Toon posts:

[Exchange 2007] Gebruiker die alle mailboxen kan lezen.

Pagina: 1
Acties:

Onderwerpen

Exchange 2007

donderdag 4 maart 2010 18:34

Acties:
  • 0 Henk 'm!
  • WeeJeWel
  • Registratie: April 2007
  • Laatst online: 10-09 21:35

WeeJeWel

Topicstarter
Beste tweakers,

voor een webapplicatie waarin de inbox van een gebruiker wordt getoond wordt gebruik gemaakt van webdav om de gegevens op te halen. Echter moet de gebruiker inloggen met zijn gebruikersnaam en wachtwoord. Om dit te automatiseren zou het handig zijn om een supergebruiker te hebben die alleen leesrechten voor alle mailboxen heeft. De benodigde informatie is niks bijzonders, slechts onderwerp, datum, zender en inhoud.

Is dit mogelijk te maken? Wanneer er wordt ingelogd als administrator krijg ik geen toegang. Is dit privacybescherming of een stommiteit van mijn kant?

Bij voorbaat dank!

Homey — Critics are those without skills to create.

donderdag 4 maart 2010 18:37

Acties:
  • 0 Henk 'm!
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 17:04

Zwelgje

ff spelen met de volgende powershell cmdlets (voorbeeldje)

Get-mailboxserver <servername> | add-adpermission –user <service account> -accessrights GenericRead, GenericWrite -extendedrights Send-As, Receive-As, ms-Exch-Store-Admin

en de administrator kan default nergens bij, das normaal :)

A wise man's life is based around fuck you

donderdag 4 maart 2010 18:46

Acties:
  • 0 Henk 'm!
  • WeeJeWel
  • Registratie: April 2007
  • Laatst online: 10-09 21:35

WeeJeWel

Topicstarter
Oef dat is helemaal nieuw voor me. Ik heb servername vervangen door de server en service account door Administrator, maar nog steeds geen rechten. Enig idee hoe ik verder moet?

Homey — Critics are those without skills to create.

donderdag 4 maart 2010 18:53

Acties:
  • 0 Henk 'm!
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 12-09 16:29

Jazzy

Moderator SSC/PB

Moooooh!

WeeJeWel schreef op donderdag 04 maart 2010 @ 18:46:
Oef dat is helemaal nieuw voor me. Ik heb servername vervangen door de server en service account door Administrator, maar nog steeds geen rechten. Enig idee hoe ik verder moet?
Administrator kun je geen toegang geven, die heeft een Deny op mailboxen en dat telt meer dan een Allow. :)

Beter is het als je je even in gaat lezen over dit onderwerp, het is best wel belangrijk dat je begrijpt wat je doet. Voor je het weet heb je zo'n situatie waarbij alle gebruikers elkaars mailbox kunnen lezen, of iets dergelijks.

Exchange en Office 365 specialist. Mijn blog.

donderdag 4 maart 2010 18:53

Acties:
  • 0 Henk 'm!
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 17:04

Zwelgje

WeeJeWel schreef op donderdag 04 maart 2010 @ 18:46:
Oef dat is helemaal nieuw voor me. Ik heb servername vervangen door de server en service account door Administrator, maar nog steeds geen rechten. Enig idee hoe ik verder moet?
admin heeft deny rechten... die gaan voor allow :)

maak een nieuwe user aan welke die rechten krijgt, administrator hier rechten geven is sowieso niet best practice

Get-OrganizationConfig | Remove-ADPermission -User “DOMAIN\Administrator” -AccessRights ExtendedRight -ExtendedRights Receive-As -Deny

daar doe je dat mee iig :P

jazzy: :w

[ Voor 17% gewijzigd door Zwelgje op 04-03-2010 18:55 ]

A wise man's life is based around fuck you

donderdag 4 maart 2010 18:59

Acties:
  • 0 Henk 'm!
  • WeeJeWel
  • Registratie: April 2007
  • Laatst online: 10-09 21:35

WeeJeWel

Topicstarter
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48

[PS] C:\Documents and Settings\Administrator.CUP-WB01>Get-mailboxserver SERVER
 add-adpermission -user iwlezer -accessrights GenericRead, GenericWrite -extend
drights Send-As, Receive-As, ms-Exch-Store-Admin
WARNING: Appropriate ACE is already present on object
"CN=SERVER,CN=Servers,CN=Exchange Administrative Group
(FYDIBOHF23SPDLT),CN=Administrative Groups,CN=INTRAWEB BV,CN=Microsoft
Exchange,CN=Services,CN=Configuration,DC=intraweb,DC=local" for account
"INTRAWEB\iwlezer".
WARNING: Appropriate ACE is already present on object
"CN=SERVER,CN=Servers,CN=Exchange Administrative Group
(FYDIBOHF23SPDLT),CN=Administrative Groups,CN=INTRAWEB BV,CN=Microsoft
Exchange,CN=Services,CN=Configuration,DC=intraweb,DC=local" for account
"INTRAWEB\iwlezer".
WARNING: Appropriate ACE is already present on object
"CN=SERVER,CN=Servers,CN=Exchange Administrative Group
(FYDIBOHF23SPDLT),CN=Administrative Groups,CN=INTRAWEB BV,CN=Microsoft
Exchange,CN=Services,CN=Configuration,DC=intraweb,DC=local" for account
"INTRAWEB\iwlezer".
WARNING: Appropriate ACE is already present on object
"CN=SERVER,CN=Servers,CN=Exchange Administrative Group
(FYDIBOHF23SPDLT),CN=Administrative Groups,CN=INTRAWEB BV,CN=Microsoft
Exchange,CN=Services,CN=Configuration,DC=intraweb,DC=local" for account
"INTRAWEB\iwlezer".
WARNING: Appropriate ACE is already present on object
"CN=SERVER,CN=Servers,CN=Exchange Administrative Group
(FYDIBOHF23SPDLT),CN=Administrative Groups,CN=INTRAWEB BV,CN=Microsoft
Exchange,CN=Services,CN=Configuration,DC=intraweb,DC=local" for account
"INTRAWEB\iwlezer".
WARNING: Appropriate ACE is already present on object
"CN=SERVER,CN=Servers,CN=Exchange Administrative Group
(FYDIBOHF23SPDLT),CN=Administrative Groups,CN=INTRAWEB BV,CN=Microsoft
Exchange,CN=Services,CN=Configuration,DC=intraweb,DC=local" for account
"INTRAWEB\iwlezer".
WARNING: Appropriate ACE is already present on object
"CN=SERVER,CN=Servers,CN=Exchange Administrative Group
(FYDIBOHF23SPDLT),CN=Administrative Groups,CN=INTRAWEB BV,CN=Microsoft
Exchange,CN=Services,CN=Configuration,DC=intraweb,DC=local" for account
"INTRAWEB\iwlezer".

Identity             User                 Deny  Inherited Rights
--------             ----                 ----  --------- ------
SERVER               INTRAWEB\iwlezer     False False     Send-As
SERVER               INTRAWEB\iwlezer     False False     Receive-As
SERVER               INTRAWEB\iwlezer     False False     ms-Exch-Store-Admin
SERVER               INTRAWEB\iwlezer     False False     ReadProperty
SERVER               INTRAWEB\iwlezer     False False     ListObject, Generi...
SERVER               INTRAWEB\iwlezer     False False     Self, WriteProperty
SERVER               INTRAWEB\iwlezer     False False     ReadControl


Ik zie alleen false bij uitvoeren van het commando op een normale user. Het script geeft ook een HTTP/1.1 401 Unauthorized terug, helaas.

Wat doe ik fout? Ik voel me echt een newbie hier maar vind het wel heel interessant allemaal.

Homey — Critics are those without skills to create.

donderdag 4 maart 2010 19:05

Acties:
  • 0 Henk 'm!
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 17:04

Zwelgje

dit is een testomgeving of een productieomgeving :? :P

if productieomgeving dat zou ik de tip van jazzy toch maar serieus overwegen. eerst inlezen in de materie voordat je het eea verkloot (excuus voor de woordkeuze) in je omgeving. :)

A wise man's life is based around fuck you

donderdag 4 maart 2010 19:07

Acties:
  • 0 Henk 'm!
  • WeeJeWel
  • Registratie: April 2007
  • Laatst online: 10-09 21:35

WeeJeWel

Topicstarter
Testomgeving, ofcourse :)

Homey — Critics are those without skills to create.

vrijdag 5 maart 2010 12:09

Acties:
  • 0 Henk 'm!

Verwijderd

- maak een domain user aan: mailboxadmin
- geef hem rechten op alle mailboxen in de mailbox database:
Get-MailboxDatabase "mailbox database" | Get-Mailbox | Add-MailboxPermission -user "mailboxadmin" -AccessRights fullaccess

echter moet je dit altijd doen, wanneer er een nieuwe mailbox wordt aangemaakt.

Vandaar mijn vraag:
Is er op een manier in te stellen binnen exchange, dat alle nieuwe users bepaalde standaard security settings mee krijgen?

vrijdag 5 maart 2010 13:32

Acties:
  • 0 Henk 'm!
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 12-09 16:29

Jazzy

Moderator SSC/PB

Moooooh!

Je kunt ook gewoon de juiste RBAC rol aan die account toevoegen.

Exchange en Office 365 specialist. Mijn blog.

vrijdag 5 maart 2010 13:34

Acties:
  • 0 Henk 'm!
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 17:04

Zwelgje

Jazzy schreef op vrijdag 05 maart 2010 @ 13:32:
Je kunt ook gewoon de juiste RBAC rol aan die account toevoegen.
RBAC is toch een exchange 2010 feature (8>

http://technet.microsoft.com/en-us/library/dd298183.aspx

A wise man's life is based around fuck you

vrijdag 5 maart 2010 14:18

Acties:
  • 0 Henk 'm!
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 12-09 16:29

Jazzy

Moderator SSC/PB

Moooooh!

Powershell schreef op vrijdag 05 maart 2010 @ 13:34:
[...]


RBAC is toch een exchange 2010 feature (8>

http://technet.microsoft.com/en-us/library/dd298183.aspx
Natuurlijk, kom net terug van het 70-662 examen (geslaagd :)) en ben nu een ontwerp voor Exchange 2010 aan het uitschrijven. Had even over het hoofd gezien dat het hier om een oude versie gaat. :)

Exchange en Office 365 specialist. Mijn blog.

vrijdag 5 maart 2010 14:20

Acties:
  • 0 Henk 'm!

Verwijderd

Jazzy schreef op vrijdag 05 maart 2010 @ 14:18:
[...]
Natuurlijk, kom net terug van het 70-662 examen (geslaagd :)) en ben nu een ontwerp voor Exchange 2010 aan het uitschrijven. Had even over het hoofd gezien dat het hier om een oude versie gaat. :)
Gefeliciteerd :) En oud? Exchange 2000 en 5.5, da's pas oud :)

vrijdag 5 maart 2010 15:22

Acties:
  • 0 Henk 'm!
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 17:04

Zwelgje

Jazzy schreef op vrijdag 05 maart 2010 @ 14:18:
[...]
Natuurlijk, kom net terug van het 70-662 examen (geslaagd :)) en ben nu een ontwerp voor Exchange 2010 aan het uitschrijven. Had even over het hoofd gezien dat het hier om een oude versie gaat. :)
feli!

(heb ze zelf ook alle 2 gehaald :9 )

A wise man's life is based around fuck you

vrijdag 5 maart 2010 15:34

Acties:
  • 0 Henk 'm!
  • Krypt
  • Registratie: April 2000
  • Laatst online: 27-08 13:55

Krypt

Kan je niet met passtrought authentication werken?
Dan hoef je niet met rechten te klooien; logt de gebruiker gewoon door met z'n eigen credentials.

[ Voor 49% gewijzigd door Krypt op 05-03-2010 15:35 ]

Pvouput live

vrijdag 5 maart 2010 19:45

Acties:
  • 0 Henk 'm!
  • WeeJeWel
  • Registratie: April 2007
  • Laatst online: 10-09 21:35

WeeJeWel

Topicstarter
Krypt schreef op vrijdag 05 maart 2010 @ 15:34:
Kan je niet met passtrought authentication werken?
Dan hoef je niet met rechten te klooien; logt de gebruiker gewoon door met z'n eigen credentials.
Het liefste wel, maar volgens mij is dit niet ondersteund in PHP? En helemaal niet icm webdav lijkt me.

Een gebruiker updaten bij elke keer een mailbox toevoegen is ook not done helaas, daarvoor is het systeem te ondergeschikt aan de moeite die de beheerders ermee zullen hebben.

Andere oplossingen? :)

Homey — Critics are those without skills to create.

vrijdag 5 maart 2010 19:51

Acties:
  • 0 Henk 'm!
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

WeeJeWel schreef op vrijdag 05 maart 2010 @ 19:45:
[...]

Het liefste wel, maar volgens mij is dit niet ondersteund in PHP? En helemaal niet icm webdav lijkt me.
Daar kom je nu mee?
Maar waarom zou dat niet werken dan? [google=ADSI+PHP] of omdat AD eigenlijk LDAP is: [google=LDAP+PHP]

[ Voor 11% gewijzigd door alt-92 op 05-03-2010 19:52 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 5 maart 2010 19:53

Acties:
  • 0 Henk 'm!
  • Krypt
  • Registratie: April 2000
  • Laatst online: 27-08 13:55

Krypt

zou je dan gebruik kunnen maken met ldap?
zo kun je ook passtrough authentication naar linux doen,misschien ook naar je php applicatie.

Pvouput live

vrijdag 5 maart 2010 19:59

Acties:
  • 0 Henk 'm!
  • WeeJeWel
  • Registratie: April 2007
  • Laatst online: 10-09 21:35

WeeJeWel

Topicstarter
Oh maar dat automatisch inloggen gebeurt al, maar enkel aan de client-kant. De webdav applicatie draait op de server, die dus niet 'ingelogd' is.

Tevens moet op een of andere manier het wachtwoord via de webserver naar de exchange server worden gestuurd, en die kun je niet plat bemachtigen met LDAP voor zover ik weet.

Homey — Critics are those without skills to create.

vrijdag 5 maart 2010 20:04

Acties:
  • 0 Henk 'm!
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Dan ga je kijken naar Kerberos of NTLM (liever die eerste) passthrough.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq