none
Berechtigung, Share, In eine PST exportieren RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    moin,

    weiß jemand zufällig als welcher User ein "In eine PST exportieren" in der ECP durchgeführt wird??

    ich habe da ein lästiges Phänomen.

    ich bin am Exchange Server als Administrator. Öffne die ECP als User "XYZ" dieser ist bei der Export PST Gruppe und exportiere einen User in eine PST.

    Wenn im Share Everyone steht geht es. Wenn im Share der Admin und User "XYZ" steht geht es nicht. User XYZ ist bei den lokalen Admins am Windows Server

    PST-Datei '\\server\share\demo' kann nicht geöffnet werden. Fehlerdetails: Access to the path '\\server\share\demo' is denied.

    Gruppe Exchange Recipient Admin's und Exchange Trusted Subsystem hinzugefügt = gleiches Problem

    wen muss man unter dem Share berechtigen?

    Chris


    • Bearbeitet -- Chris -- Donnerstag, 28. Juli 2016 08:26
    Donnerstag, 28. Juli 2016 08:25
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Die Share-Berechtigungen sind relativ egal, solange die Dateiberechtigungen restriktiv sein.

    Anstelle von "Jeder" empfiehlt Microsoft morlaerweise "Authentifizierte Benutzer", wobei je nach Einstellung der Domäne in Bezug auf "anonyme Anmeldung" eh kein Unterschied zwischen den beiden mehr ist.

    Nachschauen kann ich da bei mir nichts, ich benutze PST-Export normalerweise nicht. Aber wenn ich das einrichte, bekommt Trusted Subsystem Vollzugriff und fertig.

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    • Als Antwort markiert -- Chris -- Donnerstag, 28. Juli 2016 10:09
    Donnerstag, 28. Juli 2016 10:06
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    der Export wird durch einen Exchange Dienst ausgeführt, also ist es der Computer, der Zugriff auf den Share braucht.

    Steht der Exchange Server bei Dir nicht in der Gruppe "Trusted Subsystem" drin? Alle Exchange Server sind dort Mitglied und es sollte reichen, diese Gruppe auf Share und Ordner zu berechtigen.

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)


    Donnerstag, 28. Juli 2016 08:43
    |
  • Question
    Anmelden
    0
    Anmelden

    doch auch die Server stehen unter Trusted Subsystem drinnen. Da muss es noch eine Falle geben?

    ich habe es jetzt auf meinem Client mit dem User xyz probiert.

    das habe ich mir bei der Umstellung dokumentiert.

    New-ManagementRoleAssignment -Role "Mailbox Import Export" -User "xyz"

    WICHTIG Command Powershell Fenster schließen !!!!

    C:\temp share mit Exchange Trusted System

    mit einem anderen User andere DB (beide auf neuem Ex2016) geht es?

    ist das richtig? es ist nur der eine User XYZ (Screenshot sysadm_) bei der neuen selbst erstellten Role dabei

    Get-ManagementRole "mailbox imp*" | Get-ManagementRoleAssignment -GetEffectiveUsers
    Name                           Role                              RoleAssigneeName       RoleAssigneeType                  AssignmentMethod                  EffectiveUserName
    Mailbox Import Export-SYSAD... Mailbox Import Export             XYZ   User                              Direct                            xyz

    bei anderen steht RoleGroup

    Chris

    Donnerstag, 28. Juli 2016 09:15
    |
  • Question
    Anmelden
    0
    Anmelden

    Nachtrag: \\server\c$\temp\demo.pst geht auch

    temp ist der Share

    Chris

    Donnerstag, 28. Juli 2016 09:17
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    sorry, aber Deinen Text verstehe ich nicht wirklich.

    RBAC sorgt dafür, dass ein Admin den Export-Request erstellen kann.

    Aber der Request wird durch einen Exchange Dienst mit seiner Identität durchgeführt und das ist normalerweis "SYSTEM" = das Computerkonto.

    Hier noch mal in länger:

    http://www.msexchange.org/articles-tutorials/exchange-server-2013/management-administration/managing-pst-import-export-process-exchange-server-2013-part1.html

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Donnerstag, 28. Juli 2016 09:19
    |
  • Question
    Anmelden
    0
    Anmelden

    Robert,

    kannst du mir bitte einmal nachsehen, ob dein Share auch Everyone FULL beinhaltet?

    im englischen Artikel sieht man auch den Everyone jedoch nicht mit welchem Rechten

    der Hintergrund des Problems war, dass wir eine Securityfirma da hatten, die den Everyone Share bemängelt hatten. Daher habe ich den Everyone entfernt. Dabei ist mir aufgefallen, dass ich nun keinen PST Export mehr machen konnte. Exchange Trusted Subsystem allein reicht bei mir leider nicht. Mit Everyone Full geht alles super.

    Chris

    Donnerstag, 28. Juli 2016 09:53
    |
  • Question
    Anmelden
    0
    Anmelden

    Die Share-Berechtigungen sind relativ egal, solange die Dateiberechtigungen restriktiv sein.

    Anstelle von "Jeder" empfiehlt Microsoft morlaerweise "Authentifizierte Benutzer", wobei je nach Einstellung der Domäne in Bezug auf "anonyme Anmeldung" eh kein Unterschied zwischen den beiden mehr ist.

    Nachschauen kann ich da bei mir nichts, ich benutze PST-Export normalerweise nicht. Aber wenn ich das einrichte, bekommt Trusted Subsystem Vollzugriff und fertig.

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    • Als Antwort markiert -- Chris -- Donnerstag, 28. Juli 2016 10:09
    Donnerstag, 28. Juli 2016 10:06
    |
  • Question
    Anmelden
    0
    Anmelden
    mit Authentifizierte Benutzer anstelle Everyone klappt es.

    Chris

    Donnerstag, 28. Juli 2016 10:09
    |