Hello everyone,
ich muss für unsere Backuplösung (VEEAM) einen User auf alle Mailboxen Full-Access geben, damit ich beim Restore auch einzelne Elemente (also Mails oder Ordner) in den Mailboxen wieder herstellen kann. Ansonsten müsste ich dafür nämlich immer das Passwort des Nutzers haben. Nun ist mir das über die GUI doch etwas zu aufwändig und ich wollte das über die Shell machen. Folgendes Kommando würde ich dafür nutzen wollen:
Get-Mailboxdatabase | Add-MailboxPermission -AccessRights FullAccess -User "domain\backupuser" -InheritanceType All -AutoMapping $false
Wir haben aktuell zwei Datenbanken, die sollte er nach meinem Verständnis auslesen und dann die Rechte setzen für den Backupuser setzen. Würde das so funktionieren, oder würdet ihr das anders lösen?
Schon mal danke im Voraus für eure Ideen.
du brauchst doch bloß alle Mailboxen holen und dann pipen.
Get-Mailbox -resultsize unlimited | Add-MailboxPermission -AccessRights FullAccess -User "domain\backupuser" -InheritanceType All -AutoMapping $false
OK, also anstelle mit Get-MailboxDatabase die Datenbanken zu holen den Get-Mailbox benutzen um die Mailboxen selbst abzufragen.
Wie ist das eigentlich, wenn neue Nutzer dazu kommen? Bei Get-Mailbox muss ich ja in jedem Fall die Berechtigung dann nachziehen, wäre das bei Get-MailboxDatabase auch der Fall oder würde er die Berechtigung dann auf Datenbankebene setzen (geht das überhaupt?) und somit automatisch auch auf neue Mailboxen anwenden?
Danke dir schon mal für die schnelle Antwort
Wir haben aktuell zwei Datenbanken, die sollte er nach meinem Verständnis auslesen und dann die Rechte setzen für den Backupuser setzen.
Nö. Bei deinem Befehl würde er die Datenbank nehmen und versuchen dort Berechtigungen zu vergeben, was vermutlich fehlschlagen wird, weil das an der STelle nicht geht:
https://docs.microsoft.com/de-de/powershell/module/exchange/set-mailboxdatabase?view=exchange-ps
Kannst du dir ja mal anschauen, welche Parameter erlaubt/möglich sind.
Wie ist das eigentlich, wenn neue Nutzer dazu kommen?
Da gibt man dann den Befehl neu ein.
Da es offenbar um Veeam geht, würde ich an deiner STelle erstmal nachschauen, was Veeam dazu sagt, was benötigt wird:
https://helpcenter.veeam.com/docs/backup/vsphere/required_permissions.html?ver=110#vex
Definitiv wird das oben von dir skizzierte in der Form nicht benötigt.
Hi Norbert,
ich hatte das mit dem Get-MailboxDatabase aus einer Anleitung, wo es um eine UC-Anwendung geht, die Vollzugriff auf die Postfächer braucht. Die benutzt das in Kombination mit einem Add-ADPermissions um die Rechte auf alle Postfächer zu setzen. Bei Microsoft steht aber, dass der Befehl veraltet ist und man besser mit dem Add-MailboxPermissions arbeiten soll. Da wusste ich halt nicht, ob die Kombination klappt.
Bezüglich Veeam: Das Szenario braucht man fürs Restore einzelner Elemente in einem Postfach, nicht fürs Backup. Im Veeam R6D Forum hatte ich gefragt und man mich auf diesen Artikel verwiesen: https://helpcenter.veeam.com/docs/backup/explorers/vee_required_permissions.html?ver=110 . Da steht, dass ich entweder Full-Access oder Impersonation auf das Zielpostfach brauche, je nachdem, ob der verwendete User ein Postfach hat oder nicht. Die Beispiele sind da aber leider nur für eine einzelne Mailbox, daher meine Frage.
Ich werde es dann mit dem Befehl machen, den Monthy gepostet hat.
Der Hinweis von Norbert ist aber wichtig, sonst würde VEEAM bei jedem neuen User/Mailbox mangels Rechten auf die Nase fallen. Hier sollte man nach VEEAM Vorgabe vorgehen. Mit einer Impersonation Rolle dafür sollte man auf der sicheren Seite sein, dazu kenne ich VEEAM aber nicht gut genug bzw hab mich da jetzt nicht eingelesen.
Greetings,
Ralf
OK, habe mich mit Impersonation bisher nicht auseinandergesetzt, weil ich es noch nicht brauchte.
Wenn ich die Doku bei Microsoft richtig verstehe, dann würde in dem Moment, wo der Account Impersonation-Rechte bekommt, das automatisch für alle Boxen gelten, auch die, die erst später eingerichtet werden.
Das wäre dann ja tatsächlich optimal und das Kommando dafür steht auch in dem VEEAM-Artikel.
Ach was, Veeam hat die für sich benötigten Rechte und Vorgehen dokumentiert? Das war ja einfach. ;)
Ach was, Veeam hat die für sich benötigten Rechte und Vorgehen dokumentiert? Das war ja einfach. ;)
Ja haben sie, das wusste ich auch schon vor meinem Post. Mir war nur tatsächlich das mit der Impersonation nicht klar gewesen, da ich damit wie gesagt noch nicht gearbeitet habe. Daher mein Irrglaube, dass es mit Full-Access einfacher gehen würde. Habe es jetzt mit Impersonation umgesetzt und mit den bestehenden Postfächern funktioniert es wie es soll.
Ich danke euch beiden für eure Hilfe.
Alles klar. Dann viel Erfolg noch. Bis die Tage