Zum Inhalt springen
  • 0

Exchange Recht "Vollzugriff" auf Postfächer


Frage

Geschrieben

Hello again,

ich habe da mal eine Frage zu den Berechtigungen innerhalb von Exchange. Ich bin gerade dabei etwas aufzuräumen, vor allem verwaiste Mailboxen in die mittlerweile kein User mehr reinschaut/reinschauen kann weil niemand mehr die Rechte dazu hat.

Nun ist mir direkt beim ersten Postfach das ich mir mit "Get-MailboxPermission -Identity "maniska" | where { $_.AccessRights -eq "FullAccess" } | Select-Object User" angesehen habe afgefallen, dass da doch eine ganz schön lange Liste ausgespuckt wird.

Der ganze AD-Kram ist klar, das Zeug, das ich im ecp bei dem Postfach mit Vollzugriff sehe auch, nur, wo kommt der Rest her? Da sind z.B. alte Servicekonten mit bei und ehemalige Admins oder DL bei denen die User deaktiviert und die Gruppen entzogen, die Konten aber nicht gelöscht wurden, plus die ein oder andere verwaiste SID...

Wie bekomme ich 1. raus, an welchem Recht diese Vollzugriffsberechtigung hängt (Gruppe kann es wohl nicht sein, und da es "alle" Postfächer betrifft egal ob neu oder alt scheint es eine globale Exchage Einstellung zu sein) und 2. wie bekomme ich das weg?

 

6 Antworten auf diese Frage

Empfohlene Beiträge

  • 0
Geschrieben

Hab das bei der Vor-Vor-Firma schon mal durch.

Dort war dann die "Beste" bzw. gründlichste Lösung: Berechtigungen neu machen.

Powershell Script schreiben das durch ALLE Postfächer iteriert.

im AD eine Exchange-Admin Gruppen anlegen und die SID jedem Postfach als Admin mit Vollzugriff hinzufügen und dann

Sich die SIDs mit Berechtigungen anschaut. Sollten diese nicht mehr existieren, deaktiviert sein oder der letzte Login mehr als x Monate her sein dann werden dem Postfach die SID weggenommen. Und mitloggen bei welchen Postfächern dann nur noch die EX-Admin Gruppe zugriff hat. Die Postfächer muss man sich dann eh mal manuell anschauen.

 

War echt Tabula Rasa, anders hätten wir damals aber dem Wildwuchs nicht mehr aufdröseln können.

Ja ein paar Postfächer hatten dann aus irgendwelchen Gründen den Zugriff für den eigentlichen Besitzer nicht mehr, da hat man dann von Hand diesen wieder hinzugefügt. War aber insgesamt deutlich einfach die dann kaputt gemachten wieder zu reparieren

  • 0
Geschrieben

Hab ich schon mal gesagt, dass ich Exchange nicht mag? :D

Ok, ich versuche noch mal genauer zu erklären:

Wenn ich (bis jetzt nur Stichpunktartig geprüft, aber 100% Trefferquote) "Get-MailboxPermission -Identity "maniska" | where { $_.AccessRights -eq "FullAccess" } | Select-Object User" ausführe, bekomme ich angezeigt:

  • Allgemeiner AD-Krempel --> voll i.O.
  • Alle Konten/Gruppen die ich in der ecp unter "Vollzugriff" aufgelistet sehe --> voll i.O
  • Konten die weder automatisch über die AD kommen, noch in der ecp auftauchen --> absolut nicht i.O.

Darunter eben alte Service Konten und Konten, die früher wahrscheinlich mal höhere (=Domainadmin) Rechte hatten, diese aber schon lange nicht mehr haben. Da aber die aktuellen Domainadminkonten hier fehlen, kann es irgendwie auch nicht daran hängen.

Das Problem betrifft soweit ich das aktuell sehen kann alle Exchangepostfächer, egal wann diese angelegt wurden. Auch ein frisches Postfach von letzter Woche hat diese Einträge.

Bedeutet ein Aufräumen wie von @Enno vorgeschlagen würde mir wahrscheinlich nicht helfen.

Ich wüsste gerne, über welche Wege die Berechtigung gesetzt werden könnte, um das Ganze nachhaltig abklemmen zu können.

  • 0
Geschrieben
vor 12 Minuten schrieb _n4p_:

Vererbung? kann man sehen wenn man das Select-Object User weglässt

Ok, IsInherited = True, jetzt weiß ich dass es vererbt ist, aber ich hab immer noch keine Ahnung wo genau was gesetzt wurde. Dass es nicht auf jedem Postfach einzeln ist, sondern eine globale Einstellung sein muss war vorher schon recht eindeutig ;).

Und ich hab einfach zu wenig Plan von Exchange (zumindest dem Teil außerhalb der gängigen Wege im ecp).

 

  • 0
Geschrieben

du kannst mal prüfen ob die noch in irgendwelchen Exchange-Rollen stehen ..

Get-ManagementRoleAssignment -GetEffectiveUsers | Where-Object {$_.EffectiveUserName -eq "maniska"} | select-object Role

Ansonsten sind das Berechtigungen ausm AD

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Diese Frage beantworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...