none
Exchange 2013 - Remove group from ACL RRS feed

  • Domanda

  • Buongiorno,

    un consiglio.

    All' interno di alcune Mailbox Exchange 2013, per errore, durante la migrazione da un altro sistema di posta, sono state assegnate alcune Grant (SendAS, Behalf, FullAccess) ad alcuni gruppi AD. Ora vorrei bonificare le Mailbox (Shared e non) al netto di tali gruppi e lasciare solo le ACL effettive ai singoli utenti.

    Dato che tali gruppi non saranno più utilizzati, sarei per il "delete" direttamente da AD; però poi non vorrei ritrovarmi dei Sid "orphaned" sparsi nelle acl delle Mailbox. L' alternativa sarebbe quella di rimuovere i gruppi dalle Mailbox e poi procedere con il delete da AD.

    Alternative?

    Grazie

    lunedì 13 marzo 2017 07:26

Risposte

  • Ciao, se rimuovi le acl da AD prima di averle rimosse dai permessi delle mailbox può certamente capitare che ti trovi una lista di sid orphaned . L'iter migliore sarebbe quello di rimuovere prima i gruppi o utenti dalle mailbox e poi toglierli da AD. E' anche vero che un sid orphaned non crea particolari problemi, banalmente non esiste più quindi non vengono poi applicate le policy a riguardo, però è brutto da vedere.

    ti giro anche un link per eventualmente cercare i sid orfani su exchange, è per 2010, ma dovrebbe andare anche su 2013.

    https://blogs.technet.microsoft.com/bill_long/2011/10/23/removing-unresolved-sids-in-exchange-2010/

    ed una discussione su come rimuovere eventuali sid orphaned.

    https://social.technet.microsoft.com/Forums/exchange/en-US/7a1f9f97-0cc1-48fb-9929-8446e712f1cd/remove-orphaned-sid-from-mailbox-full-access-acl?forum=exchangesvrgenerallegacy

    ciao.

    A.

    martedì 14 marzo 2017 09:01
    Moderatore

Tutte le risposte

  • Ciao, se rimuovi le acl da AD prima di averle rimosse dai permessi delle mailbox può certamente capitare che ti trovi una lista di sid orphaned . L'iter migliore sarebbe quello di rimuovere prima i gruppi o utenti dalle mailbox e poi toglierli da AD. E' anche vero che un sid orphaned non crea particolari problemi, banalmente non esiste più quindi non vengono poi applicate le policy a riguardo, però è brutto da vedere.

    ti giro anche un link per eventualmente cercare i sid orfani su exchange, è per 2010, ma dovrebbe andare anche su 2013.

    https://blogs.technet.microsoft.com/bill_long/2011/10/23/removing-unresolved-sids-in-exchange-2010/

    ed una discussione su come rimuovere eventuali sid orphaned.

    https://social.technet.microsoft.com/Forums/exchange/en-US/7a1f9f97-0cc1-48fb-9929-8446e712f1cd/remove-orphaned-sid-from-mailbox-full-access-acl?forum=exchangesvrgenerallegacy

    ciao.

    A.

    martedì 14 marzo 2017 09:01
    Moderatore
  • Ciao Alessandro,

    grazie; procedo in tal senso.

    :)

    martedì 14 marzo 2017 10:28