» Home » Admin und Betrieb » Abfragebasierte Verteiler

Abfragebasierte Verteiler - Querybased distribution Groups

Normalerweise sind Verteiler im Active Directory eher statischer Natur. Sie legen eine Gruppe an und pflegen die Liste der Mitglieder. Nun erlaubt das Active Directory ja die Eingabe von sehr umfangreiche Daten zu Benutzern und Verteilern. So können bei Benutzern auch die Abteilung, Ort, Straße, Telefonnummer und andere Daten abgelegt werden.

In Exchange können ja basierend auf diesen Informationen auch entsprechende Adressbücher und Empfängerrichtlinien angelegt werden. Die abfragebasierten Verteiler erlauben die Nutzung dieser Informationen über die Steuerung von Mitgliedschaften.

Einschränkungen

So schön praktisch die dynamisch ermittelten Verteiler sind, so sollten Sie dennoch die Probleme und damit verbundenen Grenzen kennen.

• Exchange 2003 Native und Windows 200x DCs
  Das erste Problem könnte sein, dass die abfragebasierten Verteiler nur in einer Umgebung verfügbar sein, in der die Domaincontroller Windows 2000 sind und auch alle Exchange Server mit Version 2003 installiert sind. Ohne diese Voraussetzung können sie keine solchen Verteiler anlegen.
• Keine SID
  Zudem ist es wirklich nur eine "Verteilergruppe". Diese Gruppe hat keine SID und kann daher weder für Berechtigungen auf Dateisystemen aber auch nicht für öffentlichen Ordner verwendet werden.
• Revision ?
  Durch die Dynamik der Mitgliedschaft ergeben sich andere Probleme. So ist es nicht mehr einfach nachzuvollziehen, wer zu welchen Zeitpunkt Mitglied der Gruppe war und wer nicht. Ohne ein Auditing fällt es dann schon mal schwer, eine Mail zu verfolgen.

Wenn Sie also wirklich abfragebasierte Gruppen benötigen, dann kann ein Script wie Querybased Groups, welches alle paar Stunden gestartet wird, eine sehr viel bessere Lösung sein.

Pflege im Active Directory

Angelegt und verwaltet werden die Verteiler wieder mit der MMC für Benutzer und Computer. Sofern ihre MMC aktuell genug ist (Windows 2003 und Exchange 2003 Verwaltungsprogramme) und die Domäne schon die Windows 2003 Betriebsart hat, können Sie diese Gruppen anlegen.

Das erste Fenster erfordert die Eingabe des Gruppennamens

Im nächsten Fenster müssen Sie dann die LDAP Filterkriterien angeben. Sie können entweder einfach die verschiedenen Exchange Empfängerarten angeben oder den Filter genauer über die bekannte Eingabemaske spezifizieren:

Beachten Sie in der Suchmaske aber den Fokus der Suche. In der Abbildung wird die OU "Groups" genutzt und nicht die gesamte Domäne oder der globale Katalog. Nach der Eingabe wird ihnen der LDAP-Filter noch einmal zur Kontrolle angezeigt:

Beenden Sie den Assistenten mit "Fertigstellen", damit die Gruppe im Active Directory angelegt wird. Nun müssen Sie natürlich noch etwas warten, bis folgende Schritte durchlaufen wurden:

• AD Replikation
  Die Änderung erfolgt auf einem DC. Eventuell müssen die Daten erst auf andere DCs repliziert werden
• RUS
  Der Exchange RUS überwacht einen DC und erkennt das neue Objekt. Nun kann er anhand der Empfängerrichtlinien die korrekte Mailadresse ermitteln und zuweisen
• AD Replikation
  Auch diese Änderungen müssen wieder auf alle DCs repliziert werden
• Offline Adressbuch
  Gerade die Outlook 2003 mit Cached Mode nutzen das Offline Adressbuch. Diese muss von Exchange natürlich erst aktualisiert werden. (Siehe Exchange Offline Adressbuch anlegen)
• Clientcache/Download
  Das neue Adressbuch muss von Outlook erst herunter geladen werden.
• Server Cache
  Auch der Exchange Server "puffert" LDAP-Anfragen zwischen. Es kann also sein, dass einige Minuten vergehen, ehe die neue Verteilerliste auch wirklich im Adressbuch sichtbar wird.

Erst dann können Sie die neue Gruppe gefahrlos nutzen. Bedenken Sie aber immer, das die Liste der Mitglieder immer dynamisch ermittelt wird, wenn eine Mail an diese Gruppe gesendet wird.

Eigenschaften der Gruppe

Die Gruppe unterscheidet sich in der MMC sowohl im Aussehen als auch in den Eigenschaften von normalen Verteilern und Sicherheitsgruppen:

Auf der Karteikarte "Allgemein" können Sie auch nachträglich noch den LDAP-Filter anpassen:

Wie jeder anderen Gruppe können Sie auf Exchange Allgemein die Grenzen und Beschränkungen pflegen:

Nachdem der RUS durchgelaufen ist, sollte ihre Gruppe auch eine SMTP-Adresse haben. Wenn Sie sicherstellen wollen, dass diese Gruppe nicht aus dem Internet erreichbar ist, dann können Sie die Mailadresse hier verändern, so dass Sie nicht mehr gültig ist. Vergessen Sie aber nicht unten die Anwendung der Richtlinien zu entfernen, damit später der RUS die Einstellungen nicht vielleicht "korrigiert"

Auf "Exchange - Erweitert" können Sie die Gruppe im Adressbuch verbergen und weitere Attribute und Einstellungen vornehmen:

Die Vorschau zeigt ihnen alle Objekte, die aktuell durch den LDAP-Filter in der Gruppe als Mitglieder erscheinen. Beachten Sie aber, dass die Mitglieder NICHT in den Attributen "Members" des Gruppe auftauchen. Dieses Attribut ist bei einer Abfragebasierten Gruppe nicht gefüllt (Siehe auch Windows Gruppen und Berechtigungen)

Damit ist die Einrichtung der Gruppe abgeschlossen.

Ansicht im Adressbuch

Nach der Einrichtung sehen Sie die Verteilergruppe mit einem eigenen Icon in ihrem Adressbuch.

Wenn Sie den Outlook 2003 Cached Mode verwenden, dann müssen Sie etwas warten, bis der Server das Adressbuch neu generiert hat (Exchange Offline Adressbuch anlegen) und Outlook dies herunter geladen hat.

Nutzung per OWA

Angeblich waren die Abfragebasierten Verteiler früher in Exchange 2003 nicht über OWA zu finden. Das kann ich zumindest für Exchange 2003 SP2 nicht bestätigen. Hier kann ich problemlos auch diese Gruppen suchen:

Weitere Links

• Querybased Security Groups
  VBScript um Sicherheitsgruppen per LDAP-Filter zu füllen und zu managen
• Windows Gruppen und Berechtigungen
• CheckGRP
• 843587 How to stop automatic conversion of universal distribution groups to universal security groups in Exchange 2000 and in Exchange 2003
• Kerberos Ticketsize und Gruppen
  Warum viele Gruppenmitgliedschaften Probleme machen

Keywords:

Verteiler Gruppen QBDG QBSG

Impressum und Datenschutzerklärung. Anmerkungen, Anregungen oder Fragen siehe "Kontakt". Alle Angaben ohne Gewähr! Namen und Produktbezeichnungen können Eigentum der jeweiligen Hersteller sein. (c) 2000-heute Frank Carius, Jede weitere Veröffentlichung nur mit meinem vorherigen Einverständnis.

• NOTFALL
• Grundlagen
• Konzepte
• Signieren und Verschlüsseln
• Verfügbarkeit
• Admin und Betrieb
  • Active Directory
  • 100 Admin Fehler
  • Ex5.5 auf Win2000
  • Service Pack
  • Backup und Restore
  • Benutzermanagement
  • LDAP-Felder
  • DS/IS Konsistenzanpassung
  • Datenbank Recover
  • Recovery Storage Group
  • ESM Installieren
  • Benutzermanagement
  • Nachrichtentracking
  • Monitoring
  • Systemaufsicht
  • Badmail
  • Diagnoseprotokoll
  • Verschieben, Umbenennen, Umbauen
  • Move Server Wizard
  • Native AG in Mixed Org
  • Limit 2000/2003
  • Limit 2007/2010
  • Adressbücher und GAL
  • GAL
  • Berechtigungen
  • Mailboxrechte
  • Senden als
  • Delegate Admin
  • ManagedBy
  • Datenbankgrundlagen
  • Defrag
  • Neuer Benutzer
  • Benutzer löschen
  • Offline Adressbuch Generierung
  • SystemAufsicht (SA)
  • Dumpster
  • Journal
  • Abfragebasierte Verteiler
  • Dokumentation
  • Leistungstest
  • Mailbox Manager
  • Event 9646
  • Disabled Account
  • Duplicate MessageID
  • Ungelesen gelöscht
  • Forensik
  • PowerShell4Admin
  • Authenticode
  • UserPrincipalName
  • WinRM
  • ADPhoto
  • Exchangegruppen
  • Wunschzettel
• Ex 2000/2003
• Ex 2007/2010
• Ex 2013
• Unified Communication
• Lync/UC
• Mobile Clients
• Clients
• Connectoren
• Internet
• Spam und UCE
• Migration/Koexistenz
• Office 365
• Tools
• How-To
• Programmieren
• Produkte
• Events
• Buch
• Verschiedenes
• Ideen
• Sonstiges
• Net at Work
• Newsletter
• Archiv
• English pages