Blogbeitrag

12 | 01 | 2012

AD User mit ausgeschalteter Vererbung der Rechte finden mit PowerShell

Geschrieben von um 12:04 Uhr

Bei Migrationen auf Exchange 2010 gibt es immer wieder das Phänomen, daß bei Benutzern, deren Berechtigungen in AD nicht von ihrer OU geerbt, sondern explizit vergeben sind, ActiveSync nicht in der Lage ist, ein Mobile Device-Objekt anzulegen. Resultat: Keine Synchronisation mit dem Smartphone und Event 1053 auf dem CAS Server.

Sind nur wenige User betroffen, kann man den Haken bei „Berechtigungen des übergeordneten Objekts übernehmen“ freilich auch manuell setzen, zumal im Text der Fehlermeldung die User jeweils spezifiziert sind. Möchte man aber dem Problem von vorn herein aus dem Weg gehen, muß man solche Accounts global identifizieren und bereinigen können.

Das geht sehr einfach mit PowerShell und den Quest AD CMDlets:

Get-QADUser -SizeLimit 0 | Where-Object {$_.DirectoryEntry.PSBase.ObjectSecurity.AreAccessRulesProtected}

Und um die Berechtigungen bei diesen Accounts wieder zu vererben:

Get-QADUser -SizeLimit 0 | Where-Object {$_.DirectoryEntry.PSBase.ObjectSecurity.AreAccessRulesProtected} | Set-QADObjectSecurity -UnLockInheritance

Natürlich soltle man sich, wie bei allen globalen Operationen, vorher fragen, ob die Berechtigungen nicht absichtlich so gesetzt sind, und dann entsprechend granular vorgehen.

Der Dank für dieses kleine Juwel geht an Shay Levi.

Beitragsdetails

Tags » , , , , «

gravatar

Kategorie » Exchange & Lync, Microsoft «

Trackback: Trackback-URL |  Kommentar-Feed: RSS 2.0 | 200 Worte

Beitrag kommentieren

Kommentar schreiben ...

Deine E-Mail-Adresse wird nicht veröffentlicht.

(X)HTML Tags zur Formatierung der Kommentare

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>