problem das bei einem User dieser gelöschte Account extra Rechte hat:

---

RunspaceId      : 2b34482e-3fbd-46f1-9256-cd3f42941034
AccessRights    : {FullAccess}
Deny            : True
InheritanceType : All
User            : S-1-5-21-2830485571-536432520-3136091751-1205
Identity        : DOMAIN.loc/DOMAIN/Benutzer/USER
IsInherited     : False
IsValid         : True
ObjectState     : Unchanged

---

 

Wenn ich versuche die zu entfernen bekomme ich aber eine Fehlermeldung:

---

[PS] C:\Windows\system32>remove-MailboxPermission -Identity USER -User S-1-5-21-2830485571-536432520-313
6091751-1205 -AccessRights FullAccess

Bestätigung
Möchten Sie diese Aktion wirklich ausführen?
Die Postfachberechtigung 'USER' für den Benutzer 'S-1-5-21-2830485571-536432520-3136091751-1205' mit
AccessRights ''FullAccess'' wird entfernt.
[J] Ja  [A] Ja, alle  [N] Nein  [K] Nein, keine  [?] Hilfe (Standard ist "J"):
WARNUNG: Der Zugriffssteuerungseintrag für das Objekt "CN=USER,OU=Benutzer,OU=DOMAIN,DC=DOMAIN,DC=loc" für
Konto "S-1-5-21-2830485571-536432520-3136091751-1205" kann nicht entfernt werden, da er nicht vorhanden ist.

---

 

Gruß,

Jörg

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

Werbepartner:



×