Exchange Gruppen
Jede Exchange Version hat ihre eigenen Gruppen mitgebracht um Berechtigungen zu vergeben und Funktionen zu steuern. Exchange 2010 macht da keine Ausnahme und legt eine ganze Menge neuer Gruppen in einer eigenen OU "Microsoft Exchange Security Groups" an. Ganz klassisch zu der Vergabe von Berechtigungen gibt es wieder universelle Gruppen, in denen Personen aufgenommen werden können, die ihrerseits in anderen Gruppen Mitglied sind, die zur Delegierung der Berechtigungen genutzt werden.
Exchange 2000/2003
Hier war die Welt noch einfach. Gerade mal zwei Gruppen wurde im Active Directory für die Delegierung von Berechtigungen angelegt:
OU | Gruppe | Mitglieder |
---|---|---|
cn=Users |
Exchange Domain Servers |
Computerkonten |
cn=Users |
Exchange Enterprise Servers |
Exchange Domain Servers |
Zusätzlich gab es nur die Abstufung von Berechtigungen, die über den Assistent der Exchange Verwaltungskonsole vergeben werden konnten:
- Exchange Full Administrator
- Exchange Administrator
- Exchange View Only Administrator
Bitte verschieben Sie diese Gruppen nicht in andere OUs
- 260914 Domainprep utility does not work if Exchange Enterprise Servers group and Exchange Domain Servers group moved to a new container
Exchange 2007
Mit Exchange 2007 hat sich die Anzahl der Gruppen verändert. Da es keine klassische Administrative Gruppe mehr gibt und die Verwaltung nicht mehr primär über delegierte OU-Berechtigungen und die MMC für Benutzer und Computer geht, wurden die "Exchange Recipient Administrators" addiert.
Die Gruppen liegen alle bis auf eine Ausnahmen in der neuen OU Microsoft Exchange Security Groups in der Root Domain. Es ist mit Exchange 2007 möglich, diese Gruppen in eine andere OU zu verschieben aber mit Hinblick auf Exchange 2010 nicht ratsam
Q: Can I move the default
Exchange security groups to another container or
domain in the forest?
A: They can be moved to different organizational units and also to other domains in the forest.
Moving the groups in the forest is supported
because these groups have two unique properties:
a well-known GUID and a distinguished name that
can change
Quelle: Exchange 2007 Permissions: Frequently
Asked Questions
http://technet.microsoft.com/en-us/library/bb310792.aspx
Nur die Gruppe "Exchange Install Domain Servers" ist in der OU "Microsoft Exchange System Objects" der jeweiligen Domäne
Gruppe | Mitglieder |
---|---|
Exchange Organization Administrators |
Administrator bzw. wer den ersten Exchange 2007 installiert hat |
Exchange Public Folder
Administrators |
Exchange Organization Administrators |
Exchange Recipient Administrators |
Exchange Organization Administrators |
Exchange Servers |
Exchange Install Domain Servers |
Exchange Trusted Subsystem |
<leer> bzw. Memberserver der Domain |
Exchange View-Only Administrators |
Exchange Public Folder
Administrators |
ExchangeLegacyInterop |
<leer> bzw. Exchange 2003/2000 Server |
Exchange Install Domain Servers |
Computerkonten, der Domäne, auf
denen Exchange Installiert werden
soll/ist |
Exchange 2010
Die Gruppen von Exchange 2010 stellen eine Übermenge der Exchange 2007 Gruppen dar. Neben den schon bekannten Gruppen wurden neue Gruppen für die Umsetzung von RBAC eingeführt.
Auch diesen Gruppen liegen in
der Forest Root Domäne in der OU "Microsoft
Exchange Security Groups".
Sie sollten möglichst nicht verschoben werden
http://blogs.dirteam.com/blogs/davestork/archive/2012/02/07/do-not-move-rbac-role-group-out-of-the-exchange-security-group-ou.aspx
Hier ein Bild der Exchange 2010 Standardgruppen einer frischen unveränderten Installation:
Die Gruppen haben ebenso einige vordefinierten Mitglieder, die Sie möglichst nicht ändern sollten. Die Gruppen liegen normalweise alle in der OU "Microsoft Exchange Security Groups" der Root-Domäne
Gruppe | Hinweis | Mitglieder |
---|---|---|
Delegated Setup |
|
<Leer> |
Discovery Management |
|
<Leer> |
Exchange All Hosted Organizations |
|
<Leer> |
Exchange Organization Administrators |
Hinweis1 |
Administrator |
Exchange Public Folder Administrators |
Hinweis1 |
Exchange Organization Administrators |
Exchange Recipient Administrators |
Hinweis1 |
Exchange Organization Administrators |
Exchange Servers |
|
Computerkonto der Exchange Server |
Exchange Trusted Subsystem |
|
Computerkonto der Exchange Server |
Exchange View-Only Administrators |
Hinweis1 |
Exchange Public Folder
Administrators |
Exchange Windows Permissions |
|
Exchange Trusted Subsystem |
ExchangeLegacyInterop |
|
<Leer> |
Help Desk |
|
<Leer> |
Hygiene Management |
|
<Leer> |
Organization Management |
|
Administrator |
Public Folder Management |
|
Exchange Public Folder Administrators |
Recipient Management |
|
Exchange Recipient Administrators |
Records Management |
|
<Leer> |
Server Management |
|
<Leer> |
UM Management |
|
<Leer> |
View-Only Organization Management |
|
Exchange View-Only Administrators |
Exchange Install Domain Servers |
Hinweis2 |
<Leer> |
- Hinweis1
Diese Gruppe ist nur vorhanden, wenn Exchange mit LegacyUnterstützung installiert wurde - Hinweis 2
Diese Gruppe liegt nicht in der Root sondern in "OU=Microsoft Exchange System Objects" der jeweiligen Domäne
Sie sehen aber auch, dass viele Gruppen gar keine Mitglieder haben. So sind z.B. "Helpdesk" und andere einfach für RBAC vorbereitet Gruppen, die schon entsprechende Rollen zugewiesen bekommen haben und sie nur noch die Benutzer dort aufnehmen müssen.
Weitere Links
- RBAC
- Windows Gruppen und Berechtigungen
- Security Group Creation and Membership Role
http://technet.microsoft.com/en-us/library/dd876860.aspx - Exchange 2010 Permissions and Security Groups
http://communified.net/archive/2009/04/20/exchange-2010-permissions-and-security-groups.aspx - Exchange 2010 Permissions and Security Groups
http://www.shudnow.net/2009/04/17/exchange-2010-permissions-and-security-groups/