Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Themen

Exchange Recht "Vollzugriff" auf Postfächer

Maniska
in Systemadministratoren und Netzwerktechniker

Empfohlene Antworten

Veröffentlicht

Hello again,

ich habe da mal eine Frage zu den Berechtigungen innerhalb von Exchange. Ich bin gerade dabei etwas aufzuräumen, vor allem verwaiste Mailboxen in die mittlerweile kein User mehr reinschaut/reinschauen kann weil niemand mehr die Rechte dazu hat.

Nun ist mir direkt beim ersten Postfach das ich mir mit "Get-MailboxPermission -Identity "maniska" | where { $_.AccessRights -eq "FullAccess" } | Select-Object User" angesehen habe afgefallen, dass da doch eine ganz schön lange Liste ausgespuckt wird.

Der ganze AD-Kram ist klar, das Zeug, das ich im ecp bei dem Postfach mit Vollzugriff sehe auch, nur, wo kommt der Rest her? Da sind z.B. alte Servicekonten mit bei und ehemalige Admins oder DL bei denen die User deaktiviert und die Gruppen entzogen, die Konten aber nicht gelöscht wurden, plus die ein oder andere verwaiste SID...

Wie bekomme ich 1. raus, an welchem Recht diese Vollzugriffsberechtigung hängt (Gruppe kann es wohl nicht sein, und da es "alle" Postfächer betrifft egal ob neu oder alt scheint es eine globale Exchage Einstellung zu sein) und 2. wie bekomme ich das weg?

 

Hab das bei der Vor-Vor-Firma schon mal durch.

Dort war dann die "Beste" bzw. gründlichste Lösung: Berechtigungen neu machen.

Powershell Script schreiben das durch ALLE Postfächer iteriert.

im AD eine Exchange-Admin Gruppen anlegen und die SID jedem Postfach als Admin mit Vollzugriff hinzufügen und dann

Sich die SIDs mit Berechtigungen anschaut. Sollten diese nicht mehr existieren, deaktiviert sein oder der letzte Login mehr als x Monate her sein dann werden dem Postfach die SID weggenommen. Und mitloggen bei welchen Postfächern dann nur noch die EX-Admin Gruppe zugriff hat. Die Postfächer muss man sich dann eh mal manuell anschauen.

 

War echt Tabula Rasa, anders hätten wir damals aber dem Wildwuchs nicht mehr aufdröseln können.

Ja ein paar Postfächer hatten dann aus irgendwelchen Gründen den Zugriff für den eigentlichen Besitzer nicht mehr, da hat man dann von Hand diesen wieder hinzugefügt. War aber insgesamt deutlich einfach die dann kaputt gemachten wieder zu reparieren

  • Autor

Hab ich schon mal gesagt, dass ich Exchange nicht mag? :D

Ok, ich versuche noch mal genauer zu erklären:

Wenn ich (bis jetzt nur Stichpunktartig geprüft, aber 100% Trefferquote) "Get-MailboxPermission -Identity "maniska" | where { $_.AccessRights -eq "FullAccess" } | Select-Object User" ausführe, bekomme ich angezeigt:

  • Allgemeiner AD-Krempel --> voll i.O.
  • Alle Konten/Gruppen die ich in der ecp unter "Vollzugriff" aufgelistet sehe --> voll i.O
  • Konten die weder automatisch über die AD kommen, noch in der ecp auftauchen --> absolut nicht i.O.

Darunter eben alte Service Konten und Konten, die früher wahrscheinlich mal höhere (=Domainadmin) Rechte hatten, diese aber schon lange nicht mehr haben. Da aber die aktuellen Domainadminkonten hier fehlen, kann es irgendwie auch nicht daran hängen.

Das Problem betrifft soweit ich das aktuell sehen kann alle Exchangepostfächer, egal wann diese angelegt wurden. Auch ein frisches Postfach von letzter Woche hat diese Einträge.

Bedeutet ein Aufräumen wie von @Enno vorgeschlagen würde mir wahrscheinlich nicht helfen.

Ich wüsste gerne, über welche Wege die Berechtigung gesetzt werden könnte, um das Ganze nachhaltig abklemmen zu können.

  • Autor
vor 12 Minuten schrieb _n4p_:

Vererbung? kann man sehen wenn man das Select-Object User weglässt

Ok, IsInherited = True, jetzt weiß ich dass es vererbt ist, aber ich hab immer noch keine Ahnung wo genau was gesetzt wurde. Dass es nicht auf jedem Postfach einzeln ist, sondern eine globale Einstellung sein muss war vorher schon recht eindeutig ;).

Und ich hab einfach zu wenig Plan von Exchange (zumindest dem Teil außerhalb der gängigen Wege im ecp).

 

du kannst mal prüfen ob die noch in irgendwelchen Exchange-Rollen stehen .. 

Get-ManagementRoleAssignment -GetEffectiveUsers | Where-Object {$_.EffectiveUserName -eq "maniska"} | select-object Role

Ansonsten sind das Berechtigungen ausm AD

  • 1 Monat später...

Erstelle ein Konto oder melde dich an, um einen Kommentar zu schreiben.

Zur Themenliste gehen

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.