Jetter 11 Geschrieben 10. Januar 2019 Melden Teilen Geschrieben 10. Januar 2019 (bearbeitet) Hallo, bei der Durchsicht unsere Postfachberechtigungen ist aufgefallen das ein User "S-1-5-21-2830485571-536432520-3136091751-1205" Vollzugriff auf alle Postfächer hat. Es scheint sich hierbei ja um ein gelöschtes Konto zu handeln. Wenn ich aber versuche diesen bei einem User zu entfernen dann kommt folgende Meldung, zur Vollständigkeit den kompletten Vorgang: [PS] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Exchange Server 2013>Remove-MailboxPermission -Identity aduser -User "S-1-5-21-2830485571-536432520-3136091751-1205" -AccessRights FullAccess Bestätigung Möchten Sie diese Aktion wirklich ausführen? Die Postfachberechtigung 'aduser' für den Benutzer 'S-1-5-21-2830485571-536432520-3136091751-1205' mit AccessRights ''FullAccess'' wird entfernt. [J] Ja [A] Ja, alle [N] Nein [K] Nein, keine [?] Hilfe (Standard ist "J"): J WARNUNG: Ein geerbter Steuerungslisteneintrag wurde angegeben: [Rights: CreateChild, ControlType: Allow] und für Objekt "CN=aduser,OU=Benutzer,OU=Domain,DC=Domain,DC=loc" ignoriert. Ich finde aber nicht heraus woher die Vererbung kommen soll...in der AD war der zwar noch eingetragen, dort habe ich diesen aber gestern entfernt, und auch heute geprüft das dieser nicht wieder da ist. Gruß, Jörg bearbeitet 10. Januar 2019 von Jetter Zitieren Link zu diesem Kommentar
testperson 1.680 Geschrieben 10. Januar 2019 Melden Teilen Geschrieben 10. Januar 2019 Hi, eine Möglichkeit wäre, das die Vererbung über eine Berechtigung auf der Datenbank kommt. Prüfe mal, ob du was mit folgendem Befehl findest. Get-MailboxDatabase | Get-ADPermission | ? User -like "S-*" Gruß Jan Zitieren Link zu diesem Kommentar
Jetter 11 Geschrieben 10. Januar 2019 Autor Melden Teilen Geschrieben 10. Januar 2019 Hallo, genau diesen Befehl habe ich gesucht ;) Die Ausgabe ist wie folgt: --- [PS] C:\Windows\system32>Get-MailboxDatabase | Get-ADPermission | ? User -like "S-*" Identity User Deny Inherited -------- ---- ---- --------- MailboxDB S-1-5-21-28304855... False False MailboxDB S-1-5-21-28304855... False False [PS] C:\Windows\system32>Get-MailboxDatabase | Get-ADPermission | ? User -like "S-*" | fl User : S-1-5-21-2830485571-536432520-3136091751-1205 Identity : MailboxDB Deny : False AccessRights : {ExtendedRight} IsInherited : False Properties : ChildObjectTypes : InheritedObjectType : InheritanceType : All User : S-1-5-21-2830485571-536432520-3136091751-1205 Identity : MailboxDB Deny : False AccessRights : {ExtendedRight} IsInherited : False Properties : ChildObjectTypes : InheritedObjectType : InheritanceType : All --- Was mich aber jetzt stutzig macht, ist das anscheinend nur dieser besagte User Rechte auf die DB hat, wenn ich die jetzt entferne, wäre die Liste ja leer...? Was auch komisch ist, ist das der User quasi 2x die gleichen Rechte hat...? Kann das denn richtig sein? Gruß, Jörg Zitieren Link zu diesem Kommentar
testperson 1.680 Geschrieben 10. Januar 2019 Melden Teilen Geschrieben 10. Januar 2019 vor 25 Minuten schrieb Jetter: Was mich aber jetzt stutzig macht, ist das anscheinend nur dieser besagte User Rechte auf die DB hat, wenn ich die jetzt entferne, wäre die Liste ja leer...? Es wird ja auch nur auf User gefiltert die mit "S-*" anfangen. Die restlichen User existieren halt einfach noch, sodass nicht die verwaiste SID angezeigt wird. Lass doch einfach mal "| ? User -like "S-*"" am Ende weg. ;) Die erweiterten Rechte sollten dir angezeigt werden mit mit "fl *" oder eben mit Get-MailboxDatabase | Get-ADPermission | ? User -like "S-*" | fl Identity, User, ExtendedRights, AccessRights Evtl. solltest du aber auch mal in dich gehen und prüfen, warum da ein User auf die DB berechtigt war. Gab es mal einen Black Berry Server o.ä wo sowas vllt. gewollt war / ist. Zitieren Link zu diesem Kommentar
Jetter 11 Geschrieben 10. Januar 2019 Autor Melden Teilen Geschrieben 10. Januar 2019 Hallo, du hast natürlich vollkommen recht, bei der Anzeige werden ja nur die "S-*" User angezeigt. Da war ich zu schnell mit meiner Antwort, und kurz bevor du geantwortest hast dachte ich noch...es könnte der alte besadmin sein ;) Ich werde das morgen dann mal angehen...ich denke das sollte nun kein Problem mehr sein. Gruß, Jörg Zitieren Link zu diesem Kommentar
Jetter 11 Geschrieben 11. Januar 2019 Autor Melden Teilen Geschrieben 11. Januar 2019 Moin, ich konnte nun die Berechtigung auf die Postfach Datenbank entfernen. Musste dieses allerdings per ADSIEdit machen. Nun habe ich nur noch das Problem das bei einem User dieser gelöschte Account extra Rechte hat: --- RunspaceId : 2b34482e-3fbd-46f1-9256-cd3f42941034 AccessRights : {FullAccess} Deny : True InheritanceType : All User : S-1-5-21-2830485571-536432520-3136091751-1205 Identity : DOMAIN.loc/DOMAIN/Benutzer/USER IsInherited : False IsValid : True ObjectState : Unchanged --- Wenn ich versuche die zu entfernen bekomme ich aber eine Fehlermeldung: --- [PS] C:\Windows\system32>remove-MailboxPermission -Identity USER -User S-1-5-21-2830485571-536432520-313 6091751-1205 -AccessRights FullAccess Bestätigung Möchten Sie diese Aktion wirklich ausführen? Die Postfachberechtigung 'USER' für den Benutzer 'S-1-5-21-2830485571-536432520-3136091751-1205' mit AccessRights ''FullAccess'' wird entfernt. [J] Ja [A] Ja, alle [N] Nein [K] Nein, keine [?] Hilfe (Standard ist "J"): WARNUNG: Der Zugriffssteuerungseintrag für das Objekt "CN=USER,OU=Benutzer,OU=DOMAIN,DC=DOMAIN,DC=loc" für Konto "S-1-5-21-2830485571-536432520-3136091751-1205" kann nicht entfernt werden, da er nicht vorhanden ist. --- Gruß, Jörg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.