Exchange 2007: nicht auflösbare SIDs aus den Mailboxberechtigungen löschen

0

Wurden Benutzer von einer Domain in eine andere Migriert gibt es auch bei Exchange 200x hinsichtlich der Mailboxrechte etwas zu beachten. Wird z.B. ein Benutzer aus Domain A in Domain B migriert, besitzt er weiterhin seine alte SID in seiner SID Historie. Hierduch bleiben Zugriffe auf Ressourcen erhalten, auf die der Benutzer bereits vor der Migration, also mit der alten SID berechtigt war. Dies gilt ebenso für Exchange Postfächer.

Nach der Migration eines Benutzers hat man jedoch das Problem, dass in den Mailbox Rechten der "neue Benutzer" mit einem Fragezeichen vor den Rechte auftaucht, welche auch so nicht wieder entfernt werden können. Hintern dieser "Fragezeichen-Berechtigung" verbirgt sich die alte SID des Benutzers, die diesem anhand der SID Historie weiterhin zugeordnet werden kann. Etwas verwirrend ist allerdings, dass diesem dem Benutzer "neuedomainBenutzer" gehört. Denn versucht man dem "neuedomainBenutzer" die Mailboxrechte wieder zu entziehen, bekommt man die Meldung, dass dies nicht geht, da er nicht berechtigt ist. Denn das Recht gehört der alten SID. Man versucht aber das recht mit der neuen SID zu löschen.

Es gibt nun jedoch zwei Möglichkeiten, die Rechte gerade zu ziehen:

  1. Man entfernt vor der Migration der Benutzer alle Fremden Mailboxrechte und setzt sie anschließend wieder neu, oder
  2. man löst die Vertrauensstellung zur alten Domain, so dass die SID nicht mehr aufgelöst werden kann, denn dann kann man anhand der SID das Mailbox-Recht entfernen, oder
  3. man bereinigt die SID Historie, was auch dazu führt, dass die SIDs in den Mailboxrechten auftauchen, die dann wiederrum entfernt werden können.

Nachfolgend ein Screenshot, auf dem SIDs nicht mehr aufgelöst werden können, sowie das Fragezeichen Symbol vor den Rechten, da die SID aus einer "alten" Domain stammt.

 

Im Internet habe ich ein Script gefunden, dass es einem ermöglicht, die nicht mehr auflösbaren Mailbox-Rechte per Script entfernen zu lassen. Netterweise werden die Rechte jedoch direkt in einer Textdatei mit dokumentiert.

 

Teilen.

Über den Autor

Seit der Ausbildung zum Fachinformatiker Systemintegration (2002-2005) bei der DaimlerChrysler AG, beruflich im Bereich der E-Mail Kommunikation (Exchange, Linux) sowie des ActiveDirectory, mit entsprechenden Zertifizierungen (MCSE 2003, MCITP Ent.-Admin 2008, MCSE 2012, LPIC 1-3) tätig. Abgeschlossenes Studium zum Master of Science der IT-Management an der FOM sowie zertifizierter Datenschutzbeauftragter. Aktuell im Projektmanagement tätig.

Antworten