21
Exchange 2010 Berechtigungen wiederherstellen
Hallo zusammen,
ich habe einen Exchange Server 2010 von einem anderen Dienstleister übernommen.
Dieser hat es irgendwie fertig gebracht die Postfachberechtigungen der einzelnen Benutzer völlig zu zerschießen.
Zum einen werden für jeden neuen Benutzer + Postfach automatisch Vollzugriff Rechte für gewisse Personen in der Firma vergeben.
Wo kann ich diese Regel oder Permission finden und entfernen? get-ADPermission? GPO ist es nicht.
Und meine zweite Frage durch dieses Vollzugriffschaos haben einige Benutzer keinen Zugriff mehr auf OWA oder ihr Postfach. "Sie haben keine Berechtigung auf dieses Postfach zuzugreifen".
Das hängt anscheinend damit zusammen das diese Benutzer die einen Vollzugriff hatten als Domänen-Admins eingetragen waren und nun keine Berechtigung mehr auf das Postfach haben, sprich -> Full Access "Deny". Diese stehen jetzt über den eigentlichen Benutzerrechten. Wie kann ich das einmal komplett säubern ohne jeden Eintrag manuell pro Postfach anzufassen? Oder die allgemeinen Einstellungen wiederherzustellen?
Ich hoffe das war halbwegs verständlich.
Danke fü Tipps.
ich habe einen Exchange Server 2010 von einem anderen Dienstleister übernommen.
Dieser hat es irgendwie fertig gebracht die Postfachberechtigungen der einzelnen Benutzer völlig zu zerschießen.
Zum einen werden für jeden neuen Benutzer + Postfach automatisch Vollzugriff Rechte für gewisse Personen in der Firma vergeben.
Wo kann ich diese Regel oder Permission finden und entfernen? get-ADPermission? GPO ist es nicht.
Und meine zweite Frage durch dieses Vollzugriffschaos haben einige Benutzer keinen Zugriff mehr auf OWA oder ihr Postfach. "Sie haben keine Berechtigung auf dieses Postfach zuzugreifen".
Das hängt anscheinend damit zusammen das diese Benutzer die einen Vollzugriff hatten als Domänen-Admins eingetragen waren und nun keine Berechtigung mehr auf das Postfach haben, sprich -> Full Access "Deny". Diese stehen jetzt über den eigentlichen Benutzerrechten. Wie kann ich das einmal komplett säubern ohne jeden Eintrag manuell pro Postfach anzufassen? Oder die allgemeinen Einstellungen wiederherzustellen?
Ich hoffe das war halbwegs verständlich.
Danke fü Tipps.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 322598
Url: https://administrator.de/contentid/322598
Ausgedruckt am: 19.11.2024 um 11:11 Uhr
21 Kommentare
Neuester Kommentar
Wo kann ich diese Regel oder Permission finden und entfernen?
Da wird der auf Datenbankebene einen Eintrag gesetzt haben -> adsiedit.msc auf das Datenbankobjekt navigieren und die ACLs durchstöbern und mit einem Referenz-System (z.B. sauubere VM) vergleichen.
Das hängt anscheinend damit zusammen das diese Benutzer die einen Vollzugriff hatten als Domänen-Admins eingetragen waren
Da greift das Stichwort AdminSDHolder Protected GroupsGruß
1
tach...
ist das ein exchange 2010 oder ein SBS2011 ?
Frank
ist das ein exchange 2010 oder ein SBS2011 ?
Frank
Super, Danke! Das war es schon mal was die Vollzugriffsberechtigungen angeht. 
Wie sieht es aus mit den generellen Postfachberechtigungen der Benutzer? Kann ich diese reseten?
SBS2011 mit Ex2010
Wie sieht es aus mit den generellen Postfachberechtigungen der Benutzer? Kann ich diese reseten?
SBS2011 mit Ex2010
Zitat von @semperf1delis:
Super, Danke! Das war es schon mal was die Vollzugriffsberechtigungen angeht.
Wie sieht es aus mit den generellen Postfachberechtigungen der Benutzer? Kann ich diese reseten?
Kann man mit der Powershell...Super, Danke! Das war es schon mal was die Vollzugriffsberechtigungen angeht.
Wie sieht es aus mit den generellen Postfachberechtigungen der Benutzer? Kann ich diese reseten?
Remove-MailboxPermission "DEINEMAILBOX" –ResetDefault Kannst du natürlich auch über mehrere oder alle Boxen laufen lassen, aber dann wird sicherlich erst mal das Telefon nicht mehr still stehen
Gruß
1
Lieber mikrotik, vielen vielen Dank für deine Hilfe. Hatte mir schon einen Wolf gesucht nach den Begrifflichkeiten.
Danke dir
Danke dir
Kann ich die Vererbung auch überwinden?
Edit, sehe gerade das der EX2010 den Parameter -ResetDefault Parameter noch nicht kennt.
Da sollte aber folgender Schnippsel auch helfen:
was nicht vererbte Rechte außer SELF aus einer Mailbox entfernt.
Da sollte aber folgender Schnippsel auch helfen:
Get-Mailboxpermission DEINEMAILBOX | ?{!$_.IsInherited -and $_.User.SecurityIdentifier.Value -ne 'S-1-5-10'} | Remove-Mailboxpermission -confirm:$false
??? Was du vererbst wird vererbt, willst du etwas daran ändern musst du dort anpacken wovon es geerbt wird. Die geerbten Einträge von Mailboxen erhalten diese wie oben geschrieben aus vom Datenbank-Level oder noch höher!
Ok, Dachte an Vererbung deaktivieren o.ä.
Hauptsache ich bekomme die Default Berechtigungen der Postfächer wiederhergestellt... Chaos pur, über 40 veraltete Full Access Berechtigungen.
Ich probiere das ganze heute Abend mal aus.
Hauptsache ich bekomme die Default Berechtigungen der Postfächer wiederhergestellt... Chaos pur, über 40 veraltete Full Access Berechtigungen.
Ich probiere das ganze heute Abend mal aus.
Hier mal die Berechtigungen einer cleanen Mailbox auf einem EX2010 Enterprise (nicht SBS):
Kannst du dir ja selber anzeigen lassen indem du einfach mal eine neue Mailbox erstellst.
User AccessRights Deny
---- ------------ ----
NT-AUTORITÄT\SELBST {FullAccess, ReadPermission} False
CONTOSO\Domänen-Admins {FullAccess} True
CONTOSO\Organisations-Admins {FullAccess} True
CONTOSO\Organization Management {FullAccess} True
CONTOSO\Administrator {FullAccess} True
CONTOSO\Exchange Servers {FullAccess} False
CONTOSO\Organization Management {ReadPermission} False
CONTOSO\Public Folder Management {ReadPermission} False
NT-AUTORITÄT\SYSTEM {FullAccess} False
NT-AUTORITÄT\Netzwerkdienst {ReadPermission} False
CONTOSO\Exchange Servers {ReadPermission} False
CONTOSO\Delegated Setup {ReadPermission} False
CONTOSO\Organization Management {FullAccess, DeleteItem, ReadPermission, ChangePermission, ChangeOwner} False
CONTOSO\Exchange Trusted Subsystem {FullAccess, DeleteItem, ReadPermission, ChangePermission, ChangeOwner} False
CONTOSO\Administrator {FullAccess, DeleteItem, ReadPermission, ChangePermission, ChangeOwner} False
CONTOSO\Organisations-Admins {FullAccess, DeleteItem, ReadPermission, ChangePermission, ChangeOwner} False
CONTOSO\Domänen-Admins {FullAccess, DeleteItem, ReadPermission, ChangePermission, ChangeOwner} False
Sehr schlechte Idee, Finger weg!!
Kann ich diese Liste an Berechtigungen mit deinem Powershell von oben wiederhestellen?
Zitat von @semperf1delis:
Kann ich diese Liste an Berechtigungen mit deinem Powershell von oben wiederhestellen?
Les mal meinen Post komplett:Kann ich diese Liste an Berechtigungen mit deinem Powershell von oben wiederhestellen?
Zitat:
was nicht vererbte Rechte außer SELF aus einer Mailbox entfernt.
Es wird damit alles entfernt was nicht vom oberen Level geerbt wird außer den SELF Eintrag der immer unvererbt ist, der bleibt und muss erhalten bleiben.Übrig bleibt eine jungfreuliche Mailbox.
Also wenn ich dann im ADSI.edit alles angepasst wurde, ich die falschen Full Access Berechtigungen entfernt habe und deinen Befehlen ausgeführt habe "müsste" alles wieder passen. Schlimmstenfalls im ADSI.edit auf Datenbankebene die fehlenden Berechtigungen wieder einpflegen damit diese vererbt werden.
Bevor du da hantierst mach ein Image und setzt dir eine SBS VM auf und vergleiche die Berechtigungen bevor du da wichtige Einträge entfernst von denen du nicht weißt was sie eigentlich bewirken!
Ist virtualisiert mit Hyper-V, stellt also kein Problem mit Snapshot dar. Ich schaue mir die Berechtigungen von einem anderen Exchange 2010 ab wo garantiert noch nicht so in den Tiefen gepfuscht wurde.
Ich muss den Benutzer selbst aber nicht explizit mit Berechtigung setzen oder? Hier geift doch der Self Eintrag oder?
Ich muss den Benutzer selbst aber nicht explizit mit Berechtigung setzen oder? Hier geift doch der Self Eintrag oder?
Zitat von @semperf1delis:
Ich muss den Benutzer selbst aber nicht explizit mit Berechtigung setzen oder?
NeinIch muss den Benutzer selbst aber nicht explizit mit Berechtigung setzen oder?
Hier geift doch der Self Eintrag oder?
Korrekt. Der User ist ja implizit Owner der Mailbox.
Alles klar. Vielen, vielen Dank!
Hallo,
Auch ich würde dir da eher zu einen SBS2011 raten. Es gibt etlichen stellen wo es in ein SBS eben etwas anders ist, ob auch hier kann ich allerdings nicht sagen, daher würd ich mir einen sauberen SBS als vorbild nehmen.
Gruß,
Peter
Auch ich würde dir da eher zu einen SBS2011 raten. Es gibt etlichen stellen wo es in ein SBS eben etwas anders ist, ob auch hier kann ich allerdings nicht sagen, daher würd ich mir einen sauberen SBS als vorbild nehmen.
Gruß,
Peter
ja.. da ist etwas dran...
deswegen habe ich gefragt ob es ein SBS2011 ist oder ein richtiger exchange 2010.
Frank
deswegen habe ich gefragt ob es ein SBS2011 ist oder ein richtiger exchange 2010.
Frank
Kurzer Nachtrag:
Habe die falschen Berechtigungen über ADSI.edit entfernt und mit dem Powershell Skript die überflüssigen Berechtigungen entfernt.
Läuft nun einwandfrei. Danke!
Habe die falschen Berechtigungen über ADSI.edit entfernt und mit dem Powershell Skript die überflüssigen Berechtigungen entfernt.
Läuft nun einwandfrei.
Danke!
