Le blog technique

Symptômes:

Lorsque vous essayez de supprimer l’autorisation « Accès total » ou « Envoyer en tant que »  sur une boite aux lettres, vous pouvez être confronté aux messages d’avertissements indiquant que l’entrée de contrôle d’accès ne peut pas être supprimée.

Ce problème apparaîtra quand vous essayez de supprimer l’autorisation à l’aide du PowerShell Exchange ou depuis l’interface graphique.

•  A la suppression de l’autorisation « Envoyer en tant que» via la console d’administration ECP, vous aurez  le message d’avertissement ci-dessous :
• Quand vous supprimez l’autorisation « Accès total» , pas de message d’avertissement , mais la délégation n’est pas supprimée.
• A la suppression de l’autorisation « Full Access/ send as » depuis une BAL en powershell,  vous aurez les messages d’avertissement suivants :

Solution:

Les étapes suivantes s’appliquent pour les boites aux lettres liées. La solution de contournement consiste à déconnecter la BAL de l’utilisateur, modifier les autorisations puis la reconnecter :

Exemple : Supprimer l’autorisation de User01 sur la BAL de User02:

• Exécutez la commande suivante: Set-User -Identity useridentity -LinkedMasterAccount $null Cette commande permet de dissocier la boîte aux lettres liée et la convertir en boîte aux lettres utilisateur.

  Le paramètre Identity spécifie l’utilisateur que vous souhaitez modifier. Vous pouvez utiliser n’importe quelle valeur qui identifie l’utilisateur de manière unique. Par exemple:

  • Name
  • Distinguished name (DN)
  • Canonical DN
  • GUID
  • UserPrincipalName

• Supprimez par la suite les autorisations en exécutant les commandes suivantes :

  Pour supprimer la délégation Full Access  Remove-MailboxPermission -Identity MailboxAccount -User UserAccount -AccessRights FullAccess -InheritanceType All

  Exemple:  Remove-MailboxPermission -Identity « user02 » -User « User01 » -AccessRights FullAccess -InheritanceType All

  Pour supprimer la délégation Send As  Remove-ADPermission -Identity « MailboxAccount » -User « UserAccount » -ExtendedRights « Send As »

  Exemple: Remove-ADPermission -Identity  » User02″ -User  » User01″ -ExtendedRights « Send As »

• Une fois les délégations supprimées, reconnectez de nouveau la boite aux lettres de l’utilisateur via la commande :

  Set-User -Identity “UserAccount” – LinkedDomainController “domaincontroller” -LinkedMasterAccount “DomainName\user”

  Exemple:  Set-User -Identity User01@contoso.com – LinkedDomainController dc01.contoso.com -LinkedMasterAccount “contoso\User01”

• Vérifier par la suite que les autorisations ont été bien supprimées.

Lorsque vous créez un groupe de distribution dynamique dans Exchange 2016/2013 avec le filtre « RecipientContainer », l’onglet Aperçu n’existe plus, il fallait donc passer par Exchange Powershell pour afficher les membres du groupe.

Pour afficher l’appartenance au groupe de distribution dynamique, la commande Exchange PowerShell est simple et rapide:

Get-Recipient -RecipientPreviewFilter (Get-DynamicDistributionGroup « DynamicGroupName« ).RecipientFilter

Malheureusement, comme votre groupe de distribution utilise le paramètre « RecipientContainer », la commande ci-dessus ne fonctionnera pas correctement et affichera tous les destinataires quel que soit leurs unités organisationnelles.

Pour contourner le problème, utilisez plutôt les commandes suivantes:

1. Créez tout d’abord une variable qui stockera les résultats de la commande:
   $DDL = Get-DynamicDistributionGroup « DynamicGroupName » 
2. Utilisez la variable avec la commande Get-Recipient pour renvoyer les résultats requis : Get-DynamicDistributionGroup $DDL | ForEach {Get-Recipient -RecipientPreviewFilter $_.RecipientFilter -OrganizationalUnit $_.RecipientContainer} | Select DisplayName,PrimarySMTPAddress,OrganizationalUnit | Sort-Object -Property DisplayName