shiva99
Goto Top

Exchange 2016 - Gerätefreigabe für MobileDevices in Quarantäne

Wir haben bei uns für ActiveSync die globale Gerätequarantäne aktiviert, d.h. ActiveSync-Geräte können erst nach Freigabe syncen. Soweit - so gut.

Ich möchte gern, dass dieses Freigabe-Recht bestimmten Usern erteilt wird. Dafür gibt es ja genügend Anleitungen im Netz.

So habe ich es gemacht.

Neue Gruppe bauen:
New-DistributionGroup -Name "DG-EAS-APPROVERS" -Type "Security" -OrganizationalUnit "****" -Alias "EASApprovers"  

Mitglieder im AD hinzufügen...

Neue Rolle bauen:
[PS]> New-ManagementRole "MyMobileDeviceMgmtRole" -Parent "Organization Client Access"  

Alles Unnötige entfernen:
[PS]> Get-ManagementRole "MyMobileDeviceMgmtRole"|Get-ManagementRoleEntry |? {$_.Name -ne 'Set-CASMailbox'}|Remove-ManagementRoleEntry -Confirm:$false  

Neue Rollengruppe erzeugen:
New-RoleGroup -Name "MyDelegatedDeviceMgmtRole" -Roles "MyMobileDeviceMgmtRole" -Members "DG-EAS-APPROVERS" -Description "Members of this management role group have rights to approve and deny ActiveSync devi  
ces"  


Wenn ich (als Mitglied der o.g. AD-Gruppe) nun ein Gerät über den HyperLink aus den Benachrichtigungsmails freigeben möchte kommt folgendes Bild.

Welches konkrete Recht fehlt noch? Aus meiner Sicht sollte set-CASMailbox ausreichen.

Ich habe schon ein bisschen herumgespielt. Wenn ich die og. AD-Gruppe in die vordefinierte Rollengruppe "Recipient Management" hineinnehme, dann komme ich in den entsprechenden Bereich zur Gerätefreigabe.
Weiß jemand, welches Unterrecht ich genau benötige? "Recipient Management" hat zu viele Unterrechte.
eas_release_error

Content-ID: 33709578588

Url: https://administrator.de/contentid/33709578588

Ausgedruckt am: 08.11.2024 um 21:11 Uhr

Shiva99
Shiva99 20.12.2023 um 17:51:51 Uhr
Goto Top
Habe mittlerweile herausgefunden, dass man mit der zusätzlichen, simplen Rolle "View-Only Recipients" zumindest in die ECP kommt, ohne Fehler 403 wie oben. Dort sehe ich das blockierte Gerät in Quarantäne, kann es auch dem Anschein nach freigeben, aber er macht es nicht. Er schreibt "Zugriff gewährt - Ausstehend", aber beim Reload der Seite ist wieder der Originalstatus "In Quarantäne". Auch get-CASMailbox zeigt, dass er nichts gemacht hat.
Selbst wenn ich dem User die komplette Rollengruppe "Recipient Management" zuordne, bewirkt es am Ende nichts.

Also welches wichtige Recht fehlt mir noch?
forum_ecp
Dani
Dani 23.12.2023 um 11:15:36 Uhr
Goto Top
Shiva99
Lösung Shiva99 18.01.2024 um 10:54:28 Uhr
Goto Top
Nach langem Ausprobieren hat sich bei mit jetzt folgende Lösung etabliert.

New-ManagementRole “ActiveSync User Options” –Parent ‘User Options’

New-ManagementRole “ActiveSync Client Access” –Parent ‘Organization Client Access’

Get-ManagementRoleEntry –Identity ‘ActiveSync User Options\*’ | Where {$_.Name –notlike “*activesync*”} | Remove-ManagementRoleEntry –Confirm:$False

Get-ManagementRoleEntry –Identity ‘ActiveSync Client Access\*’ | Where {$_.Name –notlike “*activesync*”} | Remove-ManagementRoleEntry –Confirm:$False

Remove-ManagementRoleEntry ‘ActiveSync Client Access\Set-ActiveSyncOrganizationSettings’
Remove-ManagementRoleEntry ‘ActiveSync Client Access\Set-ActiveSyncDeviceAccessRule’
Remove-ManagementRoleEntry ‘ActiveSync Client Access\Remove-ActiveSyncDeviceAccessRule’
Remove-ManagementRoleEntry ‘ActiveSync Client Access\New-ActiveSyncDeviceAccessRule’

New-RoleGroup ‘ActiveSync Access Admins’ –Roles ‘ActiveSync User Options’, ‘ActiveSync Client Access’

Add-RoleGroupMember “ActiveSync Access Admins” -Member user@domain.com

Add-ManagementRoleEntry –Identity ‘ActiveSync Client Access\Get-CASMailbox’
Add-ManagementRoleEntry –Identity ‘ActiveSync Client Access\Set-CASMailbox’

Über die GUI (ECP) (=Link der Blocked Device-Benachrichtigung) geht es zwar immer noch nicht, weil er irgendwie mit den Kommas im CN bzw. Name/DisplayName (<Nachname>, <Vorname>) nicht klarkommt. Aber in über die Remote Powershell (Exchange Verwaltungskonsole) und ein get- bzw. set-CASMailbox geht es jetzt.

Wer noch wissen möchte, wie man auf einen z.B. Windows 10-Client die Verwaltungskonsole drauf bekommt, hier:

Als Admin, Powershell:
Enable-WindowsOptionalFeature -Online -FeatureName IIS-ManagementScriptingTools,IIS-ManagementScriptingTools,IIS-IIS6ManagementCompatibility,IIS-LegacySnapIn,IIS-ManagementConsole,IIS-Metabase,IIS-WebServerManagementTools,IIS-WebServerRole

Letztes Exchange CU als ISO einbinden (Windows Explorer "bereitstellen", z.B. auf Eface-smile.

E:\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF /Role:ManagementTools

Außerdem muss der zu berechtigende Nutzer noch RemotePowershell aktiviert haben.
set-User <identity> -RemotePowerShellEnabled $true

Ist zwar eine mögliche Lösung, aber was mich immer noch etwas stört.

Der Power-User hat dennoch zu viele Rechte, er kann z.B. auch mit set-Mailbox Attribute ändern, was ich nicht will. Aber ist vermutlich byDesign so, da ich es über die RoleEntrys nicht nachvollziehen kann.
Und die o.g. RoleGroup ist UNIVERSAL, geht auch nicht anders. So kann ich keine User aus einer vertrauten Domain hinzufügen, das geht nur bei DomainLocal-Groups.
Dani
Dani 18.01.2024 um 18:29:52 Uhr
Goto Top
Moin,
weil er irgendwie mit den Kommas im CN bzw. Name/DisplayName (<Nachname>, <Vorname>) nicht klarkommt.
Anzeigenamen mit Zeichen wie Komma. You are kidding us? Es gibt einfach Dinge die man nicht tut, auch wenn es geht.

Der Power-User hat dennoch zu viele Rechte, er kann z.B. auch mit set-Mailbox Attribute ändern, was ich nicht will.
D.h. wenn du die Rolle wieder wegnimmst, geht Set-Mailbox nicht mehr? Nicht das der User über einen anderen Weg noch an die Rechte gekommen ist.


Gruß,
Dani