none
Доступы к ящикам RRS feed

  • Общие обсуждения

  • exch 2010.

    После создания нового ящика, через какое-то время в свойствах полного доступа к нему, добавляются несколько учетных записей (а также в учетную запись пользователя эти учетки добавляются в атрибут msExchDelegateListLink).

    В планировщике задач вроде нет никаких на эту тему. Помню в exch. p.shell была команда на подобные операции, но как понимаю она применяется разово и на новые ящики не распространяется. Смущает еще то, что правило накладывается не сразу, а спустя какое-то время. В gpo тоже ничего не нашел.

    Где это отключить \ изменить?

    12 марта 2015 г. 11:44

Все ответы

  • Добрый день.

    Попробуйте, используя командлет Search-AdminAuditLog, поискать записи об использовании командлета Add-MailboxPermission.


    Blog - Smtp25.ru
    Полезные ссылки - Links

    12 марта 2015 г. 12:00
    Отвечающий
  • Попробуйте поискать по логам. Возможно, время выполнения или еще какие-либо данные помогут определить, откуда данная проблема идет:

     Get-Eventlog "MsExchange Management" | WHERE {$_.Message -LIKE "*MailboxPermission*"}

    13 марта 2015 г. 11:35
  • К сожалению в логе все в порядке. Во всяком случае вижу только то, что делал.

    Где еще можно поискать?

    13 марта 2015 г. 12:35
  • Посмотрите, когда была создана самая старая запись в логе? Были ли с тех пор созданы новые ящики, на которые прицепились права?
    13 марта 2015 г. 12:48
  • так, прошлый ответ написал, не увидев ваш. это касалось лога полученного

    [PS] C:\Windows\system32>Search-AdminAuditLog >e:\log.txt

    ++ да, тут есть записи о новых ящиках, к которым прицепились права, но вижу там только то, что делал сам.

    а это

    Get-Eventlog "MsExchange Management" | WHERE {$_.Message -LIKE "*MailboxPermission*"}

    выдает инфу вида

    .....

    46499 мар 02 12:43  Information MSExchange Cmdlet...   1073741825 Командлет успешно выполнен. Командлет Add-Mailb...
    46495 мар 02 11:23  Information MSExchange Cmdlet...   1073741825 Командлет успешно выполнен. Командлет Add-Mailb...

    .....

    как увидеть что после троеточий в выдаче или както раздвинуть или отформатировать вывод?



    • Изменено GuSoft 13 марта 2015 г. 13:10
    13 марта 2015 г. 12:58
  • Get-Eventlog "MsExchange Management" | WHERE {$_.Message -LIKE "*MailboxPermission*"} | FL Time*,Message
    Как один из вариантов.
    13 марта 2015 г. 13:15
  • угу, работает. ща буду смотреть

    еще, если не сложно, подскажите, какие учетки по умолчанию должны входить в группу полного доступа?сейчас вижу что после создания ящика присутствует self, а потом добавляются

    System

    Exchange servers

    Exchange trusted sybsystem

    Organization managmants

    и пару учеток, которые давно выключены.

    ++ еще вот это помогло вырезать оттуда:

    [PS] C:\Windows\system32>Get-Mailbox -ResultSize unlimited -Filter {(RecipientTypeDetails -eq 'UserMailbox') -and (Alias
     -ne 'Admin')} | Add-MailboxPermission -User <BAD_USER> -deny -AccessRights fullaccess -InheritanceType all

    • Изменено GuSoft 13 марта 2015 г. 14:19
    13 марта 2015 г. 14:14
  • User         : CONTOSO\administrator
    AccessRights : {FullAccess}
    
    User         : NT AUTHORITY\SELF
    AccessRights : {FullAccess, ReadPermission}
    
    User         : CONTOSO\mailboxuser
    AccessRights : {FullAccess}
    
    User         : CONTOSO\administrator
    AccessRights : {FullAccess}
    
    User         : CONTOSO\Domain Admins
    AccessRights : {FullAccess}
    
    User         : CONTOSO\Enterprise Admins
    AccessRights : {FullAccess}
    
    User         : CONTOSO\Organization Management
    AccessRights : {FullAccess}
    
    User         : NT AUTHORITY\SYSTEM
    AccessRights : {FullAccess}
    
    User         : NT AUTHORITY\NETWORK SERVICE
    AccessRights : {ReadPermission}
    
    User         : CONTOSO\administrator
    AccessRights : {FullAccess, DeleteItem, ReadPermission, ChangePermission, ChangeOwner}
    
    User         : CONTOSO\Domain Admins
    AccessRights : {FullAccess, DeleteItem, ReadPermission, ChangePermission, ChangeOwner}
    
    User         : CONTOSO\Enterprise Admins
    AccessRights : {FullAccess, DeleteItem, ReadPermission, ChangePermission, ChangeOwner}
    
    User         : CONTOSO\Organization Management
    AccessRights : {FullAccess, DeleteItem, ReadPermission, ChangePermission, ChangeOwner}
    
    User         : CONTOSO\Public Folder Management
    AccessRights : {ReadPermission}
    
    User         : CONTOSO\Delegated Setup
    AccessRights : {ReadPermission}
    
    User         : CONTOSO\Exchange Servers
    AccessRights : {FullAccess, ReadPermission}
    
    User         : CONTOSO\Exchange Trusted Subsystem
    AccessRights : {FullAccess, DeleteItem, ReadPermission, ChangePermission, ChangeOwner}
    
    User         : CONTOSO\Managed Availability Servers
    AccessRights : {ReadPermission}

    У меня так. 


    • Изменено Tema_BYMVP 13 марта 2015 г. 14:24
    13 марта 2015 г. 14:24
  • меньше чем у Вас. Да. Ну раз так, думаю что норм. Беспокоят только 2 учетки, которые прописываются туда.

    В логах - снова - только то что делал.

    Сегодня что нашел, на эти учетки применил (выше строка ps1)

    ++ (они откл. давно, в группах д.юзер) не удаляю, на случай их надобности..

    идеи иссякли. при создании ящика они снова возникают в доступе.

    уже проверил все закладки безопасности, последовательно в OU где лежат.

    есть еще идеи? (кто ранее ответил - спасибо)

    ++ или может где то есть описалово наложения правил на новые ящики?

    • Изменено GuSoft 13 марта 2015 г. 21:22
    13 марта 2015 г. 21:15