Exchange: Kein Zugriff auf zusätzliche Mailbox trotz Full-Access-Berechtigungen

Gleich bei zwei seiner Kunden hat Markus Hengstler in kurzer Zeit das gleiche Problem entdeckt: Trotz vergebener Full-Access-Berechtigungen für den Benutzer auf einer Mailbox kann nicht darauf zugegriffen werden. In diesem Beitrag zeigt er die Lösung.

Autor Markus Hengstler
Datum 27.05.2014
Lesezeit 2 Minuten

Diese Woche bin ich bei zwei Kunden über das gleiche Problem gestolpert. Grund genug, einen kurzen Artikel darüber zu schreiben.

Symptom

Trotz vergebener Full-Access-Berechtigungen für den Benutzer EXADMIN auf der Mailbox «Jon Snow» kann nicht darauf zugegriffen werden. Zwar wird das Postfach in Outlook durch Autodiscover eingebunden, beim Versuch, dieses zu öffnen, erscheint allerdings eine Fehlermeldung:

zugriff-mailbox-full-access-berechtigung-1

Microsoft Exchange Trainings

Für mehr Informationen zu Exchange 2013 und 2016 besuchen Sie einen der folgenden Kurse.

Zu allen Exchange-Server-Trainings

Für mehr Informationen zu Exchange 2013 und 2016 besuchen Sie einen der folgenden Kurse.

Zu allen Exchange-Server-Trainings

Ein Blick ins Exchange Admin Center bestätigt die korrekte Konfiguration:

zugriff-mailbox-full-access-berechtigung-2

 

In der Exchange Management Shell sind die Berechtigungen granularer abgebildet:

zugriff-mailbox-full-access-berechtigung-3

Auch hier ist ersichtlich, dass der Account EXADMIN Full-Access-Rechte hat. Diese sind Allow- und nicht Deny-Rechte und sie wurden direkt auf dem Objekt, also der Mailbox konfiguriert, und nicht vererbt.

Was auffällt sind die Einträge der Gruppe Domain Admins, die alle das Full-Access-Recht umfassen. Doch nur für einen ist dieses explizit vergeben (IsInherited = False). Während die beiden vererbten Einträge bei der Installation von Exchange automatisch eingerichtet werden, wurde das explizite zusätzlich konfiguriert. Bei beiden Kunden konnte aber niemand erklären, wann und wozu.

Die explizite Deny-Berechtigung übersteuert die explizite Allow-Berechtigung des Accounts EXADMIN, da dieser auch Mitglied der Domain-Admins-Gruppe ist. Normalerweise haben Domain Admins eine vererbte Deny-Berechtigung, die von einer expliziten Allow-Berechtigung wieder übersteuert werden kann. Viele Administratoren wissen nicht, dass auch die Hierarchie der ACL eine Rolle spielt und nicht durchgängig Verweigern mehr Gewicht hat als Erlauben, sondern nur auf der gleichen Ebene.

Nachdem die expliziten Full-Access-Rechte entfernt worden sind, kann auch das zusätzliche Postfach wie gewünscht verwendet werden. Hier der benötigte Befehl:

zugriff-mailbox-full-access-berechtigung-4

zugriff-mailbox-full-access-berechtigung-5


Über den Autor

Markus Hengstler

Markus Hengstler arbeitet bei der UMB AG als Senior Systems Engineer in den Bereichen Exchange, Windows und Citrix. Dank seiner Erfahrungen in diesen Bereichen ist er zertifizierter «MCSE: Server Infrastructure». Ausserdem ist er einer von drei «MCSM: Messaging» in der Schweiz. Seit 2001 unterrichtet er als Microsoft Certified Trainer und seit 2010 als Citrix Certified Instructor bei Digicomp.