Exchange 2019 - Administrator hat Datenbank Vollzugriff

[Dutch_OnE 39]

Guten Morgen,

hat jemand eine Idee zu folgender Frage?

 

Ich habe mir alle Vollzugriffe anzeigen lassen und festgestellt, dass der Administrator Account auf ca. 50 Prozent aller Postfächer Vollzugriff hat. Wenn ich diese über den Befehl:

 

Remove-MailboxPermission -Identity "Technik" -User "Administrator" -AccessRights FullAccess -InheritanceType All

 

entfernen möchte kommt die Meldung:

WARNUNG: Ein geerbter Steuerungslisteneintrag wurde angegeben: [Rights: CreateChild, Delete, ReadControl, WriteDacl, WriteOwner, ControlType: Allow] und für
Objekt "..." ignoriert.

 

Ich habe dann über den Befehl:

 

Get-MailboxDatabase | Get-ADPermission | ? User -like "***"

 

Ergebnis:

 

Identity             User                 Deny  Inherited
--------             ----                 ----  ---------
MailboxDB2020        Administrator    True  True
MailboxDB2020        Administrator    True  True
MailboxDB2020        Administrator    False True

 

Vermutlich kommt das von eine alten Backup Software, die damals alle Postfächer als PST gesichert hat. Kann mir jemand einen Befehl nennen, wie ich die Administrator Berechtigung aus der Datenbank rausbekomme?

Hätte das dann Auswirkungen auf die GUI vom Exchange Admin Center?

 

Gruß DO

 

[Dutch_OnE 39]

Im ADSI-Editor kann ich erkennen, dass der Administrator Vollzugriff auf die Datenbank hat. Ich bin mir aber nicht sicher, ob dass so sinnvoll ist und sein sollte.

[cj_berlin 1.406]

Moin,

wenn Postfachinhalte mit 3rd-Party-Tools migriert wurden, könnte das ein Überbleibsel davon sein. Definitiv so nicht vorgesehen.

Ganz zu schweigen davon, dass man mit dem RID500-Administrator grundsätzlich nicht arbeiten sollte. 

[Dutch_OnE 39]

Ich überlege den Administrator da zu entfernen. Bin mir nur halt nicht sicher, was das für Auswirkungen haben könnte

[cj_berlin 1.406]

Der Administrator hätte dann keinen Zugriff mehr auf die Inhalte in diesen Datenbanken  Hätte er bei einem frisch installierten System auch nicht.

[Dutch_OnE 39]

Habe ich auch gerade gesehen, dass diese Einstellung in einem frischen System ebenfalls vorhanden ist. Ich suche nun nach einem Weg von den betroffenen Postfächern den Admin Vollzugriff zu entfernen.

 

Folgendes funktioniert halt alles nicht:

 

Remove the Permissions per level with

Get-MailBoxPermission Domain\UserName | Remove-ADPermission

Get-MailboxDatabase | Get-ADPermission -User Domain\UserName | Remove-ADPermission

Get-ExchangeServer | Get-ADPermission -User Domain\UserName | Remove-ADPermission

Get-OrganizationConfig | Get-ADPermission -User Domain\UserName | Remove-ADPermission

Das hier ist genau das Problem.

 

https://vanbrenk.blogspot.com/2019/06/removing-accessrights-warning-inherited.html

Und warum steht er nur in einigen als Vollzugriff und nicht in allen?

Ich breche an der Stelle jetzt ab, da ich mich nicht mehr traue, härtere Maßnahmen durchzuführen. Bei neuen Mailboxen ist die Berechtigung nicht mehr vorhanden. Daher wird das mit jedem Usertausch zwangsläufig immer weniger.

[NorbertFe 2.158]

Bei alten Installationen (2000, 2003 -2010) war das oft der Fall, weil 1. die Verweigerung ganz oben entfernt wurde oder 2. auf org Ebene dann der Datenbankzugriff hinzugefügt wurde. Meist im Rahmen von Blackberry oder Archivierungslösungen. Später kam dann erst impersonation.

[Dutch_OnE 39]

Alles klar. Es war eine Migration vom SBS2011.