Zugriff auf andere Mailbox via OWA endet mit 404

1. offizieller Beitrag

    Hallo zusammen


    Ich hab meinem User Philippe mit der Exchange Shell Full Access auf die Box von Postmaster gegeben:


    [PS] C:\Documents and Settings\Administrator>Add-MailboxPermission "Postmaster" -User "rgh10\Philippe" -AccessRights FullAccess


    Identity User AccessRights IsInherited Deny
    -------- ---- ------------ ----------- ----
    rgh10.local/Users... RGH10\Philippe {FullAccess} False False


    Wenn jetzt aber Philippe auf andere Mailbox anzeigen (auf den Username oben rechts im OWA klicken) gibts einen 404 Error - IIS Log sagt:
    2008-01-29 14:00:51 W3SVC1 [IP] GET /owa/Postmaster@[will jetzt keinen Spam, ist die richtige Domain] - 443 Philippe@rgh10.local 147.88.200.96 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.04506.30;+InfoPath.2) 404 0 2
    Hat jemand ne Idee wieso?
    Exchange ist up2date...


    Danke


    CHfish

    FullAccess hatte ich ja schon
    und auch
    Add-ADPermission -Identity Postmaster -User RGH10\Philippe -ExtendedRights Receive-As


    hat leider nichts gebracht


    Danke aber trotzdem :)

    • Offizieller Beitrag

    Hi,


    hmmm, bin zwar noch nicht so fit in 2007...


    Aber wenn du einem User den Vollzugriff auf den Postmaster gibst, hat er noch lange nicht das Recht auf die anderen Postfächer.


    Oder habe ich jetzt einen Denkfehler?


    http://www.nobbysweb.de/community/newbb/howto/107.pdf



    ;)

    Nobby, MAJO, danke für eure Antworten;
    Also zuerst Philippe ist tatsächlich ein Domain Admin - und damit könnten wir ein Problem haben ABER
    1. Funktioniert der Mailbox Zugriff mit Outlook und
    2. können wir der Einfachheit halber ein anderes Beispiel nehmen: Paul möchte Zugriff auf das Postfach Praxis haben (geht übrigens mit Outlook auch, nicht jedoch mit IE)
    Es wurden gesetzt (ich glaub das sind sogar zuviele Rechte - aber daran solls ja nicht liegen...):
    Add-MailboxPermission Praxis -User rgh10\Paul -AccessRights FullAccess,SendAs -InheritanceType All


    Add-ADPermission -Identity "Praxis" -User rgh10\Paul -ExtendedRights Receive-As,Send-As


    Es kamen nur Bestätigungen raus... Keine Fehler (ausser der Warnung Appropriate ACE is already present on object "CN=Praxis,CN=Users,DC=rgh10,DC=local" for account "RGH10\Paul" - aber auch erst beim 2ten eingeben ;))


    danke


    CHfish

    • Offizieller Beitrag

    Hallo,


    also ich habe das jetzt mal getestet! Ich habe einen User Test1 und einen User Test2. Ich melde mich mit User Test1 via OWA an dem Postfach von Test1 an.


    Dann will ich über OWA (oben rechts auf den Namen "Test1" Anderes Postfach öffnen) das Postfach von Test2 öffnen. Dies funktioniert nicht, da ich nicht die erfoderlichen Berechtigungen habe.


    Dann führe ich in der Pwershell folgenden Befehl aus:


    add-mailboxpermission Test2 -user Test1 -AccessRights FullAccess


    Dann wiederhole ich den Zugriff über OWA wie oben beschrieben und siehe da, das Postfach öffnent sich über OWA. Nur senden geht natürlich nicht, da das "Senden Als" Recht (noch) nicht gesetzt ist.


    Das mit dem DomänenAdmin ist auf jeden Fall ein Problem. Starte doch mal deine CAS Server neu oder zumindest di Exchange Dienste. Evtl. ist die Berechtigung dort noch nicht angekommen.

    AccessRights : {FullAccess, ReadPermission}
    Deny : False
    InheritanceType : All
    User : NT AUTHORITY\SELF
    Identity : rgh10.local/Users/Praxis
    IsInherited : False
    IsValid : True
    ObjectState : Unchanged


    AccessRights : {FullAccess, SendAs}
    Deny : False
    InheritanceType : All
    User : RGH10\Paul
    Identity : rgh10.local/Users/Praxis
    IsInherited : False
    IsValid : True
    ObjectState : Unchanged


    AccessRights : {ReadPermission}
    Deny : False
    InheritanceType : All
    User : RGH10\CHIMERA$
    Identity : rgh10.local/Users/Praxis
    IsInherited : True
    IsValid : True
    ObjectState : Unchanged


    AccessRights : {FullAccess}
    Deny : True
    InheritanceType : All
    User : RGH10\Exchange Servers
    Identity : rgh10.local/Users/Praxis
    IsInherited : True
    IsValid : True
    ObjectState : Unchanged


    AccessRights : {FullAccess}
    Deny : True
    InheritanceType : All
    User : RGH10\Administrator
    Identity : rgh10.local/Users/Praxis
    IsInherited : True
    IsValid : True
    ObjectState : Unchanged


    AccessRights : {FullAccess}
    Deny : True
    InheritanceType : All
    User : RGH10\Domain Admins
    Identity : rgh10.local/Users/Praxis
    IsInherited : True
    IsValid : True
    ObjectState : Unchanged


    AccessRights : {FullAccess}
    Deny : True
    InheritanceType : All
    User : RGH10\Enterprise Admins
    Identity : rgh10.local/Users/Praxis
    IsInherited : True
    IsValid : True
    ObjectState : Unchanged


    AccessRights : {FullAccess}
    Deny : True
    InheritanceType : All
    User : RGH10\Exchange Organization Administrators
    Identity : rgh10.local/Users/Praxis
    IsInherited : True
    IsValid : True
    ObjectState : Unchanged


    AccessRights : {FullAccess}
    Deny : False
    InheritanceType : All
    User : RGH10\Exchange Servers
    Identity : rgh10.local/Users/Praxis
    IsInherited : True
    IsValid : True
    ObjectState : Unchanged


    AccessRights : {FullAccess, DeleteItem, ReadPermission, ChangePermission, ChangeOwner}
    Deny : False
    InheritanceType : All
    User : RGH10\Administrator
    Identity : rgh10.local/Users/Praxis
    IsInherited : True
    IsValid : True
    ObjectState : Unchanged


    AccessRights : {ReadPermission}
    Deny : False
    InheritanceType : All
    User : S-1-5-21-749675064-2381285903-7852055-1109
    Identity : rgh10.local/Users/Praxis
    IsInherited : True
    IsValid : True
    ObjectState : Unchanged


    AccessRights : {FullAccess, DeleteItem, ReadPermission, ChangePermission, ChangeOwner}
    Deny : False
    InheritanceType : All
    User : S-1-5-21-749675064-2381285903-7852055-1110
    Identity : rgh10.local/Users/Praxis
    IsInherited : True
    IsValid : True
    ObjectState : Unchanged


    AccessRights : {ReadPermission}
    Deny : False
    InheritanceType : All
    User : S-1-5-21-749675064-2381285903-7852055-1112
    Identity : rgh10.local/Users/Praxis
    IsInherited : True
    IsValid : True
    ObjectState : Unchanged


    AccessRights : {ReadPermission}
    Deny : False
    InheritanceType : All
    User : RGH10\Exchange Servers
    Identity : rgh10.local/Users/Praxis
    IsInherited : True
    IsValid : True
    ObjectState : Unchanged


    AccessRights : {FullAccess, DeleteItem, ReadPermission, ChangePermission, ChangeOwner}
    Deny : False
    InheritanceType : All
    User : RGH10\Exchange Organization Administrators
    Identity : rgh10.local/Users/Praxis
    IsInherited : True
    IsValid : True
    ObjectState : Unchanged


    AccessRights : {ReadPermission}
    Deny : False
    InheritanceType : All
    User : RGH10\Exchange View-Only Administrators
    Identity : rgh10.local/Users/Praxis
    IsInherited : True
    IsValid : True
    ObjectState : Unchanged


    AccessRights : {FullAccess, DeleteItem, ReadPermission, ChangePermission, ChangeOwner}
    Deny : False
    InheritanceType : All
    User : RGH10\Enterprise Admins
    Identity : rgh10.local/Users/Praxis
    IsInherited : True
    IsValid : True
    ObjectState : Unchanged


    AccessRights : {FullAccess, DeleteItem, ReadPermission, ChangePermission, ChangeOwner}
    Deny : False
    InheritanceType : All
    User : RGH10\Domain Admins
    Identity : rgh10.local/Users/Praxis
    IsInherited : True
    IsValid : True
    ObjectState : Unchanged


    Ich seh leider den Fehler nicht - ich glaub sowieso dass die Permissions für die Mailboxes stimmen - nur der OWA spinnt... (Ob das evtl. sogar etwas damit zu tun hat, dass ich kein FBA hinkrieg? Wenn ich in der XCh Console auf Server Config\Client Access geh und dort die Auth-Eigenschaften von owa auf Use form-based auth (User name only) stell nützt's gar nix...


    CHfish