Exchange 2007 Berechtigungen

Mit Exchange 2007 hat Microsoft natürlich wieder alles auf den Kopf gestellt. Besonders die Berechtigungen sind grundlegend verändert worden. Bei Exchange 2000/2003 konnten Sie mit den Exchange System Manager Berechtigungen auf die Organisation und administrative Gruppe delegieren. Teilweise konnten Sie sogar Rechte auf Server und einzelne Datenbanken eintragen. Die Berechtigungen für die Anwender selbst wurden anhand der OU des Benutzerobjekts abgeleitet.

Exchange 2007 kennt aber offiziell keine administrativen Gruppen mehr, bzw. es gibt nach der Deinstallation des letzten Exchange 2000/2003 Servers keine weitere administrative Gruppe mehr. Auch die Routingggruppen sind entfallen, so dass letztlich nur die Server mit ihren Datenbanken und die Empfänger übrig bleiben.

Exchange System Gruppen

Die Administration kann aber dennoch delegiert werden und wird über entsprechende Sicherheitsgruppen realisiert. Sie sollten diesem Beispiel natürlich folgen und nicht einzelnen Benutzern spezifische Rechte erteilen. Siehe auch Windows Gruppen und Berechtigungen und Adminkonzept.

Der erste "Domainprep" für Exchange 2007 legt einige Sicherheitsgruppen in einer eigenen OU (Domainname\Microsoft Exchange Security Groups) an. Diese sehen Sie nur in der erweiterten Ansicht der MMC für Benutzer und Computer:

Wie schon bei Exchange 2000/2003 sollten Sie diese Gruppen nicht in andere OUs verschieben.

Die Gruppen haben folgende Bedeutung:

  • Exchange Organization Administrators
    Mitglieder: Administrator
    Diese Gruppe kennzeichnet die Personen, die Administrator über die Exchange Organisation sind. Hier ist normalerweise nur der "Administrator" Mitglied. Sie können über diese Gruppe auch anderen Personen das Recht auf die Organisation geben
  • Exchange Recipient Administrators
    Mitglieder: Exchange Organization Administrators
    Mit Mitglieder dieser Gruppe haben das Recht, auf allen Exchange Empfängern in der Organisation die Exchange spezifischen Eigenschaften zu pflegen.
  • Exchange Server Administrators
    Mitglieder: E2007 Server Computerkonten
    Mitglieder: Microsoft Exchange Security Objects
    Die Mitglieder dieser Gruppe sind Administrator über die Exchange Server, d.h. können auf den Servern z.B. Postfachspeicher etc. anlegen.
  • Exchange View-Only Administrators
    Mitglieder: Exchange Recipient Administrators
    Diese Gruppe erlaubt den Mitgliedern die Anzeige der Exchange Konfiguration. Sie ist daher z.B. für all jede Personen interessant, die Exchange Empfänger verwalten dürfen und z.B. die verfügbaren Datenbanken finden müssen.
  • ExchangeLegacyInterop
    Mitglieder: Exchange 2003 Server
    In dieser Gruppe sind z.B. alle Exchange 2000/2003 Server enthalten. Sie wird z.B. genutzt, dass diese "alten" Exchange Versionen eine Verbindung zum SMTP-Receive-Connector aufbauen dürfen.

Hinzu kommt eine weitere Gruppe, welches aber in der OU "Domain\Microsoft Exchange Security Objects"liegt

  • Exchange Install Domain Servers
    Mitglieder: compatible Windows 2003 DCs
    Diese Gruppe enthält alle DCs, die bei der Installation von Exchange genutzt werden sollen. Diese Gruppe enthält zumindest bei mir nur den Exchange 2007 Server, wohl es noch weitere DCs gibt, die durchaus den Mindestanforderungen gerecht werden.

 

 

 

Seite muss noch weiter geschrieben werden

Rechte auf Postfächer

Eine wichtige und sicher oft nachgefragte Funktion ist der Zugriff auf "alle" Postfächer einer Datenbank.  Dies war in Exchange 5.5 dem Administrator by Default möglich. Bei Exchange 2000/2003 mussten hingegen explizit Rechte vergeben werden, da die Gruppe der Domänen-Administatoren sogar ein "DENY"-Recht auf den Inhalt hatten. Bei Exchange 2007 ist es ähnlich, nur dass die Berechtigungen hier per PowerShell zu setzen sind

Add-ADPermission -Identity "DBName" -user "Username" -ExtendedRights Receive-As

Dieser Einzeiler erreicht, dass der user "Username" die Berechtigungen auf die Datenbank "DBName" erhält, um darin dann alle Inhalte einzusehen. Dies ist z.B. für Archivprogramme, Blackberry-Server o.ä. erforderlich, bei denen ein Dienstkonto auf alle Postfächer zugreift. Diese Funktion ist auch für meine Tools Feiertage, MBReport etc. erforderlich.

Weitere Links