Get-Mailbox nicht alle Postfächer zeigen

[AleksM 0]

Hallo.

Ich habe ein test Exchange 2013 SP1 CU8. Scheint, dass alles funktioniert gut. Benutzer können über OWA anmelden, E-Mails miteinander senden.
In ECP i sehe alle 50 Mailboxen. In Powershell - nur eine! Warum? wie kann ich es fixen?
 

[PS] C:\>Get-Mailbox
Name                      Alias                ServerName       ProhibitSendQuota
----                      -----                ----------       -----------------
User 1                    User 1               ex1              Unlimited

[PS] C:\>Get-MailboxDatabase
Name                           Server          Recovery        ReplicationType
----                           ------          --------        ---------------
Mailbox Database 1363112588    EX1             False           None
base1                          EX1             False           None
all                            EX1             False           None

User 1 zu "all" gehört.

Wie kann ich es fixen?

Danke!

[Doso 77]

https://technet.microsoft.com/de-de/library/bb123685%28v=exchg.150%29.aspx

 

Richtige Parameter verwenden, also ggf. resultsize und datenbank angeben.

[AleksM 0]

https://technet.microsoft.com/de-de/library/bb123685%28v=exchg.150%29.aspx

 

Richtige Parameter verwenden, also ggf. resultsize und datenbank angeben.

als domain\Administrator funktioniert alles ohne zusätzliche Parameter.

Jetzt habe ich ein Fehler bekommen:

[PS] C:\>Get-MailboxDatabase | Get-Mailbox
Some of the parameters specified with the "Get-Mailbox" cmdlet aren't present in the role definition for the current user. Check the management
roles assigned to you, and try again.
    + CategoryInfo          : PermissionDenied: (:) [Get-Mailbox], CmdletAccessDeniedException
    + FullyQualifiedErrorId : [Server=EX1,RequestId=8f4353bc-70b8-4002-9aae-a6be740e801d,TimeStamp=12.05.2015 14:28:28] [FailureCategory=Cmdlet-Cmdl
   etAccessDeniedException] 98B25FB9,Microsoft.Exchange.Management.RecipientTasks.GetMailbox
    + PSComputerName        : ex1.domain.internal

ich habe Rechte verglichen:

[PS] C:\>Get-ADUser -Identity aleks -Properties memberof | Select-Object MemberOf

MemberOf : {
CN=import,OU=Microsoft Exchange Security Groups,DC=domain,DC=internal,
CN=Server Management,OU=Microsoft Exchange Security Groups,DC=domain,DC=internal,
CN=Recipient Management,OU=Microsoft Exchange Security Groups,DC=domain,DC=internal,
CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=domain,DC=internal,
CN=Domain Admins,CN=Users,DC=domain,DC=internal,
CN=Enterprise Admins,CN=Users,DC=domain,DC=internal,
CN=Schema Admins,CN=Users,DC=domain,DC=internal
}

[PS] C:\>Get-ADUser -Identity administrator -Properties memberof | Select-Object MemberOf

MemberOf : {
CN=import,OU=Microsoft Exchange Security Groups,DC=domain,DC=internal,
CN=Server Management,OU=Microsoft Exchange Security Groups,DC=domain,DC=internal,
CN=Recipient Management,OU=Microsoft Exchange Security Groups,DC=domain,DC=internal,
CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=domain,DC=internal,
CN=Group Policy Creator Owners,CN=Users,DC=domain,DC=internal,
CN=Domain Admins,CN=Users,DC=domain,DC=internal,
CN=Enterprise Admins,CN=Users,DC=domain,DC=internal,
CN=Schema Admins,CN=Users,DC=domain,DC=internal,
CN=Administrators,CN=Builtin,DC=domain,DC=internal
}

Unterschied ist nur zwei Gruppen, die nicht beeinflussen müssen

[testperson 1.759]

Hi,

 

du führst die Exchange Shell mit erhöhten Rechten aus?

 

Gruß

Jan

[tesso 377]

Du suchst an der falschen Stelle. Gemeint ist nicht die Mitgliedschaft in Sicherheitsgruppen, sondern RBAC (Role Based Access Control). Exchange hat eine eigene Rechteverwaltung.

Der User mit dem du testest hat über RBAC nicht genügend Rechte, um die CMDLets auszuführen.

bearbeitet 13. Mai 2015 von tesso

[NorbertFe 2.168]

Wobei rbac im Endeffekt auch nur noch Gruppen im ad sind. ;) an die werden dann die entsprechenden Berechtigungen vergeben.

[tesso 377]

Wobei rbac im Endeffekt auch nur noch Gruppen im ad sind. an die werden dann die entsprechenden Berechtigungen vergeben.

 

Einige Berechtigungen sind als Gruppen abgebildet, das stimmt. Die über 70 Management Roles (?), sind nicht alle im AD abgebildet.

[NorbertFe 2.168]

Die Management roles sind allerdings entweder Sicherheitsgruppen zugewiesen, oder nicht. oder seh ich was falsch? ;)

[tesso 377]

Nicht unbedingt. Welcher Sicherheitsgruppe entspricht "Mailbox Import Export"?

[NorbertFe 2.168]

Die ist nicht zugewiesen und muss erst einer Gruppe zugewiesen werden damit sie verwendet werden kann. ;)

[tesso 377]

Und wenn wir noch "split permissions" hinzunehmen?

AD-Gruppen haben nicht notwendigerweise etwas mit RBAC Berechtigungen zu tun.

[NorbertFe 2.168]

Ich weiß, aber das dürfte hier im Forum so ziemlich selten auftauchen würde ich behaupten. :)

[AleksM 0]

Hi,

 

du führst die Exchange Shell mit erhöhten Rechten aus?

 

Gruß

Jan

ja

 

Welcher Sicherheitsgruppe entspricht "Mailbox Import Export"?

in meinen Fall - CN=import,OU=Microsoft Exchange Security Groups,DC=domain,DC=internal,

[AleksM 0]

als habe ich normal PowerShell geöffnet und diese Cmdlet ausgeführt:

$UserCredential = Get-Credential

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri http://ex1/PowerShell/ -Authentication Kerberos -Credential $UserCredential

Import-PSSession $Session

Get-Mailbox

dann alles funktioniert. Was los mit den PowerShell für Exchange?

[tesso 377]

Welchen User hast du bei Get-Credential benutzt?