none
Разрешения на полный доступ RRS feed

  • Вопрос

  • Не пойму что делаю не правильно, но что-то идёт не так, добавляю пользователю группу которая будет иметь к его ящику полный доступ - не работает, не пускает к ящику... причем это только у одного пользователя, к остальным добавляет нормально...

    Скрин того что пишет

    http://keep4u.ru/full/ccbdd0bd25b49393057676a456f63189.html

    • Перемещено Hengzhe Li 12 марта 2012 г. 6:21 forum merge (От:Exchange Server 2007)
    8 июля 2010 г. 16:18

Ответы

  • Видите значение IsInherited   : True ? По умолчанию администраторы предприятия, администраторы корневого домена и администраторы организации Exchange имеют явно заданный запрет на доступ к ящикам Exchange на уровне организации.

    Используйте команду Get-OrganizationConfig | Remove-ADPermission -user "тут указываете нужную группу администаторов" -ExtendedRights receive-as -deny для удаления запретов на доступ для организации.

    Так же, вы можете открыть доступ к конкретному ящику. Смотрите справку Exchange по использованию команды Remove-ADPermission.

    23 июля 2010 г. 5:59
    Модератор

Все ответы

  • Уважаемый Bugzoid,

    ведь команда выполняется нормально. Приведите список разрешений данного пользователя.

    13 июля 2010 г. 13:09
    Модератор
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.
    15 июля 2010 г. 9:35
    Модератор
  • Я пытаюсь дать разрешения группе администраторов на полный доступ к этому ящику - это одно действите, а судя по скрину котрый я привёл - выполняется две команды, установка разрешений и сразу же удаление этих разрешений

    [PS] C:\Windows\system32>get-mailboxpermission -identity plandir
    
    Identity       User         AccessRights    IsInherited Deny
    --------       ----         ------------    ----------- ----
    ekd.local/Users/А... EKD\keymaster    {FullAccess}    False    True
    ekd.local/Users/А... NT AUTHORITY\SELF  {FullAccess, Rea... False    False
    ekd.local/Users/А... EKD\Администратор... {FullAccess}    False    False
    ekd.local/Users/А... EKD\MAIL$      {ReadPermission}  True    False
    ekd.local/Users/А... EKD\Exchange Servers {FullAccess}    True    True
    ekd.local/Users/А... EKD\Администратор... {FullAccess}    True    True
    ekd.local/Users/А... EKD\Администратор... {FullAccess}    True    True
    ekd.local/Users/А... EKD\Exchange Orga... {FullAccess}    True    True
    ekd.local/Users/А... EKD\keymaster    {FullAccess}    True    True
    ekd.local/Users/А... EKD\Exchange Servers {FullAccess}    True    False
    ekd.local/Users/А... EKD\Exchange Publ... {ReadPermission}  True    False
    ekd.local/Users/А... NT AUTHORITY\NETW... {ReadPermission}  True    False
    ekd.local/Users/А... EKD\Exchange Servers {ReadPermission}  True    False
    ekd.local/Users/А... EKD\Exchange View... {ReadPermission}  True    False
    ekd.local/Users/А... EKD\Exchange Orga... {FullAccess, Del... True    False
    ekd.local/Users/А... EKD\keymaster    {FullAccess, Del... True    False
    ekd.local/Users/А... EKD\Администратор... {FullAccess, Del... True    False
    ekd.local/Users/А... EKD\Администратор... {FullAccess, Del... True    False
    
    
    
    [PS] C:\Windows\system32>get-mailboxpermission -identity plandir | format-list
    
    
    AccessRights  : {FullAccess}
    Deny      : True
    InheritanceType : All
    User      : EKD\keymaster
    Identity    : ekd.local/Users/Алексей Федоров
    IsInherited   : False
    IsValid     : True
    ObjectState   : Unchanged
    
    AccessRights  : {FullAccess, ReadPermission}
    Deny      : False
    InheritanceType : All
    User      : NT AUTHORITY\SELF
    Identity    : ekd.local/Users/Алексей Федоров
    IsInherited   : False
    IsValid     : True
    ObjectState   : Unchanged
    
    AccessRights  : {FullAccess}
    Deny      : False
    InheritanceType : All
    User      : EKD\Администраторы домена
    Identity    : ekd.local/Users/Алексей Федоров
    IsInherited   : False
    IsValid     : True
    ObjectState   : Unchanged
    
    AccessRights  : {ReadPermission}
    Deny      : False
    InheritanceType : All
    User      : EKD\MAIL$
    Identity    : ekd.local/Users/Алексей Федоров
    IsInherited   : True
    IsValid     : True
    ObjectState   : Unchanged
    
    AccessRights  : {FullAccess}
    Deny      : True
    InheritanceType : All
    User      : EKD\Exchange Servers
    Identity    : ekd.local/Users/Алексей Федоров
    IsInherited   : True
    IsValid     : True
    ObjectState   : Unchanged
    
    AccessRights  : {FullAccess}
    Deny      : True
    InheritanceType : All
    User      : EKD\Администраторы домена
    Identity    : ekd.local/Users/Алексей Федоров
    IsInherited   : True
    IsValid     : True
    ObjectState   : Unchanged
    
    AccessRights  : {FullAccess}
    Deny      : True
    InheritanceType : All
    User      : EKD\Администраторы предприятия
    Identity    : ekd.local/Users/Алексей Федоров
    IsInherited   : True
    IsValid     : True
    ObjectState   : Unchanged
    
    AccessRights  : {FullAccess}
    Deny      : True
    InheritanceType : All
    User      : EKD\Exchange Organization Administrators
    Identity    : ekd.local/Users/Алексей Федоров
    IsInherited   : True
    IsValid     : True
    ObjectState   : Unchanged
    
    AccessRights  : {FullAccess}
    Deny      : True
    InheritanceType : All
    User      : EKD\keymaster
    Identity    : ekd.local/Users/Алексей Федоров
    IsInherited   : True
    IsValid     : True
    ObjectState   : Unchanged
    
    AccessRights  : {FullAccess}
    Deny      : False
    InheritanceType : All
    User      : EKD\Exchange Servers
    Identity    : ekd.local/Users/Алексей Федоров
    IsInherited   : True
    IsValid     : True
    ObjectState   : Unchanged
    
    AccessRights  : {ReadPermission}
    Deny      : False
    InheritanceType : All
    User      : EKD\Exchange Public Folder Administrators
    Identity    : ekd.local/Users/Алексей Федоров
    IsInherited   : True
    IsValid     : True
    ObjectState   : Unchanged
    
    AccessRights  : {ReadPermission}
    Deny      : False
    InheritanceType : All
    User      : NT AUTHORITY\NETWORK SERVICE
    Identity    : ekd.local/Users/Алексей Федоров
    IsInherited   : True
    IsValid     : True
    ObjectState   : Unchanged
    
    AccessRights  : {ReadPermission}
    Deny      : False
    InheritanceType : All
    User      : EKD\Exchange Servers
    Identity    : ekd.local/Users/Алексей Федоров
    IsInherited   : True
    IsValid     : True
    ObjectState   : Unchanged
    
    AccessRights  : {ReadPermission}
    Deny      : False
    InheritanceType : All
    User      : EKD\Exchange View-Only Administrators
    Identity    : ekd.local/Users/Алексей Федоров
    IsInherited   : True
    IsValid     : True
    ObjectState   : Unchanged
    
    AccessRights  : {FullAccess, DeleteItem, ReadPermission, ChangePermission, Ch
             angeOwner}
    Deny      : False
    InheritanceType : All
    User      : EKD\Exchange Organization Administrators
    Identity    : ekd.local/Users/Алексей Федоров
    IsInherited   : True
    IsValid     : True
    ObjectState   : Unchanged
    
    AccessRights  : {FullAccess, DeleteItem, ReadPermission, ChangePermission, Ch
             angeOwner}
    Deny      : False
    InheritanceType : All
    User      : EKD\keymaster
    Identity    : ekd.local/Users/Алексей Федоров
    IsInherited   : True
    IsValid     : True
    ObjectState   : Unchanged
    
    AccessRights  : {FullAccess, DeleteItem, ReadPermission, ChangePermission, Ch
             angeOwner}
    Deny      : False
    InheritanceType : All
    User      : EKD\Администраторы предприятия
    Identity    : ekd.local/Users/Алексей Федоров
    IsInherited   : True
    IsValid     : True
    ObjectState   : Unchanged
    
    AccessRights  : {FullAccess, DeleteItem, ReadPermission, ChangePermission, Ch
             angeOwner}
    Deny      : False
    InheritanceType : All
    User      : EKD\Администраторы домена
    Identity    : ekd.local/Users/Алексей Федоров
    IsInherited   : True
    IsValid     : True
    ObjectState   : Unchanged
    
    
    
    [PS] C:\Windows\system32>
    16 июля 2010 г. 9:43
  • 2 Daniil Khabarov

    Извините - подниму тему - Ни каких мыслей по поводу вопроса нет?

    18 июля 2010 г. 19:06
  • А давате попробуем через PoSh сделать то же самое.



    Daniil Khabarov, MSFT  Follow MSTechnetForum on Twitter
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Посетите Блог Инженеров
    20 июля 2010 г. 13:57
    Модератор
  • Через Posh права добавляет (делаю для группы Администраторы домена), но доступа так и нет

    меня смущает то что присутствуют одновременно два элемента -

    AccessRights  : {FullAccess}
    Deny      : True
    InheritanceType : All
    User      : EKD\Администраторы домена
    Identity    : ekd.local/Users/Алексей Федоров
    IsInherited   : True
    IsValid     : True
    ObjectState   : Unchanged

    И

    AccessRights  : {FullAccess}
    Deny      : False
    InheritanceType : All
    User      : EKD\Администраторы домена
    Identity    : ekd.local/Users/Алексей Федоров
    IsInherited   : False
    IsValid     : True
    ObjectState   : Unchanged

    Как это может быть?

    21 июля 2010 г. 10:24
  • Хм...

    А в каких группах AD находятся эти пользователи?



    Daniil Khabarov, MSFT  Follow MSTechnetForum on Twitter
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Посетите Блог Инженеров
    22 июля 2010 г. 11:52
    Модератор
  • Да собственно Администраторы домена и есть администраторы, а Алексей Федоров  в группе пользователи
    22 июля 2010 г. 13:11
  • Видите значение IsInherited   : True ? По умолчанию администраторы предприятия, администраторы корневого домена и администраторы организации Exchange имеют явно заданный запрет на доступ к ящикам Exchange на уровне организации.

    Используйте команду Get-OrganizationConfig | Remove-ADPermission -user "тут указываете нужную группу администаторов" -ExtendedRights receive-as -deny для удаления запретов на доступ для организации.

    Так же, вы можете открыть доступ к конкретному ящику. Смотрите справку Exchange по использованию команды Remove-ADPermission.

    23 июля 2010 г. 5:59
    Модератор
  • 2 Startsev Yegor

    Понял, спасибо, сейчас попробую - но вот в чем интересность ещё ,

    к некоторым ящикам полный доступ для группы Администраторы домена есть, а к некоторым не пускает...

    И самая главная интересность - если я к ящику в который не даёт полного доступа для группы "Администраторы домена"   добавлю в полный доступ и "Администраторы домена" и конкретного доменного администратора   - то доступ для этого администратора появляется, а вот по отдельности назначая полный доступ для этих двух элементов - не работает!

    23 июля 2010 г. 9:50
  • Итак, Bugzoid,

    вам помог совет Startsev Yegor?



    Daniil Khabarov, MSFT  Follow MSTechnetForum on Twitter
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Посетите Блог Инженеров
    26 июля 2010 г. 13:02
    Модератор
  • Да, но явное разрешение перекрывает унаследованный запрет. Не стоит снимать стандартные настройки без особой надобности, лучше свои дописать.
    MCSE:M 2003, MCITP:EA, EMA, EMA:2010
    26 июля 2010 г. 13:58
  • 2 Startsev Yegor

    Понял, спасибо, сейчас попробую - но вот в чем интересность ещё ,

    к некоторым ящикам полный доступ для группы Администраторы домена есть, а к некоторым не пускает...

    И самая главная интересность - если я к ящику в который не даёт полного доступа для группы "Администраторы домена"   добавлю в полный доступ и "Администраторы домена" и конкретного доменного администратора   - то доступ для этого администратора появляется, а вот по отдельности назначая полный доступ для этих двух элементов - не работает!


    Т.е. просто полный доступ человеку тоже не работает?

    И просто доступ группе не работает?

    Только когда оба назначенны?

    Сдается мне, что какие-то проблемы у сервера во взаимоотношениях с DC

    Посмотрите журнал приложений на этот счет. Поднимите протоколирование для MSExchange ADAccess  (прям для всей группы до Експерта и смотрите)

    В частности что в топологии пишет

    А так же в Get-ExchangeServer -Status  | fl *contr*


    MCSE:M 2003, MCITP:EA, EMA, EMA:2010
    26 июля 2010 г. 14:04
  • вот что пишет последняя комада которую вы предложили


             Welcome to the Exchange Management Shell!

     Full list of cmdlets:          get-command
     Only Exchange cmdlets:         get-excommand
     Cmdlets for a specific role:   get-help -role *UM* or *Mailbox*
     Get general help:              help
     Get help for a cmdlet:         help <cmdlet-name> or <cmdlet-name> -?
     Show quick reference guide:    quickref
     Exchange team blog:            get-exblog
     Show full output for a cmd:    <cmd> | format-list

    Tip of the day #35:

    Нужно очистить все данные из мобильного устройства? Используйте:

     Clear-ActiveSyncDevice

    Укажите время суток для очистки устройства или позвольте задаче выполнить очистк
    у, когда устройство в следующий раз подключится к серверу.

    [PS] C:\Windows\system32>Get-ExchangeServer -Status  | fl *contr*


    StaticDomainControllers         : {}
    StaticConfigDomainController    :
    StaticExcludedDomainControllers : {}
    CurrentDomainControllers        : {Central.ekd.local}
    CurrentConfigDomainController   : Central.ekd.local

     

    [PS] C:\Windows\system32>

     

    А как выполнить "Поднимите протоколирование для MSExchange ADAccess  " ?

    в журналах приложений ошибок не видно, только попадают предупреждения "Наложение оперативного обслуживания для базы данных "First Storage Group\Mailbox Database". Проверьте расписание оперативного обслуживания. "

    26 июля 2010 г. 18:29
  • выполнить "Поднимите протоколирование для MSExchange ADAccess  " ?

    get-eventloglevel "MSexchange ADAccess" | Set-EventLogLevel -Level Expert

    Из журнала приложений содержимое 2080 события посмотреть дайте. И Get-ExchangeServer -Status  | fl *contr* тоже.

    На предыдущие вопросы тоже ответьте - проще понимать ситуацию будет.


    MCSE:M 2003, MCITP:EA, EMA, EMA:2010
    27 июля 2010 г. 5:21
  • [PS] C:\Windows\system32>Get-ExchangeServer -Status  | fl *contr*


    StaticDomainControllers         : {}
    StaticConfigDomainController    :
    StaticExcludedDomainControllers : {}
    CurrentDomainControllers        : {Central.ekd.local}
    CurrentConfigDomainController   : Central.ekd.local

     

    [PS] C:\Windows\system32>

    В вобытиях журнала приложений есть 2080  с такими содержаниями

    -----------------------------

    Процесс MSEXCHANGEADTOPOLOGYSERVICE.EXE (идентификатор процесса=2000). Поставщик Active Directory Exchange обнаружил следующие серверы с характеристиками:

    (имя сервера | роли | включен | доступность | синхронизирован | поддержка глобального каталога | основной контроллер домена | право системного списка управления доступом | важные данные | Netlogon | версия ОС)

    На сайте:

    Central.ekd.local CDG 1 7 7 1 0 1 1 7 1

    Вне сайта:

    ---------------------------

    и

    ---------------------------

    Процесс STORE.EXE (идентификатор процесса=4588). Поставщик Active Directory Exchange обнаружил следующие серверы с характеристиками:

    (имя сервера | роли | включен | доступность | синхронизирован | поддержка глобального каталога | основной контроллер домена | право системного списка управления доступом | важные данные | Netlogon | версия ОС)

    На сайте:

    Central.ekd.local CDG 1 7 7 1 0 1 1 7 1

    Вне сайта:

    ------------------------

    С другим содержанием нет

    28 июля 2010 г. 17:08
  • Добрый день,

    как продвигается решение проблемы? Какие-нибудь новости есть?



    Daniil Khabarov, MSFT  Follow MSTechnetForum on Twitter
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Посетите Блог Инженеров
    12 августа 2010 г. 13:38
    Модератор
  • Пока никак - выше, уважаемый Hrebin Dmitry попросил сделать некоторые шаги, я выполнил, но он не прокоментировал пока
    13 августа 2010 г. 2:49
  • Подниму... может за пару месяцев у кого нибудь появилась возможность дать коментарии по вопросу...
    15 ноября 2010 г. 9:32