none
Механизм выдачи прав Full Mailbox Access RRS feed

  • Вопрос

  • Есть "админ", который создал много учетных записей, и у него, как у владельца этих учетных записей существует много прав на них, в том числе и возможность назначать права Full Access к почтовому ящику и Send As.

    Но с двумя учтеками, которые он создал, у него не проходит выдача прав Full Access, хотя Send As выдалось без проблем.

    В чем может быть проблема?
    И как я могу выяснить почему Exchange 2007 не позволяет ему провернуть эту процедуру?

    Данный "админ" является членом группы Recipient Administrator. Более к exchange он никак не относится. Пользователи с которыми есть проблемы и с которыми нет проблем, расположены в одном OU и у всех устанволено наследование прав.

    • Перемещено Hengzhe Li 12 марта 2012 г. 5:06 forum merge (От:Exchange Server 2007)
    3 марта 2011 г. 13:55

Ответы

  • Права на ящик хранятся в ящике, а не в АД. В АД только send-as recive-as есть. Вот последним правом кстати можно пользоваться как анлогом full access на ящик.
    MCSE:M 2003, MCITP:EA, SA, EMA, EMA:2010
    • Помечено в качестве ответа Evgeny Artemyev 17 марта 2011 г. 12:45
    9 марта 2011 г. 10:27
  • сегодня поковырялся, осознал весь механизм работы с правами на ящик

    1. После создания почтового ящика, Full Mailbox Access наследуется от учтеки, то есть при наличии полных прав на учетки в явном виде, или в виде наследования, или в виде владельца учетки - такой админ может выдавать люые права к почтовому ящику
    и вся эта радость действует до момента:

    2. Когда в этот ящик кто-либо зайдет, то по сути именно в этот момент ящик создается, формируются папки, называются (в соотвествие с необходимым языком) и самое главное применяются права выданные в Разделе AD - Configuration - Exchange

    Следовательно, как писал Khrebin Dmitry - права на ящик в Exchange в этом плане абсолютно оторваны от прав на пользователя в AD.

    Причем очень удобно, в начале учетка создается любым одмином у кого есть права; после создания админ может сразу выдать необходимые права на ящик не являясь администартором в Exchange. И после того как вящик кто либо зашел, админ теряет над ним возможность управления. Он вообще становиться никем.

    Используя эту возможность, я могу дать пользователям, какой-либо группе в AD, права на изменение Full Access

    Всем спасибо

    • Помечено в качестве ответа Evgeny Artemyev 17 марта 2011 г. 12:45
    17 марта 2011 г. 12:45

Все ответы

  • а какую ошибку генерирует шелл?
    http://alexxhost.ru
    9 марта 2011 г. 8:02
  • Add-MailboxPermission -Identity 'CN=konkurs,OU=MailBox,OU=XXXXXXXXXXXXX,OU=Subsidiaries,DC=XXXXXXXXXXX,DC=com' -User 'XXXXXXXXX\1C' -AccessRights 'FullAccess'

    Add-MailboxPermission : Failed to commit the change on object "d3c1f837-8c23-47e1-8204-13a3a412c25b" because access is denied.
    At line:1 char:22
    + Add-MailboxPermission <<<<  -Identity 'CN=konkurs,OU=MailBox,OU=XXXXXXXXXXX,OU=Subsidiaries,DC=XXXXXXXXXX,DC=com' -User 'XXXXXXXX\1C' -AccessRights 'FullAccess'
    + CategoryInfo          : WriteError: (0:Int32) [Add-MailboxPermission], M   apiAccessDeniedException
    + FullyQualifiedErrorId : 781290BA,Microsoft.Exchange.Management.Recipient
    Tasks.AddMailboxPermission

    Все четко, просто прав не хватает. Если такие права выданы, то вылезет предупрждение, что такие права выданы (стандартное желтого цвета), и все равно красное сообщение об ошибке вылезает.

     

    9 марта 2011 г. 9:26
  • И еще один факт, после создания этих ящиков, один из домен-админов применил к этим двум ящикам необходимую E-mail Address Policie
    9 марта 2011 г. 9:29
  • > у всех устанволено наследование прав

    Может всеже проблема с правами в АД. Что, если посмотреть Действующие разрешения "админа"  для проблемного пользователя в АД? Либо ещё раз обновить наследование.


    http://alexxhost.ru
    9 марта 2011 г. 9:45
  • Права на ящик хранятся в ящике, а не в АД. В АД только send-as recive-as есть. Вот последним правом кстати можно пользоваться как анлогом full access на ящик.
    MCSE:M 2003, MCITP:EA, SA, EMA, EMA:2010
    • Помечено в качестве ответа Evgeny Artemyev 17 марта 2011 г. 12:45
    9 марта 2011 г. 10:27
  • Сейчас я все перепроверю, так как последний раз занимался проблемой 3 марта.

    НО один из пунктов которые я делал "издеваясь над" (изучая) проблемой, как раз был - сброс всех прав, на - по-умолчанию.

    Так же специфических Deny прав практически нет у учетки, а владельца у учетки я уже менял, и сейчас сделан владельцем все тот же администратор, который заводил учетку. Собственно это единсвтенное, что должно позволять этому администратору дать полные права.

    Когда я спрашиваю Effective Permission у проблемного пользователя для админа, кторый ее создал, то AD мне показывает возможность полного управления.

    Я рассматриваю 3 возможные "проблемы":

    1- Неведомый глюк, худший вариант и чего не хотелось бы (в этой среде также развернут exchange 2010 и мы пока на него не начали переходить, а уже несколько глюков словил, связанных с их одновременных существованием, вообще причин глюкавости может быть сколько угодно :) )
    2- Есть что то, чего я не знаю, и возможно изучив эту проблему узнаю что то новое. Очень хотелось бы :) - то ради чего я поднял тему на форуме
    3- Какой то недосмотр, тупо гляжу в книгу - вижу фигу. не хотелось бы убедиться в собственной невнимательности :( тем не менее.

    И еще уточнение, этот админ может выполнить команду над этой учеткой

    Add-ADpermission как Send-As так и Receive-As, и с точностью наоборот, он не может выполнить команды Add-MailboxPermission FullAccess и SendAs

    В этой OU есть один запрет для группы в которой состоит этот одмин - это удаление учетных записей пользователей.

     

     

    9 марта 2011 г. 10:34
  • В моем случае этот админ без проблем юзает AD-шные командлеты, в отличие от Exchange-овых.

    Где-то происходит ошибка в процессе, когда Exchange решает, может этот админ изменить свойство безопасности или нет. и с моей точки зрения именно на стороне Exchange.

    9 марта 2011 г. 15:36
  • Artemiev Evgeny, удалось ли вам решить проблему?
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    15 марта 2011 г. 13:38
  • К сожалению пока не удалось, как раз сегодня обратился на свежую голову к ней и обнаружил следующее из разряда смотрю в книгу, вижк фигу.

    Итак

    все ящики можно поделить на две группы,

    1. в свойствах Full MailboxPermission присуствует только SELF (с этими ящиками проблем нет, все админы имееют полные права, или права унаследованные от OU)

    2. в тех же свойствах кроме SELF пристустствует еще куча служебных учеток (здесь все четко, только то что в Exchange могут, только то и могут, права выданные на учетку в AD) - сразу же вопрос почему у меня Exchange не всегда выдает права либо по первому образу и подобию, либо по второму.

    На сколько я понимаю - корректно по второму типу выдавать права?

    часть вывода команды get-mailboxpermission

    AccessRights    : {FullAccess, ReadPermission}
    Deny            : False
    InheritanceType : All
    User            : NT AUTHORITY\SELF
    Identity        : DOMAIN.com/User/учетка
                     
    IsInherited     : False
    IsValid         : True
    ObjectState     : Unchanged

    AccessRights    : {FullAccess}
    Deny            : False
    InheritanceType : All
    User            : DOMAIN\xxx.yyy
    Identity        : DOMAIN/User/учетка
                     
    IsInherited     : False
    IsValid         : True
    ObjectState     : Unchanged

    AccessRights    : {FullAccess}
    Deny            : False
    InheritanceType : All
    User            : DOMAIN\exch2007r
    Identity        : DOMAIN/User/учетка
                     
    IsInherited     : True
    IsValid         : True
    ObjectState     : Unchanged

    Deny            : False
    InheritanceType : All
    User            : DOMAIN\cups
    Identity        : DOMAIN/User/учетка
                     
    IsInherited     : True
    IsValid         : True
    ObjectState     : Unchanged

    AccessRights    : {FullAccess, DeleteItem, ReadPermission, ChangePermission, ChangeOwner}
    Deny            : False
    InheritanceType : All
    User            : DOMAIN\vault
    Identity        : DOMAIN/User/учетка
                     
    IsInherited     : True
    IsValid         : True
    ObjectState     : Unchanged

    AccessRights    : {FullAccess, DeleteItem, ReadPermission, ChangePermission, ChangeOwner}
    Deny            : False
    InheritanceType : All
    User            : DOMAIN\EX1$
    Identity        : DOMAIN/User/учетка
                     
    IsInherited     : True
    IsValid         : True
    ObjectState     : Unchanged

    AccessRights    : {FullAccess, DeleteItem, ReadPermission, ChangePermission, ChangeOwner}
    Deny            : False
    InheritanceType : All
    User            : DOMAIN\EX2$
    Identity        : DOMAIN/User/учетка
                     
    IsInherited     : True
    IsValid         : True
    ObjectState     : Unchanged

    15 марта 2011 г. 15:28
  • сегодня поковырялся, осознал весь механизм работы с правами на ящик

    1. После создания почтового ящика, Full Mailbox Access наследуется от учтеки, то есть при наличии полных прав на учетки в явном виде, или в виде наследования, или в виде владельца учетки - такой админ может выдавать люые права к почтовому ящику
    и вся эта радость действует до момента:

    2. Когда в этот ящик кто-либо зайдет, то по сути именно в этот момент ящик создается, формируются папки, называются (в соотвествие с необходимым языком) и самое главное применяются права выданные в Разделе AD - Configuration - Exchange

    Следовательно, как писал Khrebin Dmitry - права на ящик в Exchange в этом плане абсолютно оторваны от прав на пользователя в AD.

    Причем очень удобно, в начале учетка создается любым одмином у кого есть права; после создания админ может сразу выдать необходимые права на ящик не являясь администартором в Exchange. И после того как вящик кто либо зашел, админ теряет над ним возможность управления. Он вообще становиться никем.

    Используя эту возможность, я могу дать пользователям, какой-либо группе в AD, права на изменение Full Access

    Всем спасибо

    • Помечено в качестве ответа Evgeny Artemyev 17 марта 2011 г. 12:45
    17 марта 2011 г. 12:45
  • Потратил несколько часов на решение проблемы с access denied при попытке предоставить пользователю право Send As. Оказалось что УЗ почтового ящика, не смотря ни на что, очень даже связана с УЗ в AD. Оказалось что достаточно через ADUC зайти в security пользователя, от имени которого нужно отправлять, и добавить туда пользователя (который должен иметь право отправлять) с правом Send As. После этого в консоли управления Exchange можно открыть Manage Send As Permission... и увидеть там только что добавленного пользователя.

    (Exchange 2010 @ Windows Server 2008R2 Std sp1, AD level 2003 native)

    26 июля 2011 г. 16:17
  • я вот пробовал и через ADUC устанавливать права на send as, и через консоль exchange, и через powershell - ничего не помогает, прав все равно нет. Даже если в "Manage send as permissoin..." появляется пользователь, которому можно отправлять от имени этого, все равно ошибка прав.
    7 сентября 2011 г. 8:56