2010 - Discoverysuchpostfach kein Zugriff auf ECP

[michelo82 12]

Guten Morgen,

 

ich habe mir mittels

new-mailbox -discovery  search

ein neues Discoverysuchpostfach angelegt. Die kürzere Schreibweise macht die Handhabung in der Shell etwas einfacher ;) Der Benutzer Search ist Mitglied in der Gruppe Discovery Management und ist im AD aktiviert.

 

Leider habe ich aber keinen Zugriff auf das ECP. Es erscheint die Meldung:

Zugriff verweigert

Sie sind nicht zum Öffnen dieser Seite berechtigt. Wenn Sie ein neuer Benutzer sind oder Ihnen die Anmeldeinformationen erst kürzlich zugewiesen wurden, warten Sie 15 Minuten, und wiederholen Sie den Vorgang.

 

Im Eventlog:

Protokollname: Application
Quelle:        MSExchange Control Panel
Datum:         15.05.2012 09:05:31
Ereignis-ID:   4
Aufgabenkategorie:Allgemein
Ebene:         Fehler
Schlüsselwörter:Klassisch
Benutzer:      Nicht zutreffend
Computer:      exchange01.meine-firma.org
Beschreibung:
Aktueller Benutzer: 'meine-firma.org/Users/search'
Fehler bei der Anforderung von URL 'https://exchange01/ecp/default.aspx':
Microsoft.Exchange.Configuration.Authorization.CmdletAccessDeniedException: 'meine-firma.org/Users/search' konnte sich nicht als dieser Benutzer anmelden, weil die Rolle "MyBaseOptions" nicht dem Benutzer zugewiesen ist.
  bei Microsoft.Exchange.Management.ControlPanel.LocalSession.ThrowIfUserIsMailboxButNoMyBaseOptions()
  bei Microsoft.Exchange.Management.ControlPanel.LocalSession.RequestReceived()
  bei Microsoft.Exchange.Management.ControlPanel.RbacModule.Application_PostAuthenticateRequest(Object sender, EventArgs e)
  bei System.Web.HttpApplication.SyncEventExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute()
  bei System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously)

Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
 <System>
   <Provider Name="MSExchange Control Panel" />
   <EventID Qualifiers="49152">4</EventID>
   <Level>2</Level>
   <Task>1</Task>
   <Keywords>0x80000000000000</Keywords>
   <TimeCreated SystemTime="2012-05-15T07:05:31.000000000Z" />
   <EventRecordID>9709751</EventRecordID>
   <Channel>Application</Channel>
   <Computer>exchange01.meine-firma.org</Computer>
   <Security />
 </System>
 <EventData>
   <Data>meine-firma.org/Users/search</Data>
   <Data>https://exchange01/ecp/default.aspx</Data>
   <Data>Microsoft.Exchange.Configuration.Authorization.CmdletAccessDeniedException: 'meine-firma.org/Users/search' konnte sich nicht als dieser Benutzer anmelden, weil die Rolle "MyBaseOptions" nicht dem Benutzer zugewiesen ist.
  bei Microsoft.Exchange.Management.ControlPanel.LocalSession.ThrowIfUserIsMailboxButNoMyBaseOptions()
  bei Microsoft.Exchange.Management.ControlPanel.LocalSession.RequestReceived()
  bei Microsoft.Exchange.Management.ControlPanel.RbacModule.Application_PostAuthenticateRequest(Object sender, EventArgs e)
  bei System.Web.HttpApplication.SyncEventExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute()
  bei System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously)
</Data>
 </EventData>
</Event>

 

Wie und wo kann ich die Rolle MyBaseOptions zuordnen?

[RobertWi 81]

Moin,

 

kannst Du denn das Postfach selbst über OWA oder Outlook öffnen?

 

Was sagt "Get-Mailbox search| fl *role*"?

[michelo82 12]

Moin,

 

kannst Du denn das Postfach selbst über OWA oder Outlook öffnen?

Ja, das funktioniert.

Was sagt "Get-Mailbox search| fl *role*"?

[PS] C:\Windows\system32>Get-Mailbox search| fl *role*


RoleAssignmentPolicy :

[RobertWi 81]

Moin,

 

dann werden wir bei der Policy wohl den Fehlerfall haben (ohne ihn erklären zu können).

 

Korrektur sollte mit

 

set-mailbox search -RoleAssignmentPolicy "Default Role Assignment Policy"

 

möglich sein. Zumindest ist das die Standard-Richtlinie auf meinen Servern.

[michelo82 12]

Siehe da ;) :

[PS] C:\Windows\system32>Get-Mailbox search| fl *role*


RoleAssignmentPolicy : Default Role Assignment Policy

 

ECP Zugriff geht. Na vielen Dank!