Exchange 201x – ACE doesn’t exist

Ich hatte gerade ein sehr unschönes Szenario:

Exchange 2016, steht in Ressource-Domain und die Mailboxen werden auf LinkedMailbox zur Userdomain umgestellt. Die Skripte hierfür mit set-user (nicht offiziell unterstützt) sind etwas buggy und die Umgebung historisch gewachsen, weswegen einige Mailboxen wohl nicht mehr ganz saubere Berechtigungen haben.

Versuchte man dann auf einer Mailbox die FullAccess Berechtigung, die in get-mailboxpermission mit RESDOMAIN\User angezeigt wird, zu entfernen kam es zu einem „ACE doesn’t exist“ und der User wurde fälschlich in die Userdomain aufgelöst:

[PS] C:\Windows\system32>Remove-MailboxPermission -Identity "sharedmailbox" -User RESDOMAIN\user -AccessRights FullAccess

WARNING: Can't remove the access control entry on the object "CN=sharedmailbox,OU=ou,DC=dc,DC=local" for account "USERDOMAIN\user" because the ACE doesn't exist on the object.

Auch wenn ich die SID der RESDOMAIN genommen hab, kam es nicht zu einem erfolgreichen entfernen. Hier wurde der User zwar in die richtige Domäne aufgelöst, der Fehler blieb allerdings der selbe.

In dem MS Foren gibt es Tipps von -deny:$true bis zur Installation der Exchange 2003 Management Tools, aber in meinem Fall hat geholfen:

Get-MailboxPermission -Identity "sharedmailbox" -user user | Remove-MailboxPermission

Vielleicht klappt es bei noch jemanden, der das Problem auch hat.

4 Gedanken zu „Exchange 201x – ACE doesn’t exist“

  1. Hallo Chris,

    vielen Dank für den Tipp. Der hat uns langes suchen im Web und viel Kopfzerbrechen erspart. Klasse!
    Grüße

  2. Hat mir leider nicht geholfen.
    Die Fehlermeldung bleibt die selbe, was eigentlich auch zu erwarten war, da die beiden Befehle ja auch exakt das gleiche tun.

  3. This worked for me! Both Exchange in Azure and on-prem stated the mailbox permissions had been removed but still failed to actual remote permissions.

    I googled all the variations to try resolve the ACE error. This one did the trick!

    Thank you for posting the resolution!

  4. Not worked for me in Exchange Online because „command does not take pipeline input“ .. but this did the trick for me:

    Remove-MailboxPermisssion -Identity „SharedMailbox“ -User „User“ -AccessRights FullAccess -Deny
    Regards,
    Carsten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert