AD-User mit ausgeschalteter Vererbung der Rechte mit PowerShell finden

Bei Migrationen auf Exchange 2010/2013 gibt es immer wieder das Problem, dass bei Benutzern, deren Berechtigungen in AD nicht von ihrer OU geerbt sondern explizit vergeben sind, ActiveSync nicht in der Lage ist, ein Mobile Device-Objekt anzulegen. Resultat: Keine Synchronisation mit dem Smartphone und Event 1053 auf dem CAS Server.

Sind nur wenige User betroffen, kann man den Haken bei “Berechtigungen des übergeordneten Objekts übernehmen” freilich auch manuell setzen, zumal im Text der Fehlermeldung die User jeweils spezifiziert sind. Möchte man aber dem Problem von vorn herein aus dem Weg gehen, muss man solche Accounts global identifizieren und bereinigen können.

Das geht einfach mit PowerShell und den Dell (früher Quest) ActiveRoles Management Shell for Active Directory:

Get-QADUser -SizeLimit 0 | Where-Object {$_.DirectoryEntry.PSBase.ObjectSecurity.AreAccessRulesProtected}

Und um die Berechtigungen bei diesen Accounts wieder zu vererben:

Get-QADUser -SizeLimit 0 | Where-Object {$_.DirectoryEntry.PSBase.ObjectSecurity.AreAccessRulesProtected} | Set-QADObjectSecurity -UnLockInheritance

Natürlich sollte man sich vor dem globalem Setzten nochmal Fragen ob es irgendwelche Gründe für die Entfernung der Vererbung gegeben hat…

Quelle: http://blogs.microsoft.co.il/ScriptFanatic/

Kommentar verfassen