Jump to content

Remove-MailboxPermission


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

bei der Durchsicht unsere Postfachberechtigungen ist aufgefallen das ein User "S-1-5-21-2830485571-536432520-3136091751-1205" Vollzugriff auf alle Postfächer hat. Es scheint sich hierbei ja um ein gelöschtes Konto zu handeln.

Wenn ich aber versuche diesen bei einem User zu entfernen dann kommt folgende Meldung, zur Vollständigkeit den kompletten Vorgang:

 

[PS] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Exchange Server 2013>Remove-MailboxPermission -Identity aduser -User "S-1-5-21-2830485571-536432520-3136091751-1205" -AccessRights FullAccess

Bestätigung
Möchten Sie diese Aktion wirklich ausführen?
Die Postfachberechtigung 'aduser' für den Benutzer 'S-1-5-21-2830485571-536432520-3136091751-1205' mit
AccessRights ''FullAccess'' wird entfernt.
[J] Ja  [A] Ja, alle  [N] Nein  [K] Nein, keine  [?] Hilfe (Standard ist "J"): J
WARNUNG: Ein geerbter Steuerungslisteneintrag wurde angegeben: [Rights: CreateChild, ControlType: Allow] und für Objekt
 "CN=aduser,OU=Benutzer,OU=Domain,DC=Domain,DC=loc" ignoriert.

 

Ich finde aber nicht heraus woher die Vererbung kommen soll...in der AD war der zwar noch eingetragen, dort habe ich diesen aber gestern entfernt, und auch heute geprüft das dieser nicht wieder da ist.

 

Gruß,

Jörg

bearbeitet von Jetter
Link zu diesem Kommentar

Hallo,

 

genau diesen Befehl habe ich gesucht ;)

Die Ausgabe ist wie folgt:

---

[PS] C:\Windows\system32>Get-MailboxDatabase | Get-ADPermission | ? User -like "S-*"

Identity             User                 Deny  Inherited
--------             ----                 ----  ---------
MailboxDB            S-1-5-21-28304855... False False
MailboxDB            S-1-5-21-28304855... False False


[PS] C:\Windows\system32>Get-MailboxDatabase | Get-ADPermission | ? User -like "S-*" | fl


User                : S-1-5-21-2830485571-536432520-3136091751-1205
Identity            : MailboxDB
Deny                : False
AccessRights        : {ExtendedRight}
IsInherited         : False
Properties          :
ChildObjectTypes    :
InheritedObjectType :
InheritanceType     : All

User                : S-1-5-21-2830485571-536432520-3136091751-1205
Identity            : MailboxDB
Deny                : False
AccessRights        : {ExtendedRight}
IsInherited         : False
Properties          :
ChildObjectTypes    :
InheritedObjectType :
InheritanceType     : All

---

 

 

Was mich aber jetzt stutzig macht, ist das anscheinend nur dieser besagte User Rechte auf die DB hat, wenn ich die jetzt entferne, wäre die Liste ja leer...?

Was auch komisch ist, ist das der User quasi 2x die gleichen Rechte hat...?

Kann das denn richtig sein?

 

Gruß,

Jörg

Link zu diesem Kommentar
vor 25 Minuten schrieb Jetter:

Was mich aber jetzt stutzig macht, ist das anscheinend nur dieser besagte User Rechte auf die DB hat, wenn ich die jetzt entferne, wäre die Liste ja leer...?

Es wird ja auch nur auf User gefiltert die mit "S-*" anfangen. Die restlichen User existieren halt einfach noch, sodass nicht die verwaiste SID angezeigt wird. Lass doch einfach mal "| ? User -like "S-*"" am Ende weg. ;)

 

Die erweiterten Rechte sollten dir angezeigt werden mit mit "fl *" oder eben mit

Get-MailboxDatabase | Get-ADPermission | ? User -like "S-*" | fl Identity, User, ExtendedRights, AccessRights

 

Evtl. solltest du aber auch mal in dich gehen und prüfen, warum da ein User auf die DB berechtigt war. Gab es mal einen Black Berry Server o.ä wo sowas vllt. gewollt war / ist.

Link zu diesem Kommentar

Hallo,

 

du hast natürlich vollkommen recht, bei der Anzeige werden ja nur die "S-*" User angezeigt. Da war ich zu schnell mit meiner Antwort, und kurz bevor du geantwortest hast dachte ich noch...es könnte der alte besadmin sein ;)

 

Ich werde das morgen dann mal angehen...ich denke das sollte nun kein Problem mehr sein.

 

Gruß,

Jörg

Link zu diesem Kommentar

Moin,

 

ich konnte nun die Berechtigung auf die Postfach Datenbank entfernen. Musste dieses allerdings per ADSIEdit machen.

Nun habe ich nur noch das Problem das bei einem User dieser gelöschte Account extra Rechte hat:

---

RunspaceId      : 2b34482e-3fbd-46f1-9256-cd3f42941034
AccessRights    : {FullAccess}
Deny            : True
InheritanceType : All
User            : S-1-5-21-2830485571-536432520-3136091751-1205
Identity        : DOMAIN.loc/DOMAIN/Benutzer/USER
IsInherited     : False
IsValid         : True
ObjectState     : Unchanged

---

 

Wenn ich versuche die zu entfernen bekomme ich aber eine Fehlermeldung:

---

[PS] C:\Windows\system32>remove-MailboxPermission -Identity USER -User S-1-5-21-2830485571-536432520-313
6091751-1205 -AccessRights FullAccess

Bestätigung
Möchten Sie diese Aktion wirklich ausführen?
Die Postfachberechtigung 'USER' für den Benutzer 'S-1-5-21-2830485571-536432520-3136091751-1205' mit
AccessRights ''FullAccess'' wird entfernt.
[J] Ja  [A] Ja, alle  [N] Nein  [K] Nein, keine  [?] Hilfe (Standard ist "J"):
WARNUNG: Der Zugriffssteuerungseintrag für das Objekt "CN=USER,OU=Benutzer,OU=DOMAIN,DC=DOMAIN,DC=loc" für
Konto "S-1-5-21-2830485571-536432520-3136091751-1205" kann nicht entfernt werden, da er nicht vorhanden ist.

---

 

Gruß,

Jörg

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...