semperf1delis
Goto Top

Exchange 2010 Berechtigungen wiederherstellen

Hallo zusammen,

ich habe einen Exchange Server 2010 von einem anderen Dienstleister übernommen.
Dieser hat es irgendwie fertig gebracht die Postfachberechtigungen der einzelnen Benutzer völlig zu zerschießen.

Zum einen werden für jeden neuen Benutzer + Postfach automatisch Vollzugriff Rechte für gewisse Personen in der Firma vergeben.
Wo kann ich diese Regel oder Permission finden und entfernen? get-ADPermission? GPO ist es nicht.

Und meine zweite Frage durch dieses Vollzugriffschaos haben einige Benutzer keinen Zugriff mehr auf OWA oder ihr Postfach. "Sie haben keine Berechtigung auf dieses Postfach zuzugreifen".
Das hängt anscheinend damit zusammen das diese Benutzer die einen Vollzugriff hatten als Domänen-Admins eingetragen waren und nun keine Berechtigung mehr auf das Postfach haben, sprich -> Full Access "Deny". Diese stehen jetzt über den eigentlichen Benutzerrechten. Wie kann ich das einmal komplett säubern ohne jeden Eintrag manuell pro Postfach anzufassen? Oder die allgemeinen Einstellungen wiederherzustellen?

Ich hoffe das war halbwegs verständlich.
Danke fü Tipps.

Content-ID: 322598

Url: https://administrator.de/forum/exchange-2010-berechtigungen-wiederherstellen-322598.html

Ausgedruckt am: 23.12.2024 um 07:12 Uhr

131381
Lösung 131381 01.12.2016 aktualisiert um 13:43:00 Uhr
Goto Top
Wo kann ich diese Regel oder Permission finden und entfernen?
Da wird der auf Datenbankebene einen Eintrag gesetzt haben -> adsiedit.msc auf das Datenbankobjekt navigieren und die ACLs durchstöbern und mit einem Referenz-System (z.B. sauubere VM) vergleichen.

screenshot

Das hängt anscheinend damit zusammen das diese Benutzer die einen Vollzugriff hatten als Domänen-Admins eingetragen waren
Da greift das Stichwort AdminSDHolder Protected Groups

Gruß
Vision2015
Vision2015 01.12.2016 um 13:33:34 Uhr
Goto Top
tach...
ist das ein exchange 2010 oder ein SBS2011 ?

Frank
semperf1delis
semperf1delis 01.12.2016 aktualisiert um 13:38:25 Uhr
Goto Top
Super, Danke! Das war es schon mal was die Vollzugriffsberechtigungen angeht. face-smile
Wie sieht es aus mit den generellen Postfachberechtigungen der Benutzer? Kann ich diese reseten?

SBS2011 mit Ex2010
131381
Lösung 131381 01.12.2016 aktualisiert um 13:46:12 Uhr
Goto Top
Zitat von @semperf1delis:

Super, Danke! Das war es schon mal was die Vollzugriffsberechtigungen angeht. face-smile
Wie sieht es aus mit den generellen Postfachberechtigungen der Benutzer? Kann ich diese reseten?
Kann man mit der Powershell...
Remove-MailboxPermission "DEINEMAILBOX" –ResetDefault  
das entfernt alle nicht geerbten Berechtigungen aus der jeweiligen Mailbox.
Kannst du natürlich auch über mehrere oder alle Boxen laufen lassen, aber dann wird sicherlich erst mal das Telefon nicht mehr still stehen face-wink

Gruß
semperf1delis
semperf1delis 01.12.2016 aktualisiert um 13:50:33 Uhr
Goto Top
Lieber mikrotik, vielen vielen Dank für deine Hilfe. Hatte mir schon einen Wolf gesucht nach den Begrifflichkeiten.
Danke dir face-smile
semperf1delis
semperf1delis 01.12.2016 um 13:53:02 Uhr
Goto Top
Kann ich die Vererbung auch überwinden?
131381
131381 01.12.2016 aktualisiert um 13:54:39 Uhr
Goto Top
Edit, sehe gerade das der EX2010 den Parameter -ResetDefault Parameter noch nicht kennt.

Da sollte aber folgender Schnippsel auch helfen:
Get-Mailboxpermission DEINEMAILBOX | ?{!$_.IsInherited -and $_.User.SecurityIdentifier.Value -ne 'S-1-5-10'} | Remove-Mailboxpermission -confirm:$false  
was nicht vererbte Rechte außer SELF aus einer Mailbox entfernt.
131381
131381 01.12.2016 aktualisiert um 13:56:39 Uhr
Goto Top
Zitat von @semperf1delis:
Kann ich die Vererbung auch überwinden?
??? Was du vererbst wird vererbt, willst du etwas daran ändern musst du dort anpacken wovon es geerbt wird. Die geerbten Einträge von Mailboxen erhalten diese wie oben geschrieben aus vom Datenbank-Level oder noch höher!
semperf1delis
semperf1delis 01.12.2016 um 13:58:57 Uhr
Goto Top
Ok, Dachte an Vererbung deaktivieren o.ä.
Hauptsache ich bekomme die Default Berechtigungen der Postfächer wiederhergestellt... Chaos pur, über 40 veraltete Full Access Berechtigungen. face-sad
Ich probiere das ganze heute Abend mal aus.
131381
131381 01.12.2016 aktualisiert um 14:02:38 Uhr
Goto Top
Hier mal die Berechtigungen einer cleanen Mailbox auf einem EX2010 Enterprise (nicht SBS):
User                               AccessRights                                                            Deny
----                               ------------                                                            ----
NT-AUTORITÄT\SELBST                {FullAccess, ReadPermission}                                            False
CONTOSO\Domänen-Admins             {FullAccess}                                                            True
CONTOSO\Organisations-Admins       {FullAccess}                                                            True
CONTOSO\Organization Management    {FullAccess}                                                            True
CONTOSO\Administrator              {FullAccess}                                                            True
CONTOSO\Exchange Servers           {FullAccess}                                                            False
CONTOSO\Organization Management    {ReadPermission}                                                        False
CONTOSO\Public Folder Management   {ReadPermission}                                                        False
NT-AUTORITÄT\SYSTEM                {FullAccess}                                                            False
NT-AUTORITÄT\Netzwerkdienst        {ReadPermission}                                                        False
CONTOSO\Exchange Servers           {ReadPermission}                                                        False
CONTOSO\Delegated Setup            {ReadPermission}                                                        False
CONTOSO\Organization Management    {FullAccess, DeleteItem, ReadPermission, ChangePermission, ChangeOwner} False
CONTOSO\Exchange Trusted Subsystem {FullAccess, DeleteItem, ReadPermission, ChangePermission, ChangeOwner} False
CONTOSO\Administrator              {FullAccess, DeleteItem, ReadPermission, ChangePermission, ChangeOwner} False
CONTOSO\Organisations-Admins       {FullAccess, DeleteItem, ReadPermission, ChangePermission, ChangeOwner} False
CONTOSO\Domänen-Admins             {FullAccess, DeleteItem, ReadPermission, ChangePermission, ChangeOwner} False
Kannst du dir ja selber anzeigen lassen indem du einfach mal eine neue Mailbox erstellst.
131381
131381 01.12.2016 aktualisiert um 14:03:38 Uhr
Goto Top
Zitat von @semperf1delis:
Ok, Dachte an Vererbung deaktivieren o.ä.
Sehr schlechte Idee, Finger weg!!
semperf1delis
semperf1delis 01.12.2016 um 14:04:02 Uhr
Goto Top
Kann ich diese Liste an Berechtigungen mit deinem Powershell von oben wiederhestellen?
131381
131381 01.12.2016 aktualisiert um 14:08:29 Uhr
Goto Top
Zitat von @semperf1delis:
Kann ich diese Liste an Berechtigungen mit deinem Powershell von oben wiederhestellen?
Les mal meinen Post komplett:

Zitat:
was nicht vererbte Rechte außer SELF aus einer Mailbox entfernt.
Es wird damit alles entfernt was nicht vom oberen Level geerbt wird außer den SELF Eintrag der immer unvererbt ist, der bleibt und muss erhalten bleiben.
Übrig bleibt eine jungfreuliche Mailbox.
semperf1delis
semperf1delis 01.12.2016 um 14:15:32 Uhr
Goto Top
Also wenn ich dann im ADSI.edit alles angepasst wurde, ich die falschen Full Access Berechtigungen entfernt habe und deinen Befehlen ausgeführt habe "müsste" alles wieder passen. Schlimmstenfalls im ADSI.edit auf Datenbankebene die fehlenden Berechtigungen wieder einpflegen damit diese vererbt werden.
131381
131381 01.12.2016 aktualisiert um 14:23:23 Uhr
Goto Top
Bevor du da hantierst mach ein Image und setzt dir eine SBS VM auf und vergleiche die Berechtigungen bevor du da wichtige Einträge entfernst von denen du nicht weißt was sie eigentlich bewirken!
semperf1delis
semperf1delis 01.12.2016 um 14:27:24 Uhr
Goto Top
Ist virtualisiert mit Hyper-V, stellt also kein Problem mit Snapshot dar. Ich schaue mir die Berechtigungen von einem anderen Exchange 2010 ab wo garantiert noch nicht so in den Tiefen gepfuscht wurde. face-smile
Ich muss den Benutzer selbst aber nicht explizit mit Berechtigung setzen oder? Hier geift doch der Self Eintrag oder?
131381
131381 01.12.2016 aktualisiert um 14:37:18 Uhr
Goto Top
Zitat von @semperf1delis:
Ich muss den Benutzer selbst aber nicht explizit mit Berechtigung setzen oder?
Nein
Hier geift doch der Self Eintrag oder?
Korrekt. Der User ist ja implizit Owner der Mailbox.
semperf1delis
semperf1delis 01.12.2016 um 14:35:49 Uhr
Goto Top
Alles klar. Vielen, vielen Dank! face-smile face-smile face-smile
Pjordorf
Pjordorf 01.12.2016 um 18:08:43 Uhr
Goto Top
Hallo,

Zitat von @semperf1delis:
von einem anderen Exchange 2010 ab
Auch ich würde dir da eher zu einen SBS2011 raten. Es gibt etlichen stellen wo es in ein SBS eben etwas anders ist, ob auch hier kann ich allerdings nicht sagen, daher würd ich mir einen sauberen SBS als vorbild nehmen.

Gruß,
Peter
Vision2015
Vision2015 01.12.2016 um 18:21:14 Uhr
Goto Top
ja.. da ist etwas dran... face-smile
deswegen habe ich gefragt ob es ein SBS2011 ist oder ein richtiger exchange 2010.

Frank
semperf1delis
semperf1delis 05.12.2016 um 12:27:05 Uhr
Goto Top
Kurzer Nachtrag:

Habe die falschen Berechtigungen über ADSI.edit entfernt und mit dem Powershell Skript die überflüssigen Berechtigungen entfernt.
Läuft nun einwandfrei. face-smile Danke!