Alith Anar 40 Geschrieben 23. November 2014 Melden Teilen Geschrieben 23. November 2014 Hallo ich habe hier einen Benutzer des Postfach (User1) das immer beim AdminAccount eingebunden wird. Gucke ich mir in der GUI das Postfach von User1 an, sind keine FullAccess Rechte gesetzt. Laut ADSIEdit ist auch msexchdelegateListLink leer Gucke ich mir das Postfach jedoch per Powershell an finde ich folgende Einstellung: Get-MailboxPermission User1 Identity User AccessRights IsInherited Deny -------- ---- ------------ ----------- ---- DOMAIN.local/MyBu... DOMAIN\ADMIN {FullAccess} False True DOMAIN.local/MyBu... NT-AUTORITÄT\SELBST {FullAccess, ReadPermission} False False DOMAIN.local/MyBu... DOMAIN\Domänen-Ad... {FullAccess} True True DOMAIN.local/MyBu... DOMAIN\Organisati... {FullAccess} True True DOMAIN.local/MyBu... DOMAIN\Organizati... {FullAccess} True True DOMAIN.local/MyBu... DOMAIN\ADMIN {FullAccess} True True DOMAIN.local/MyBu... DOMAIN\Administrator {FullAccess} True True DOMAIN.local/MyBu... DOMAIN\Exchange S... {FullAccess} True False DOMAIN.local/MyBu... DOMAIN\Organizati... {ReadPermission} True False DOMAIN.local/MyBu... DOMAIN\Public Fol... {ReadPermission} True False DOMAIN.local/MyBu... NT-AUTORITÄT\NETZ... {ReadPermission} True False DOMAIN.local/MyBu... NT-AUTORITÄT\SYSTEM {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False DOMAIN.local/MyBu... DOMAIN\Exchange S... {ReadPermission} True False DOMAIN.local/MyBu... DOMAIN\Delegated ... {ReadPermission} True False DOMAIN.local/MyBu... DOMAIN\Organizati... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False DOMAIN.local/MyBu... DOMAIN\Exchange T... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False DOMAIN.local/MyBu... DOMAIN\ADMIN {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False DOMAIN.local/MyBu... DOMAIN\Administrator {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False DOMAIN.local/MyBu... DOMAIN\Organisati... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False DOMAIN.local/MyBu... DOMAIN\Domänen-Ad... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False Ein anderes Postfach (selber Server, selbe DB) sieht wie folgt aus: Get-MailboxPermission User2 Identity User AccessRights IsInherited Deny -------- ---- ------------ ----------- ---- DOMAIN.local/MyBu... NT-AUTORITÄT\SELBST {FullAccess, ReadPermission} False False DOMAIN.local/MyBu... DOMAIN\Domänen-Ad... {FullAccess} True True DOMAIN.local/MyBu... DOMAIN\Organisati... {FullAccess} True True DOMAIN.local/MyBu... DOMAIN\Organizati... {FullAccess} True True DOMAIN.local/MyBu... DOMAIN\ADMIN {FullAccess} True True DOMAIN.local/MyBu... DOMAIN\Administrator {FullAccess} True True DOMAIN.local/MyBu... DOMAIN\Exchange S... {FullAccess} True False DOMAIN.local/MyBu... DOMAIN\Organizati... {ReadPermission} True False DOMAIN.local/MyBu... DOMAIN\Public Fol... {ReadPermission} True False DOMAIN.local/MyBu... NT-AUTORITÄT\NETZ... {ReadPermission} True False DOMAIN.local/MyBu... NT-AUTORITÄT\SYSTEM {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False DOMAIN.local/MyBu... DOMAIN\Exchange S... {ReadPermission} True False DOMAIN.local/MyBu... DOMAIN\Delegated ... {ReadPermission} True False DOMAIN.local/MyBu... DOMAIN\Organizati... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False DOMAIN.local/MyBu... DOMAIN\Exchange T... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False DOMAIN.local/MyBu... DOMAIN\ADMIN {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False DOMAIN.local/MyBu... DOMAIN\Administrator {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False DOMAIN.local/MyBu... DOMAIN\Organisati... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False DOMAIN.local/MyBu... DOMAIN\Domänen-Ad... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False Zusätzlich ist also der Eintrag in der ersten Zeile. Wie kann ich den wieder entfernen? Per Powershell erhalte ich den folgenden Fehler, bzw Warnung (ist Gelb). Entfernt wird aber nichts. [PS] C:\Windows\system32>Remove-MailboxPermission -Identity User1 -User ADMIN -AccessRights "fullaccess" -InheritanceType all Bestätigung Möchten Sie diese Aktion wirklich ausführen? Die Postfachberechtigung 'User1' für den Benutzer 'ADMIN' mit AccessRights ''FullAccess'' wird entfernt. [J] Ja [A] Ja, alle [N] Nein [K] Nein, keine [?] Hilfe (Standard ist "J"): WARNUNG: Ein geerbter Steuerungslisteneintrag wurde angegeben: [Rights: CreateChild, Delete, ReadControl, WriteDacl,WriteOwner, ControlType: Allow] und für Objekt "CN=User1,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=DOMAIN,DC=local" ignoriert. In Outlook kann ich mir zwar den Inhalt des Postfaches anschauen, jedoch habe ich als Admin wegen fehlender Berechtigungen keine Möglichkeit mir hier die Berechtigungen anzuschauen. Der Benutzer sieht nur die normalen Anonym und Standard (wie bei Fullaccess üblich) Umgebung ist SBS 2011 mit aktuellem Patchlevel (also Exchange 2010 SP3 + RU7). Danke Thomas Entweder der REmoverequest oder der Mailboxrepairrequest (Als ERgebnis kahm aber nur ein 10048) haben wohl doch was gebracht zumindest ist das PF jetzt weg .... Hat sich also erledigt. Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 23. November 2014 Melden Teilen Geschrieben 23. November 2014 Moin, die Warnung im PowerShell-Befehl kam, weil Du "-InheritanceType all" angegeben hattest. Damit hat der Befehl versuch, BEIDE Berechtigungen zu entfernen, was natürlich bei der vererbten nicht funktioniert. Ansonsten werden Berechtigungen gecacht. Es kann also ein wenig dauern, bis die wirksam werden. Vermutlich hast Du nur wieder die wichtigste Tugend eines Exchange-Admins vergessen: Geduld. :P Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.