GPO activer log pour troubleshoot

Il est possible d’activer les logs en cas de problème d’application de GPO pour aller un peu plus en profondeur. Pour cela, il est nécessaire d’exécuter ces actions sur le client :

Aller dans le registre à l’emplacement ci dessous

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion

Créer un nouveau répertoire Diagnostics

Créer une clé de registre GPSvcDebugLevel de type DWORD avec pour valeur 0x30002

Faire ensuite un gpupdate /force /target:computer ou gpupdate /force /target:user

Le fichier de log est généré à l’emplacement %windir%\debug\usermode\Gpsvc.log

 

Publicités

Utiliser nslookup

Afin de pouvoir diagnostiquer les problèmes de résolution DNS on doit faire appel à l’utilitaire nslookup

on peut l’utiliser pour la résolution d’un enregistrement de type PTR

nslookup
8.8.8.8

Pour la messagerie

set type=mx
mondomaine.com

Pour les enregistrements KMS

 type=srv_vlmcs._tcp

OAB sous Exchange

Il est possible de forcer la regénération de l’OAB côté serveur exchange via la commande

Get-OfflineAddressBook | Update-OfflineAddressbook

Le répertoire ou il est stocké est à priori le répertoire d’installation dans le dossier ExchangeOAB

Côté outlook, il est possible de retélécharger complètement le carnet d’adresse en suivant la procédure ci dessous

2017-08-24_17h16_35.png

Décocher la case pour avoir un téléchargement complé et non le delta uniquement.

2017-08-24_17h16_54.png

Si jamais à ce stade dans le carnet d’adresse d’outlook certains contacts n’apparaissent pas alors qu’ils sont présent sur OWA on peut fermer outlook, et renommer le répertoire Offline address books situé à l’emplacement :

C:\Users\%username%\AppData\Local\Microsoft\Outlook\

en .old
Relancer ensuite outlook

Exchange délégation

Il est possible de déléguer l’accés à toute une boite aux lettres ou certains éléments.

Ajouter un droit full access

Full acces permet d’avoir un accés complet à la boite comme si on était le propriétaire mais ne permet pas l’envoi de mail.

Add-MailboxPermission -Identity "zabou" -User "david" -AccessRights FullAccess -InheritanceType All

2017-08-24_16h26_24.png

Vérification de l’application du full access

 Get-MailboxPermission  | where {$_.AccessRights -like 'Full*'} | ft -Auto User,Deny,IsInherited,AccessRights

2017-08-24_16h44_49.png

Supprimer des droits full access

Remove-MailboxPermission -Identity "zabou" -User "david" -AccessRights FullAccess -InheritanceType All

2017-08-24_16h30_12.png

Donner un droit reviewer sur les calendriers des mailbox d’une database

get-mailbox -database  | ForEach-Object {set-MailboxFolderPermission "$($_.name):\Calendar" –User default –AccessRights Reviewer}

Autoriser envoyer en tant que

Add-ADPermission -Identity "zabou" -User david -ExtendedRights "Send As"

2017-08-24_16h37_21.png

Vérification de l’autorisation envoyer en tant que

Get-ADPermission -Identity  | where {$_.ExtendedRights -like 'Send*'} | ft -Auto User,Deny,ExtendedRights

2017-08-24_16h48_07.png

Supprimer envoyer en tant que

Remove-ADPermission -Identity "zabou" -User david -ExtendedRights "Send As"

2017-08-24_16h39_12.png

Autoriser envoyer de la part de

Set-Mailbox -Identity zabou -GrantSendOnBehalfTo david

2017-08-24_16h42_18.png

Vérification de l’autorisation envoyer de la part de

Get-Mailbox -Identity  | Fl GrantSendOnBehalfTo

2017-08-24_16h50_01.png

Supprimer envoyer de la part de

Set-Mailbox -Identity zabou -GrantSendOnBehalfTo @{remove="david"}

2017-08-24_17h01_03.png

ATTENTION

Dans le cas de sendonbehalf on vient écraser les autorisations déjà existantes      (set-mailbox). Il est donc nécessaire de renseigner tous les utilisateurs disposants déjà d’une autorisation

Set-Mailbox -Identity zabou -GrantSendOnBehalfTo @{remove="david","user1"}