none
Отмена изменений RRS feed

  • Вопрос

  • Добрый день!

    Некоторое время назад в рабочую MS Exchange 2010 была установлена софтина Good for Enterprise. Для тестирования функционала. В процессе установки учетки администратора софтины требуется дать разрешения на уровне организации Exchange. Разрешения давались командой: Get-OrganizationConfig | Add-AdPermission –user <USERNAME> -AccessRights GenericRead -ExtendedRights "Read metabase properties","Create named properties in the information store","View information store status","Administer information store","Receive as","Send as" (взята из мануала по установке). В результате у всех пользователей Exchange (даже у вновь создаваемых) добавляется разрешение SendAs для учетки USERNAME.

    По итогам тестирования от софтины решили отказаться.

    Если я выполняю Get-OrganizationConfig |  Remove-AdPermission –user <USERNAME> -AccessRights GenericRead -ExtendedRights "Read metabase properties","Create named properties in the information store","View information store status","Administer information store","Receive as","Send as" то EMS выдает несколько одинаковых ошибок: Can't remove the access control entry on the object "CN=<OrgName>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<OrgName>,DC=com" for attribute "ExtendedRight (ObjectType: be013017-13a1-41ad-a058-f156504cb617)" because the ACE isn't present.  И ничего не далает(((                                                                                 

    Подскажите, как откатить результат выполнения команды?



    • Изменено GoodwiN 18 февраля 2016 г. 11:57
    18 февраля 2016 г. 11:56

Ответы

  • Разобрался!

    Когда ставили Good какой-то дятел прожал права в AD в двух местах: от корня (как по мануалу Good) и на OU где содержаться все пользователи. Вот права на OU я и видел.

    Через ADUC посмотрел внимательнее откуда идёт наследование и удалил учетку там. Помогло.

    Тема закрыта!

    Большое спасибо за помощь и наводящие вопросы!!!


    • Изменено GoodwiN 18 февраля 2016 г. 14:39
    • Предложено в качестве ответа Ivan.Basov 18 февраля 2016 г. 14:57
    • Помечено в качестве ответа Vasilev VasilMicrosoft contingent staff 19 февраля 2016 г. 10:43
    18 февраля 2016 г. 14:38

Все ответы

  • Через Adsiedit зайдите в раздел конфигурации->services->microsoft exchange->имя организации и посмотрите есть эта учетка в security или нет.

    Можно там ее и удалить.

    18 февраля 2016 г. 12:49
  • Нужной мне учетки там нет.

    Зато нашел и удалил другие "левые" отключенные учетки.

    Где ещё посмотреть?

    18 февраля 2016 г. 13:23
  • Нужной мне учетки там нет.

    Зато нашел и удалил другие "левые" отключенные учетки.

    Где ещё посмотреть?

    Значит на этом уровне разрешений нет)

    Add-AdPermission командлет о правах в AD.

    А то что у вас у пользователей появляются-это права на базы данных.

    Посмотрите еще раз какие права были назначены учетке в AD.

    GoodAdmin user must be granted “send-as” permission at the domain level via ADUC in all scenarios. This is separate and distinct from the Extended-Right “send-as” mailbox permission set above.

    вот что сказано в документации, удалите у себя


    18 февраля 2016 г. 13:28
  • Откатываю изменения по документации к Good. Права в ADUC удалил ранее. Разрешение SendAs перестало добавляться новым пользователям! Но старые разрешения не удаляются

    Если пытаюсь удалить старые разрешения с помощью Remove-ADPermission -identity "User Display Name" -user <GOODAdministrator> -AccessRights ExtendedRight -ExtendedRights Send-As -Confirm:$false
    То выдается ошибка An inherited access control entry has been specified: [Rights: ExtendedRight, ControlType: Allow]  and was ignored on object "User Display Name".


    А если по-тупому попробовать удалить с помощью Remove-MailboxPermission "User Display Name" -AccessRights SendAs -User "<GOODAdministrator>"
    То получаю вот это WARNING: Can't remove the access control entry on the object "User Display Name" for account "<GOODAdministrator>" because the ACE doesn't exist on the object.

    18 февраля 2016 г. 14:05
  • Откатываю изменения по документации к Good. Права в ADUC удалил ранее. Разрешение SendAs перестало добавляться новым пользователям! Но старые разрешения не удаляются

    Если пытаюсь удалить старые разрешения с помощью Remove-ADPermission -identity "User Display Name" -user <GOODAdministrator> -AccessRights ExtendedRight -ExtendedRights Send-As -Confirm:$false
    То выдается ошибка An inherited access control entry has been specified: [Rights: ExtendedRight, ControlType: Allow]  and was ignored on object "User Display Name".


    А если по-тупому попробовать удалить с помощью Remove-MailboxPermission "User Display Name" -AccessRights SendAs -User "<GOODAdministrator>"
    То получаю вот это WARNING: Can't remove the access control entry on the object "User Display Name" for account "<GOODAdministrator>" because the ACE doesn't exist on the object.

    оно же было унаследовано, возможно удалилось везде.

    сейчас если сделать get-adpermission показывает что разрешение присутствует?


    18 февраля 2016 г. 14:19
  • сейчас если сделать get-adpermission показывает что разрешение присутствует?

    Показывает.

    И на вкладке Security в ADUC учетка есть (смотрел для случайной пользовательской учетке)


    • Изменено GoodwiN 18 февраля 2016 г. 14:29
    18 февраля 2016 г. 14:29
  • попробуйте так:

    get-mailbox user | Remove-ADPermission -User "admin" -ExtendedRights send-as -InheritanceType All

    18 февраля 2016 г. 14:35
  • Разобрался!

    Когда ставили Good какой-то дятел прожал права в AD в двух местах: от корня (как по мануалу Good) и на OU где содержаться все пользователи. Вот права на OU я и видел.

    Через ADUC посмотрел внимательнее откуда идёт наследование и удалил учетку там. Помогло.

    Тема закрыта!

    Большое спасибо за помощь и наводящие вопросы!!!


    • Изменено GoodwiN 18 февраля 2016 г. 14:39
    • Предложено в качестве ответа Ivan.Basov 18 февраля 2016 г. 14:57
    • Помечено в качестве ответа Vasilev VasilMicrosoft contingent staff 19 февраля 2016 г. 10:43
    18 февраля 2016 г. 14:38