Exchange mailstore security herstellen - Serversoftware en clouddiensten

zaterdag 7 maart 2009 12:27

Acties:

Topicstarter

Op mijn werk ben ik er achter gekomen dat iedereen bij iedereen in de mailbox kon kijken.
Vanzelfsprekend ben ik hier meteen mee aan de slag gegaan.

Nou heb ik alle rechten gereset, en ban bovenaf laten invullen.
Echter, bij de security op 1 van de Exchange servers, krijg ik een security rule niet teruggezet.
Onder de zwarte balken hoor dus te staan: EXCH1$ DOMEINNAAM\EXCH1$
Dit klopt bij onderstaande. Opmerkelijk is dat het een user betreft ipv pc.

Afbeeldingslocatie: http://www.destreel.nl/goed.jpg

Afbeeldingslocatie: http://www.destreel.nl/goed.jpg

Bij de andere server klopt het niet. Daar heb ik handmatig de server moeten toevoegen, maar deze heeft logischerwijs een pc-icoontje gekregen ipv een user.

Afbeeldingslocatie: http://www.destreel.nl/slecht.jpg

Afbeeldingslocatie: http://www.destreel.nl/slecht.jpg

Hoe krijg ik de security-regel terug? Default instellingen propageren helpt niet.

Overigens is deze regel niet inherited, ook bij een standaard Exchange installatie niet.

zaterdag 7 maart 2009 15:34

Acties:

Verwijderd

Ik vind dit een vreemde werkwijze.. Ik zou toch eerder eens kijken waarom iedereen bij iedereen kan kijken en niet zomaar permissies beginnen door te drukken? Weet je hoe het zou moeten staan dan? Imo ben je nu een beetje met hagel aan het schieten in de hoop dat je wat raakt.
Als er een PC icoontje staat heb je een computer toegevoegd..en als er een user icoon staat heb je een user toegevoegd.. Kwetsie van de juiste selecteren.

zondag 8 maart 2009 12:34

Acties:

MRE-Inc

Copa Mundial de Fútbol de 1982

Ik ben benieuwd welke tool jij hebt gebruikt voor het resetten van de exchange permissies. Kun je daar wat meer over vertellen ?

XBL: MRE Inc

zondag 8 maart 2009 13:01

Acties:

Gomez12

Sowieso zou ik gewoon eens goed kijken naar de standaard security's. Het is al een tijdje geleden dat ik met exchange gewerkt heb, maar die anonymous usersgroup en authenticated users group en everyone users group lijken mij nou niet echt positief.

Sowieso handmatig een server moeten toevoegen klinkt al verkeerd, een nieuwe server hang je gewoon in de AD in de exchange server group en dan moet het goed gaan.

Pc gebaseerde rechten zijn eng en onoverzichtelijk, je hebt normaal gesproken groepen gebaseerde rechten en in die groepen zitten users of pc's.
Op exchange rechten-niveau wil ik in principe alleen maar groepen zien of je moet zeer goed weten waar je mee bezig bent en dit documenteren, maar ik garandeer je bij 5 exchange servers of meer wil je echt alleen maar groepen zien anders heb je geen overzicht.

zondag 8 maart 2009 16:02

Acties:

fRiEtJeSaTe

Topicstarter

Ik heb gekeken waarom iedereen in elkaars mail kon kijken. Dit lag aan de Everyone group, die full control had. Maar daarnaast werden de rechten niet meer inherit van bovenaf.
Om dit te herstellen heb ik het vinkje weer aangezet, dat geen effect leek te hebben (ook niet na een uur wachten).

Herstellen van de security is gebeurd middels het knopje reset to default in adsiedit.msc (onder services/exchange, etc...) Helaas stond de gebruiker SERVERNAAM$ na het resetten niet meer erbij. Ik snap het verschil tussen een gebruiker en een pc, maar deze gebruiker was niet terug te vinden. Niet in de AD en ook niet lokaal.

Overigens is de security-rule vanzelf gewijzigd naar van pc naar user. Vreemd maar waar lijkt mijn probleem hiermee opgelost.

[ Voor 20% gewijzigd door fRiEtJeSaTe op 08-03-2009 16:06 ]

zondag 8 maart 2009 17:04

Acties:

Gomez12

En de hamvraag blijft, wie heeft ooit die Everyone group full control gegeven en waarom?

Oftewel heb je nu niet iets anders gesloopt wat maandag als de mensen weer gaan werken pas opduikt? Of wordt dit maandag niet gewoon stilletjes teruggezet door een collega die het blijkbaar toch nodig vindt?

Je stukje over gebruiker SERVERNAAM$ snap ik niet helemaal. Als die niet in de AD staat in de exchange servers group, dan heb je een hele andere uitdaging dan even handmatig een gebruikers account in de security instellingen toevoegen.

maandag 9 maart 2009 13:30

Acties:

fRiEtJeSaTe

Topicstarter

Gomez12 schreef op zondag 08 maart 2009 @ 17:04:
En de hamvraag blijft, wie heeft ooit die Everyone group full control gegeven en waarom?

Oftewel heb je nu niet iets anders gesloopt wat maandag als de mensen weer gaan werken pas opduikt? Of wordt dit maandag niet gewoon stilletjes teruggezet door een collega die het blijkbaar toch nodig vindt?

Je stukje over gebruiker SERVERNAAM$ snap ik niet helemaal. Als die niet in de AD staat in de exchange servers group, dan heb je een hele andere uitdaging dan even handmatig een gebruikers account in de security instellingen toevoegen.

Collega wiens plaats ik vervang is inmiddels vertrokken. Hij was degene die dit ingericht had.
En het was inderdaad die uitdaging waar je doelt, vandaar dat ik hulp nodig had. Vreemd genoeg heeft Windows zelf deze servernaam$ met gebruikersicoontje teruggezet.

maandag 9 maart 2009 19:19

Acties:

Gomez12

Tja ik weet het niet hoor, maar een windows die zelf gebruikersrechten gaat toekennen aan een servernaam zou ik ernstig wantrouwen en gewoon herinrichten.

Dat is absoluut geen standaard gedrag en ook geen best practice. Of je hebt een stukje software wat als local admin / domain admin leuk je rechten loopt te verne*ken , of een collega die grappig probeert te zijn. Ik hoop op het 2e, want anders heb je gewoon een loslopend proces...

maandag 9 maart 2009 19:54

Acties:

Zwelgje

Gomez12 schreef op maandag 09 maart 2009 @ 19:19:
Tja ik weet het niet hoor, maar een windows die zelf gebruikersrechten gaat toekennen aan een servernaam zou ik ernstig wantrouwen en gewoon herinrichten.

Dat is absoluut geen standaard gedrag en ook geen best practice. Of je hebt een stukje software wat als local admin / domain admin leuk je rechten loopt te verne*ken , of een collega die grappig probeert te zijn. Ik hoop op het 2e, want anders heb je gewoon een loslopend proces...

default staat het computeraccount van de exchange server altijd als rechthebbende op de informatation store hoor, das normaal gedrag voor een Exchange 2003 installatie

A wise man's life is based around fuck you

maandag 9 maart 2009 20:52

Acties:

Gomez12

Powershell schreef op maandag 09 maart 2009 @ 19:54:
[...]

default staat het computeraccount van de exchange server altijd als rechthebbende op de informatation store hoor, das normaal gedrag voor een Exchange 2003 installatie

Euh ja, maar we hebben het hier toch over een andere server? Ik begrijp tenminste dat TS een account van een andere server er automagisch bij heeft gekregen. Hij heeft het namelijk over meerdere exchange servers en maar over 1 servernaam account wat er bij de ene wel bijkomt en bij de andere niet ( en later weer wel )

Of ik snap het niet helemaal of hij heeft het niet over het standaard gedrag...

dinsdag 10 maart 2009 07:55

Acties:

fRiEtJeSaTe

Topicstarter

Gomez12 schreef op maandag 09 maart 2009 @ 20:52:
[...]

Euh ja, maar we hebben het hier toch over een andere server? Ik begrijp tenminste dat TS een account van een andere server er automagisch bij heeft gekregen. Hij heeft het namelijk over meerdere exchange servers en maar over 1 servernaam account wat er bij de ene wel bijkomt en bij de andere niet ( en later weer wel )

Of ik snap het niet helemaal of hij heeft het niet over het standaard gedrag...

Ik heb het over standaardgedrag ja. Exchange Servers group staat er altijd bij.
Exchange voegt zelf echter zijn eigen servernaam als account toe. Dat was in dit geval niet het geval.