{"id":1044,"date":"2015-03-30T15:07:01","date_gmt":"2015-03-30T13:07:01","guid":{"rendered":"http:\/\/blog.langlitz-it.de\/?p=1044"},"modified":"2015-03-30T15:07:01","modified_gmt":"2015-03-30T13:07:01","slug":"disabled-user-haben-immer-noch-zugriff-auf-ihre-mailbox","status":"publish","type":"post","link":"https:\/\/www.langlitz-it.de\/?p=1044","title":{"rendered":"Disabled User haben immer noch Zugriff auf Ihre Mailbox"},"content":{"rendered":"

Disabled User\u00a0haben immer noch Zugriff auf ihre Mailbox mit OWA, Outlook<\/em> und ActiveSync<\/em>.<\/p>\n

Wenn Sie einen User disablen, hei\u00dft das nicht, dass er ab sofort keinen Zugriff mehr auf seine Mailbox hat. Der User kann sich zwar nicht mehr an der Windows Domain<\/em> anmelden, aber der Zugang \u00fcber OWA, Outlook<\/em> und ActiveSync<\/em> funktioniert immer noch. Wie kann das sein?<\/p>\n

ActiveSync:<\/span><\/h4>\n

Bei ActiveSync<\/em> ist es so, dass eine authentifizierte Verbindung offen gehalten wird, um auf neue Nachrichten zu pr\u00fcfen.
\nErst wenn der Lebenszyklus der Verbindung ausl\u00e4uft, wird eine neue Authentifizierung versucht, die dann entsprechend fehlschl\u00e4gt.
\nDas kann unter ung\u00fcnstigen Umst\u00e4nden bis zu 24 Stunden dauern.
\nUm dies zu umgehen, k\u00f6nnen Sie zus\u00e4tzlich zum Disablen des Users noch die ActiveSync<\/em> Funktion explizit ausschalten.<\/p>\n

Beispiel Exchange 2010:<\/span><\/p>\n

Get-ActiveSyncDeviceStatistics \u2013Mailbox Mailboxname\u00a0| fl DeviceID<\/em><\/p>\n

Set-CASMailbox -Identity Mailboxname -ActiveSyncBlockedDeviceIDs “<DeviceID_1>,<DeviceID_2>”<\/em><\/p>\n

Set-CASMailbox -Identity Mailboxname -ActiveSyncEnabled $false<\/em><\/p>\n

Nur so k\u00f6nnen Sie sicher sein, dass der Zugang sofort gesperrt ist.<\/p>\n

OWA\/Outlook:<\/span><\/h4>\n

Hauptschuld bei OWA\/Outlook<\/em> tr\u00e4gt f\u00fcr dieses Problem das “User Token Caching<\/em>” des Internet Information Servers.
\nIm Standard ist dies auf 15 Minuten konfiguriert. Das bedeutet, wenn innerhalb dieser 15 Minuten ein Zugriff erfolgt,
\nwird das gecachte Token genutzt und kein neues verlangt. Dieser Wert l\u00e4\u00dft sich aber auch anpassen, wie hier <\/a>beschrieben.
\nEs kann bis zu 2 Stunden dauern, bis dann ein neues Token erfordlich wird.<\/p>\n

Auch f\u00fcr dieses Problem m\u00fcssen Sie die WebServices und MAPI entsprechend manuel sperren.<\/p>\n

Beispiel Exchange 2010<\/span>:<\/p>\n

WebServices<\/span><\/p>\n

Set-CASMailbox -Identity Mailboxname -OwaEnabled $false<\/em><\/p>\n

Set-CASMailbox -Identity Mailboxname -EwsEnabled $false<\/em><\/p>\n

Set-CASMailbox -Identity Mailboxname -EwsEnabled $false<\/em><\/p>\n

Set-CASMailbox -Identity Mailboxname -EcpEnabled $false<\/em><\/p>\n

MAPI<\/span><\/p>\n

Set-CASMailbox -Identity Mailboxname -MapiEnabled $false<\/em><\/p>\n

Set-CASMailbox -Identity Mailboxname -MapiBlockOutlookRpcHttp $true<\/em><\/p>\n

Set-CASMailbox -Identity Mailboxname -EwsAllowMacOutlook $false<\/em><\/p>\n

Set-CASMailbox -Identity Mailboxname -EwsAllowOutlook $false<\/em><\/p>\n

Bei Exchange 2007 w\u00fcrde auch das Verschieben der Mailbox helfen, weil damit alle offenen Verbindungen gekappt werden.
\nMit Exchange 2010 w\u00fcrde das nicht den erw\u00fcnschten Effekt bringen, wegen des “Online Mailbox Move” Prozesses,
\nder erst nach Abschluss die Verbindungen beenden w\u00fcrde und sie damit je nach Gr\u00f6\u00dfe der Mailbox evtl. keine Zeit gewonnen h\u00e4tten.
\nAuch ein IISReset kann weiterhelfen. Allerdings w\u00e4ren davon nat\u00fcrlich alle User betroffen, so dass dies vermutlich keine Option darstellt.<\/p>\n","protected":false},"excerpt":{"rendered":"

Disabled User\u00a0haben immer noch Zugriff auf ihre Mailbox mit OWA, Outlook und ActiveSync. Wenn Sie einen User disablen, hei\u00dft das nicht, dass er ab sofort keinen Zugriff mehr auf seine Mailbox hat. Der User kann sich zwar nicht mehr an … Continue reading →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[443,158,446,170,447,448,550,160,445,444],"_links":{"self":[{"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=\/wp\/v2\/posts\/1044"}],"collection":[{"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1044"}],"version-history":[{"count":3,"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=\/wp\/v2\/posts\/1044\/revisions"}],"predecessor-version":[{"id":1047,"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=\/wp\/v2\/posts\/1044\/revisions\/1047"}],"wp:attachment":[{"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1044"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1044"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1044"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}