MICROLINC - Probleme suchen Lösung
Zurück   Home

Exchange Shell - Vollständige Entfernung von ActiveSync-Geräten

  -  22.03.2014 - 17:41
Menü

Home
Microsoft Small Business Server 2011 Standard
Hardware
Windows
MS Office
Projekte

Mehrwertsteuerrechner

Gästebuch

Pingtool

Warenwirtschaft

Password Expiration Reminder

Java Update Disabler

Briefkopf in PDF kombinieren FreePDF

Microsoft Exchange Management Shell Skripte

Permission Propagation to Subfolder of Inbox (PPSI)

Skript für Postfachberechtigung über AD-Gruppe

remove blocked ActiveSync-Devices (rem_bDevice)

Remove ActiveSync Device user & global-context

Active-Sync Devices sortierter Report

Remove unlinked ActiveSync Devices from CASMailbox

php-Tipps

3G-Failover Lösungen (mit Webserveranbindung & Exchange)

KeepProcessAlive

ActiveSync User und Devices über Active Directory auslesen

PowerShell SMTP Client TLS Tester

PowerShell Postfix Transport Log Parser

Auslesen der Allow-List aus KEMP-Loadbalancer via PowerShell

Backup Script Stotax-Datenbanken nach Hidrive

PowerShell - Active Directory Schema GUIDs und Ldap-Namen

Support
Download
Peripherie
Sonstiges (Off-Topic)
Telefonie
Windows 8
Windows Mobile
Security-Software
DATEV
Virtualisierung Oracle virtualbox
nginx
Kryptographie
hMailServer
Android
Novell
Exchange
Server 2012 R2
AD Certificate Service (PKI) / Zertifizierungsstelle
System Center
Blackberry
Microsoft Flow
Virtualisierung Microsoft Hyper-V
Ubiquiti
3CX
OneDrive
PowerShell
Azure
HAProxy
Defender
Teams
ESET Protect
BookStack


 
Autor:Thomas Windscheif last edit:02.08.2015 14:32

Link zu diesem Beitrag:


[Druckansicht]

Exchange 2010
remove Exchange ActiveSync Device from user- AND global-context
Entfernen von ActiveSync-Geräten (aus dem Benutzerkontext & globalen Kontext)

getestet unter MS Exchange 2010 SP2 RU 6 & MS Exchange 2010 SP3 UR5

Wenn man die EAS Quarantäne verwendet um alle Geräte vom Administrator genehmigen zu lassen, gibt es bei einer bestimmten Situation ein Problem.
Mittels Exchange Control Panel kann man zwar ein Gerät Entfernen, wenn es aber einmal zugelassen wurde, wird es bei erneuter Verbindung wieder mit den entsprechenden Rechten wie zuvor ausgestattet und es erfolgt keine erneute Nachfrage beim Administrator.

Der Grund hierfür ist, dass Exchange in der Mailbox des Benutzers abfragt, ob das Gerät unter "ActiveSyncAllowedDeviceIDs" oder "ActiveSyncBlockedDeviceIDs" eingetragen ist.
Nur wenn das Gerät in keinem der beiden Felder eingetragen ist (und es noch nicht einen Gerätestatus über ActiveSyncDevice erhalten hat), wird die Quarantäne ausgelöst.
Grundsätzlich macht dieses Verhalten ja auch Sinn. Wenn z. B. eine EAS-Partnerschaft nicht mehr ordnungsgemäß funktioniert, kann der Benutzer das Geräte via OWA Entfernen und das Gerät kann dann ohne zusätzliche Bestätigung vom Administrator erneut eine Partnerschaft initiieren.

Was ist aber, wenn man einem Mitarbeiter explizit den Zugriff verweigern will? Wenn man z. B. ein BYOD eines Mitarbeiters welches gerootet wurde nicht mehr mittels Active-Sync synchronisieren lassen möchte oder ein Mitarbeiter das Gerät verloren hat bzw. der Mitarbeiter nicht mehr länger angestellt ist?

Man natürlich via ECP als Exchange-Administrator über die Benutzerkonfiguration das Gerät blockieren.
Aber nicht mehr vorhandene Geräte oder ungewollte Gerätepartnerschaften sollten der besseren Verwaltbarkeit halber gelöscht werden. Sonst sammeln Sie Geräteleichen, die bei späteren Prüfungen nicht mehr zugeordnet werden können.

Dieses Skript ermöglicht das vollständige Löschen einer Active-Sync-Partnerschaft aus Exchange.
Es fragt die ActiveSync-Partnerschaften eines Benutzers ab und listet diese mit Modellbezeichnung, Gerätestatus, Rufnummernendung auf. Sie können dann wählen ob alle Partnerschaften gelöscht werden sollen, oder nur eine bestimmte.

Das Skript verwendet die folgenden Exchange-CMDlets:
  • Get-ActiveSyncDevice

  • Set-CASMailbox

  • Remove-ActiveSyncDevice


Zum Download

Zur Funktion des Skripts
  1. Es fragt zuerst den Benutzernamen ab.


  2. Dann listet es alle Gerätepartnerschaften des Benutzers auf


    • DeviceAccesState beinhaltet den Parterschaftsstatus des Gerätes (Allowed, Blocked, Quarantined)

    • Geben Sie die entsprechende Nummer die am Anfang der jweiligen Zeile steht an, um eine bestimmte Gerätepartnerschaft zu entfernen

    • Oder wenn alle Gerätepartnerschaften entfernt werden sollen das Zeichen "a".

  3. Anschließend entfernt das Skript die GeräteID aus den Feldern "ActiveSyncAllowedDeviceIDs" & "ActiveSyncBlockedDeviceIDs" und aus dem globalen Kontext.


  4. Anschließend kann das Gerät nicht mehr mit Exchange synchronieren, die bis dahin synchronisierten Daten sind aber auf dem Gerät noch vorhanden. Bei einer Synchronisationsversuch wird das Gerät versuchen eine neue Partnerschaft zu erstellen. In dem hier verwendeten Beispielgerät mit Windows Mobile 6.1 war es aber nötig die Partnerschaft auf dem Gerät zu löschen und eine neue zu erstellen. Erst dann wurde das Gerät wieder ordnungsgemäß dem Administrator gemeldet.
    Die gelbe Warnmeldung ist zu ignorieren.


Anwendung des Skripts
  • Laden Sie das Skript als ZIP-Archiv herunter (siehe Ende des Textes)

  • Vor der Extraktion klicken Sie mit der rechten Maustaste auf das ZIP-Archiv und wählen "Eigenschaften".

  • Klicken Sie dann auf den Button "Zulassen".
    INFO: Hierdurch wird die Internetzonen-Beschränkung aufgehoben und Sie werden beim Ausführen der Datei nicht nochmal auf das evtl. Gefährdungspotenzial von ausführbaren Dateien hingewiesen



  • Extrahieren (!) Sie die beiden Dateien nun in einen beliebigen Ordner

  • Öffnen Sie die Batchdatei "rem_AD_l.cmd" auf dem Exchange-Server (Sie müssen als Administrator angemeldet sein (Exchange Administrator)), alternativ können Sie das Skript auch direkt aus der Exchange Management Shell aufrufen
    (Navigieren Sie hierzu via cd in den entsprechenden Ordner und geben Sie dann ".\rem_AD_l.ps1" ein.)

  • Die Batchdatei prüft wo die Exchange-Installation liegt (C:, D:), öffnet dann die Powershell mit Exchange-Modul und startet dann das eigentliche Skript

  • Befolgen Sie die Bildschirmanweisungen



  • Das Skript habe ich auf meinem Exchange-Server (2010 SP3 UR5) ausgiebig getestet und konnte keine Fehler feststellen. Sollten Sie Fehler feststellen oder Wünsche haben schreiben Sie mir bitte einen Kommentar. Sollten Sie das Skript erfolgreich (oder auch nicht erfolgreich) auf einer neueren Exchange-Umgebung getestet haben, würde ich mich über Feedback via Commentbox freuen.

    Änderungen
    v1.1 (2014-06-07):
    • Anpassung für Verwendung mit MSX2010 SP3

    • FriendlyName in die Auflistung aufgenommen



    aktuelle Downloads



    Download
    -> rem_AD_l_v1.1.zip (Version 1.1) ~ 1,39 KB
    rem_AD_l.zip (Version 1.0) ~ 1,35 KB



    Über den Autor
    Thomas Windscheif arbeitet bei excITe Consulting und ist langjähriger Berater im Bereich IT-Infrastruktur und Groupware. Sowohl Kleinunternehmen z. B. im Handwerk als auch der größere fertigende Mittelstand gehören zu seinem Projektumfeld. Im Wesentlichen gehören die Planung von Infrastruktur-Migrationen, Cloud-Lösungen (Microsoft 365), Groupware-Umgebungen (z. B. Exchange) und deren Umsetzung zu seinen Aufgaben. Insbesondere im Umfeld hybrider Identitätsumgebungen mit Entra Connect und den Möglichkeiten zur Härtung der IT-Landschaft konnte er in vielen Projekten Erfahrungen sammeln. Neues begeistert ihn aber ebenso und so unterstützt Thomas Windscheif auch bei themenfremden IT-Systemen, überall da wo er helfen kann.

    Sein Ziel: Die Mehrwerte der heutigen IT-Lösungen für einfacheres und modernes Arbeiten beim Kunden einbringen.


Login


QuickTag:  

 
Sie haben ein ungelöstes Problem in Ihrer Exchange Server oder Microsoft-Infrastruktur?
Treten Sie gerne mit mir in Kontakt. Sowohl bei einfachen Exchange Installationen, als auch bei hochverfügbaren, lastverteilten Mehrstandort-DAG-Topologien mit Loadbalancern unterstütze ich Sie -auch kurzfristig- sehr gerne.

Nutzen Sie den Live Chat, xing, LinkedIn, das Kontaktformular oder den Mailkontakt

[News als RSS-Feed abonnieren]
News

vom 22.09.2024 - 14:29


- Spontaner Administrationsverlust unter Exchange Online - Und wie man es behebt! -

Zweimal in diesem Jahr hatte ich bei Kunden das Phänonem, dass spontan bestimmte Administrationsrechte unter Exchange Online fehlten, trotz der Rollenmitgliedschaft "Globaler Administrator" bzw. "Exchange Administrator".

Aus ungeklärten Gründen waren verschiedene RBAC-Rechte unter Exchange Online für "Organization Management" spontan verschwunden.

Im folgenden Artikel löse ich das Problem mit Skripten und erläutere das Vorgehen

https://www.microlinc.de/index.php?lev1=25&lev2=41&id=475


Weitere News:

UPDATE - PowerShell Exchange Vererbung Postfachordnerberechtigungen


vom 28.07.2024 17:18


Safe Sender List unter Outlook leeren - Praktische Umsetzung


vom 06.11.2023 18:05


Exchange Online Protection und die Safe Sender List


vom 26.10.2023 15:06


Exchange Online - Abschaltung Remote PowerShell Session (RPS)


vom 25.08.2023 14:37


Tool zum Konvertieren von Agfeo-Adressbüchern nach 3CX


vom 01.05.2023 16:47


Das Ende der Standardauthentifizierung - Wie bereite ich mein Unternehmen vor?


vom 03.08.2022 15:19


Sharepoint-Kalender unter Team freigeben


vom 17.07.2022 17:41


Exchange Update HAFNIUM-Exploit


vom 09.03.2021 09:27


Windows Server 2019 - LDAP out of memory exception


vom 16.09.2019 17:48


3CX V16 Call Control API mit PowerShell Core


vom 25.04.2019 11:41


Exchange Online SMTP TLS Report


vom 15.02.2019 18:04


TLS-Test für SMTP mit PowerShell


vom 10.12.2018 11:47


3CX Secure SIP via DIRECT-STUN mit yealink T46S


vom 08.09.2018 15:35


Exchange 2016 CU10


vom 25.06.2018 15:21


Apple iCloud Addin stört Outlook Kalenderfunktionen


vom 18.10.2017 13:24


.NET 4.7 released - Bitte nicht auf Exchange Servern installieren


vom 13.06.2017 21:52


Troubleshooting Exchange Health Manager Sensoren


vom 16.05.2017 21:06


Exchange 2016 - ActiveSync-Lesebestätigungen können nun unterdrückt werden


vom 09.03.2017 18:28


Exchange - Informationen an Dritte einschränken


vom 20.02.2017 01:53



[alle News auflisten]
Sitemap - Kontakt - Datenschutz & Disclaimer - Impressum