blackstar
Goto Top

ADS user ohne Berechtigungen, nur Mailempfang

Active Directory Domänenfunktionsebene & Gesamtstrukturfunktionsebene 2003, DC Windows 2003, Exchange 2010 auf Windows Server 2008R2

Hallo Forum!
Ich bin noch nicht sehr lange Windows-Admin und brauche mal Euren Rat.
Ein gerade in Rente gegangener Mitarbeiter soll in beratender Funktion weiterhin seinen Emailaccount der Firma benutzen dürfen, sonst aber keinerlei Rechte mehr auf Dateien bzw Freigaben haben.
Dass ich mir die Berechtigungen des Benutzers Systemweit nicht so einfach mal eben anzeigen lassen kann, habe ich schon in Erfahrung gebracht. Jede einzelne Datei zu prüfen ist natürlich der aufwendigste Weg und birgt die Gefahr etwas zu übersehen.
meine Frage: Gibt es die Möglichkeit einen Benutzer in einen reinen Mailempfänger umzuwandeln?
Hoffe jemand hat da Erfahrungen und kann mir Tips geben.

Vielen dank schonmal!

Content-ID: 154589

Url: https://administrator.de/forum/ads-user-ohne-berechtigungen-nur-mailempfang-154589.html

Ausgedruckt am: 23.12.2024 um 15:12 Uhr

Skarden
Skarden 08.11.2010 um 17:08:21 Uhr
Goto Top
Hallo,

wenn ich das so richtig verstehe, soll die Mail-Adresse des Users bestehen bleiben und er zu Hause seine Mails bekommen?
Auf jeden Fall nicht in der Firma direkt abrufen.

Es ist vielleicht nicht gerade eine elegante Lösung, aber wenn du dem User das Recht nimmst sich irgendwo anzumelden (im AD unter dem Reiter Konto und dann entweder Anmeldezeiten oder anmelden an bearbeiten) und im Exchange eine Weiterleitung an seine private Mail-Adresse einrichtest.

Gruß

Skarden
it-frosch
it-frosch 08.11.2010 um 19:49:47 Uhr
Goto Top
Hallo Blackstar,

nutzt ihr OWA?
Da kann er seine Emails abfragen und muss keinen Zugriff zum Netzwerk bekommen.
Lege doch eine Gruppe an der der Zugriff auf die Firmendaten verboten wird und stecke ihn dort rein.

grüße vom it-frosch

PS: Ach ja, lokale Adminrechte sollte er natürlich auch nicht bekommen. face-smile
filippg
filippg 08.11.2010 um 20:54:26 Uhr
Goto Top
Hallo,

Nutzer löschen und neu anlegen. Dann weiß man, wo man dran ist.

Gruß

Filipp
Xaero1982
Xaero1982 09.11.2010 um 23:58:43 Uhr
Goto Top
Hi,

also aufm Server 2008 und nem Exchange 2007 kannst du das Domänenkonto einfach deaktivieren und dennoch die Mails über OWA abrufen.

Probiers aus ... kost ja nix face-smile

Ach und zum Anzeigen von Berechtigungen könnte das hier interessant sein:
http://technet.microsoft.com/de-de/sysinternals/bb664922.aspx

VG
filippg
filippg 10.11.2010 um 00:13:14 Uhr
Goto Top
Hallo,

also aufm Server 2008 und nem Exchange 2007 kannst du das Domänenkonto einfach deaktivieren und dennoch die Mails über
OWA abrufen.
Sicher? Ich würde behaupten: Du kannst dich dann an OWA mit einem _anderen_ Account, der FullAccess/ReceiveAs für das Postfach besitzt anmelden. Aber mit dem deaktivierten Account selber kannst du dich nirgends anmelden, weil der DC jede Authentifizierung damit ablehnt.

Gruß

Filipp
Xaero1982
Xaero1982 10.11.2010 um 21:25:17 Uhr
Goto Top
Ganz sicher, habs nämlich gestern extra probiert face-smile

Probiers einfach aus ... passiert doch nix. Wenns nicht geht aktivierst du das Konto wieder...

VG
Blackstar
Blackstar 11.11.2010 um 15:35:17 Uhr
Goto Top
Das wäre cool gewesen, leider funktioniert das so nicht, da hat filippg schon Recht.

Trotzdem Danke!
Blackstar
Blackstar 11.11.2010 um 15:37:58 Uhr
Goto Top
Zitat von @filippg:
Hallo,

Nutzer löschen und neu anlegen. Dann weiß man, wo man dran ist.

Gruß

Filipp

Weißt Du wo dran ich dann bin? Wenn all seine eMails nicht mehr da sind? ...... face-wink
filippg
filippg 11.11.2010 um 19:55:43 Uhr
Goto Top
Hallo,

Weißt Du wo dran ich dann bin? Wenn all seine eMails nicht mehr da sind? ...... face-wink
War aber jetzt 'n Scherz, oder? Das alte Postfach inkl. aller Inhalte an den neuen Nutzer zu hängen ist ja nun die leichteste aller Übungen.

Gruß

Filipp
Blackstar
Blackstar 12.11.2010 um 12:10:22 Uhr
Goto Top
Ja neee, war kein Scherz, sondern meine fehlende Erfahrung! Daher vielen Dank für den Hinweis, Filipp!
Blackstar
Blackstar 12.11.2010 um 12:17:32 Uhr
Goto Top
Ich danke Euch allen für Eure Vorschläge!

Ich habe folgende Lösung eingerichtet:

Ich habe dem Benutzer die "Anmeldung von jedem Computer" verboten und nur auf dem ISA-Server erlaubt, der die Anmeldung für den OWA entgegen nimmt.
Auf diesen Server hat der Benutzer weder physisch noch via RDP Zugriff, sodaß nur die Anmeldung über OWA möglich ist.