Adott egy exchange 2010 szerver, ahol van egy csomo mailbox, amelyekbol imap-on keresztul le kell huzni a leveleket. Az egyes mailboxokhoz tartozo jelszavakat nyilvan nem tudjuk.
Az volt a haditerv, hogy bevetjuk az exchange impersonation feature-t, ami egy kijelolt user szamara lehetove teszi tetszoleges mailbox elereset a kijelolt user jelszavaval igy:
add-mailboxpermission username -AccessRights FullAccess -user superuser
A 'superuser' egy sima user, aki domain admin group membership-et kapott. Azonban sajnos az imap login nem jon ossze "A1 NO LOGIN failed" hibat kapunk.
Hogyan lehet osszehozni az exchange megszemelyesitest 2010 alatt?
- 1660 megtekintés
Hozzászólások
New-ManagementRoleAssignment -Name:"Foobar Impersonation" -Role:ApplicationImpersonation -User:username@example.com
az username nyilván egy létező user
Ellenőrzés:
Get-ManagementRoleAssignment -Role:ApplicationImpersonation -RoleAssigneeType:User | Format-List *
Get-ManagementRoleAssignment -Identity:"Foobar Impersonation" | Format-List *
Nekem így működik. Archiválásra használom.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Szerintem ez felesleges.
Ha authentkálni próbálsz a "superuaser" mailboxához imap-al, nem kapsz hibát?
- A hozzászóláshoz be kell jelentkezni
Ezt erre találták ki...
A fent említett domain admin membership megoldás meg egyszerűen életveszélyes. Ezért csont felesleges.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
ha domain admin membership nelkul is mukodik, az meg jobb. Meglatjuk. Egyelore kusznak fel a frissitesek win2012-hoz, holnap folyt. kov...
--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)
- A hozzászóláshoz be kell jelentkezni
Egy unprivileged domain user elég hozzá.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Megígérem, hogy mea culpa-zni fogok trey-nek, ha ezzel működik, bár a full access-es is mennie kellene.
Addig viszont elárulhatnád, hogy sikerült-e azzal az alkalmazással egyetlen imap kapcsolatot (bármilyen postaládához) is létrehozni, amivel próbálkozol. :)
- A hozzászóláshoz be kell jelentkezni
Ó, én nem igénylem. :)
(Egyébként és csak a topik címére és a "Hogyan lehet osszehozni az exchange megszemelyesitest 2010 alatt?"-ra reagáltam.)
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
persze, a pilerimport viszi az imap fiokokat - felteve, hogy erre iranyult a kerdes...
--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)
- A hozzászóláshoz be kell jelentkezni
Ja, jegyzem meg, én Public folder-eket is archiválok. Amihez ez kevés. ;)
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
ha az smtp journaling be van allitva, akkor minden level, ami erinti az exchange szervert, automatikusan megy az archivumba.
--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)
- A hozzászóláshoz be kell jelentkezni
És ott válogatod le? A journaling tudtommal minden levelet egy címre lök tovább.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
igen, 1 cimre kuldi. Az archivalaskor nincs levalogatas per user doboz/silo/stb-be, hanem siman bedobja a kupacba a levelek koze + eltarolja a levelhez tartozo feladot/cimzetteket, es majd a gui fogja tudni, kinek mit mutathat meg.
--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)
- A hozzászóláshoz be kell jelentkezni
felhuzok egy 2010-et, aztan kiprobalom
--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)
- A hozzászóláshoz be kell jelentkezni
Van valami fejlemény ez ügyben?
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
meg nincs. Amit eloszor irtal, azt emberunk is megtalalta, de allitja, valami rbac nyug miatt nem megy neki. Korbekerdezett egy listan is, ott paran leirtak, hogy naluk csont nelkul megy. Ha lesz fejlemeny, megosztom...
--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)
- A hozzászóláshoz be kell jelentkezni
trey, archiválásra miért jobb ez neked, mint a beépített mailboxexportrequest ?
- A hozzászóláshoz be kell jelentkezni
Én egy 3rd party gyártó külső szoftverét használom archiválásra. Egyrészt, mert ők csak ezzel foglalkoznak és a termékük tényleg jó. Mert a termékük olcsó. Harmadrészt mert a terméküket forgalmazzuk és szeretek olyasmit ajánlani, amit én is szívesen használok.
A termékkel egyébként az archívum elérhető Outlook pluginből, webes felületen, illetve mobilról is.
A keresése pedig fényévekkel gyorsabb és jobb mint az Outlook / Exchange áltla nyújtott keresés.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Jaaah, így már értem. ;p
- A hozzászóláshoz be kell jelentkezni
nekunk megy, 2010-es alatt, sima user de kapott fullaccest (nem cli-bol hanem gui-n lett beallitva) az osszes userre amit aztan imapsync-el migraltunk
az imap logint hogy probaltad? mit adtal meg usernevnek?
A'rpi
- A hozzászóláshoz be kell jelentkezni
"nekunk megy, 2010-es alatt, sima user de kapott fullaccest (nem cli-bol hanem gui-n lett beallitva) az osszes userre amit aztan imapsync-el migraltunk"
Ú, bammeg. Végigkattintgattátok az összes usert? Ez jó tízegynéhány felhasználónál, de 100 felett már csináljon ilyet akinek 6 anyja van.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
dehogy. kilistaztam linuxon ldapbol az userneveket, aztan egy for ciklussal ki echo-ztam mindegyikhez a megfelelo windoz parancsot ami beallitja neki a jogot, aztan az egesz outputot copypasteltem az rdp ablakba a windoz szerver promptjaba :)
de allitolag ezt windozon is le lehetne scriptelni, csak ahhoz en nem ertek :)
A'rpi
ps: most latom hulyeseget irtam, szal pont hogy cli-n lett beallitva es nem gui-n :)
- A hozzászóláshoz be kell jelentkezni