2
Zwei "merkwürdige" Gruppen in Vollzugriff für jeden User nach Migration 2010 zu 2016
Hallo,
nachdem die Migration eines Exchange 2010 (SBS2011) auf Exchange 2016 mit mininmaler Downtime geklappt hat und ich beide Server eine zeitlang parallel betrieben habe, wird es nun Zeit, "Abschied zu nehmen".
Allerdings ist mir aufgefallen, dass jeder User unter Empfänger => Postfachstellvertretung => Vollzugriff die beiden Gruppen "Exchange Servers" und "Exchange Trusted Subsystem" eingetragen hat.
Beim Troubleshooting eines Postfachs (ein User mit zwei Email Konten in 2 verschiedenen Email Domains hatte zwar Zugriff auf beide Postfächer, konnte aber mit einer Absender Adresse keine EMails versenden, die EMails blieben in seinem Outlook Postausgang liegen) habe ich einem User diese beiden Gruppen entzogen. Augenscheinlich ohne Auswirkungen.
Dann habe ich gemerkt, dass ich sie aus der gleichen Oberfläche heraus nicht mehr hinzufügen kann - es sind ja schließlich auch keine Postfächer.
Dann bin ich ins AD und habe die beiden Gruppen gefunden. Dabei stellt sich heraus, das längst nicht alle User dort Mitglied der Gruppe(n) sind, die diese Gruppen als Vollzugriff in ihrem Exchange Profil stehen haben.
Könnte mir bitte jemand den Zusammenhang erklären oder einen Link mit Lesestoff liefern?
Danke im Voraus
nachdem die Migration eines Exchange 2010 (SBS2011) auf Exchange 2016 mit mininmaler Downtime geklappt hat und ich beide Server eine zeitlang parallel betrieben habe, wird es nun Zeit, "Abschied zu nehmen".
Allerdings ist mir aufgefallen, dass jeder User unter Empfänger => Postfachstellvertretung => Vollzugriff die beiden Gruppen "Exchange Servers" und "Exchange Trusted Subsystem" eingetragen hat.
Beim Troubleshooting eines Postfachs (ein User mit zwei Email Konten in 2 verschiedenen Email Domains hatte zwar Zugriff auf beide Postfächer, konnte aber mit einer Absender Adresse keine EMails versenden, die EMails blieben in seinem Outlook Postausgang liegen) habe ich einem User diese beiden Gruppen entzogen. Augenscheinlich ohne Auswirkungen.
Dann habe ich gemerkt, dass ich sie aus der gleichen Oberfläche heraus nicht mehr hinzufügen kann - es sind ja schließlich auch keine Postfächer.
Dann bin ich ins AD und habe die beiden Gruppen gefunden. Dabei stellt sich heraus, das längst nicht alle User dort Mitglied der Gruppe(n) sind, die diese Gruppen als Vollzugriff in ihrem Exchange Profil stehen haben.
Könnte mir bitte jemand den Zusammenhang erklären oder einen Link mit Lesestoff liefern?
Danke im Voraus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 545800
Url: https://administrator.de/contentid/545800
Printed on: April 23, 2024 at 15:04 o'clock
2 Comments
Latest comment
Ich kann dir nicht ganz genau sagen was die Gruppen machen. Ich weiß das die Gruppe "Exchange Trusted Subsystem" aufjedenfall für DAG Cluster relevant sein wird.
Das sind allerdings immer verebte Berechtigung von Exchange Service Account selbst, diese würde ich an deiner Stelle nicht löschen, es hat schon seinen Sinn das diese vererbt werden, außer du hast ganz spezielle ACL-Anforderungen, davon gehe ich aber mal Stand jetzt nicht aus.
Auf unserem alten Exchange 2013, als auch Exchange Online sind die Gruppen auch im FullAccess vorhanden.
Lasse dir bitte zuerst mit folgendem Befehl, sämtliche Berechtigungen des Postfachs anzeigen:
Get-MailboxPermission "<username>" |? {$_.AccessRights -eq "FullAccess"}| ft -auto
Dort solltest du in der Übersicht neben div. anderen Einträgen auch deine zwei genannten Einträge finden.
Sie werden bei folgenden Spalten diese Werte haben: "IsInherited" (False) und in der Spalte "Deny" (True)
Entferne diese Einträge mit folgendem Befehl:
Remove-MailboxPermission testuser -User "CONTOSO\Exchange Servers" -AccessRights FullAccess -Deny:$True
Remove-MailboxPermission testuser -User "CONTOSO\Exchange Trusted Subsystem" -AccessRights FullAccess -Deny:$True
Get-MailboxPermission testuser |? {$_.AccessRights -eq "FullAccess"}| ft -auto
Melde dich nun erneut auf der ECP an und prüfe das Postfach, die Berechtigungen sollten wieder auftauchen.
Quelle
Das sind allerdings immer verebte Berechtigung von Exchange Service Account selbst, diese würde ich an deiner Stelle nicht löschen, es hat schon seinen Sinn das diese vererbt werden, außer du hast ganz spezielle ACL-Anforderungen, davon gehe ich aber mal Stand jetzt nicht aus.
Auf unserem alten Exchange 2013, als auch Exchange Online sind die Gruppen auch im FullAccess vorhanden.
Lasse dir bitte zuerst mit folgendem Befehl, sämtliche Berechtigungen des Postfachs anzeigen:
Get-MailboxPermission "<username>" |? {$_.AccessRights -eq "FullAccess"}| ft -auto
Dort solltest du in der Übersicht neben div. anderen Einträgen auch deine zwei genannten Einträge finden.
Sie werden bei folgenden Spalten diese Werte haben: "IsInherited" (False) und in der Spalte "Deny" (True)
Entferne diese Einträge mit folgendem Befehl:
Remove-MailboxPermission testuser -User "CONTOSO\Exchange Servers" -AccessRights FullAccess -Deny:$True
Remove-MailboxPermission testuser -User "CONTOSO\Exchange Trusted Subsystem" -AccessRights FullAccess -Deny:$True
Get-MailboxPermission testuser |? {$_.AccessRights -eq "FullAccess"}| ft -auto
Melde dich nun erneut auf der ECP an und prüfe das Postfach, die Berechtigungen sollten wieder auftauchen.
Quelle
Alles Bestens (auch wenn mich das "Warum" immer noch interessiert).
Vielen Dank!
Vielen Dank!
