Exchange Recht "Vollzugriff" auf Postfächer

[Maniska]

Hello again,

ich habe da mal eine Frage zu den Berechtigungen innerhalb von Exchange. Ich bin gerade dabei etwas aufzuräumen, vor allem verwaiste Mailboxen in die mittlerweile kein User mehr reinschaut/reinschauen kann weil niemand mehr die Rechte dazu hat.

Nun ist mir direkt beim ersten Postfach das ich mir mit "Get-MailboxPermission -Identity "maniska" | where { $_.AccessRights -eq "FullAccess" } | Select-Object User" angesehen habe afgefallen, dass da doch eine ganz schön lange Liste ausgespuckt wird.

Der ganze AD-Kram ist klar, das Zeug, das ich im ecp bei dem Postfach mit Vollzugriff sehe auch, nur, wo kommt der Rest her? Da sind z.B. alte Servicekonten mit bei und ehemalige Admins oder DL bei denen die User deaktiviert und die Gruppen entzogen, die Konten aber nicht gelöscht wurden, plus die ein oder andere verwaiste SID...

Wie bekomme ich 1. raus, an welchem Recht diese Vollzugriffsberechtigung hängt (Gruppe kann es wohl nicht sein, und da es "alle" Postfächer betrifft egal ob neu oder alt scheint es eine globale Exchage Einstellung zu sein) und 2. wie bekomme ich das weg?

 

[Enno]

Hab das bei der Vor-Vor-Firma schon mal durch.

Dort war dann die "Beste" bzw. gründlichste Lösung: Berechtigungen neu machen.

Powershell Script schreiben das durch ALLE Postfächer iteriert.

im AD eine Exchange-Admin Gruppen anlegen und die SID jedem Postfach als Admin mit Vollzugriff hinzufügen und dann

Sich die SIDs mit Berechtigungen anschaut. Sollten diese nicht mehr existieren, deaktiviert sein oder der letzte Login mehr als x Monate her sein dann werden dem Postfach die SID weggenommen. Und mitloggen bei welchen Postfächern dann nur noch die EX-Admin Gruppe zugriff hat. Die Postfächer muss man sich dann eh mal manuell anschauen.

 

War echt Tabula Rasa, anders hätten wir damals aber dem Wildwuchs nicht mehr aufdröseln können.

Ja ein paar Postfächer hatten dann aus irgendwelchen Gründen den Zugriff für den eigentlichen Besitzer nicht mehr, da hat man dann von Hand diesen wieder hinzugefügt. War aber insgesamt deutlich einfach die dann kaputt gemachten wieder zu reparieren

[Maniska]

Hab ich schon mal gesagt, dass ich Exchange nicht mag?

Ok, ich versuche noch mal genauer zu erklären:

Wenn ich (bis jetzt nur Stichpunktartig geprüft, aber 100% Trefferquote) "Get-MailboxPermission -Identity "maniska" | where { $_.AccessRights -eq "FullAccess" } | Select-Object User" ausführe, bekomme ich angezeigt:

• Allgemeiner AD-Krempel --> voll i.O.
• Alle Konten/Gruppen die ich in der ecp unter "Vollzugriff" aufgelistet sehe --> voll i.O
• Konten die weder automatisch über die AD kommen, noch in der ecp auftauchen --> absolut nicht i.O.

Darunter eben alte Service Konten und Konten, die früher wahrscheinlich mal höhere (=Domainadmin) Rechte hatten, diese aber schon lange nicht mehr haben. Da aber die aktuellen Domainadminkonten hier fehlen, kann es irgendwie auch nicht daran hängen.

Das Problem betrifft soweit ich das aktuell sehen kann alle Exchangepostfächer, egal wann diese angelegt wurden. Auch ein frisches Postfach von letzter Woche hat diese Einträge.

Bedeutet ein Aufräumen wie von @Enno vorgeschlagen würde mir wahrscheinlich nicht helfen.

Ich wüsste gerne, über welche Wege die Berechtigung gesetzt werden könnte, um das Ganze nachhaltig abklemmen zu können.

[_n4p_]

vor 2 Stunden schrieb Maniska:

Ich wüsste gerne, über welche Wege die Berechtigung gesetzt werden könnte

Vererbung? kann man sehen wenn man das Select-Object User weglässt

[Maniska]

vor 12 Minuten schrieb _n4p_:

Vererbung? kann man sehen wenn man das Select-Object User weglässt

Ok, IsInherited = True, jetzt weiß ich dass es vererbt ist, aber ich hab immer noch keine Ahnung wo genau was gesetzt wurde. Dass es nicht auf jedem Postfach einzeln ist, sondern eine globale Einstellung sein muss war vorher schon recht eindeutig .

Und ich hab einfach zu wenig Plan von Exchange (zumindest dem Teil außerhalb der gängigen Wege im ecp).

 

[_n4p_]

du kannst mal prüfen ob die noch in irgendwelchen Exchange-Rollen stehen ..

Get-ManagementRoleAssignment -GetEffectiveUsers | Where-Object {$_.EffectiveUserName -eq "maniska"} | select-object Role

Ansonsten sind das Berechtigungen ausm AD

[Maniska]

Kurze Auflösung: Die Rechte waren explizit und auf Datenbankebene gesetzt.

Wer und warum? Keine Ahnung...

Aber zumindest isses jetzt weg.