Exchange: Kein Zugriff auf zusätzliche Mailbox trotz Full-Access-Berechtigungen
Gleich bei zwei seiner Kunden hat Markus Hengstler in kurzer Zeit das gleiche Problem entdeckt: Trotz vergebener Full-Access-Berechtigungen für den Benutzer auf einer Mailbox kann nicht darauf zugegriffen werden. In diesem Beitrag zeigt er die Lösung.
Diese Woche bin ich bei zwei Kunden über das gleiche Problem gestolpert. Grund genug, einen kurzen Artikel darüber zu schreiben.
Symptom
Trotz vergebener Full-Access-Berechtigungen für den Benutzer EXADMIN auf der Mailbox «Jon Snow» kann nicht darauf zugegriffen werden. Zwar wird das Postfach in Outlook durch Autodiscover eingebunden, beim Versuch, dieses zu öffnen, erscheint allerdings eine Fehlermeldung:
Microsoft Exchange TrainingsFür mehr Informationen zu Exchange 2013 und 2016 besuchen Sie einen der folgenden Kurse. |
Für mehr Informationen zu Exchange 2013 und 2016 besuchen Sie einen der folgenden Kurse.
Ein Blick ins Exchange Admin Center bestätigt die korrekte Konfiguration:
In der Exchange Management Shell sind die Berechtigungen granularer abgebildet:
Auch hier ist ersichtlich, dass der Account EXADMIN Full-Access-Rechte hat. Diese sind Allow- und nicht Deny-Rechte und sie wurden direkt auf dem Objekt, also der Mailbox konfiguriert, und nicht vererbt.
Was auffällt sind die Einträge der Gruppe Domain Admins, die alle das Full-Access-Recht umfassen. Doch nur für einen ist dieses explizit vergeben (IsInherited = False). Während die beiden vererbten Einträge bei der Installation von Exchange automatisch eingerichtet werden, wurde das explizite zusätzlich konfiguriert. Bei beiden Kunden konnte aber niemand erklären, wann und wozu.
Die explizite Deny-Berechtigung übersteuert die explizite Allow-Berechtigung des Accounts EXADMIN, da dieser auch Mitglied der Domain-Admins-Gruppe ist. Normalerweise haben Domain Admins eine vererbte Deny-Berechtigung, die von einer expliziten Allow-Berechtigung wieder übersteuert werden kann. Viele Administratoren wissen nicht, dass auch die Hierarchie der ACL eine Rolle spielt und nicht durchgängig Verweigern mehr Gewicht hat als Erlauben, sondern nur auf der gleichen Ebene.
Nachdem die expliziten Full-Access-Rechte entfernt worden sind, kann auch das zusätzliche Postfach wie gewünscht verwendet werden. Hier der benötigte Befehl: