Exchange vererbte Berechtigungen
Es gibt Situationen, in denen ich ein AD-Konto aus rechtlichen Gründen nur für den Zugang zu persönlichen Gehaltsdaten aktiv halten möchte. Wir möchten den Zugriff auf alles andere, einschließlich der E-Mail-Adresse des Benutzers, blockieren, das Postfach jedoch aktiv lassen.
Obwohl es einige Dinge gibt, die ich manuell tun könnte, um dies zu erreichen, möchte ich es teilweise automatisieren. Ich habe eine AD-Gruppe mit der Absicht erstellt, Benutzer mit bestimmten Ablehnungsberechtigungen in Exchange und AD hinzuzufügen. AD ist in Ordnung, da ich GPOs habe, die den Mitgliedern der Gruppe die Anmeldung verweigern.
Für Exchange habe ich folgendes ausgeführt:
Get-MailboxDatabase -Identity "DB01" | Add-ADPermission -User "DOMAIN\DenyGroup" -AccessRights ExtendedRight -ExtendedRights Receive-As -Deny Das Ergebnis für den jeweiligen Benutzer ist:
Get-MailboxPermission BadUser User AccessRights IsInherited Deny ---- ------------ ----------- ---- NT AUTHORITY\SELF False False DOMAIN\Administrator True True DOMAIN\Domain Admins True True DOMAIN\Enterprise A... True True DOMAIN\Organization... True True DOMAIN\DenyGroup True True NT AUTHORITY\SYSTEM True False NT AUTHORITY\NETW... True False Wie zu sehen ist, wird der DenyGroup (bei der der Benutzer Mitglied ist) Vollzugriff auf das Postfach verweigert, der Benutzer kann jedoch weiterhin über OWA auf E-Mails zugreifen. Ich weiß, dass die NT-AUTORITÄT \ SELF immer noch vorhanden ist, aber ich hatte gehofft, dass es funktioniert, wo ich mich nicht damit beschäftigen muss und die Ablehnung Vorrang hätte.
Gibt es eine Art Vorrang in Bezug auf geerbte Berechtigungen und Berechtigungen, die auf lokaler Objektebene angewendet werden? Ich hätte gedacht, ein expliziter Deny würde alles außer Kraft setzen.
0 Antworten auf die Frage
Verwandte Probleme
-
3
Importieren Sie Kontakte aus MS Exchange in das Adressbuch
-
2
Synchronisieren Sie Google, Outlook-Kalender und Kontakte
-
2
BlackBerry mit Exchange Server (nicht mit BlackBerry Enterprise Server BES)
-
2
iPhone IMAP / Exchange Server: Problem beim Löschen und Verschieben von E-Mails
-
9
Gibt es gute Exchange-Clients, um Outlook zu ersetzen?
-
4
Outlook 2007 fragt beim Öffnen nach dem Kennwort
-
2
Warum ist mein Ordner "Gesendet" in Outlook unter Windows Mobile leer?
-
3
Windows Live Mail-Export nach Exchange
-
3
Gibt es eine einfache Systemanwendung, um über die Ankunft von Exchange-E-Mails zu informieren?
-
3
Ubuntu Server mit GNOME Desktop Envinronment - Einstellen der Apatche-Konfigurationsdateiberechtigun...