Exchange 2010 rechten verwijderen - Serversoftware en clouddiensten

vrijdag 5 september 2014 13:02

Acties:

Topicstarter

Hallo,

Wij hebben hier een exchange 2010 server.
NU heeft gebruiker X rechten op een aantal shared mailboxen, zowel full access als send as rechten.

Hoe kan ik er nu voor zorgen dat ik alle rechten verwijder op alle mailboxen als de gebruiker uit dienst gaat?
Heb het volgende commando getest, maar dit heeft geen effect.

regel:
Get-Mailbox | Remove-MailboxPermission -User X -AccessRights fullaccess,Sendas -InheritanceType All -confirm:$false

vrijdag 5 september 2014 13:40

Acties:

Linke Loe

Send As rechten zijn rechten binnen Active Directory en niet binnen Exchange. Je zal de send as rechten dus moeten verwijderen met remove-adpermission.

Verder vraag ik me af wat er gebeurt als een gebruiker geen rechten heeft op een mailbox. Stopt het script dan, of gaat het door naar de volgende mailbox? Als de opdracht stopt, zou je dat wellicht op kunnen lossen met een foreach{} loop...

vrijdag 5 september 2014 13:48

Acties:

G.Scholtens

Topicstarter

Linke Loe schreef op vrijdag 05 september 2014 @ 13:40:
Send As rechten zijn rechten binnen Active Directory en niet binnen Exchange. Je zal de send as rechten dus moeten verwijderen met remove-adpermission.

Verder vraag ik me af wat er gebeurt als een gebruiker geen rechten heeft op een mailbox. Stopt het script dan, of gaat het door naar de volgende mailbox? Als de opdracht stopt, zou je dat wellicht op kunnen lossen met een foreach{} loop...

Maar de send as rechten stel je wel in via exchange, dus vanwaar dan remove-adpermission.

-Edit, werkt niet helaas niet.

vrijdag 5 september 2014 13:55

Acties:

Linke Loe

Send As rechten zijn rechten op het Active Directory object. Kijk maar eens op het tabblad Security als je de properties van een willekeurige user opent. Het instellen van deze rechten in Exchange zet hier het vinkje aan of uit.

maandag 8 september 2014 09:37

Acties:

mbaltus

Dit soort gedoe krijg je als je niet met groepen werkt. Ook voor Send As en Full Access kun je prima met AD security groepen werken. Als een gebruiker dan uit dienst gaat, hoef je alleen de groepen te verwijderen uit zijn AD account en hij heeft geen toegang meer.

[ Voor 1% gewijzigd door mbaltus op 08-09-2014 09:37 . Reden: typo ]

The trouble with doing something right the first time is that nobody appreciates how difficult it is

maandag 8 september 2014 09:41

Acties:

mhoogendam

mbaltus schreef op maandag 08 september 2014 @ 09:37:
Dit soort gedoe krijg je als je niet met groepen werkt. Ook voor Send As en Full Access kun je prima met AD security groepen werken. Als een gebruiker dan uit dienst gaat, hoef je alleen de groepen te verwijderen uit zijn AD account en hij heeft geen toegang meer.

Het nadeel van werken met groepen voor Full Access op mailboxen is echter dat de mailbox niet meer automatisch word toegevoegd aan Outlook.

maandag 8 september 2014 11:32

Acties:

SteeringWheel

[H4L]

mhoogendam schreef op maandag 08 september 2014 @ 09:41:
[...]

Het nadeel van werken met groepen voor Full Access op mailboxen is echter dat de mailbox niet meer automatisch word toegevoegd aan Outlook.

Zou je een workaround voor kunnen maken als in http://serverfault.com/qu...rk-when-groups-grant-perm

Verder vind ik het weinig duidelijk wát er nu precies al dan niet lukt in het script van TS, en waar hij op vastloopt. Zelf heb ik bijvoorbeeld ooit eens onderstaande regels gebruikt in een script, en dat werkt gewoon.

code:

1 2	Remove-MailboxPermission $mailbox.samaccountname -User $user -AccessRights "FullAccess" Remove-ADPermission $mailbox.samaccountname -User $user -AccessRights ExtendedRight -ExtendedRights "Send As"

[ Voor 6% gewijzigd door SteeringWheel op 08-09-2014 11:33 ]

A forum post should be like a skirt. Long enough to cover the subject material, but short enough to keep things interesting.

maandag 8 september 2014 13:46

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

G.Scholtens schreef op vrijdag 05 september 2014 @ 13:02:
Hoe kan ik er nu voor zorgen dat ik alle rechten verwijder op alle mailboxen als de gebruiker uit dienst gaat?
Heb het volgende commando getest, maar dit heeft geen effect.

regel:
Get-Mailbox | Remove-MailboxPermission -User X -AccessRights fullaccess,Sendas -InheritanceType All -confirm:$false

Wat gebeurd er dan wel als je deze regel draait? Krijg je een foutmelding of iets dergelijks?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 8 september 2014 22:52

Acties:

Wim-Bart

Zie signature voor een baan.

G.Scholtens schreef op vrijdag 05 september 2014 @ 13:02:
Hallo,

Wij hebben hier een exchange 2010 server.
NU heeft gebruiker X rechten op een aantal shared mailboxen, zowel full access als send as rechten.

Hoe kan ik er nu voor zorgen dat ik alle rechten verwijder op alle mailboxen als de gebruiker uit dienst gaat?
Heb het volgende commando getest, maar dit heeft geen effect.

regel:
Get-Mailbox | Remove-MailboxPermission -User X -AccessRights fullaccess,Sendas -InheritanceType All -confirm:$false

Vergeet niet dat deze alleen de eerste 1000 mailboxen doet.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

dinsdag 9 september 2014 02:42

Acties:

Killah_Priest

Volgens mij moet je met een foreach loop in je commando werken.
Iets in de trend van (uit mijn hoofd en om half 3 op mijn telefoon getyped)

code:

1	Get-mailbox \| foreach {remove-mailboxpermission -user x -accessrights xxx}

Ik zou zelf nog wel een where-object tussen de get-mailbox en de foreach doen om alleen de mailboxen te filteren met de betreffende rechten (ik weet niet zeker of get-mailbox de -filter switch ondersteunt).

Ik kan kijken of ik morgen op mijn werk even tijd heb om dit te controleren en een simpele powershell oneliner kan maken (tenzij iemand mij voor is)

dinsdag 9 september 2014 11:08

Acties:

Linke Loe

Killah_Priest schreef op dinsdag 09 september 2014 @ 02:42:Ik kan kijken of ik morgen op mijn werk even tijd heb om dit te controleren en een simpele powershell oneliner kan maken (tenzij iemand mij voor is)

Dat kan ik ook wel doen, maar zou het niet beter zijn als TS zelf een en ander uit zou zoeken? Volgens mij hebben we een aardige schop de goede kant op gegeven en kan TS er mbv Technet best uit komen.

dinsdag 9 september 2014 18:12

Acties:

Killah_Priest

Linke Loe schreef op dinsdag 09 september 2014 @ 11:08:
[...]

Dat kan ik ook wel doen, maar zou het niet beter zijn als TS zelf een en ander uit zou zoeken? Volgens mij hebben we een aardige schop de goede kant op gegeven en kan TS er mbv Technet best uit komen.

Daar heb je gelijk in.
Alle Windows beheerders (vooral als je iets met Exchange doen) moeten eigenlijk gewoon met PS om leren gaan aangezien het tegenwoordig gewoon een essentieel onderdeel van het werk is.