Exchange 2010: Default-Rechte für neue Konten

[UBPAS 10]

Hallo,

 

vielleicht kann mir hier jemand weiterhelfen.

 

Das Problem:

Sobald ein neues Postfach in Exchange 2010 angelegt wird,

bekommen einige bestehende Benutzer "Vollzugriff" auf das neue Konto.

Diese Benutzer werden dann auch gleich Delegaten und bekommen das

neue Konto in Outlook angezeigt.

 

Ich weiß leider nicht, wo Exchange die "Default Rechte" für den

Vollzugriff ablegt, konnte auch im Web und hier im Forum keine

Antwort darauf finden.

 

Auf das "Root-Verzeichnis" der Mailbox kann man (zumindest mit

"ExFolders") keine Rechte setzten. Und im AD konnte ich bisher keinen

Benutzer und keine AD-Attribute finden, die die Liste der Benutzer

(bzw. deren SIDs) enthält, die bei Neuanlage Vollzugriffs-Rechte bekommen.

 

Weiß jemand, wo Exchange die Default-Rechte her nimmt?

 

Schonmal vielen Dank im Vorab!

[RobertWi 81]

Moin,

 

na dann schauen wir erstmal, warum die Vollzugriff bekommen:

 

Get-MailboxPermission NAME_EINER_NEUEN_MAILBOX | where-object {$_.AccessRights -like "*FullAccess*" } | ft User,AccessRights,IsInherited,Deny

[UBPAS 10]

Hallo RobertWi,

 

vielen Dank für die schnelle Antwort!

Direkt nach dem Anlegen sieht es so aus (OK):

User AccessRights IsInherited Deny

---- ------------ ----------- ----

NT-AUTORITÄT\SELBST {FullAccess, ReadPermission} False False

Nach einiger Zeit ändern sich die Rechte und es kommen die "vererbten" dazu:

User AccessRights IsInherited Deny

---- ------------ ----------- ----

NT-AUTORITÄT\SELBST {FullAccess, ReadPermission} False False

<Domain>\<User-A> {FullAccess, DeleteItem, R... True False

<Domain>\<Group-A> {FullAccess} True True

<Domain>\<Group-B> {FullAccess} True True

<Domain>\<Group-C> {FullAccess} True True

<Domain>\<User-B> {FullAccess} True True

<Domain>\<Group-D> {FullAccess} True False

<Domain>\<User-C> {FullAccess} True False

<Domain>\<Group-C> {FullAccess, DeleteItem, R... True False

<Domain>\<Group-E> {FullAccess, DeleteItem, R... True False

<Domain>\<User-B> {FullAccess, DeleteItem, R... True False

<Domain>\<Group-B> {FullAccess, DeleteItem, R... True False

<Domain>\<Group-A> {FullAccess, DeleteItem, R... True False

Von wo werden die Rechte vererbt?

 

Grüße, Uwe

[RobertWi 81]

Moin,

 

die Ausgabe ist leider für das Debuging wertlos. Wenn Du alle Benutzer und Gruppen umbenennst, kann ich Dir nicht sagen, welche Gruppen/Benutzer nicht dem Standard entsprechen.

[UBPAS 10]

Hallo,

 

OK, nochmal mit mehr Details (leider wird das Layout

selbst mit einer Schrift mit fester Breite nicht beibehalten):

 

User AccessRights IsInherited Deny

---- ------------ ----------- ----

NT-AUTORITÄT\SELBST {FullAccess, ReadPermission} False False

<Domain>\Fax {FullAccess, DeleteItem, R... True False

<Domain>\Domänen-Admins {FullAccess} True True

<Domain>\Organisations-... {FullAccess} True True

<Domain>\Organization M... {FullAccess} True True

<Domain>\Administrator {FullAccess} True True

<Domain>\Exchange Servers {FullAccess} True False

NT-AUTORITÄT\SYSTEM {FullAccess} True False

<Domain>\Organization M... {FullAccess, DeleteItem, R... True False

<Domain>\Exchange Trust... {FullAccess, DeleteItem, R... True False

<Domain>\Administrator {FullAccess, DeleteItem, R... True False

<Domain>\Organisations-... {FullAccess, DeleteItem, R... True False

<Domain>\Domänen-Admins {FullAccess, DeleteItem, R... True False

 

Grüße, Uwe

[RobertWi 81]

Moin,

 

(Du könntest das Code einfügen, dann sollte die festen Spalten erhalten bleiben):

 

 

also nicht Standard ist:

Fax -> vererbt

Administrator -> vererbt

 

Fax soll nach Deiner Aussage oben ein Benutzer sein, merkwürdig, dass der vererbt ist. Sollte Fax eine Gruppe sein und die Leute wären darin Mitglied, würde das einiges erklären.

 

Sonst ist das nichts besonderes dabei. Die Benutzer sind nicht Mitglieder der Dom- oder Enterprise-Admins?

[UBPAS 10]

Mahlzeit!

 

Also "Fax" ist ein Benutzer und nicht in der Gruppe der Domänen-Admins.

Die Gruppe "Enterprise-Admins" existiert hier nicht...

 

Grüße, Uwe

 

PS: wie lautet der Code für die feste Breite?

[RobertWi 81]

Enterprise-Admins heißt in deutsche "Organisations Administatoren" und ist die Gruppe in AD mit den meisten Berechtigungen. ;)

 

Ein wenig verwundert mich, dass die Leute das zusätzliche Postfach in Outlook automatisch bekommen.

[UBPAS 10]

Hallo,

 

> Enterprise-Admins heißt in deutsche "Organisations Administatoren"

> und ist die Gruppe in AD mit den meisten Berechtigungen.

 

Aaahh - OK.

Bei den "Organisations-Admins" ist nur ein Benutzer eingetragen.

 

> Ein wenig verwundert mich, dass die Leute das zusätzliche

> Postfach in Outlook automatisch bekommen.

 

Dafür sorgt das "Auto Mapping" Feature aus dem SP1:

ntSystems | info.tech | Shared Mailboxes und Auto Mapping E14 Sp1

 

Von wo vererbt denn Exchange die Rechte - was ist das Parent-Element?

 

Grüße, Uwe

[RobertWi 81]

Moin,

 

Vererbung für Vollzugriff kann es nicht sein, Du hast ja keine Einträge, die da nicht hingehören. Gäbe es eine Vererbung, würde man die in der obigen Liste sehen.

 

Automapping kann auch nicht greifen, denn das gibt es nur bei Benutzern, nicht bei Gruppen. Und der Eintrag wird nur in dem Augenblick erzeugt, wo Du Vollzugriff einträgst, nicht beim Anlegen neuer Konten. Daher wundert es mich ja so, dass neu angelegte Postfächer plötzlich ohne explizites Vollzugriff-Vergeben in Outlook stehen. Vollzugriff kann über Vererbung kommen, aber nicht Automapping.

 

Oder stimmt Deine Beschreibung oben nicht?!

 

Als könnte noch SendAs / ReceiveAs falsch gesetzt sein. Leider kommen wir über die Shell nicht einfach an die dedizierten Rechte, aber für den Überblick:

 

Get-Mailbox NEUE_MAILBOX | Get-ADPermission | Where-Object { $_.AccessRights -like "*extendedright*" } | ft User,*Inherit*

[UBPAS 10]

Hallo,

 

ich habe heute einen Test-Benutzer etliche Male im AD neu angelegt

und danach wieder gelöscht.

 

> Vererbung für Vollzugriff kann es nicht sein, Du hast ja keine Einträge,

> die da nicht hingehören. Gäbe es eine Vererbung, würde man die in

> der obigen Liste sehen.

 

Doch ich glaube schon, dass es die ist. Es werden Einträge vererbt,

die nicht standardmäßig da sein sollten (z.B. der Benutzer "Fax").

 

> Automapping kann auch nicht greifen, denn das gibt es nur bei Benutzern,

> nicht bei Gruppen. Und der Eintrag wird nur in dem Augenblick erzeugt, wo

> Du Vollzugriff einträgst, nicht beim Anlegen neuer Konten. Daher wundert es

> mich ja so, dass neu angelegte Postfächer plötzlich ohne explizites

> Vollzugriff-Vergeben in Outlook stehen.

 

Doch das leuchtet mir schon ein. Sobald die Vollzugriffs-Rechte gesetzt

werden, wird auch das AD-Property msExchDelegateListLink automatisch

geändert.

 

> Vollzugriff kann über Vererbung kommen, aber nicht Automapping.

 

Sehe ich auch so.

 

Die Ausgabe von

"Get-Mailbox NEUE_MAILBOX | Get-ADPermission | Where-Object { $_.AccessRights -like "*extendedright*" } | ft User,*Inherit*"

sieht ziemlich seltsam aus:

 

[font="Lucida Console"]User                          InheritedObjectType                         InheritanceType                   IsInherited
----                          -------------------                         ---------------                   -----------
Jeder                                                                                None                         False
NT-AUTORITÄT\SELBST                                                                  None                         False
NT-AUTORITÄT\SELBST                                                                  None                         False
NT-AUTORITÄT\SELBST                                                                  None                         False
S-1-5-21-1192386821-343697... User                                                    All                          True
S-1-5-21-1192386821-343697... User                                                    All                          True
S-1-5-21-1192386821-343697... User                                                    All                          True
<Domain>\Exchange Windo... User                                                       All                          True
S-1-5-21-1192386821-343697... User                                                    All                          True
S-1-5-21-1192386821-343697... User                                                    All                          True
S-1-5-21-1192386821-343697... User                                                    All                          True
S-1-5-21-1192386821-343697... User                                                    All                          True
S-1-5-21-1192386821-343697... User                                                    All                          True
<Domain>\Exchange Windo... User                                                       All                          True
S-1-5-21-1192386821-343697... User                                                    All                          True
S-1-5-21-1192386821-343697... User                                                    All                          True
NT-AUTORITÄT\SELBST                                                                   All                          True
VORDEFINIERT\Administratoren                                                          All                          True[/font]

 

Gut, es gibt einige verwaiste SIDs von ehemaligen Exchange-Konten, weil

der Exchange-Server ohne vorherigen Uninstall etliche Male neu installiert wurde...

 

Grüße, Uwe

[UBPAS 10]

Hallo,

 

ich glaub' ich hab's. Was gibt denn bei Dir ein

get-adpermission "Mailbox Database ..." aus?

 

Grüße, Uwe

[RobertWi 81]

Sehr viel.

 

Du kannst Dir aber mal die Datenbank mit ADSIEdit anschauen und dort die Sicherheitsberechtigungen ansehen. Du muss nach Recive-As suchen, dass wirkt später im Postfach als Vollzugriff. Allerdings hast Du oben bei "Get-ADPermission" keine merkwürdigen Einträge, aus die alten SIDs.

 

(erklärt aber immer noch nicht das merkwürdige Automapping)

[UBPAS 10]

Hallo,

 

wie kann man sich mit dem ADSI-Editor die Datenbank ansehen?

Meinst Du vielleicht ExFolders? Das wirft bei mir eine Exception, sobald

ich versuche den Property-Editor vom "Mailboxes"-Element zu öffnen.

 

Grüße, Uwe

[RobertWi 81]

Moin,

 

nicht IN die Datenbank, sondern das AD-Objekt der Datenbank.

 

Findest Du hier (von hinten nach vorne durch ADSIEdit durchgehen:

CN=NAME DER DATENBANK,CN=Databases,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=NAME_ADMIN_GRUPPE,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=sm-rw,DC=local