none
Welche Exchange Gruppe für Mobile Device Quarantäne freischalten RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    moin,

    welche Gruppe benötigt ein Helpdesk Mitarbeiter um Mobile Geräte freischalten zu können.

    Ich habe ich die Exchange Gruppe "Help Desk" gegeben, aber leider bleiben die beiden Button grau.

    Chris

    Dienstag, 31. Oktober 2017 07:08
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo Chris,

    Im ersten Schritt erstellst Du eine neue Management Rolle auf Basis einer existierenden Rolle.

    New-ManagementRole "MY_Manage_MobileDevice_Access -Parent "Organization Client Access"

    Jetzt musst Du alle nicht benötigten RoleEntries entfernen. Zum Beispiel so:

    Remove-ManagementRoleEntry "MY_Manage_MobileDevice_Access\Remove-RpcClientAccess" -Confirm:$False

    Im Letzten Schritt noch die Berechtigung für den HelpDesk erteilen.

    New-ManagementRoleAssignment -SecurityGroup "HelpDesk" -Role "MY_Manage_MobileDevice_Access"

    So könnte es funktionieren.

    Gruß Malte

    • Als Antwort markiert -- Chris -- Freitag, 3. November 2017 07:45
    Freitag, 3. November 2017 07:30
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Wenn du nicht Organisations-Admins verteilen willst, hilft dir afaik nur ne Gruppe die du dir selbst bastelst. Wir haben das auch so gemacht.
    Dienstag, 31. Oktober 2017 15:28
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Jörg,

    danke für die rasche Antwort. Hast du zufällig noch die Doku wie ihr die RBAC Rollen und Gruppe angelegt habt.

    Chris

    Dienstag, 31. Oktober 2017 16:11
    |
  • Question
    Anmelden
    0
    Anmelden

    Habe ich bestimmt @work, schaue ich morgen nach.

    Grüße

    Jörg

    Dienstag, 31. Oktober 2017 18:16
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Chris,

    die Freischaltung von Active Sync Geräten erfolgt mit dem Befehl Set-CASMailbox.
    Wie Du die Management Role ermittels hatten wir ja in diesem Thema:

    https://social.technet.microsoft.com/Forums/de-DE/f8cd79c9-cade-432c-8726-8a0b4a235075/powershell-welcher-exchange-gruppe-ist-erforderlich-um-ein-bestimmtes-cmdlet-ausfhren-zu-drfen?forum=exchange_serverde

    Set-CASMailbox -Identity $MBX_user -ActiveSyncAllowedDeviceIDs $User_DeviceIDs
    Natürlich musst Du noch die beiden Variablen korrekt befüllen.

    Gruß Malte

    Donnerstag, 2. November 2017 07:43
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Malte,

    ja, das war auch sehr informativ und nützlich in diesem Fall.

    Leider ist es etwas komplizierter, aber ich bin schon sehr weit. Mit eurem Tipp dachte ich es reicht die Exchange Gruppe "Help Desk" für meinem Kollegen. Aber es funktionierte nicht. Fürs Verständnis habe ich es für mich daher nochmals feiner zerlegt.

    Mittels Get-ManagementRoleEntry "*\set-cas*" | fl habe ich herausgefunden, dass nur die Role "Organization Client Access" den Parameter "ActivceSyncAllowedDeviceID" hat (siehe Textausgabe am Ende)! Jetzt musste ich noch herausfinden welche Gruppe die Role "Organization Client Access" hat

    Get-ManagementRoleAssignment -role "Organization Client Access" zeigt nun das nur "Organization Management" diese hat. Das erklärt nun warum "Help Desk" nicht reicht.

    "Organization Management" scheint mir in unserem Fall für den einen Kollegen der NUR Handy freischaltet etwas zu viel. Daher werde ich die Lösung von Jörg "eigene Role/Gruppe" anlegen anstreben, aber da brauche ich noch etwas Zeit weil ich mich erst einlesen muss.

    RunspaceId        : e3f7c99e-8618-4d26-b5fc-070d3c290d31
    Name              : Set-CASMailbox
    Role              : Organization Client Access
    Type              : Cmdlet
    Parameters        : {ActiveSyncAllowedDeviceIDs, ActiveSyncBlockedDeviceIDs, Confirm, Debug, DomainController,
                        ErrorAction, ErrorVariable, Identity, OutBuffer, OutVariable, Verbose, WarningAction,
                        WarningVariable, WhatIf}
    PSSnapinName      : Microsoft.Exchange.Management.PowerShell.E2010
    Identity          : Organization Client Access
    IsValid           : True

    Chris

    Donnerstag, 2. November 2017 08:55
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Chris,

    Im ersten Schritt erstellst Du eine neue Management Rolle auf Basis einer existierenden Rolle.

    New-ManagementRole "MY_Manage_MobileDevice_Access -Parent "Organization Client Access"

    Jetzt musst Du alle nicht benötigten RoleEntries entfernen. Zum Beispiel so:

    Remove-ManagementRoleEntry "MY_Manage_MobileDevice_Access\Remove-RpcClientAccess" -Confirm:$False

    Im Letzten Schritt noch die Berechtigung für den HelpDesk erteilen.

    New-ManagementRoleAssignment -SecurityGroup "HelpDesk" -Role "MY_Manage_MobileDevice_Access"

    So könnte es funktionieren.

    Gruß Malte

    • Als Antwort markiert -- Chris -- Freitag, 3. November 2017 07:45
    Freitag, 3. November 2017 07:30
    |
  • Question
    Anmelden
    0
    Anmelden

    Malte, Danke für den Tipp.

    ein Verständnisfrage hätte ich noch (sicher auch für andere interessant).

    ich dachte

    New-ManagementRole "MY_Manage_MobileDevice_Access -Parent "Organization Client Access"

    kopiert bzw. hat die gleichen Cmd-Lets wie "Organizsation Client Access".

    Interessantereweise finde ich zb. kein Set-CasMailbox wenn ich die Role mit

    Get-ManagementRole "MYRole" | fl >out.txt exportieren und suche?

    gleiches bei

    New-ManagementRole "MY_Manage_MobileDevice_Access -Parent "User Options"

    kein Set-CasMailbox

    kannst du das einmal bei dir ansehen?

    Chris

    Freitag, 3. November 2017 11:10
    |
  • Question
    Anmelden
    0
    Anmelden

    hat sich geklärt. Man muss es einfach so abfragen

    Get-ManagementRole "User Options" | Get-ManagementRoleEntry

    Chris

    Freitag, 3. November 2017 12:00
    |