4
Exchange 2016 - Gerätefreigabe für MobileDevices in Quarantäne
Wir haben bei uns für ActiveSync die globale Gerätequarantäne aktiviert, d.h. ActiveSync-Geräte können erst nach Freigabe syncen. Soweit - so gut.
Ich möchte gern, dass dieses Freigabe-Recht bestimmten Usern erteilt wird. Dafür gibt es ja genügend Anleitungen im Netz.
So habe ich es gemacht.
Neue Gruppe bauen:
Mitglieder im AD hinzufügen...
Neue Rolle bauen:
Alles Unnötige entfernen:
Neue Rollengruppe erzeugen:
Wenn ich (als Mitglied der o.g. AD-Gruppe) nun ein Gerät über den HyperLink aus den Benachrichtigungsmails freigeben möchte kommt folgendes Bild.
Welches konkrete Recht fehlt noch? Aus meiner Sicht sollte set-CASMailbox ausreichen.
Ich habe schon ein bisschen herumgespielt. Wenn ich die og. AD-Gruppe in die vordefinierte Rollengruppe "Recipient Management" hineinnehme, dann komme ich in den entsprechenden Bereich zur Gerätefreigabe.
Weiß jemand, welches Unterrecht ich genau benötige? "Recipient Management" hat zu viele Unterrechte.
Ich möchte gern, dass dieses Freigabe-Recht bestimmten Usern erteilt wird. Dafür gibt es ja genügend Anleitungen im Netz.
So habe ich es gemacht.
Neue Gruppe bauen:
New-DistributionGroup -Name "DG-EAS-APPROVERS" -Type "Security" -OrganizationalUnit "****" -Alias "EASApprovers" Mitglieder im AD hinzufügen...
Neue Rolle bauen:
[PS]> New-ManagementRole "MyMobileDeviceMgmtRole" -Parent "Organization Client Access" Alles Unnötige entfernen:
[PS]> Get-ManagementRole "MyMobileDeviceMgmtRole"|Get-ManagementRoleEntry |? {$_.Name -ne 'Set-CASMailbox'}|Remove-ManagementRoleEntry -Confirm:$false Neue Rollengruppe erzeugen:
New-RoleGroup -Name "MyDelegatedDeviceMgmtRole" -Roles "MyMobileDeviceMgmtRole" -Members "DG-EAS-APPROVERS" -Description "Members of this management role group have rights to approve and deny ActiveSync devi
ces" Wenn ich (als Mitglied der o.g. AD-Gruppe) nun ein Gerät über den HyperLink aus den Benachrichtigungsmails freigeben möchte kommt folgendes Bild.
Welches konkrete Recht fehlt noch? Aus meiner Sicht sollte set-CASMailbox ausreichen.
Ich habe schon ein bisschen herumgespielt. Wenn ich die og. AD-Gruppe in die vordefinierte Rollengruppe "Recipient Management" hineinnehme, dann komme ich in den entsprechenden Bereich zur Gerätefreigabe.
Weiß jemand, welches Unterrecht ich genau benötige? "Recipient Management" hat zu viele Unterrechte.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 33709578588
Url: https://administrator.de/contentid/33709578588
Ausgedruckt am: 08.11.2024 um 21:11 Uhr
4 Kommentare
Neuester Kommentar
Habe mittlerweile herausgefunden, dass man mit der zusätzlichen, simplen Rolle "View-Only Recipients" zumindest in die ECP kommt, ohne Fehler 403 wie oben. Dort sehe ich das blockierte Gerät in Quarantäne, kann es auch dem Anschein nach freigeben, aber er macht es nicht. Er schreibt "Zugriff gewährt - Ausstehend", aber beim Reload der Seite ist wieder der Originalstatus "In Quarantäne". Auch get-CASMailbox zeigt, dass er nichts gemacht hat.
Selbst wenn ich dem User die komplette Rollengruppe "Recipient Management" zuordne, bewirkt es am Ende nichts.
Also welches wichtige Recht fehlt mir noch?
Selbst wenn ich dem User die komplette Rollengruppe "Recipient Management" zuordne, bewirkt es am Ende nichts.
Also welches wichtige Recht fehlt mir noch?
Nach langem Ausprobieren hat sich bei mit jetzt folgende Lösung etabliert.
Über die GUI (ECP) (=Link der Blocked Device-Benachrichtigung) geht es zwar immer noch nicht, weil er irgendwie mit den Kommas im CN bzw. Name/DisplayName (<Nachname>, <Vorname>) nicht klarkommt. Aber in über die Remote Powershell (Exchange Verwaltungskonsole) und ein get- bzw. set-CASMailbox geht es jetzt.
Wer noch wissen möchte, wie man auf einen z.B. Windows 10-Client die Verwaltungskonsole drauf bekommt, hier:
Als Admin, Powershell:
Letztes Exchange CU als ISO einbinden (Windows Explorer "bereitstellen", z.B. auf E
.
Außerdem muss der zu berechtigende Nutzer noch RemotePowershell aktiviert haben.
Ist zwar eine mögliche Lösung, aber was mich immer noch etwas stört.
Der Power-User hat dennoch zu viele Rechte, er kann z.B. auch mit set-Mailbox Attribute ändern, was ich nicht will. Aber ist vermutlich byDesign so, da ich es über die RoleEntrys nicht nachvollziehen kann.
Und die o.g. RoleGroup ist UNIVERSAL, geht auch nicht anders. So kann ich keine User aus einer vertrauten Domain hinzufügen, das geht nur bei DomainLocal-Groups.
New-ManagementRole “ActiveSync User Options” –Parent ‘User Options’
New-ManagementRole “ActiveSync Client Access” –Parent ‘Organization Client Access’
Get-ManagementRoleEntry –Identity ‘ActiveSync User Options\*’ | Where {$_.Name –notlike “*activesync*”} | Remove-ManagementRoleEntry –Confirm:$False
Get-ManagementRoleEntry –Identity ‘ActiveSync Client Access\*’ | Where {$_.Name –notlike “*activesync*”} | Remove-ManagementRoleEntry –Confirm:$False
Remove-ManagementRoleEntry ‘ActiveSync Client Access\Set-ActiveSyncOrganizationSettings’
Remove-ManagementRoleEntry ‘ActiveSync Client Access\Set-ActiveSyncDeviceAccessRule’
Remove-ManagementRoleEntry ‘ActiveSync Client Access\Remove-ActiveSyncDeviceAccessRule’
Remove-ManagementRoleEntry ‘ActiveSync Client Access\New-ActiveSyncDeviceAccessRule’
New-RoleGroup ‘ActiveSync Access Admins’ –Roles ‘ActiveSync User Options’, ‘ActiveSync Client Access’
Add-RoleGroupMember “ActiveSync Access Admins” -Member user@domain.com
Add-ManagementRoleEntry –Identity ‘ActiveSync Client Access\Get-CASMailbox’
Add-ManagementRoleEntry –Identity ‘ActiveSync Client Access\Set-CASMailbox’Über die GUI (ECP) (=Link der Blocked Device-Benachrichtigung) geht es zwar immer noch nicht, weil er irgendwie mit den Kommas im CN bzw. Name/DisplayName (<Nachname>, <Vorname>) nicht klarkommt. Aber in über die Remote Powershell (Exchange Verwaltungskonsole) und ein get- bzw. set-CASMailbox geht es jetzt.
Wer noch wissen möchte, wie man auf einen z.B. Windows 10-Client die Verwaltungskonsole drauf bekommt, hier:
Als Admin, Powershell:
Enable-WindowsOptionalFeature -Online -FeatureName IIS-ManagementScriptingTools,IIS-ManagementScriptingTools,IIS-IIS6ManagementCompatibility,IIS-LegacySnapIn,IIS-ManagementConsole,IIS-Metabase,IIS-WebServerManagementTools,IIS-WebServerRoleLetztes Exchange CU als ISO einbinden (Windows Explorer "bereitstellen", z.B. auf E
.E:\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF /Role:ManagementToolsAußerdem muss der zu berechtigende Nutzer noch RemotePowershell aktiviert haben.
set-User <identity> -RemotePowerShellEnabled $trueIst zwar eine mögliche Lösung, aber was mich immer noch etwas stört.
Der Power-User hat dennoch zu viele Rechte, er kann z.B. auch mit set-Mailbox Attribute ändern, was ich nicht will. Aber ist vermutlich byDesign so, da ich es über die RoleEntrys nicht nachvollziehen kann.
Und die o.g. RoleGroup ist UNIVERSAL, geht auch nicht anders. So kann ich keine User aus einer vertrauten Domain hinzufügen, das geht nur bei DomainLocal-Groups.
Moin,
Gruß,
Dani
weil er irgendwie mit den Kommas im CN bzw. Name/DisplayName (<Nachname>, <Vorname>) nicht klarkommt.
Anzeigenamen mit Zeichen wie Komma. You are kidding us? Es gibt einfach Dinge die man nicht tut, auch wenn es geht.Der Power-User hat dennoch zu viele Rechte, er kann z.B. auch mit set-Mailbox Attribute ändern, was ich nicht will.
D.h. wenn du die Rolle wieder wegnimmst, geht Set-Mailbox nicht mehr? Nicht das der User über einen anderen Weg noch an die Rechte gekommen ist.Gruß,
Dani
