Delegate - Administrative Berechtigungen delegieren

Achtung:
In Exchange 2010 ist diese Vergabe nicht mehr in der Art erforderlich, da über RBAC die Steuerung mit Rollen erfolgt.

Auf den Seiten über Exchange 2000/2003 Berechtigungen wird schon genauer erklärt, welche Berechtigungen es in Exchange gibt und welche Einstellungen auf Benutzer, Verteiler aber auch Server möglich sind. Diese Seite widmet sich explizit der Fragestellung, wie in einer Firma die Berechtigungen zur Verwaltung von Empfängern delegiert werden können.

Wenn man die Exchange Anleitungen liest, dann muss jedes Konto, welches Exchange Empfänger verwalten möchte, folgende vier Voraussetzungen erfüllen:

  • äNDERN auf der der OU mit den Benutzerobjekten
  • LESEN auf die Exchange Organisation
  • Administrator über Server
  • Exchange Administrator über Server

Da ist so auch richtig, wenn Sie die Exchange Bordmittel (MMC) zur Verwaltung nutzen, obwohl diese weitreichenden Rechte einem IT-Leiter schon den Schweiß auf die Stirn treiben können. müssen wirklich alle "Operatoren" die komplette Exchange Organisation sehen und warum benötigen diese administrative Berechtigungen auf den Exchange Servern ?

Details zu den Rechten

Es wird Zeit, sich die Berechtigungen etwas genauer anzuschauen, warum eine Empfänger-Administrator diese benötigt und welche Alternativen es gibt, wenn Sie diese Berechtigungen nicht vergeben wollen. Leider sind alle Alternativen nicht Bestandteil von Exchange sondern über Drittprodukte nachzurüsten

Recht auf Warum ? Alternative

Empfängerobjekt

Damit der Operator Inhalte wie "mail, proxyaddresses, HomeMTA, HomeMDB, msExchangeHomeServer" etc. schreiben kann

Umsetzung als Client/Server Lösung, so dass der Operator nur etwas in "Auftrag" gibt und ein anderer Prozess anstelle des Benutzers die Berechtigungen hat.
z.B. mit Produkten wie ActiveRoles (www.quest.com), Group Management Portal(http://www.securitay.com/) und anderen.

READ auf der Organisation

Die MMC benötigt dieses Recht, um dem Operator z.B. eine Liste der verfügbaren Datenbanken anzuzeigen oder die Liste der Exchange Server zu erhalten

Wenn es allein um die Verwaltung der Benutzer geht, könne eine eigene Anwendung diese Informationen aus einer Konfigurationsdatei erhalten. Man kann nämlich einen Benutzer mit wenigen Ausnahmen allein über die Eigenschaften des Active Directory Objekts verwalten.

Serveradmin

Die MMC möchte bei der Vergabe von Mailadressen deren Plausibilität prüfen und bedient sich dazu der Exchange Systemaufsicht, welche lokal über entsprechende "Address Generation DLLs" verfügt und die Eindeutigkeit der Adressen feststellt.
Gerade der Zugriff auf den MSExchangeSA per RPC über das LAN ist seit Windows 2003 SP1 per Default geblockt.

Wenn ihre Anwendung selbst per LDAP-Suche die Eindeutigkeit sicherstellt und die Adressen auch selbst "korrekt" erstellen kann, dann spricht nichts dagegen, diese Werte auch selbst zu schreiben.
Die Prüfung der Adressen über den MSExchangeSA kann delegiert werden.

Exchange Server Admin

Dieses Rechte erlauben es dem Operator die Exchange Einstellungen des Servers (z.B. Message Tracking etc.) zu verwalten

Meist wird dieses Recht nicht delegiert, wenn andere Hilfsmittel die benötigten Betriebsdaten bereitstellen.

Musterdelegierung

Diese Seite kann kein Ersatz für ein individuelles Berechtigungskonzept sein aber eine Musterkonfiguration möchte ich doch beschreiben. Es geht darum, wie eine Gruppe von Operatoren bei Exchange 2003 die Empfänger in bestimmten OUs verwalten kann ohne gleich Domain Admin oder Exchange Admin zu sein.

Bei Exchange 2007 gibt es bereits eine Gruppe "Exchange Recipient Operators", die weitgehend die gleiche Funktion bereit stellt.

Achtung:
Wer auf einem Benutzer die Exchange Felder HomeMTA, HomeMDB und msExchHomeServername schreiben und ändern kann, ist für das Postfach verantwortlich. Falsche Einträge oder Änderungen der Datenbank ohne "Move" geben dem Benutzer ein leeres Postfach und dem Serveradmin eine disconnected Mailbox. Der Exchange Server Administrator kann nicht verhindern, dass der Admin über die OU die Postfächer auf "falschen" Datenbanken anlegt.
Auch das ist ein Grund für eine Provisioninglösung, damit der OU-Admin keine Rechte im Active Directory haben muss.

 Im Detail werden folgende Rechte vergeben:

Anlegen einer Gruppe "Exchange 2003 Operatoren"

Diese Gruppe wird zur Delegierung der Berechtigungen genutzt, so dass allein die Mitgliedschaft in dieser Gruppe schon die Funktion bereitstellt. Achten Sie darauf, dass diese Gruppe nicht in einer OU liegt, in der später nicht Administratoren berechtigt werden. Sonst könnten sich Operatoren vielleicht selbst mehr Rechte geben. Insofern sollten administrative Gruppen immer getrennt von normalen Verteilen und Berechtigungsgruppen gehalten werden und auch anhand einer Namenskonvention direkt zu erkennen sein.

Gruppe anlegen

Die Gruppe selbst muss KEINE Exchangefunktion haben, d.h. nicht zugleich als Verteiler agieren. Achten Sie darauf, dass Sie zumindest in Umfeldern mit mehreren Domains eine universelle Gruppe anlegen, da sonst Berechtigungen auf der Exchange Organisation eventuell nicht sauber aufgelöst werden.

Berechtigungen auf der OU

Über den Assistenten der MMC für Benutzer und Computer wird die Gruppe "Exchange 2003 Operatoren" auf die OUs der Empfänger berechtigt. Hier habe ich der Gruppe die vollständige Verwaltung für Benutzer und Gruppen in der OU "Anwender" übertragen.

Sie können damit natürlich schon mehr Aufgaben übernehmen als "nur" Exchange Eigenschaften pflegen. Eine Feinere Vergabe ist aber auch mit dem Assistent möglich. Nach dem Abschluss dokumentiert der Assistent die Änderungen . Sie sind gut beraten diese Änderungen über die Zwischenablage anderswo dauerhaft zu dokumentieren:

Sie haben gewählt, dass im folgenden
Active Directory-Ordner die Objektverwaltung
zugewiesen werden soll:

msxfaq.local/Anwender

Folgenden Gruppen, Benutzern oder Computern haben
Sie die Objektverwaltung zugewiesen:

Exchange 2003 Operatoren (MSXFAQ\Exchange 2003 Operatoren)

Sie haben gewählt, folgende Tasks zuzuweisen:

Erstellt, entfernt und verwaltet Benutzerkonten
Erstellt, löscht und verwaltet Gruppen

Die aktiven Einstellungen können Sie auch in der Karteikarte Sicherheit - Erweitere Einstellungen wiederfinden:

View only auf die Exchange Organisation

In diesem Beispiel sehe ich es nicht als Risiko an, wenn die "Exchange 2003 Operatoren" das View-Only"-Recht auf die Exchange Organisation haben. Dies ist über die Exchange 2003 MMC einfach einzustellen.

Auch hier erstellt der Assistent eine Zusammenfassung, die sie in ihre Dokumentation übernehmen sollten.

Die Gruppen oder Benutzer, denen Sie die Kontrolle zugewiesen haben, sind:
MSXFAQ\Exchange 2003 Operatoren wurde die Funktion Exchange-Administrator - Nur Ansicht gewährt.

Die Gruppen oder Benutzer, deren Funktion Sie geändert haben, sind:

Die Gruppen oder Benutzer, deren Funktion Sie entfernt haben, sind:

Optional Speichergruppen verbieten

Wenn man verhindern möchte, dass bestimmte Speichergruppen von den "Exchange 2003 Operatoren" benutzt werden können Sie diese Speichergruppe vor der Gruppe und deren Mitgliedern über ein "DENY" verbergen. die Gruppe ist :über das "View only"-Recht auf der Organisation schon in der Liste, so dass Sie hier nur noch über ein Deny den Zugriff blockieren müssen. Allerdings sollten in der Gruppe dann auch nicht ihr normales Exchange Administratorkonto sein, da ansonsten auch hier das DENY einen Zugriff verhindert.

Die Operatoren können dann diese Speichergruppe nicht "sehen" und daher Sie auch nicht als Ziel für neue Postfächer oder beim Verschieben von Postfächern nutzen. Allerdings könnt er, da er ja das Feld "HomeMDB" beschreiben kann, doch ein Postfach in diesen Datenbanken anlegen, wenn der DN bekannt ist. Den kann man sich einfach per GC-Suche von bestehenden Postfächern ableiten. Insofern ist der Schutz fraglich.

MSExchangeSA-Berechtigungen

Mit Windows 2003 SP1 wurde die Sicherheit von RPC weiter erhöht. Vorher war es "authentifizierten Benutzern" möglich, RPC-Anfragen an Server zu stellen. Das ist seit dem SP1 nicht mehr möglich, so dass auch normale Aufrufe von Benutzern in der Gruppe "Exchange 2003 Operatoren" nicht funktionieren. Um dies zu lösen müssen diese Berechtigungen angepasst werden:

Variante 1: direktes Setzen des SDDL

Seit Windows 2003 ist der Befehl "SC.EXE" per Default installiert und kann genutzt, werden um den SDDL anzuzeigen

Vergleichen wir einfach die beiden SDDLs des aktuellen Systems und der Vorschlags aus KB905809

  • Alt
    D:(A;;CC;;;AU)
    (A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)
  • Neu
    D:(A;;CCLCRPRC;;;AU)
    (A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)

Man erkennt dass nur der erste Eintrag erweitert wird, so dass "AU"  (Authenticated Users) auch die Rechte LC = ListContent, RP = Read all Properties und RC = Read permissions zusätzlich gibt. Die Bedeutung der Buchstaben ist auf http://blogs.technet.com/askds/archive/2008/04/18/the-security-descriptor-definition-language-of-love-part-2.aspx sehr gut dargelegt.

Der neue Wert wird mit folgender Einstellung geschrieben:

sc sdset SCMANAGER D:(A;;CCLCRPRC;;;AU)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)

Allerdings ist dieser Weg nur für wenige Server sinnvoll zu nutzen. Zudem muss man diese Einstellungen auch beim Einsatz des Security Configuration Wizard beachten, da hier eventuell INF-Dateien als Sicherheitseinstellungen herangezogen werden und die Rechte zurücksetzen

Variante 2: Gruppenrichtlinien.

Über Gruppenrichtlinien können die Berechtigungen ebenfalls durchgesetzt werden. Hier ist die Default Domain Policy oder eine neue Richtlinie geeignet, die auf die Exchange Server angewendet wird. Allerdings müssen Sie die Richtlinie zwingend auf einem Exchange Server verwalten, damit die "Microsoft Exchange Systemaufsicht" auch in der Liste erscheint.

Hier ist dann unter den Systemdiensten die "Microsoft Exchange-Systemaufsicht" anzuwählen und die Startart auf "Automatisch" zu stellen. Über den Button "Sicherheit" sollte dann die Gruppe addiert werden. Als Berechtigung reicht "Lesen und Schreiben". Allerdings kann es einige Zeit dauern, bis die Einstellungen aktiv sind. Zudem muss man die Startart zusammen mit den Rechten festlegen. Auf Servern, auf den dieser Dienst nicht vorhanden ist, wird natürlich das Recht auch nicht gesetzt. Achten Sie darauf, dass keine andere Richtlinie wieder gegensätzliche Einstellungen durchführt. 

Zusammenfassung

Mit diesen Schritten kann nun jeder Benutzer, der Mitglied von "Exchange 2003 Operatoren" ist, die Empfänger der jeweiligen OUs verwalten, Postfächer anlegen, ändern und auch löschen. Von hier ist es nur ein kleiner Schritt, das Konzept anzupassen, damit verschiedene Gruppen verschiedene OUs verwalten dürfen. Theoretisch könnten Sie die Berechtigungen bis auf einzelne Felder herab brechen, so dass "Exchange 2003 Operatoren" wirklich nur die Exchange Attribute pflegen können.

Erst Exchange 2007 trägt dieser feineren Vergabe von Berechtigungen schon Rechnung, indem die Exchange Properties über Gruppen zusammengefasst und berechtigt werden.

Offen

Ich habe einige der Einstellungen auch in meiner Umgebung prüfen können. Aber wenn Sie entsprechende Einstellungen gemacht haben, dann würden mich ihre Erfahrungen und die aufgetretenen Probleme interessieren. So konnte ich bislang nicht 100% verifizieren, dass der Weg für die Gruppenrichtlinie und einer Gruppe funktioniert.

Weitere Links