Exchange Gruppen

Jede Exchange Version hat ihre eigenen Gruppen mitgebracht um Berechtigungen zu vergeben und Funktionen zu steuern. Exchange 2010 macht da keine Ausnahme und legt eine ganze Menge neuer Gruppen in einer eigenen OU "Microsoft Exchange Security Groups" an. Ganz klassisch zu der Vergabe von Berechtigungen gibt es wieder universelle Gruppen, in denen Personen aufgenommen werden können, die ihrerseits in anderen Gruppen Mitglied sind, die zur Delegierung der Berechtigungen genutzt werden.

Exchange 2000/2003

Hier war die Welt noch einfach. Gerade mal zwei Gruppen wurde im Active Directory für die Delegierung von Berechtigungen angelegt:

OU Gruppe Mitglieder

cn=Users

Exchange Domain Servers

Computerkonten

cn=Users

Exchange Enterprise Servers

Exchange Domain Servers

Zusätzlich gab es nur die Abstufung von Berechtigungen, die über den Assistent der Exchange Verwaltungskonsole vergeben werden konnten:

  • Exchange Full Administrator
  • Exchange Administrator
  • Exchange View Only Administrator

Bitte  verschieben Sie diese Gruppen nicht in andere OUs

  • 260914 Domainprep utility does not work if Exchange Enterprise Servers group and Exchange Domain Servers group moved to a new container

Exchange 2007

Mit Exchange 2007 hat sich die Anzahl der Gruppen verändert. Da es keine klassische Administrative Gruppe mehr gibt und die Verwaltung nicht mehr primär über delegierte OU-Berechtigungen und die MMC für Benutzer und Computer geht, wurden die "Exchange Recipient Administrators" addiert.

Die Gruppen liegen alle bis auf eine Ausnahmen in der neuen OU Microsoft Exchange Security Groups in der Root Domain. Es ist mit Exchange 2007 möglich, diese Gruppen in eine andere OU zu verschieben aber mit Hinblick auf Exchange 2010 nicht ratsam

Q: Can I move the default Exchange security groups to another container or domain in the forest? 
A: They can be moved to different organizational units and also to other domains in the forest. Moving the groups in the forest is supported because these groups have two unique properties: a well-known GUID and a distinguished name that can change

Quelle: Exchange 2007 Permissions: Frequently Asked Questions http://technet.microsoft.com/en-us/library/bb310792.aspx

 Nur die Gruppe "Exchange Install Domain Servers" ist in der OU "Microsoft Exchange System Objects" der jeweiligen Domäne

Gruppe Mitglieder

Exchange Organization Administrators

Administrator bzw. wer den ersten Exchange 2007 installiert hat

Exchange Public Folder Administrators
(Seit Exchange 2007 Service Pack 1)

Exchange Organization Administrators

Exchange Recipient Administrators

Exchange Organization Administrators

Exchange Servers

Exchange Install Domain Servers
Compterkonten mit Exchange

Exchange Trusted Subsystem

<leer> bzw. Memberserver der Domain

Exchange View-Only Administrators

Exchange Public Folder Administrators
Exchange Recipient Administrators

ExchangeLegacyInterop

<leer> bzw. Exchange 2003/2000 Server

Exchange Install Domain Servers

Computerkonten, der Domäne, auf denen Exchange Installiert werden soll/ist
Sonderfall: Liegt in der OU ""Microsoft Exchange System Objects" der jeweiligen Domäne

Exchange 2010

Die Gruppen von Exchange 2010 stellen eine Übermenge der Exchange 2007 Gruppen dar. Neben den schon bekannten Gruppen wurden neue Gruppen für die Umsetzung von RBAC eingeführt.

Auch diesen Gruppen liegen in der Forest Root Domäne in der OU "Microsoft Exchange Security Groups".
Sie sollten möglichst nicht verschoben werden
http://blogs.dirteam.com/blogs/davestork/archive/2012/02/07/do-not-move-rbac-role-group-out-of-the-exchange-security-group-ou.aspx

Hier ein Bild der Exchange 2010 Standardgruppen einer frischen unveränderten Installation:

Die Gruppen haben ebenso einige vordefinierten Mitglieder, die Sie möglichst nicht ändern sollten. Die Gruppen liegen normalweise alle in der OU "Microsoft Exchange Security Groups" der Root-Domäne

Gruppe Hinweis Mitglieder

Delegated Setup

 

<Leer>

Discovery Management

 

<Leer>

Exchange All Hosted Organizations

 

<Leer>

Exchange Organization Administrators

Hinweis1

Administrator

Exchange Public Folder Administrators

Hinweis1

Exchange Organization Administrators

Exchange Recipient Administrators

Hinweis1

Exchange Organization Administrators

Exchange Servers

 

Computerkonto der Exchange Server
Exchange Install Domain Servers

Exchange Trusted Subsystem

 

Computerkonto der Exchange Server

Exchange View-Only Administrators

Hinweis1

Exchange Public Folder Administrators
Exchange Recipient Administrators

Exchange Windows Permissions

 

Exchange Trusted Subsystem

ExchangeLegacyInterop

 

<Leer>

Help Desk

 

<Leer>

Hygiene Management

 

<Leer>

Organization Management

 

Administrator
Exchange Organization Administrators

Public Folder Management

 

Exchange Public Folder Administrators

Recipient Management

 

Exchange Recipient Administrators

Records Management

 

<Leer>

Server Management

 

<Leer>

UM Management

 

<Leer>

View-Only Organization Management

 

Exchange View-Only Administrators

Exchange Install Domain Servers

Hinweis2

<Leer>

  1. Hinweis1
    Diese Gruppe ist nur vorhanden, wenn Exchange mit LegacyUnterstützung installiert wurde
  2. Hinweis 2
    Diese Gruppe liegt nicht in der Root sondern in "OU=Microsoft Exchange System Objects" der jeweiligen Domäne

Sie sehen aber auch, dass viele Gruppen gar keine Mitglieder haben. So sind z.B. "Helpdesk" und andere einfach für RBAC vorbereitet Gruppen, die schon entsprechende Rollen zugewiesen bekommen haben und sie nur noch die Benutzer dort aufnehmen müssen.

Weitere Links