Jump to content

Exchange 2019 - Administrator hat Datenbank Vollzugriff


Go to solution Solved by NorbertFe,

Recommended Posts

Guten Morgen,

hat jemand eine Idee zu folgender Frage?

 

Ich habe mir alle Vollzugriffe anzeigen lassen und festgestellt, dass der Administrator Account auf ca. 50 Prozent aller Postfächer Vollzugriff hat. Wenn ich diese über den Befehl:

 

Remove-MailboxPermission -Identity "Technik" -User "Administrator" -AccessRights FullAccess -InheritanceType All

 

entfernen möchte kommt die Meldung:

WARNUNG: Ein geerbter Steuerungslisteneintrag wurde angegeben: [Rights: CreateChild, Delete, ReadControl, WriteDacl, WriteOwner, ControlType: Allow] und für
Objekt "..." ignoriert.

 

Ich habe dann über den Befehl:

 

Get-MailboxDatabase | Get-ADPermission | ? User -like "***"

 

Ergebnis:

 

Identity             User                 Deny  Inherited
--------             ----                 ----  ---------
MailboxDB2020        Administrator    True  True
MailboxDB2020        Administrator    True  True
MailboxDB2020        Administrator    False True

 

Vermutlich kommt das von eine alten Backup Software, die damals alle Postfächer als PST gesichert hat. Kann mir jemand einen Befehl nennen, wie ich die Administrator Berechtigung aus der Datenbank rausbekomme?

Hätte das dann Auswirkungen auf die GUI vom Exchange Admin Center?

 

Gruß DO

 

Link to post

Moin,

wenn Postfachinhalte mit 3rd-Party-Tools migriert wurden, könnte das ein Überbleibsel davon sein. Definitiv so nicht vorgesehen.

Ganz zu schweigen davon, dass man mit dem RID500-Administrator grundsätzlich nicht arbeiten sollte. 

Link to post

Habe ich auch gerade gesehen, dass diese Einstellung in einem frischen System ebenfalls vorhanden ist. Ich suche nun nach einem Weg von den betroffenen Postfächern den Admin Vollzugriff zu entfernen.

 

Folgendes funktioniert halt alles nicht:

 

Remove the Permissions per level with

Get-MailBoxPermission Domain\UserName | Remove-ADPermission

Get-MailboxDatabase | Get-ADPermission -User Domain\UserName | Remove-ADPermission

Get-ExchangeServer | Get-ADPermission -User Domain\UserName | Remove-ADPermission

Get-OrganizationConfig | Get-ADPermission -User Domain\UserName | Remove-ADPermission

Das hier ist genau das Problem.

 

https://vanbrenk.blogspot.com/2019/06/removing-accessrights-warning-inherited.html

Und warum steht er nur in einigen als Vollzugriff und nicht in allen?

Ich breche an der Stelle jetzt ab, da ich mich nicht mehr traue, härtere Maßnahmen durchzuführen. Bei neuen Mailboxen ist die Berechtigung nicht mehr vorhanden. Daher wird das mit jedem Usertausch zwangsläufig immer weniger.

Link to post
  • Solution

Bei alten Installationen (2000, 2003 -2010) war das oft der Fall, weil 1. die Verweigerung ganz oben entfernt wurde oder 2. auf org Ebene dann der Datenbankzugriff hinzugefügt wurde. Meist im Rahmen von Blackberry oder Archivierungslösungen. Später kam dann erst impersonation.

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...