Tags: Exchange, Troubleshooting, Rechteverwaltung
Freigabe- und andere Funktionspostfächer sind praktisch, um eine Abteilung, Projekte oder Services per Mail erreichbar zu machen. Zudem bieten sie Mitgliedern eines Teams einen zentralen Speicher. Vergibt man auf sie Berechtigungen für verknüpfte Postfächer, dann können beim Entzug derselben Probleme auftreten.
Der einfachste und schnellste Weg, einem Benutzer Berechtigungen auf ein Funktionspostfach zu geben, führt über die Exchange ECP. Dabei wird ihm die Berechtigung Full Access (Vollzugriff) gewährt.
Ab und an müssen diese Berechtigungen allerdings auch wieder entzogen werden, zum Beispiel bei einem Abteilungswechsel oder wenn der Benutzer aus dem Unternehmen ausscheidet. Auch dies lässt sich über das Exchange Admin Center erledigen.
In einigen Fällen kommt es allerdings vor, dass man den Benutzer über die ECP entfernt und das Fenster der Admin-Konsole schießt, ohne dass ein Fehler auftritt. Wenn man die Eigenschaften des Funktionspostfaches jedoch wieder öffnet, dann steht der Benutzer mit allen seinen Berechtigungen dort nach wie vor drin.
Ein naheliegender weiterer Versuch, um den Benutzer zu entfernen, wäre nun, es über die Exchange-PowerShell zu versuchen:
Remove-MailboxPermission <Funktionspostfach> -user <username> -Accessrights FullAccess
Aber auch dieser Befehl funktionierte nicht, es kommt folgende Meldung hoch:
WARNUNG: Der Zugriffssteuerungseintrag für das Objekt <Distinguished Name> kann nicht entfernt werden, da er nicht vorhanden ist.
Mit
Get-MailboxPermission <Funktionspostfach> -user <username>
ist zu sehen, dass der Benutzer inklusive Berechtigung aber da ist.
Im Web finden sich verschiedene Vorschläge, wie man dieses Problem lösen könnte. Diese reichen von der Empfehlung, die Datenbank, auf dem das Postfach liegt, zu reparieren, weil sie angeblich defekt sei, über das Verschieben der Mailbox auf eine andere Datenbank bis zum Ausführen des obigen PowerShell-Befehls mit der SID oder ObjectID. Mag sein, dass diese Tipps in vielen Fällen geholfen haben, nur leider bei meinem Problem nicht.
Am betreffenden Benutzer ist mir aufgefallen, dass es sich hier um ein verknüpftes Postfach handelte, welches Zugriff auf ein normales Benutzer- bzw. Freigabepostfach hat. Soweit sollte das eigentlich kein Problem sein, bis jetzt hat offenbar alles funktioniert.
Auffällig war zudem, dass mit dem Befehl Add-MailboxPermission sowohl der verknüpfte als auch der Hauptbenutzer für FullAccess erneut eingetragen werden konnten.
Normalerweise sollte bei diesem Versuch folgender Fehler erscheinen, der darauf hinweist, dass der betreffende Zugriffssteuerungseintrag bereits vorhanden ist:
Dieser erschien allerdings nicht, PowerShell hat anscheinend die Berechtigung gesetzt, allerdings ohne Auswirkungen auf das eigentliche Problem. Ein erneutes Löschen des Benutzers schlug mit der bekannten Meldung fehl.
Die Ursache des Problems bestand darin, dass das Konto anscheinend erst als normaler E-Mail-Benutzer im System angelegt, dann berechtigt und anschließend in ein verknüpftes Postfach konvertiert wurde.
Daher lag es nahe, die verknüpfte Mailbox wieder in eine normale umzuwandeln. Mit PowerShell kann lässt sich diese Aufgabe so erledigen:
Set-User -Identity <Benutzername> -LinkedMasterAccount $null
Nach kurzem Warten (ca. 5 Minuten) sollte der Benutzer dann per PowerShell oder GUI gelöscht werden können. Sollte er nur die Abteilung gewechselt haben, kann man den Account jetzt wieder auf verknüpft zurücksetzen:
set-User -Identity <Benutzername> -LinkedMasterAccount <domäne\benutzername>
-LinkedDomainController <Name des Domänencontrollers>
Täglich Know-how für IT-Pros mit unserem Newsletter
Roland Eich ist gelernter Fachinformatiker für Systemintegration und in der IT seit über 14 Jahren zu Hause. Roland deckt aufgrund seiner Erfahrungen ein breites Spektrum der Microsoft-Produktpalette ab.
Zudem besitzt er verschiedene Zertifizierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).
// Kontakt: E-Mail //
Verwandte Beiträge
- Exchange: Private Nachrichten im Freigabepostfach sichtbar machen
- Exchange Impersonation: Service-Benutzer auf Postfächer berechtigen
- Microsoft Exchange: Auflisten von Mitgliedern einer statischen Verteilergruppe verhindern
- Microsoft bietet Lösung für Y2K22-Bug in Exchange 2016/2019
- Vermisste E-Mails in Microsoft Exchange nachverfolgen
Weitere Links