Anmeldung verweigert & PW geändert, trotzdem Zugriff per Outlook Anywhere möglich

[toasti 11]

Schönen guten morgen,

 

gestern hatten wir einen komischen Fall:

 

Mitarbeiter entlassen worden > wir im AD die Anmeldung verweigert (per Anmeldezeit; 24h Anmeldung verweigern) da noch keine Mail-Umleitung drin war und daher nicht einfach das Konto deaktivieren konnten.

 

Der entsprechende Kollege konnte wohl sein Outlook noch den gesamten Vormittag per Outlook Anywhere nutzen.

Nach dieser Info habe ich noch das Kennwort geändert und ihm alle möglichen Features im Exchange deaktiviert. Ging immer noch einige Stunden.

Dann heute morgen sofort User deaktiviert, da die Umleitung mittlerweile drin war.

 

Wir hatten das selbe schon mal mit einem iPhone User: Passwortwechsel am Rechner vollzogen, das iPhone hat noch fleißig weiter E-Mails synchronisiert, den ganzen Nachmittag lang.

 

Wie kann sowas sein?

 

Werden da irgendwo die Credentials zwischengecached??

Das der Exchange Einstellungen zwischenspeichert und erst später umsetzt ist klar, aber auch solche Änderungen?

 

 

Ich bin mir sicher jemand von euch kann mir da weiterhelfen.

Vielen, vielen Dank im Voraus.

bearbeitet 7. August 2014 von toasti

[NorbertFe 2.041]

Ja, Exchange speichert auch die Anmeldeinfo und solange die Session noch besteht...

[toasti 11]

d.h. ich kann bei einer laufenden Session tun was ich möchte und der Zugriff besteht weiterhin?

 

Per "Get-logonstatistics" habe ich gestern dann geprüft wann die Anmeldung war und die war tatsächlich am Vortag und hat bis gestern bestanden.

 

Was kann man da im besten Fall tun, Sessiion zurücksetzen?

bearbeitet 7. August 2014 von toasti

[NorbertFe 2.041]

Exchange booten. ;) Preauth an der Firewall und dort den Zugriff verweigern, Rechtzeitig den Ablauf des Kontos definieren... Wären jetzt einige Punkte.

bearbeitet 7. August 2014 von NorbertFe

[RobertWi 81]

IMHO wird nur "deaktivieren" sofort umgesetzt. PW Änderung, Zeit- oder Computer-Einschränkungen können dauern, die merkt sich der CAS.

 

Warum hast Du das Konto nicht deaktiviert? Weiterleitungen und Zugriff kann der Exchange Admin auch bei deaktivierten Konten problemlos einrichten.

[toasti 11]

Natürlich kann ich auch bei deaktiviertem Konto die Weiterleitung konfigurieren, aber dann kommen die Mails eben nicht mehr an - und das wollte ich daher vermeiden.

 

OK, also werden wir in Zukunft direkt deaktivieren.

 

Seltsam war allerdings, dass ich den Zugriff auf Webmail mit dem Konto nach der Verweigerung der Anmeldung getestet habe und es sofort gezogen hat. Keine Anmeldung möglich. Per Outlook Anywhere gings wohl aber noch.

[NorbertFe 2.041]

Natürlich kann ich auch bei deaktiviertem Konto die Weiterleitung konfigurieren, aber dann kommen die Mails eben nicht mehr an - und das wollte ich daher vermeiden.

Wieso sollten die nicht ankommen? Ein deaktiviertes Konto nimmt genauso Mails an wie ein aktiviertes. Du sollst das Konto deaktivieren und nicht die Mailbox. ;)

 

Bye

Norbert

[toasti 11]

Wieso sollten die nicht ankommen? Ein deaktiviertes Konto nimmt genauso Mails an wie ein aktiviertes. Du sollst das Konto deaktivieren und nicht die Mailbox. ;)

 

Bye

Norbert

 

ÄH??

Hat sich da was im Gegensatz zu Exchange 2003 geändert?

Wir hatten so einen Fall nämlich mal, da wurde nur das AD-Konto deaktiviert, kein Postfach und es kam keine Mail mehr an!

Gestern Abend habe ich genau das auch nochmal wo gelesen. Erst mit der Umleitung kommen noch Mails durch...

 

Vielleicht habe ich aber auch ein Knoten im Hirn oder das waren lauter falsche Infos im Netz...

 

Edit: Ja, unter 2003 war es noch so... www.msxfaq.de/admin/disabledaccount.htm

Sorry, dann habe ich das nicht gewusst.

bearbeitet 7. August 2014 von toasti

[NorbertFe 2.041]

ÄH??

Hat sich da was im Gegensatz zu Exchange 2003 geändert?

Wir hatten so einen Fall nämlich mal, da wurde nur das AD-Konto deaktiviert, kein Postfach und es kam keine Mail mehr an!

Der Fall muß dann deutlich vor SP2 des Exchange 2003 stattgefunden haben. Schön, wie sich solche Erfahrungen dann ohne Rückversicherung automatisch auf neue Versionen übertragen. ;)

 

 

Edit: Ja, unter 2003 war es noch so... www.msxfaq.de/admin/disabledaccount.htm

Sorry, dann habe ich das nicht gewusst.

;)

[RobertWi 81]

Seit Exchange 2003 hat sich viel geändert -> Exchange 2007, Exchange 2010, Exchange 2013.

 

Das von Dir erwähnte Problem des fehlenden "zugeordneten externen Kontos" ist schon lange keines mehr.

 

Edit:

Und ich sehe gerade, dass die beste Lösung in Franks Artikel nur an letzte Stelle steht. Einfach das "zugeordnet externe Konto" mit "Selbst" füllen, dann konnte man auch bei 2003 ein Konto deaktivieren.

bearbeitet 7. August 2014 von RobertWi

[Daniel -MSFT- 129]

Seltsam war allerdings, dass ich den Zugriff auf Webmail mit dem Konto nach der Verweigerung der Anmeldung getestet habe und es sofort gezogen hat. Keine Anmeldung möglich. Per Outlook Anywhere gings wohl aber noch.

 

Weil hier an der Stelle eine erneute Anmeldung erfolgt und nicht eine bestehende Session genutzt wird. Outlook Anywhere ging ja auch nur, weil der Mitarbeiter die Session schon auf hatte, bevor Du ihn deaktiviert hattest.

[Doso 77]

ÄH??

Hat sich da was im Gegensatz zu Exchange 2003 geändert?

Wir hatten so einen Fall nämlich mal, da wurde nur das AD-Konto deaktiviert, kein Postfach und es kam keine Mail mehr an!

 

Kann ich so nicht bestätigen. Wir haben hier viele geteilte Postfächer, die sind alle deaktiviert und dann bei den entsprechenden Bearbeitern zusätzlich eingebunden. Das hat sowohl unter Exchange 2003 als auch unter 2010 funktioniert. Es werden E-Mails zugestellt, es gehen auch OOF Replys raus. Kann sich halt niemand direkt mit dem Konto anmelden, aber das stört Exchange nicht.

[NorbertFe 2.041]

Das kann man bestätigen, wenn man einen bestimmten Hotfix in Exchange 2003 _nicht_ installiert hatte, oder nach SP2 einen bestimmten Hotfix installiert hatte. ;)

[toasti 11]

Naja, wisst ihr, wenn sich ein bestimmter Workaround eingespielt hat - dann ändert man so schnell nichts daran so lange es funktioniert. :rolleyes:

Aber ich habe heute in Sachen Exchange mal wieder dazu gelernt und das ist gut so.

 

Danke euch allen. :thumb1:

[Doso 77]

Du arbeitest also gerne mit kaputter Software? Nichts anderes hast du, wenn du nicht regelmäßig Updates einspielst...