blog.icewolf.ch

Let's talk about IT!
posts - 1304, comments - 295, trackbacks - 0

My Links

Archives

Post Categories

icewolf

Defect MAPI Permissions "NT-User: Domain\username"

Hallo zusammen,

Wir sind zurzeit an einer komplexen Migration. Dabei gibt es bereits eine lange Migrationsvorgeschichte.

Die beiden Firmen der Domain A und Domain B waren früher eigenständig und hatten jeweils eine eigene Exchange Organisation. Dann wollte man enger zusammenarbeiten und hat ein Exchange Ressourcen Forest Modell mit der bestehenden Domain B gewählt. Ausserdem wurden alle Benutzer in die Domain C migriert.

Nun kommen noch weitere Forests dazu und man entschliesst sich, alles in die Domain D zu mitgrieren. Bei dieser Migration ist nun aufgefallen das etwas mit den MAPI Permissions nicht okay ist. Das ist auch der Grund für diesen Artikel, wo ich euch zeige, wie man das ganze behebt.

/*DOMAIN A*/
SamAccountName: buecheas
objectSid 010500000000000515000000972DA9003F303F08EC0DAB7F6B040000
Sid S-1-5-21-11087255-138358847-2141916652-1131

/*DOMAIN B*/
SamAccountName: buecheas
objectSid 0105000000000005150000009DBEDA5219525F1243170A329E4A0000
Sid S-1-5-21-1390067357-308236825-839522115-19102
msExchMasterAccountSid 0105000000000005150000008F2BA294D0C6AD428E972BF616280000

/*DOMAIN C*/
SamAccountName: buecheas
objectSid: 0105000000000005150000008F2BA294D0C6AD428E972BF616280000
Sid: S-1-5-21-2493655951-1118684880-4130051982-10262
sIDHistory: 010500000000000515000000972DA9003F303F08EC0DAB7F6B040000 (Domain A)

/*DOMAIN D*/
SamAccountName: buecheas
sIDHistory:
0105000000000005150000009DBEDA5219525F1243170A329E4A0000 (Domain B)
010500000000000515000000972DA9003F303F08EC0DAB7F6B040000 (Domain A)
0105000000000005150000008F2BA294D0C6AD428E972BF616280000 (Domain C)

In Domain B gibt es den User werthmjp. Wenn man mit Outlook beispielsweise die Kalenderberechtigungen prüft, so sieht man, dass dort noch Benutzer Domain A\buecheas eingetragen sind.

Dies sieht man auch mit MFCMAPI

Und da erscheint ebenfalls der "NT-User: DomainA\bucheas"

Exchange speichert keine Namen in den ACL's ab, sondern die objectSid. Und zwar in der MAPI Property PR_NT_SECURITY_DESCRIPTOR.

Schaut man die Eigenschaften von PR_NT_SECURITY_DESCRIPTOR an, so sieht man die ObjectSid aus der DomainA.

Also dann machen wir doch erstmal ein Backup mit PFDAVAdmin. Connect auf den Mailbox Server und dann Tools --> Export Permissions.

Alle Mailboxen auswählen und das Format angeben.

Dies erzeugt eine Text Datei, welche etwa so aussieht. Leider kann man in diesem Export nicht erkennen, welche Permissions einen "NTUser: " Eintrag erzeugen. Dazu muss man den Microsoft Support nach dem Tool MBINFO.exe fragen.

Mit PFDAVAdmin kann man einzelne Berechtigungen entfernen und wieder neu hinzufügen. Wir wollen das aber in einem Batch machen. Für den PFDAVAdmin kann man Import Files erstellen, mit welchem dann die Berechtigungen verändert werden. Die Felder sind mit einem Tabulator (TAB) getrennt. X bedeutet hier Berechtigung entfernen.

SETACL [TAB]Mailboxes\werthmjp\Sommet de la banque d'informations\Calendrier [TAB]DomainA\buecheas [TAB]X

Ich habe also folgendes File erstellt um die Berechtigungen zu entfernen. 

Mit PFDAVAdmin --> Import --> File auswählen

werden die Berechtigungen aus dem Importfile angewendet.

Leider hat dies keinen Erfolg, da der Name DomainA\buecheas irgendwie nicht aufgelöst werden kann.

Aber man kann ja auch mit der ObjectSID einträge entfernen.

SETACL [TAB]Mailboxes\werthmjp\Sommet de la banque d'informations\Calendrier [TAB]S-1-5-21-11087255-138358847-2141916652-1131 [TAB]X

Voila, die Berechtigungen sind in Outlook entfernt worden.

Auch in der ACL Tabelle von MFCMAPI sind die Einträge weg.

Nun müssen die Berechtigungen ja irgendwie wieder hinzugefügt werden.

SETACL [TAB]Mailboxes\werthmjp\Sommet de la banque d'informations\Calendrier [TAB]DomainB\buecheas [TAB]Reviewer

Und so sieht es dann aus, wenn es korrigiert ist. Der Name kann wieder aufgelöst werden.

Auch in der ACL Tabelle von MFCMAPI sieht es wieder gut aus.

Nachdem das nun also behoben ist, können wir in die Domain D migrieren :o)

Grüsse
Andres Bohren

Print | posted on Sunday, December 02, 2012 6:34 PM | Filed Under [ Exchange ]

Powered by:
Powered By Subtext Powered By ASP.NET