Forum

Kullanıcı Hesapları...
 
Bildirimler
Hepsini Temizle

Kullanıcı Hesaplarının Kapatılması veya Şifrelerinin Değiştirilmesine Rağmen OWA veya Active Sync Üzerinden Posta Kutularına Erişim Sorunu

6 Yazılar
5 Üyeler
0 Reactions
2,469 Görüntüleme
Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33301
Illustrious Member Yönetici
Konu başlatıcı
 

Malum pek çok şirket ortamında işten çıkarma veya güvenlik nedeni ile acil olarak bazı hesapların erişime kapatılması gerekebilir. Böyle bir durumda üst düzey bir yönetici veya insan kaynaklarından bir personel IT personelini veya sorumlu kişiyi arayarak “Hakan Uzuner” kullanıcı hesabını lütfen kapatın veya sisteme erişimini engelleyin der. Sizde en temel yöntem olan Active Directory üzerinden bu kullanıcıyı bulup hesabını Disable konumuna getiririz ki bu durumda artık Domain Controller üzerinden kendisini doğrulayamaz. Ancak bir süre sonra telefonunuz bir daha çalar ve birden kapatılması gereken hesabın sahibinin hala mail attığını veya mail sistemine eriştiğini sitem dolu sözler ile söyleyen bir kişi ile karşı karşıya kalabilirsiniz. Peki nasıl oluyor da hesabı kapatılan bir kullanıcı hala cep telefonundan veya Owa üzerinden maillerine ulaşabiliyor? Bunun temel sebebi aslında kullanıcı deneyimini arttırmak üzere tasarlanmış olan mimari bir özelliktir. Exchange server’ ın kullandığı IIS in temel bir özelliği olup bu özellik her 15dk da bir kendisine verilen token ları doğrular, yani örneğin bir kullanıcı giriş yaptı ve siz 5dk sonra hesabını kapattınız o hala 10dk boyunca mail sistemine erişebilir. Bu noktada siz bu süreyi 5dk gibi kısa bir süreye çekebilirsiniz.

https://support.microsoft.com/en-us/kb/152526

Ancak gerçek hayat senaryoları ne yazık ki biraz daha farklı, gerek yönettiğim gerekse şu anda destek verdiğimiz müşterilerimizde OWA üzerinden erişimlerde 3 saate kadar ( özellikle farklı browser testlerinde ) active sync erişimlerinde ise 6 saate kadar erişimleri ne yazık ki görebiliyoruz.

Kesin olarak bu konuda çözüm üretmek istiyorsanız birkaç alternatif denemek zorundasınız

1 – Kullanıcı hesabı üzerinden “NT AUTHORITY\SELF” iznini kaldırın

Bunun için kullanıcıyı bulup “Manage Full Access Permissions” bölümünden SELF iznini kaldırın ( Exchange 2013-2016 için kullanıcı üzerinde, edit menüsünde Mailbox Delegation kısmından yapabilirsiniz)

Veya bunun için Powershell kullanabilirsiniz

Remove-MailboxPermission –Identity “*user*” –User “NT AUTHORITY\SELF” –Accessright Fullaccess

2- Disable Mailbox Features

Bir diğer yöntem ise ilgili kullanıcının tüm Exchange server posta kutusu özelliklerini kapatmaktır.

Bunun için en kolay yöntem tabiki powershell

Set-CASMailbox –Identity “User” –OWAEnabled:$false –ActivesyncEnabled:$false –MAPIEnabled:$flase –POPEnabled:$false –IMAPEnabled:false

DB seviyesinde çalışmak için ( çok gerekli olmaz malum bir db deki herkesi kovduk mantığı biraz zor ama komut elinizin altında bulunsun J )

Get-Mailbox -Database DBName | Set-CasMailbox -ActiveSyncEnabled $false

Get-Mailbox -Database DBName | Set-CasMailbox -OWAforDevicesEnabled $false

3- IIS Servisini yeniden başlatmak

Tabiki bu da geçerli bir yöntemdir ama malum çok kişi etkilenebilir L

IISRESET /no force

Bu işe yaramaz ise

IISRESET /force

4 – IIS Token süresini değiştirme

https://support.microsoft.com/en-us/kb/152526

Umarım faydalı bir makale olmuştur.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 20/11/2015 00:28

(@davuteren)
Gönderiler: 1583
Noble Member
 

Bilgi için teşekkürler Hakan hocam

 
Gönderildi : 20/11/2015 16:34

Selim GÜRAKSIN
(@selimguraksin)
Gönderiler: 437
Reputable Member
 

Hocam eline sağlık. Farklı bir konudan buraya link gelmiş. Oradan okudum yazını. Çok basit bir yöntem olarak araya girmek istedim. Pasif edilmiş kullanıcının mail alma ve gönderme kotasını 0 yapabilirsiniz 🙂 Temel admin işi bir çözüm ama basit anlamda kullanılabilir.

 
Gönderildi : 01/12/2015 15:17

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33301
Illustrious Member Yönetici
Konu başlatıcı
 

Merhaba Selim, bilgi için teşekkürler.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 02/12/2015 22:12

(@KaanArslan)
Gönderiler: 28
Eminent Member
 

Hocam eline sağlık. Farklı bir konudan buraya link gelmiş. Oradan okudum yazını. Çok basit bir yöntem olarak araya girmek istedim. Pasif edilmiş kullanıcının mail alma ve gönderme kotasını 0 yapabilirsiniz 🙂 Temel admin işi bir çözüm ama basit anlamda kullanılabilir.

 

Hocam disable sonrasındaki o açık süre içerisinde mail trafiğinin önlenmesi adına  disable edilen hesabın şifresinin değiştirilmeside bir çözüm olabilirmi?

 

 

 

Selamlar

 
Gönderildi : 07/12/2015 18:55

(@recepyuksel)
Gönderiler: 1893
Üye
 

Merhaba,

Burada belirtilen default süre zarfında değiştirdiğiniz tüm şifreler ile sisteme bağlanabilirsiniz. Test edilmiştir, Password değiştirmek sorunu çözmüyor maalesef.

Saygılarımla.

************************************************************
Probleminiz çözüldüğünde sonucu burada paylaşırsanız,
sizin ile aynı problemi yaşayanlar için yardım etmiş olursunuz.
Eğer sorununuz çözüldü ise "çözüldü" olarak işaretlerseniz
diğer üyeler için çok büyük kolaylık sağlayacaktır.
************************************************************

 
Gönderildi : 07/12/2015 19:50

Paylaş: