9
Exchange 2016 Postfachberechtigung
Hallo zusammen,
erst mal danke für die Aufnahme. Wir haben ein Problem mit unseren Postfachberechtigungen. Es ist jedem Benutzer möglich über die Funktion "Ordner eines anderen Benutzers" im Outlook sich Zugang zu jedem Postfach zu verschaffen. (Wir verwenden verschiedene Office Versionen) Ich habe bereits im Exchange die Berechtigung geprüft, finde jedoch keine Einträge die anderen Benutzern Zugriff auf die Postfächer geben. Ich denke, dass die Berechtigung aus dem Active Directory kommt, aber auch hier finde ich nichts.
Welche Möglichkeiten hätte ich um die Berechtigung anzupassen? Wo könnte ich hier ansetzen?
erst mal danke für die Aufnahme. Wir haben ein Problem mit unseren Postfachberechtigungen. Es ist jedem Benutzer möglich über die Funktion "Ordner eines anderen Benutzers" im Outlook sich Zugang zu jedem Postfach zu verschaffen. (Wir verwenden verschiedene Office Versionen) Ich habe bereits im Exchange die Berechtigung geprüft, finde jedoch keine Einträge die anderen Benutzern Zugriff auf die Postfächer geben. Ich denke, dass die Berechtigung aus dem Active Directory kommt, aber auch hier finde ich nichts.
Welche Möglichkeiten hätte ich um die Berechtigung anzupassen? Wo könnte ich hier ansetzen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 608750
Url: https://administrator.de/contentid/608750
Ausgedruckt am: 25.11.2024 um 22:11 Uhr
9 Kommentare
Neuester Kommentar
Sind die Benutzer Admins?
Haben die Benutzer im Outlook irgendwas freigegeben?
Haben die Benutzer im Outlook irgendwas freigegeben?
Hallo NordicMike,
nein, die Benutzer sind keine Admins und selbstständig wurde auch nichts im Outlook freigegeben. Der Zugriff ist generell mit jedem Benutzer auf jeden Benutzer möglich.
nein, die Benutzer sind keine Admins und selbstständig wurde auch nichts im Outlook freigegeben. Der Zugriff ist generell mit jedem Benutzer auf jeden Benutzer möglich.
Huch, schon als gelöst markiert?
Das war ein Versehen.
Wo hast du die Berechtigungen überprüft? Über Exchange Shell oder über ECP? Mach mal Screenshots...
Bitte schön
Bei der Postfachstellvertretung, bei Vollzugriff, da sind noch weitere Einträge, wenn man rechts runter scrollt. Ist da was dabei? Verfolge mal wer alles in bsadmin drinnen ist.
Whoops, Moment mal, in der Shell steht: "jeder" "full access".
Und darunter gleich der anonyme... Da ist viel zu viel drinnen.
Meine sieht so aus:
Identity User AccessRights IsInherited Deny
---- ------------ ----------- ----
dc.domain.de/test... NT-AUTORITÄT\SELBST {FullAccess, ReadPermission} False False
dc.domain.de/test... domain\Administrator {FullAccess} True True
dc.domain.de/test... domain\Organisatio... {FullAccess} True True
dc.domain.de/test... domain\Organizatio... {FullAccess} True True
dc.domain.de/test... NT-AUTORITÄT\SYSTEM {FullAccess} True False
dc.domain.de/test... NT-AUTORITÄT\Netz... {ReadPermission} True False
dc.domain.de/test... domain\Administrator {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
dc.domain.de/test... domain\Organisatio... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
dc.domain.de/test... domain\Organizatio... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
dc.domain.de/test... domain\Public Fold... {ReadPermission} True False
dc.domain.de/test... domain\Delegated S... {ReadPermission} True False
dc.domain.de/test... domain\Exchange Se... {FullAccess, ReadPermission} True False
dc.domain.de/test... domain\Exchange Tr... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
dc.domain.de/test... domain\Managed Ava... {ReadPermission} True False
Und darunter gleich der anonyme... Da ist viel zu viel drinnen.
Meine sieht so aus:
Identity User AccessRights IsInherited Deny
---- ------------ ----------- ----
dc.domain.de/test... NT-AUTORITÄT\SELBST {FullAccess, ReadPermission} False False
dc.domain.de/test... domain\Administrator {FullAccess} True True
dc.domain.de/test... domain\Organisatio... {FullAccess} True True
dc.domain.de/test... domain\Organizatio... {FullAccess} True True
dc.domain.de/test... NT-AUTORITÄT\SYSTEM {FullAccess} True False
dc.domain.de/test... NT-AUTORITÄT\Netz... {ReadPermission} True False
dc.domain.de/test... domain\Administrator {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
dc.domain.de/test... domain\Organisatio... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
dc.domain.de/test... domain\Organizatio... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
dc.domain.de/test... domain\Public Fold... {ReadPermission} True False
dc.domain.de/test... domain\Delegated S... {ReadPermission} True False
dc.domain.de/test... domain\Exchange Se... {FullAccess, ReadPermission} True False
dc.domain.de/test... domain\Exchange Tr... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
dc.domain.de/test... domain\Managed Ava... {ReadPermission} True False
Jepp, da hat einer die Rechte auf Datenbank-Level vergeben (Bad Practice), sieht man an dem "IsInherited" => Koppschüttel.
Die Rechte lassen sich über ADSIEdit.msc auf Datenbank-Level korrigieren.
Folgender Pfad
Rechte anzeigen lassen
Die Rechte lassen sich über ADSIEdit.msc auf Datenbank-Level korrigieren.
Folgender Pfad
(Get-MailboxDatabase).DistinguishedName
(get-acl "AD:\$((get-MailboxDatabase).DistinguishedName)").Access | select IdentityReference,ActiveDirectoryRights
