fabio84
Goto Top

Full Access Permission gesetzt - kein Zugriff OWA auf Postfach

Hi Admins,

ich habe bei einem User Probleme auf die Mailbox zuzugreifen.
Full-Acces Permissions sind gesetzt.

Die Permssions habe ich über:

Add-MailboxPermission -Identity userA@domain.de -User userB@domain.de -AccessRights FullAccess -InheritanceType All
Umgebung: Exchange 2013, Server 2012 R2, PDC 2012 R2.

Habt Ihr Ideen, Tipps wie ich das weiter eingrenzen kann ?

Bei anderen Usern funktioniert die Vorgehensweise, wie gewohnt, ohne Probleme.

Die Berechtigungen habe ich auch schon entfernt, neu gesetzt.
Die AD Permissions des Users im AD habe ich mir auch angeschaut - ich konnte da bisher nichts besonders auffälliges entdecken - weiß aber auch nicht 100% wo nach was ich hier genauer schauen könnte.

Ich gehe davon aus, dass die Powershell "Add-Mailbox-Permission" auf dem UserObjekt Berechtigungen setzt - weiß zufällig jemand wie die genau ausehen müssen?
Welche Ansatzpunkte hab ich um das Problem professionell zu "debuggen" ?

Owa ist für alle User aktiviert.


something went wrong
You don't have permission to open this mailbox.

X-ClientId: NOQ0 - PQ0U - EIUX - KZ9RLA
X-OWA-Error: SDServerErr;Microsoft.Exchange.Clients.Owa2.Server.Core.OwaExplicitLogonException
X-OWA-Version: 15.0.1497.2
X-FEServer: EXCHANGE
X-BEServer: myserver1234.com
Date: 12/23/2020 12:46:33 PM
--

Content-Key: 634851

Url: https://administrator.de/contentid/634851

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: canlot
canlot 23.12.2020 um 15:24:21 Uhr
Goto Top
Hi,

was spuckt Get-MailboxPermission aus?
Ist OWA für den Benutzer aktiviert? Get-CASMailbox.

Gruß
Mitglied: 147069
147069 23.12.2020 aktualisiert um 15:50:10 Uhr
Goto Top
Hallo,
und damit auch prüfen ob eventuelle Verweigerungen von oben (Datenbankebene) vererbt werden. Die haben ja bekanntlich Vorrang.

Gruß bw.
Mitglied: fabio84
fabio84 23.12.2020 um 15:54:24 Uhr
Goto Top
Screenshot anbei.

auf den User "SB" soll zugegriffen werden.
der user fs steht hier 4x in der Liste..

das erscheint aber nicht ungewöhnlich da das bei anderen usern auch so ist...

mstsc_jcnbcwhkft
mstsc_jcnbcwhkft
Mitglied: fabio84
fabio84 23.12.2020 um 15:56:25 Uhr
Goto Top
Get-CASMailbox

liefert alles true,

ASYNC enablue true
OWA enabled true
Pop Enabled True
Imap, Mapi ebenfalls enabled true
Mitglied: 147069
147069 23.12.2020 aktualisiert um 15:59:40 Uhr
Goto Top
Zitat von @fabio84:
der user fs steht hier 4x in der Liste..
Und genau beim ersten und dritten Eintrag wird ihm FullAccess verweigert! Verweigerungen überschreiben immer andere Berechtigungen! Die musst du erst entfernen.
Mitglied: fabio84
fabio84 23.12.2020 um 15:59:29 Uhr
Goto Top
Hi bw,

kannst du mir genau einen Tipp geben von welchen Verweigerungen du hier sprichst?
auf dem AD-USER Object sind keine Verweigerungen gesetzt.

ich frage mich, ob es irgendeine LOG gibt, die genauere Infos zum Fehler auswirft..
in den EVENTlogs konnte ich diesbezüglich keine Fehler entdecken...

daher etwas ratlos.. aktuell..
recherchiere natürlich parallel weiter...

das Behaviour hab ich hier auf/bei keinem anderem USER
Mitglied: 147069
147069 23.12.2020 aktualisiert um 16:07:54 Uhr
Goto Top
Zitat von @fabio84:
kannst du mir genau einen Tipp geben von welchen Verweigerungen du hier sprichst?
Habe ich oben geschrieben, Eintrag 1 und 3 in deinem Mailboxpermission Screenshot!

auf dem AD-USER Object sind keine Verweigerungen gesetzt.
Aber in der Mailbox, siehst du doch oben face-smile. Das Inherited = False diese Einträge bedeutet das die jemand explizit auf die Mailbox gesetzt hat und diese nicht vererbt wurden! Bei dem einen steht es aber auf True, also wurde das wohl auf Datenbank-Ebene gesetzt => schau dir die ACLs der Exchange-Datenbank in ADSIEDIT an.

ich frage mich, ob es irgendeine LOG gibt, die genauere Infos zum Fehler auswirft..
in den EVENTlogs konnte ich diesbezüglich keine Fehler entdecken...
Entferne die expliziten Verweigerungen auf der Mailbox und der Datenbank! Dann klappt dat auch. Da hat wohl explizit einer gewollt das der User nirgendwo mehr ran kommt.
Mitglied: 147069
Lösung 147069 23.12.2020 um 16:14:50 Uhr
Goto Top
Wenn du noch nicht mit ADSIEdit gerbeitet hast dann wird dir hier geholfen, hier siehst du wo du an die ACLs der Datenbank kommst:
Exchange 2010 Berechtigungen wiederherstellen