Autorisations héritées Exchange


0

Nous avons des situations dans lesquelles je souhaite conserver un compte AD actif pour des raisons juridiques, pour l'accès aux données de paie personnelles uniquement. Nous aimerions bloquer l'accès à tout le reste, y compris au courrier électronique de l'utilisateur, tout en maintenant la boîte aux lettres active.

Bien que je puisse faire certaines choses manuellement pour y parvenir, je souhaiterais l’automatiser partiellement. J'ai créé un groupe AD avec l'intention d'ajouter des utilisateurs à cela avec certaines autorisations de refus dans Exchange et AD. AD est acceptable car j'ai un objet de stratégie de groupe qui refuse l'accès à des membres du groupe.

Pour Exchange, j'ai exécuté ce qui suit:

Get-MailboxDatabase -Identity "DB01" | Add-ADPermission -User "DOMAIN\DenyGroup" -AccessRights ExtendedRight -ExtendedRights Receive-As -Deny

Le résultat de ceci pour l'utilisateur particulier est:

Get-MailboxPermission BadUser

User                   AccessRights                                    IsInherited Deny
----                   ------------                                    ----------- ----
NT AUTHORITY\SELF      {FullAccess, ReadPermission}                    False       False
DOMAIN\Administrator   {FullAccess}                                    True        True
DOMAIN\Domain Admins   {FullAccess}                                    True        True
DOMAIN\Enterprise A... {FullAccess}                                    True        True
DOMAIN\Organization... {FullAccess}                                    True        True
DOMAIN\DenyGroup       {FullAccess}                                    True        True
NT AUTHORITY\SYSTEM    {FullAccess}                                    True        False
NT AUTHORITY\NETW...   {ReadPermission}                                True        False

Comme on peut le constater, le groupe Deny (dont l'utilisateur est membre) se voit refuser l'accès FullAccess à la boîte aux lettres, mais l'utilisateur peut toujours accéder au courrier électronique via OWA. Je sais que NT AUTHORITY \ SELF {FullAccess, ReadPermission} existe toujours, mais j’espérais pouvoir le faire fonctionner de manière à ce que je n’aie pas à bidouiller cela et que le refus prenne la priorité.

Existe-t-il une forme de priorité en ce qui concerne les autorisations héritées et les autorisations appliquées au niveau de l'objet local? J'aurais pensé qu'un refus explicite remplacerait n'importe quoi.


Avez-vous envisagé de supprimer complètement les "heures de connexion" de l'utilisateur ou d'expirer le mot de passe (ou le compte complet)?
Grawity

Votre commande Exchange refuse Receive-As et non FullAccess. Vous pouvez déconnecter la boîte aux lettres (elle sera conservée pendant un certain temps en fonction de votre configuration).
Seth

Merci mais ni l'un ni l'autre. Les heures d'ouverture de session doivent être «toujours» pour qu'ils puissent accéder à la paie. La déconnexion ne fonctionnera pas car la boîte aux lettres doit être active pour que les autres puissent lire le message entrant et y répondre. Je ne crois pas qu'Add-ADPermission ait un droit d'accès de FullAccess, mais Receive-As s'affiche sous FullAccess lors de l'exécution de Get-MailboxPermission.
Lexdon
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.