Add-MailboxPermissi...
 
Notifications
Clear all

Add-MailboxPermission in Multi AD-Domain Umgebung + AutoMapping

4 Posts
2 Users
0 Reactions
4,469 Views
(@19awinkler77)
Eminent Member
Joined: 4 years ago
Posts: 17
Topic starter  

Hallo zusammen,

mal wieder ein interessantes Phänomen das ich hier habe, aber erstmal ein bisschen was zur Umgebung. Wir betreiben 1 Resourcendomäne für Citrix Farm, Exchange Server usw. An diese Resourcendomäne sind weitere Domänen via AD Vertrauensstellungen angebunden, in denen die eigentlichen Benutzerkonten existieren. Für diese Benutzer aus den vertrauten Domänen erstellen "verknüpfte Postfächer", soweit so gut. Nun gibt es auch einige freigegebene Postfächer (shared Mailboxen), für die wir natürlich entsprechende Berechtigungen setzen müssen. Das tun wir mit "Add-MailboxPermission" und funktioniert für die Benutzerkonten aus der vertrauten Domäne auch so wie es soll. Weiterhin haben wir bisher immer noch das verknüpfte Postfach des entsprechenden Benutzers aus der vertrauten Domäne Vollzugriff erteilt, damit das freigegebene Postfach automatisch in Outlook angezeigt wird.

Nach der Migration von Exchange 2010 zu Exchange 2016 funktioniert letzteres nicht mehr, d.h. beim Versuch dem verknüpften Postfach Vollzugriff mit der Powershell zu gewähren...

Add-MailboxPermission -Identity SharedMailbox@Firma.tld -User Domäne_A\Benutzer_A -AccessRights FullAccess

...erscheint folgende Meldung:

WARNUNG: Ein entsprechender Zugriffssteuerungseintrag (ACE) ist bereits in Objekt "CN=<SharedMailbox>,OU=Ressourcen,OU=<Firma>,DC=<Domäne>,DC=local"
für Konto "Domäne_B\Benutzer_A" vorhanden.

Interessanterweise versucht der Exchange hier nicht das Benutzerkonto aus der Resourcendomäne (Domäne_A) hinzuzufügen, sondern aus der vertrauten Domäne (Domäne_B).

Geht das mit Exchange 2016 nicht mehr so wie bei Exchange 2010 oder bin ich zu "deppert" den Befehl einzugeben?

VG
André


   
Quote
(@geloeschter-benutzer)
Reputable Member
Joined: 2 years ago
Posts: 263
 

Hi,

 

versuch mal, den relevanten Domaincontroller mitzugeben. ggf fehlt beim Aufbau auch der Zusatz "viewentireforest"

Wenn beides nicht geht, nimm bei Angabe des Benutzers mal dessen Distinguishedname (DN) statt Anmeldename, da dieser eindeutig ist.

Schlimmstenfalls musst du ggf bestehende ACL's vorher entfernen und dann neu setzen (per ggf Script mit vorherigen Export).

 

Gruß,
Monthy


   
ReplyQuote

(@19awinkler77)
Eminent Member
Joined: 4 years ago
Posts: 17
Topic starter  

Hey Monthy,

das mitgeben des DCs hat leider genau das gleiche Ergebnis gebracht, "viewentireforest" gibt es scheinbar nicht als Parameter. Die Nutzung des DN hat leider auch nicht funktioniert, ebenso wenig das entfernen der vorhandenen Berechtigungen und neu setzen. Was ich auch schon versucht habe ist, eine Berechtigungsgruppe anzulegen und diese hinzuzufügen. Das funktioniert zwar, allerdings wird das berechtigte Postfach dann trotzdem nicht per AutoMapping angezeigt, sondern muss im Outlook Profil manuell hinzugefügt werden. Das kann ich mir dann also auch sparen.

Das manuelle hinzufügen ist zwar machbar und keine Riesengeschichte, allerdings ist es ja mit Autodiscover eigentlich nicht so gedacht.

Viele Grüße
André


   
ReplyQuote
(@geloeschter-benutzer)
Reputable Member
Joined: 2 years ago
Posts: 263
 

Hi,

 

in der EMS (als Admin gestartet) zuerst folgendes eingeben:

Set-AdServerSettings -ViewEntireForest $True

Danach deinen Befehl nochmal absetzen. Muß eigentlich funktionieren.

 

Gruß,
Monthy


   
ReplyQuote

Share: