none
BES quitar permisos RRS feed

  • Pregunta

  • Hola buen dia, como parte de la implementacion el BES, tuve que correr el siguiente comando: 

    Get-MailboxDatabase | Add-ADPermission -User "BESAdmin" -AccessRights ExtendedRight -

    ExtendedRights Receive-As, ms-Exch-Store-Admin

    Add-ADPermission -InheritedObjectType User -InheritanceType Descendents -ExtendedRights Send-As -

    User "BESAdmin" -Identity "CN=Users,DC=dominio,DC=local,"

    Todo anda ok, pero cada vez que se crea un usuario nuevo, besadmin ya tiene los permisos asignados sobre el mismo, y la idea es que no sea asi

    La pregunta es como puedo volver atras via powershell sin quitarle, a los usuarios que usan BES, los permisos que ya tienen asignados

    

    muchas gracias


    marcelo_adrian@hotmail.com
    lunes, 29 de agosto de 2011 16:36

Respuestas

  • Hola Marcelo,

    Para el correcto funcionamiento de BES es necesario que el usuario que uses para el servicio de Blackberry (en tu caso BESAdmin) tenga esos permisos sobre los buzones. Las instrucciones que has ejecutado (que son las que suele mandar el ISP que gestiona el servicio de BES) sirve para habilitar a nivel de Base de datos la herencia de esos permisos para todos los usuarios.

    TIenes que tener en cuenta que si quitases esos permisos, tendrías que dar a mano los permisos de BES para los usuarios que si utilizasen ese servicio (en caso de no tenerlo no podrías aprovisionar las Blackberries para esos usuarios). Mi consejo es que lo dejes tal y como está, debes considerar la cuenta de BESAdmin como un administrador de la organización que solo tu deberias conocer.

    En todo caso si sigues convencido en quitarlo puedes usar el cmdlet Remove-ADPermission (utilizando los mismos parámetros que usaste para dar los permisos) http://technet.microsoft.com/es-es/library/aa996048.aspx.

    Como alternativa, planteate dar de alta una Base de Datos específica para los usuarios de Blacberry y dar los permisos para esa Base de Datos en vez de para todas (que es lo que haces al pasarle el Get-MailboxDatabase) y ubicar los usuarios que no van a tener Blackberry en otra Base de Datos.

    Si tienes alguna duda mas, comentala por favor.

    Un saludo


    MCP Windows Server 2003 MCTS WIndows Server 2008 Active Directory 2008 Configuration MCTS Exchange Server 2010 Configuration
    lunes, 29 de agosto de 2011 19:16

Todas las respuestas

  • Hola Marcelo,

    Para el correcto funcionamiento de BES es necesario que el usuario que uses para el servicio de Blackberry (en tu caso BESAdmin) tenga esos permisos sobre los buzones. Las instrucciones que has ejecutado (que son las que suele mandar el ISP que gestiona el servicio de BES) sirve para habilitar a nivel de Base de datos la herencia de esos permisos para todos los usuarios.

    TIenes que tener en cuenta que si quitases esos permisos, tendrías que dar a mano los permisos de BES para los usuarios que si utilizasen ese servicio (en caso de no tenerlo no podrías aprovisionar las Blackberries para esos usuarios). Mi consejo es que lo dejes tal y como está, debes considerar la cuenta de BESAdmin como un administrador de la organización que solo tu deberias conocer.

    En todo caso si sigues convencido en quitarlo puedes usar el cmdlet Remove-ADPermission (utilizando los mismos parámetros que usaste para dar los permisos) http://technet.microsoft.com/es-es/library/aa996048.aspx.

    Como alternativa, planteate dar de alta una Base de Datos específica para los usuarios de Blacberry y dar los permisos para esa Base de Datos en vez de para todas (que es lo que haces al pasarle el Get-MailboxDatabase) y ubicar los usuarios que no van a tener Blackberry en otra Base de Datos.

    Si tienes alguna duda mas, comentala por favor.

    Un saludo


    MCP Windows Server 2003 MCTS WIndows Server 2008 Active Directory 2008 Configuration MCTS Exchange Server 2010 Configuration
    lunes, 29 de agosto de 2011 19:16
  • muchas gracias,esta clarisimo.

    Se me ocurre, es factible manejarlo por pertenencia a grupos globales?

    saludos

     


    marcelo_adrian@hotmail.com
    martes, 30 de agosto de 2011 12:16
  • Hola Marcelo,

    ¿A que te refieres con manejarlo con grupos globales? Los permisos para el usuario debe BES deben darse sobre los buzones de los usuarios directamente.

    Un saludo


    MCP Windows Server 2003 MCTS WIndows Server 2008 Active Directory 2008 Configuration MCTS Exchange Server 2010 Configuration
    martes, 30 de agosto de 2011 12:28
  • Pensaba que se podrian aplicar permisos a buzones basandose en la pertenencia a grupos.

    pero no tiene sentido complicarla! muchas gracias

     


    marcelo_adrian@hotmail.com
    martes, 30 de agosto de 2011 13:08