AD User mit ausgeschalteter Vererbung der Rechte finden mit PowerShell

Bei Migrationen auf Exchange 2010 gibt es immer wieder das Phänomen, daß bei Benutzern, deren Berechtigungen in AD nicht von ihrer OU geerbt, sondern explizit vergeben sind, ActiveSync nicht in der Lage ist, ein Mobile Device-Objekt anzulegen. Resultat: Keine Synchronisation mit dem Smartphone und Event 1053 auf dem CAS Server.

Sind nur wenige User betroffen, kann man den Haken bei „Berechtigungen des übergeordneten Objekts übernehmen“ freilich auch manuell setzen, zumal im Text der Fehlermeldung die User jeweils spezifiziert sind. Möchte man aber dem Problem von vorn herein aus dem Weg gehen, muß man solche Accounts global identifizieren und bereinigen können.

Das geht sehr einfach mit PowerShell und den Quest AD CMDlets:

Get-QADUser -SizeLimit 0 | Where-Object {$_.DirectoryEntry.PSBase.ObjectSecurity.AreAccessRulesProtected}

Und um die Berechtigungen bei diesen Accounts wieder zu vererben:

Get-QADUser -SizeLimit 0 | Where-Object {$_.DirectoryEntry.PSBase.ObjectSecurity.AreAccessRulesProtected} | Set-QADObjectSecurity -UnLockInheritance

Natürlich soltle man sich, wie bei allen globalen Operationen, vorher fragen, ob die Berechtigungen nicht absichtlich so gesetzt sind, und dann entsprechend granular vorgehen.

Der Dank für dieses kleine Juwel geht an Shay Levi.

Ersten Kommentar schreiben

Antworten

Deine E-Mail-Adresse wird nicht veröffentlicht.


*


Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.