MailboxACL
Alle Skripte sind Muster ohne jede Gewährleistung oder Funktionsgarantie. für Schäden bin ich nicht verantwortlich. Achten Sie auf Zeilenumbrüche bei der Übernahme.
2h Exchange Cache Änderungen im Active Directory wie SendAs oder FullMailboxAddress müssen erst im AD repliziert werden und dann von Exchange neu eingelesen werden. Per Default puffert Exchange frühere Antworten aber für bis zu 2 Stunden. Dies kann durch den Wert von "Mailbox Cache Age Limit" (siehe KB 326252 Exchange 2000 mailbox size limits are not enforced in a reasonable period of time; fix requires Exchange 2000 SP2" verändert werden.
Das Skript hilft auch bei der Suche nach "vergessenen Berechtigungen", die eine Exchange Online - Migration behindern könnten
Dieses Skript ist als Muster zu verstehen und zeigt, wie seit Exchange 2000 SP2 auch per VBScript die Mailboxberechtigungen eines Benutzers auslesen. Bislang war dies immer nur in der MMC für Benutzer und Computer zu erreichen und nur sehr schwer programmatisch zu setzen. Seit Exchange 2000 SP2 hat Microsoft nun auch die DLLs installiert, die den Zugriff erlauben.
Zwar gibt es auch im Active Directory ein Feld "msExchMailboxSecurityDescriptor", in dem Berechtigungen gespeichert werden, aber diese sind nicht ausschlaggebend, sondern werden nur bei der Neuanlage einer Mailbox in den Store übernommen. Erst der Zugriff über die entsprechenden Methoden ändern die effektiven Rechte auf dem Postfach im Store selbst. Leider werden die beiden Speicherorte anscheinend nicht abgeglichen.
Aber auch wenn Sie sich die Postfachberechtigungen anzeigen lassen, dann sehen Sie auf den ersten Blick nur eine vereinfachte Zusammenfassung:
Erst die erweiterte Ansicht zeigt die einzelnen ACL-Einträge einzelne an.
Genau diese Liste wird über das VBScript ausgegeben. Es eignet sich daher für die Dokumentation und zum Vergleich von Einstellungen.
Aufruf und Durchlauf
Das hier vorliegende Skript erwartet als Eingabe einen Benutzer, der anhand des "distinguishedName", seiner primären Mailadresse (Mail) oder den Alias (MailNickName) angegeben werden kann. Wird kein Namen als Parameter angegeben, dann fragt das Skript interaktiv nach dieser Information.
Die Ausgabe erfolgt wieder auf der Konsole, so dass Sie diese auch in eine Datei umleiten können. Hier ein verkürzter Auszug.
Wenn Sie sich den Quelltext anschauen, dann werden Sie am Anfang eine lange Definition der verschiedenen Berechtigungen finden. Sie können die Detailausgabe einfach über die Konstante am Anfang abschalten. Mit etwas Verständnis können Sie anhand der Textausgabe die entsprechenden Einträge in der erweiterten Ansicht der MMC problemlos zuordnen.
mbacl.1.2.vbs.txt
Nach dem Download bitte die Endung TXT entfernen
Der Aufruf ist denkbar einfach. Starten Sie das Programm einfach unter Angabe der Mailadresse, des Alias oder des DN.
cscript.exe mbacl.vbs ou=test,dc=msxfaq,dc=local cscript.exe mbacl.vbs alias cscript.exe mbacl.vbs User@example.com
Wenn Sie das Skript einfach ohne einen Parameter aufrufen, dann erfragt eine Eingabebox den Parameter
Damit das Skript funktionieren kann, muss natürlich der Benutzer ein Exchange Postfach haben, auf dem Computer der Exchange System Manager mit installiert sein und Sie die Berechtigungen zum Lesen der Einträge haben.
Details zu den Rechten
Jedes Objekt hat eine Zugriffssteuerungsliste (Access Control List, ACL). Wie der Namen "Liste" schon sagt, können dort mehrere Einträge (Accress Control Entry, ACE) aufgeführt sein. Jeder der Einträge gliedert sich noch mal in vier Teile auf, die letztlich den Eintrag spezifizieren. Dies sind:
- AccessMask
Hierin stehen die Berechtigungen, die durch diesen Eintrag gegeben oder entzogen werden. - AceType
Definiert die Art des Eintrags. Sie werden meist nur ein "ADS_ACETYPE_ACCESS_ALLOWED" oder "ADS_ACETYPE_ACCESS_DENIED" sehen. Diese Flag bestimmt, ob die Rechte erlaubt oder entzogen werden. Es gibt aber noch weitere Typen wie z.B. Audit-Einnträge etc - AceFlags
Diese Eigenschaft steuert und beschreibt, ob das Recht direkt vergeben oder von oben herab vererbt wurde und ob es selbst weiter vererbt werden kann - Flags
Bestimmt, ob der Objekttyp der ACL direkt definiert ist oder über Vererbung kommt.
Eine Auflistung aller möglichen Rechte finden Sie in der MSDN. für die Postfachrechte sind folgende Einträge der AccessMask interessant:
Recht |
AccessMask |
---|---|
Postfachspeicher löschen |
ADS_RIGHT_DELETE |
Leseberechtigungen |
ADS_RIGHT_READ_CONTROL |
Änderungsberechtigungen |
ADS_RIGHT_WRITE_DAC |
In Besitz nehmen |
ADS_RIGHT_WRITE_OWNER |
Vollständiger Postfachzugriff |
ADS_RIGHT_DS_CREATE_CHILD |
Zugeordnetes externes Konto |
ADS_RIGHT_ACTRL_DS_LIST |
Ich hoffen anhand einer Analyse meiner eigenen Berechtigungen die Daten richtig wiedergegeben zu haben, denn offiziell habe ich noch keine Quelle zur Zuordnung von Exchange Mailboxrechten zu ACL-Konstanten gefunden.
PowerShell-Version
VBScript war damals mit Exchange 2000/2003 noch gesetzt. Mitterlweile können Sie viele Dinge einfach per PowerShell machen:
# get-mbacl.ps1 # # Reporting der SendAs und FullAccess Berechtigungen Begin { Write-host "Get-Mailboxacl: Start" } Process { $mailbox = $_ write-host "Mailbox $($mailbox)" write-host "loading ADPermission" $sendasacl= Get-ADPermission -Identity $mailbox | Where-Object {$_.ExtendedRights -like 'Send*' -and $_.IsInherited -eq $false} foreach ($sendas in $sendasacl) { $result = "" | Select-Object mailbox,user,permission $result.mailbox = $mailbox $result.user = $sendas.user $result.permission = "SendAs" $result } write-host "loading MBPermission" $mbrechte = Get-MailboxPermission $mailbox ` | Where-Object {$_.AccessRights -like 'Full*' -and $_.IsInherited -eq $false} foreach ($mbrecht in $mbrechte) { $result = "" | Select-Object mailbox,user,permission $result.mailbox = $mailbox $result.user = $mbrecht.user $result.permission = "FullAccess" $result } } End { Write-host "Get-Mailboxacl: End" }
Der Aufruf geht dann einfach per Pipeline, d.h. die Liste der Postfächer kommt per Pipeline und die Ausgabe können Sie auch weiter verarbeite
# einzelne Mailbox auf den Bildschirm ausgeben "user1" | .\get-mbacl.ps1 # Liste von Postfaechern aus Datei lesen und Ergebnis in CSV-Datei schreiben get-content <datei mit Alias> | .\get-mbacl.ps1 | export-csv <csvdatei> # Echte Postfaecher lesen und ausgeben (get-maibox).alias | .\get-mbacl.ps1 | export-csv <datei>
Die Ausgabe kann natürlich auch in HTML oder andere Dateien ersetzt werden.
Weitere Links
- Mailboxrechte
- Exchange Online - Migration
- 304935 How to set Exchange Server 2000 and 2003 mailbox rights at the time of mailbox creation
- 310866 How to set Exchange 2000 mailbox rights on a mailbox that exists in the information store
- 322890 How to associate an external account with an existing Exchange 2000 mailbox
- Active Directory Security Constants
http://www.Microsoft.com/technet/scriptcenter/topics/security/adenums.mspx - ms-help://MS.MSDNQTR.v80.en/MS.MSDN.v80/MS.WIN32COM.v10.en/adsi/adsi/iadsaccesscontrolentry_property_methods.htm
- Basics zu DACL, SACL, ACL, ACE
http://setacl.sourceforge.net/html/doc-basics.html - VBScript um ACLs bei AD-Objekten zu korrigieren/ändern
http://www.windowsserverfaq.org/?URL=/faq/CompACLs.asp - How to View Permissions für a Mailbox Folder
http://www.Microsoft.com/technet/prodtechnol/exchange/guides/StrPermwE2k3/d12cfa39-df9b-4848-aebe-0582204c3dc6.mspx?mfr=true - Modifying Store Permissions in Exchange 2000 and 2003
http://www.Microsoft.com/technet/prodtechnol/exchange/guides/StrPermwE2k3/46512456-4813-430e-ad80-a7e8cbdf2d36.mspx?mfr=true - Exchange SDK
http://msdn.Microsoft.com/library/default.asp?URL=/library/en-us/dnanchor/html/exchangesvr.asp - Reordering a DACL
http://msdn.Microsoft.com/library/en-us/e2k3/e2k3/_hosting_reorderacl.asp?frame=true - Adding an ACE To an Existing ACL
http://msdn.Microsoft.com/library/en-us/e2k3/e2k3/_hosting_addace.asp?frame=true - Deleting an ACE From an ACL
http://msdn.Microsoft.com/library/en-us/e2k3/e2k3/_hosting_deleteace.asp?frame=true - Using Scripts to Delegate Control of Active Directory Part 2:
Working with Property Sets
http://www.Microsoft.com/technet/scriptcenter/topics/security/propset.mspx
Beschreibt zwar in erster Linie das Berechtigen auf dem Active Directory, aber ist sehr lesenswert, da die Prinzipien identisch sind. - 817433 Delegated permissions are not available and inheritance is automatically disabled
- 232199 Description and Update of the Active Directory AdminSDHolder object'
- 907434 The "Send As" right is removed from a User object after you configure the "Send As" right in the Active Directory Users and Computers snap-in in Exchange Server
- "Mailbox Cache Age Limit" mit Exchange 2003 und Exchange 2007 Änderungen bei Benutzern und Berechtigungen werden erst nach bis zu 2h
aktiv
Exchange 2003: http://support.microsoft.com/kb/326252
Exchange 2007: http://technet.microsoft.com/en-us/library/bb684892.aspx