Получил я на днях письмо от с вопросом про Exch2007, PowerShell и права пользователей. Ситуация такова.
На сервере с Exchange 2007 SP1 разрешена поддержка Public Folders. Создаем в корне PF папку “test1” и даем к ней доступ учетной записи “PavelNagaev”.
[PS] C:\New-PublicFolder -name test1
[PS] C:\Add-PublicFolderClientPermission -id \test1 -user PavelNagaev -AccessRights Editor
Видим ниже, что пользователь “PavelNagaev” получил право Editor.
[PS] C:\>Get-PublicFolderClientPermission \test1
Identity User AccessRights
——— —- ————
\test1 Default {Author}
\test1 exchangerus.ru/Users/PavelNagaev {Editor}
\test1 exchangerus.ru/Users/Administrator {Owner}
\test1 Anonymous {CreateItems}
Затем удаляем учетную запись «PavelNagaev»
[PS] C:\>Remove-Mailbox -Identity exchangerus\PavelNagaev -Permanent $true
И что мы видим при просмотре прав на папку \test1? Правильно, мы видим SID удаленной учетной записи — «NT User:S-1-5-21-3195″. Это называется
[PS] C:\>Get-PublicFolderClientPermission \test1
Identity User AccessRights
——— —- ————
\test1 Default {Author}
\test1 NT User:S-1-5-21-319571137-32441274… {Editor}
\test1 exchangerus.ru/Users/Administrator {Owner}
\test1 Anonymous {CreateItems}
Вопрос Саши заключался в том, как удалять эти зомби аккаунты с помощью PowerShell. Это можно сделать через Outlook, но не через PS. Если запустить Remove-PublicFolderClientPermission то возникает ошибка:
[PS] C:\>Remove-PublicFolderClientPermission -id \test1 -User «NT User:S-1-5-21-319571137-3244127458-2516713604-12139» -AccessRighs Editor
Remove-PublicFolderClientPermission : The specified public folder user «NT User:S-1-5-21-319571137-3244127458-2516713604-12139» des not exist. A valid public folder user should be a mail-enabled user, mailbox or distribution group.
At line:1 char:36
+ Remove-PublicFolderClientPermission <<<< -id \test1 -User «NT User:S-1-5-21-319571137-3244127458-2516713604-12139» -AccessRigh
ts Editor
Где красным по черному написано: A valid public folder user should be a mail-enabled user, mailbox or distribution group.
Это значит, что у скрипта есть очень четкие параметры входа: mail-enabled user, mailbox or distribution group и он просто не может разобрать такое длинное имя.
Соответственно зомби пользователь эту проверку не проходит, поэтому PS с помощью именно RemovePublicFolderClientPermission удалить не даст. Скорее всего придется писать свой скрипт.
Но настоящих сурков такой ответ удовлетворить не мог и я 
написал , Program manager по Exchange в Microsoft.
Evan ответил следующее:
Pavel –
I asked around a bit – as I don’t have a lot of awareness of the details of the PublicFolder Permissions feature – and here’s what I found out:
Yes. What Pavel is observing is by design. When a user is removed, the ACL on public folders has a hanging SID. Since this is not transmitted over the wire (due to conversion to LegacyDN, which cannot be found for deleted users), the only ramification is that of wasted space.
There are currently no cmdlets to clean up such SIDs.
Получается, что на данный момент с помощью командлетов зомби не убить, но если этом можно сделать через Outlook, то наверняка можно и самописным скриптом, только вот стоит ли игра свеч?
Ссылки по теме:
p.s. Очень большой минус Микрософту, что хоть и сделали в SP1 управление общими папками через EMC, но не сделали возможность раздачи прав через нее. Зачем вообще тогда было делать инструмент управления PF в EMC?
Похожие посты:
- Менеджер группы рассылки не может добавить/удалить новых участников. Недостаточно прав доступа для выполнения операции над объектом
- Вышел Update Rollup 5 for Exchange Server 2007 SP1
- Отправка писем в Microsoft Exchange server с Secondary SMTP адреса
- Exchange 2007, не работает проверка получателей в AD?
- «Мочим» Exchange 2007