RobertWi 81 Geschrieben 10. Oktober 2011 Melden Teilen Geschrieben 10. Oktober 2011 Ach Mist, ich poste die falschen Befehle (so habe ich das getestet) und Dir fällt nicht auf, dass sie falsch sind.... Mist. Zuerst bereinigen wir mal den Unsinn wieder: Get-MailboxDatabase -identity “mailbox database name” | Remove-ADPermission -user deluser -AccessRights GenericAll Remove-AdPermission -Identity “mailbox database name” -User deluser -InheritedObjectType msExchPrivateMDB -AccessRights ExtendedRight -ExtendedRights Receive-As,Send-As Und dann sehen wir uns das an, was übrig ist: Get-MailboxDatabase -identity “mailbox database name” | Get-ADPermission -user deluser -AccessRights GenericAll | fl Get-AdPermission -Identity “mailbox database name” -User deluser -InheritedObjectType msExchPrivateMDB -AccessRights ExtendedRight -ExtendedRights Receive-As,Send-As | fl Get-MailboxPermission anyuser | Where-Object { $_.User -ilike "*deluser*" } | fl Zitieren Link zu diesem Kommentar
Osmo 10 Geschrieben 10. Oktober 2011 Autor Melden Teilen Geschrieben 10. Oktober 2011 Ach Mist, ich poste die falschen Befehle (so habe ich das getestet) und Dir fällt nicht auf, dass sie falsch sind.... Mist. Zuerst bereinigen wir mal den Unsinn wieder: Get-MailboxDatabase -identity “mailbox database name” | Remove-ADPermission -user deluser -AccessRights GenericAll Remove-AdPermission -Identity “mailbox database name” -User deluser -InheritedObjectType msExchPrivateMDB -AccessRights ExtendedRight -ExtendedRights Receive-As,Send-As Und dann sehen wir uns das an, was übrig ist: Get-MailboxDatabase -identity “mailbox database name” | Get-ADPermission -user deluser -AccessRights GenericAll | fl Get-AdPermission -Identity “mailbox database name” -User deluser -InheritedObjectType msExchPrivateMDB -AccessRights ExtendedRight -ExtendedRights Receive-As,Send-As | fl Get-MailboxPermission anyuser | Where-Object { $_.User -ilike "*deluser*" } | fl Hallo Robert das Bereingen hat einiges bewirkt. im PRinzip genau das was ich erreichen wollte. Der erste BEfehlr lief ein paar Augenblicke lang - danach war der betreffende User bei der Vollzugriff berechtigunge weg. Das löschen der senden als Berechtigung hat dann einen Fehler ausgeworfen dass der user nicht mehr vorhanden ist. soweit ja auch korrekt! beim Befehl : [PS] C:\Windows\system32>Get-MailboxDatabase -identity "mailbox database 1" | Get-ADPermission -user deluser -AccessRights GenericAll | fl kommt ein Fehler: Es wurde kein Positionsparameter gefunden, der das Argument "GenericAll" akzeptiert. + CategoryInfo : InvalidArgument: (:) [Get-ADPermission], ParameterBindingException + FullyQualifiedErrorId : PositionalParameterNotFound,Get-ADPermission was aber auch egal ist da ich stichprobenartig überprüft habe und mit dem Ergebnis sehr zu frieden bin. -Allerdings bleibt noch die Frage wenn ich ein neues Postfachanlege zieh ich mir den Mist ja iwedr mit oder?? Den User habe ich aus allen Exchaneg gruppen entfernt. (war in der Gruppe Organization Management) Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 10. Oktober 2011 Melden Teilen Geschrieben 10. Oktober 2011 Ok, dann hätten wir das auch gleich haben können, wenn ich beim ersten Versuch den richtigen Befehl gepostet hätte. :) Nein, er sollte jetzt bei neu angelegten Postfächern nicht mehr auftauchen. Da war er ja nur vererbt und wir haben ihn aus der Vererbungswurzel entfernt - darum dauert der Befehl auch einige Zeit, weil Exchange die vererbten Einträge entfernen musste. Wenn Dein letzter Befehl den Benutzer nicht mehr zeigt, ist er weg. Du kannst den Test ja zur Sicherheit nochmal für alle Datenbank machen: Get-MailboxDatabase | Get-ADPermission -user deluser | fl Da sollte nichts mehr zurückkommen. Und dann zur Sicherheit auch bei den Postfächern: get-mailbox | get-mailboxpermission -user deluser | fl Beim letzten Befehl sollte er höchstens noch bei seinem eigenen Postfach auftauchen, mehr aber nicht. Der Befehl wird übrigens auch ein paar Sekunden brauchen, weil er alle Postfächer durchschaut. Zitieren Link zu diesem Kommentar
Osmo 10 Geschrieben 10. Oktober 2011 Autor Melden Teilen Geschrieben 10. Oktober 2011 Hallo Robert Nochmals vielen Dank für deine rasche und kompetente Hilfe... hast vollkommen recht mir hätte auffallen müssen dass der User mit add keine Rechte verliert! meine schuld - nehm ich auf meine Kappe und ich wred das nächste mal sicher besser aufpassen! jedoch habe ich den lästigen User noch bei ein paar Mailboxen zurückbekommen... sind aber nur 9 oder 10 Stück bei denen es mir eigentlich egal ist... nochdazu und das ist das was mich etwas wundert bei diesen 3 Usern habe ich in einer "schnell-schnell-aktion" den Benutzer händisch gelöscht! (über die Verwaltungskonsole) - war auch zum Test ob der wieder kommt... Komischerweise sehe ich den sSer in den Eigenschaften der Postfächer nicht mehr... und ich habe auch keine unaufgelösten SIDs stehen... aber ok... das sind hauptsächlich Raumpostfächer... Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 10. Oktober 2011 Melden Teilen Geschrieben 10. Oktober 2011 Hallo Roman, Nochmals vielen Dank für deine rasche und kompetente Hilfe... hast vollkommen recht mir hätte auffallen müssen dass der User mit add keine Rechte verliert! meine schuld - nehm ich auf meine Kappe und ich wred das nächste mal sicher besser aufpassen! nö, so ein Fehler sollte mir nicht unterlaufen - auch ich bin nur begrenzt Mutlitaskingfähig... ;) Auf jeden Fall hast Du dadurch ein bisschen über die Exchange Shell gelernt. Fals der Rest noch ein Problem ist oder wird, melde Dich wieder. Zitieren Link zu diesem Kommentar
nqrott 10 Geschrieben 11. Oktober 2012 Melden Teilen Geschrieben 11. Oktober 2012 Hallo, ich bin über diesen Beitrag gestolpert da ich das gleiche Problem habe. In 8 Benutzerpostfächer hat der Administrator laut Power Shell "FullAccess". Ungünstiger Weise auch bei 2 Geschäftsführern. Zwar setzt mir die Management Konsole beim fehlgeschlagenen Versuch automatisch "Deny" und somit ist der Zugriff auch real unterbunden. Jedoch ist diese Lösung noch nicht Ideal. Ich habe auch in einer geklonten Testumgebung des Produktivsystems versucht die Schritte von RobertWI durchzugehen. Jedoch bekomm ich schon bei der Database den Fehler dass es sich um eine Vererbung handelt. Und da der Account um den es geht der Domänen-Administrator ist an den leider auch einige Softwaredienste gebunden sind bin ich da im Moment echt Ratlos wie ich diese Rechtevererbung auf die Exchange Postfächer aufheben kann. Bei allen anderen Postfächer ca. 120 weitere gibt es das Problem nicht. Hat vielleicht noch jemand einen Tipp für mich? Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 11. Oktober 2012 Melden Teilen Geschrieben 11. Oktober 2012 Moin, erstens würde wir Dich bitten, Dich nicht an fremde und alte Threads anzuhängen. Du kannst gerne einen neuen Aufmachen und auf diesen hier verweisen. Aber im eigentlich Thread entsteht so Chaos, zumal der OP ja sein Problem gelöst hat. Ein Mod sollte diese Beiträge mal abkoppeln. Zweiten bräuchte es schon ein wenig mehr Informationen, was Du gemacht hast, was nicht geht, Fehlermeldungen, Auswirkungen, usw. Drittens solltest Du Dir aber auch über die Sinnhaftigkeit Gedanken machen. Du willst einen Admin aussperren. Das geht aber im Endeffekt nicht wirklich, denn der Admin könnte sich den Zugriff einfach jederzeit wieder selbst einrichten. Da das Konto ein Dom-Admin ist, sollte im Normalbetrieb damit sowieso nicht gearbeitet werden, der Mensch hat zum Arbeiten noch ein normales Benutzerkonto. Und wenn die GF ein Problem damit habe, dass die Admins ihrer IT zwangsläufigen Zugriff auf alle Daten haben müssen, dann habt ihr ein Problem mit den Admins, nicht mit der IT. ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.