Forum
Malum pek çok şirket ortamında işten çıkarma veya güvenlik nedeni ile acil olarak bazı hesapların erişime kapatılması gerekebilir. Böyle bir durumda üst düzey bir yönetici veya insan kaynaklarından bir personel IT personelini veya sorumlu kişiyi arayarak “Hakan Uzuner” kullanıcı hesabını lütfen kapatın veya sisteme erişimini engelleyin der. Sizde en temel yöntem olan Active Directory üzerinden bu kullanıcıyı bulup hesabını Disable konumuna getiririz ki bu durumda artık Domain Controller üzerinden kendisini doğrulayamaz. Ancak bir süre sonra telefonunuz bir daha çalar ve birden kapatılması gereken hesabın sahibinin hala mail attığını veya mail sistemine eriştiğini sitem dolu sözler ile söyleyen bir kişi ile karşı karşıya kalabilirsiniz. Peki nasıl oluyor da hesabı kapatılan bir kullanıcı hala cep telefonundan veya Owa üzerinden maillerine ulaşabiliyor? Bunun temel sebebi aslında kullanıcı deneyimini arttırmak üzere tasarlanmış olan mimari bir özelliktir. Exchange server’ ın kullandığı IIS in temel bir özelliği olup bu özellik her 15dk da bir kendisine verilen token ları doğrular, yani örneğin bir kullanıcı giriş yaptı ve siz 5dk sonra hesabını kapattınız o hala 10dk boyunca mail sistemine erişebilir. Bu noktada siz bu süreyi 5dk gibi kısa bir süreye çekebilirsiniz.
https://support.microsoft.com/en-us/kb/152526
Ancak gerçek hayat senaryoları ne yazık ki biraz daha farklı, gerek yönettiğim gerekse şu anda destek verdiğimiz müşterilerimizde OWA üzerinden erişimlerde 3 saate kadar ( özellikle farklı browser testlerinde ) active sync erişimlerinde ise 6 saate kadar erişimleri ne yazık ki görebiliyoruz.
Kesin olarak bu konuda çözüm üretmek istiyorsanız birkaç alternatif denemek zorundasınız
1 – Kullanıcı hesabı üzerinden “NT AUTHORITY\SELF” iznini kaldırın
Bunun için kullanıcıyı bulup “Manage Full Access Permissions” bölümünden SELF iznini kaldırın ( Exchange 2013-2016 için kullanıcı üzerinde, edit menüsünde Mailbox Delegation kısmından yapabilirsiniz)
Veya bunun için Powershell kullanabilirsiniz
Remove-MailboxPermission –Identity “*user*” –User “NT AUTHORITY\SELF” –Accessright Fullaccess
2- Disable Mailbox Features
Bir diğer yöntem ise ilgili kullanıcının tüm Exchange server posta kutusu özelliklerini kapatmaktır.
Bunun için en kolay yöntem tabiki powershell
Set-CASMailbox –Identity “User” –OWAEnabled:$false –ActivesyncEnabled:$false –MAPIEnabled:$flase –POPEnabled:$false –IMAPEnabled:false
DB seviyesinde çalışmak için ( çok gerekli olmaz malum bir db deki herkesi kovduk mantığı biraz zor ama komut elinizin altında bulunsun J )
Get-Mailbox -Database DBName | Set-CasMailbox -ActiveSyncEnabled $false
Get-Mailbox -Database DBName | Set-CasMailbox -OWAforDevicesEnabled $false
3- IIS Servisini yeniden başlatmak
Tabiki bu da geçerli bir yöntemdir ama malum çok kişi etkilenebilir L
IISRESET /no force
Bu işe yaramaz ise
IISRESET /force
4 – IIS Token süresini değiştirme
https://support.microsoft.com/en-us/kb/152526
Umarım faydalı bir makale olmuştur.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Bilgi için teşekkürler Hakan hocam
Hocam eline sağlık. Farklı bir konudan buraya link gelmiş. Oradan okudum yazını. Çok basit bir yöntem olarak araya girmek istedim. Pasif edilmiş kullanıcının mail alma ve gönderme kotasını 0 yapabilirsiniz 🙂 Temel admin işi bir çözüm ama basit anlamda kullanılabilir.
Merhaba Selim, bilgi için teşekkürler.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Hocam eline sağlık. Farklı bir konudan buraya link gelmiş. Oradan okudum yazını. Çok basit bir yöntem olarak araya girmek istedim. Pasif edilmiş kullanıcının mail alma ve gönderme kotasını 0 yapabilirsiniz 🙂 Temel admin işi bir çözüm ama basit anlamda kullanılabilir.
Hocam disable sonrasındaki o açık süre içerisinde mail trafiğinin önlenmesi adına disable edilen hesabın şifresinin değiştirilmeside bir çözüm olabilirmi?
Selamlar
Merhaba,
Burada belirtilen default süre zarfında değiştirdiğiniz tüm şifreler ile sisteme bağlanabilirsiniz. Test edilmiştir, Password değiştirmek sorunu çözmüyor maalesef.
Saygılarımla.
************************************************************
Probleminiz çözüldüğünde sonucu burada paylaşırsanız,
sizin ile aynı problemi yaşayanlar için yardım etmiş olursunuz.
Eğer sorununuz çözüldü ise "çözüldü" olarak işaretlerseniz
diğer üyeler için çok büyük kolaylık sağlayacaktır.
************************************************************