Exchange 2010 Berechtigungen wiederherstellen
Hallo zusammen,
ich habe einen Exchange Server 2010 von einem anderen Dienstleister übernommen.
Dieser hat es irgendwie fertig gebracht die Postfachberechtigungen der einzelnen Benutzer völlig zu zerschießen.
Zum einen werden für jeden neuen Benutzer + Postfach automatisch Vollzugriff Rechte für gewisse Personen in der Firma vergeben.
Wo kann ich diese Regel oder Permission finden und entfernen? get-ADPermission? GPO ist es nicht.
Und meine zweite Frage durch dieses Vollzugriffschaos haben einige Benutzer keinen Zugriff mehr auf OWA oder ihr Postfach. "Sie haben keine Berechtigung auf dieses Postfach zuzugreifen".
Das hängt anscheinend damit zusammen das diese Benutzer die einen Vollzugriff hatten als Domänen-Admins eingetragen waren und nun keine Berechtigung mehr auf das Postfach haben, sprich -> Full Access "Deny". Diese stehen jetzt über den eigentlichen Benutzerrechten. Wie kann ich das einmal komplett säubern ohne jeden Eintrag manuell pro Postfach anzufassen? Oder die allgemeinen Einstellungen wiederherzustellen?
Ich hoffe das war halbwegs verständlich.
Danke fü Tipps.
ich habe einen Exchange Server 2010 von einem anderen Dienstleister übernommen.
Dieser hat es irgendwie fertig gebracht die Postfachberechtigungen der einzelnen Benutzer völlig zu zerschießen.
Zum einen werden für jeden neuen Benutzer + Postfach automatisch Vollzugriff Rechte für gewisse Personen in der Firma vergeben.
Wo kann ich diese Regel oder Permission finden und entfernen? get-ADPermission? GPO ist es nicht.
Und meine zweite Frage durch dieses Vollzugriffschaos haben einige Benutzer keinen Zugriff mehr auf OWA oder ihr Postfach. "Sie haben keine Berechtigung auf dieses Postfach zuzugreifen".
Das hängt anscheinend damit zusammen das diese Benutzer die einen Vollzugriff hatten als Domänen-Admins eingetragen waren und nun keine Berechtigung mehr auf das Postfach haben, sprich -> Full Access "Deny". Diese stehen jetzt über den eigentlichen Benutzerrechten. Wie kann ich das einmal komplett säubern ohne jeden Eintrag manuell pro Postfach anzufassen? Oder die allgemeinen Einstellungen wiederherzustellen?
Ich hoffe das war halbwegs verständlich.
Danke fü Tipps.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 322598
Url: https://administrator.de/forum/exchange-2010-berechtigungen-wiederherstellen-322598.html
Ausgedruckt am: 23.12.2024 um 07:12 Uhr
21 Kommentare
Neuester Kommentar
Wo kann ich diese Regel oder Permission finden und entfernen?
Da wird der auf Datenbankebene einen Eintrag gesetzt haben -> adsiedit.msc auf das Datenbankobjekt navigieren und die ACLs durchstöbern und mit einem Referenz-System (z.B. sauubere VM) vergleichen.Das hängt anscheinend damit zusammen das diese Benutzer die einen Vollzugriff hatten als Domänen-Admins eingetragen waren
Da greift das Stichwort AdminSDHolder Protected GroupsGruß
Zitat von @semperf1delis:
Super, Danke! Das war es schon mal was die Vollzugriffsberechtigungen angeht.
Wie sieht es aus mit den generellen Postfachberechtigungen der Benutzer? Kann ich diese reseten?
Kann man mit der Powershell...Super, Danke! Das war es schon mal was die Vollzugriffsberechtigungen angeht.
Wie sieht es aus mit den generellen Postfachberechtigungen der Benutzer? Kann ich diese reseten?
Remove-MailboxPermission "DEINEMAILBOX" –ResetDefault
Kannst du natürlich auch über mehrere oder alle Boxen laufen lassen, aber dann wird sicherlich erst mal das Telefon nicht mehr still stehen
Gruß
Edit, sehe gerade das der EX2010 den Parameter -ResetDefault Parameter noch nicht kennt.
Da sollte aber folgender Schnippsel auch helfen:
was nicht vererbte Rechte außer SELF aus einer Mailbox entfernt.
Da sollte aber folgender Schnippsel auch helfen:
Get-Mailboxpermission DEINEMAILBOX | ?{!$_.IsInherited -and $_.User.SecurityIdentifier.Value -ne 'S-1-5-10'} | Remove-Mailboxpermission -confirm:$false
??? Was du vererbst wird vererbt, willst du etwas daran ändern musst du dort anpacken wovon es geerbt wird. Die geerbten Einträge von Mailboxen erhalten diese wie oben geschrieben aus vom Datenbank-Level oder noch höher!
Hier mal die Berechtigungen einer cleanen Mailbox auf einem EX2010 Enterprise (nicht SBS):
Kannst du dir ja selber anzeigen lassen indem du einfach mal eine neue Mailbox erstellst.
User AccessRights Deny
---- ------------ ----
NT-AUTORITÄT\SELBST {FullAccess, ReadPermission} False
CONTOSO\Domänen-Admins {FullAccess} True
CONTOSO\Organisations-Admins {FullAccess} True
CONTOSO\Organization Management {FullAccess} True
CONTOSO\Administrator {FullAccess} True
CONTOSO\Exchange Servers {FullAccess} False
CONTOSO\Organization Management {ReadPermission} False
CONTOSO\Public Folder Management {ReadPermission} False
NT-AUTORITÄT\SYSTEM {FullAccess} False
NT-AUTORITÄT\Netzwerkdienst {ReadPermission} False
CONTOSO\Exchange Servers {ReadPermission} False
CONTOSO\Delegated Setup {ReadPermission} False
CONTOSO\Organization Management {FullAccess, DeleteItem, ReadPermission, ChangePermission, ChangeOwner} False
CONTOSO\Exchange Trusted Subsystem {FullAccess, DeleteItem, ReadPermission, ChangePermission, ChangeOwner} False
CONTOSO\Administrator {FullAccess, DeleteItem, ReadPermission, ChangePermission, ChangeOwner} False
CONTOSO\Organisations-Admins {FullAccess, DeleteItem, ReadPermission, ChangePermission, ChangeOwner} False
CONTOSO\Domänen-Admins {FullAccess, DeleteItem, ReadPermission, ChangePermission, ChangeOwner} False
Sehr schlechte Idee, Finger weg!!
Zitat von @semperf1delis:
Kann ich diese Liste an Berechtigungen mit deinem Powershell von oben wiederhestellen?
Les mal meinen Post komplett:Kann ich diese Liste an Berechtigungen mit deinem Powershell von oben wiederhestellen?
Zitat:
was nicht vererbte Rechte außer SELF aus einer Mailbox entfernt.
Es wird damit alles entfernt was nicht vom oberen Level geerbt wird außer den SELF Eintrag der immer unvererbt ist, der bleibt und muss erhalten bleiben.Übrig bleibt eine jungfreuliche Mailbox.
Bevor du da hantierst mach ein Image und setzt dir eine SBS VM auf und vergleiche die Berechtigungen bevor du da wichtige Einträge entfernst von denen du nicht weißt was sie eigentlich bewirken!
Zitat von @semperf1delis:
Ich muss den Benutzer selbst aber nicht explizit mit Berechtigung setzen oder?
NeinIch muss den Benutzer selbst aber nicht explizit mit Berechtigung setzen oder?
Hier geift doch der Self Eintrag oder?
Korrekt. Der User ist ja implizit Owner der Mailbox.
Hallo,
Auch ich würde dir da eher zu einen SBS2011 raten. Es gibt etlichen stellen wo es in ein SBS eben etwas anders ist, ob auch hier kann ich allerdings nicht sagen, daher würd ich mir einen sauberen SBS als vorbild nehmen.
Gruß,
Peter
Auch ich würde dir da eher zu einen SBS2011 raten. Es gibt etlichen stellen wo es in ein SBS eben etwas anders ist, ob auch hier kann ich allerdings nicht sagen, daher würd ich mir einen sauberen SBS als vorbild nehmen.
Gruß,
Peter