9
Exchange 2016 Postfachberechtigung
Hallo zusammen,
erst mal danke für die Aufnahme. Wir haben ein Problem mit unseren Postfachberechtigungen. Es ist jedem Benutzer möglich über die Funktion "Ordner eines anderen Benutzers" im Outlook sich Zugang zu jedem Postfach zu verschaffen. (Wir verwenden verschiedene Office Versionen) Ich habe bereits im Exchange die Berechtigung geprüft, finde jedoch keine Einträge die anderen Benutzern Zugriff auf die Postfächer geben. Ich denke, dass die Berechtigung aus dem Active Directory kommt, aber auch hier finde ich nichts.
Welche Möglichkeiten hätte ich um die Berechtigung anzupassen? Wo könnte ich hier ansetzen?
erst mal danke für die Aufnahme. Wir haben ein Problem mit unseren Postfachberechtigungen. Es ist jedem Benutzer möglich über die Funktion "Ordner eines anderen Benutzers" im Outlook sich Zugang zu jedem Postfach zu verschaffen. (Wir verwenden verschiedene Office Versionen) Ich habe bereits im Exchange die Berechtigung geprüft, finde jedoch keine Einträge die anderen Benutzern Zugriff auf die Postfächer geben. Ich denke, dass die Berechtigung aus dem Active Directory kommt, aber auch hier finde ich nichts.
Welche Möglichkeiten hätte ich um die Berechtigung anzupassen? Wo könnte ich hier ansetzen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 608750
Url: https://administrator.de/contentid/608750
Printed on: April 24, 2024 at 21:04 o'clock
9 Comments
Latest comment
Sind die Benutzer Admins?
Haben die Benutzer im Outlook irgendwas freigegeben?
Haben die Benutzer im Outlook irgendwas freigegeben?
Hallo NordicMike,
nein, die Benutzer sind keine Admins und selbstständig wurde auch nichts im Outlook freigegeben. Der Zugriff ist generell mit jedem Benutzer auf jeden Benutzer möglich.
nein, die Benutzer sind keine Admins und selbstständig wurde auch nichts im Outlook freigegeben. Der Zugriff ist generell mit jedem Benutzer auf jeden Benutzer möglich.
Huch, schon als gelöst markiert?
Das war ein Versehen.
Wo hast du die Berechtigungen überprüft? Über Exchange Shell oder über ECP? Mach mal Screenshots...
Bitte schön
Bei der Postfachstellvertretung, bei Vollzugriff, da sind noch weitere Einträge, wenn man rechts runter scrollt. Ist da was dabei? Verfolge mal wer alles in bsadmin drinnen ist.
Whoops, Moment mal, in der Shell steht: "jeder" "full access".
Und darunter gleich der anonyme... Da ist viel zu viel drinnen.
Meine sieht so aus:
Identity User AccessRights IsInherited Deny
---- ------------ ----------- ----
dc.domain.de/test... NT-AUTORITÄT\SELBST {FullAccess, ReadPermission} False False
dc.domain.de/test... domain\Administrator {FullAccess} True True
dc.domain.de/test... domain\Organisatio... {FullAccess} True True
dc.domain.de/test... domain\Organizatio... {FullAccess} True True
dc.domain.de/test... NT-AUTORITÄT\SYSTEM {FullAccess} True False
dc.domain.de/test... NT-AUTORITÄT\Netz... {ReadPermission} True False
dc.domain.de/test... domain\Administrator {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
dc.domain.de/test... domain\Organisatio... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
dc.domain.de/test... domain\Organizatio... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
dc.domain.de/test... domain\Public Fold... {ReadPermission} True False
dc.domain.de/test... domain\Delegated S... {ReadPermission} True False
dc.domain.de/test... domain\Exchange Se... {FullAccess, ReadPermission} True False
dc.domain.de/test... domain\Exchange Tr... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
dc.domain.de/test... domain\Managed Ava... {ReadPermission} True False
Und darunter gleich der anonyme... Da ist viel zu viel drinnen.
Meine sieht so aus:
Identity User AccessRights IsInherited Deny
---- ------------ ----------- ----
dc.domain.de/test... NT-AUTORITÄT\SELBST {FullAccess, ReadPermission} False False
dc.domain.de/test... domain\Administrator {FullAccess} True True
dc.domain.de/test... domain\Organisatio... {FullAccess} True True
dc.domain.de/test... domain\Organizatio... {FullAccess} True True
dc.domain.de/test... NT-AUTORITÄT\SYSTEM {FullAccess} True False
dc.domain.de/test... NT-AUTORITÄT\Netz... {ReadPermission} True False
dc.domain.de/test... domain\Administrator {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
dc.domain.de/test... domain\Organisatio... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
dc.domain.de/test... domain\Organizatio... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
dc.domain.de/test... domain\Public Fold... {ReadPermission} True False
dc.domain.de/test... domain\Delegated S... {ReadPermission} True False
dc.domain.de/test... domain\Exchange Se... {FullAccess, ReadPermission} True False
dc.domain.de/test... domain\Exchange Tr... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
dc.domain.de/test... domain\Managed Ava... {ReadPermission} True False
Jepp, da hat einer die Rechte auf Datenbank-Level vergeben (Bad Practice), sieht man an dem "IsInherited" => Koppschüttel.
Die Rechte lassen sich über ADSIEdit.msc auf Datenbank-Level korrigieren.
Folgender Pfad
Rechte anzeigen lassen
Die Rechte lassen sich über ADSIEdit.msc auf Datenbank-Level korrigieren.
Folgender Pfad
(Get-MailboxDatabase).DistinguishedName
(get-acl "AD:\$((get-MailboxDatabase).DistinguishedName)").Access | select IdentityReference,ActiveDirectoryRights
