none
Mailbox-Berechtiung, SID entfernen RRS feed

  • Frage

  • moin,

    wir haben mittels Frank's Exchange Reporter unsere Mailboxen ausgewertet und (scheinbar) auch jede Menge verwaister User gefunden. Diese erscheinen nicht in der EAC-GUI. Kann man die mittels PS-Script - suche in allen Mailboxen, -like "S-1-5-21-8688*" in allen bedenkenlos löschen. Oder könnte da auch ein Security Group dahinterstehen.

    zb. S-1-5-21-8688276-13847799-1097073633-10503

    PS C:\WINDOWS\system32> get-mailboxpermission "01012"

    Identity             User                 AccessRights                                   IsInherited Deny
    --------             ----                 ------------                                   ----------- ----
    firma/Aemt... NT AUTHORITY\SELF    {FullAccess, ReadPermission}                          False       False
    firma/Aemt... NT AUTHORITY\SELF    {FullAccess, ExternalAccount, ReadPermission}         False       False
    firma/Aemt... firma\Grp_01012      {FullAccess}                                           False       False
    firma/Aemt... S-1-5-21-868827... {DeleteItem}                                          False       False
    firma/Aemt... firma\sysadm        {FullAccess}                                           True        True
    firma/Aemt... firma\Domain Admins {FullAccess}                                           True        True
    firma/Aemt... firma\Enterprise... {FullAccess}                                           True        True
    firma/Aemt... firma\Exchange O... {FullAccess}                                           True        True
    firma/Aemt... firma\Organizati... {FullAccess}                                           True        True
    firma/Aemt... NT AUTHORITY\SYSTEM  {FullAccess}                                          True        False
    firma/Aemt... NT AUTHORITY\NETW... {ReadPermission}                                      True        False


    • Bearbeitet Dont-Worry Dienstag, 19. November 2019 09:16
    Dienstag, 19. November 2019 08:50

Alle Antworten

  • habe es gerade herausgefunden. leider Beginnt auch unser domain admin oder unser Backup User beginnt mit S-1-5-21-8688276-13847799
    • Bearbeitet Dont-Worry Dienstag, 19. November 2019 09:16
    Dienstag, 19. November 2019 09:15
  • Moin,

    die nicht verwaisten User sollten sich doch aber eigentlich auflösen?

    Du kannst auf Nummer sicher gehen, indem Du versuchst, jede gefundene SID explizit mit Get-ADObject gegen das AD zu finden, bevor Du den ACE löschst.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Dienstag, 19. November 2019 09:33