Rechte auf Postfächer

Eine der wesentlichen Neuerungen bei Exchange 2000/2003 gegenüber Exchange 5.x ist eine verschärfte Berechtigung in der Standardauslieferung. Bei Exchange 5.5 konnte jeder, das Dienstkennwort mit dem Kennwort wusste, auf alle Postfächer zugreifen. Natürlich sollten Sie trotzdem auch hier für Zwecke wie Single Item Backup oder Archivierung etc. ein eigenes Dienstkonto oder besser noch eine Gruppe einrichten.

Verwandte Seiten:

Achtung
Ein "Design Change" erfordert nun, das auch ein Postfachbesitzer zusätzlich explizit das Recht "SendAs" erhält. Betroffen sind folgende Versionen
Exchange Server 2003 SP1: 7233.51 und höher
Exchange Server 2003 SP2: 7650.23 und höher
Exchange 2000 Server SP3: STORE.EXE hotfixes im Feb/März 2006
Siehe auch 912918 Error message when an application tries to send a message as another User by using Exchange Server 2003: "Access denied"

!!! 2h Exchange Cache !!! Änderungen im Active Directory wie SendAs oder FullMailboxAddress müssen erst im AD repliziert werden und dann von Exchange neu eingelesen werden. Per Default puffert Exchange frühere Antworten aber für bis zu 2 Stunden. Dies kann durch den Wert von "Mailbox Cache Age Limit" (siehe KB 326252 Exchange 2000 mailbox size limits are not enforced in a reasonable period of time; fix requires Exchange 2000 SP2" verändert werden.
Exchange 2003: http://support.microsoft.com/kb/326252
Exchange 2007: http://technet.microsoft.com/en-us/library/bb684892.aspx

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\
ParametersSystem\Mailbox Cache Age Limit=REG_DWORD:120

Default ist 120 Minuten = 2h, Restart des IS erforderlich. kleine Werte erzeugen höhere Last

Understanding Mailbox Permissions
http://technet.microsoft.com/en-us/library/bb123879.aspx

Sie können in Exchange über verschiedene Wege Berechtigungen auf Postfächer vergeben. Der Trend geht aber dazu, die Rechte direkt auf dem jeweiligen Postfach anstelle der Datenbank zu geben. Sie vermeiden so Konflikte mit vererbten "DENY", die Berechtigungen greifen auch nach einem Postfachmove und die Vergabe ist feiner vergeben. Zudem ist diese Berechtigung leichter zu dokumentieren (Revision).
Exchange 2007 unterstützt sie Diesbezüglich sehr gut mit dem Commandlet "Add-Mailboxpermission"

Mitarbeiter Selbstverwaltung

Wenn Sie als als Mitarbeiter nur das Recht auf ein bestimmtes Postfach erhalten müssen, dann brauchen Sie weder einen Administrator noch sonst jemand belästigen. Sie müssen einfach den Anwender auffordern, Sie als Stellvertreter einzutragen. Das wie finden Sie auf Stellvertreter mit Outlook.

Sie können je nach Berechtigungen auf die einzelnen Ordner zugreifen. Dies funktioniert mit allen Versionen von Exchange.

Voller Zugriff auf ein Postfach

Wenn Sie jedoch das komplette Postfach nutzen oder bei sich mit einbinden möchten, dann ist tatsächlich der Administrator gefordert. Er muss mit der MMC für Benutzer und Computer beim dem Postfach, auf das zugegriffen wird, ihr Benutzerkonto als berechtigt eintragen. Aktivieren Sie dazu erst die "erweiterte Funktionen" in der MMC

Erst dann können Sie bei den Eigenschaften des Benutzers in der Karteikarte "Exchange - Erweitert" die Postfachberechtigung ausgewählen.

Fügen Sie hier den gewünschten Benutzer hinzu und vergeben Sie ihm das Recht "Vollständiger Postfachzugriff.

  • Q262399 XADM: How to Delegate Mailbox Access in Active Directory
  • 268754 How to Assign Users or Groups Full Access to Other User Mailboxes

Auch diese Einstellungen kann der eigentliche Besitzer des Postfachs nicht sehen oder ändern, sondern sind vom Administrator so vorgegeben. Diese Einstellungen kann jeder Vornehmen, der Administrator über das Benutzerobjekt im Active Directory ist. Allerdings haben Sie damit keinen Zugriff auf den private Key des Postfachs und können ohne weitere Schritte keine signierten Mails versenden.

Zugriff auf alle Postfächer

Nur in Ausnahmefällen sollten Sie darüber nachdenken, einem Konto oder einer Gruppe den vollen Zugriff auf alle Postfächer bzw. spezielle Speichergruppen zu geben. Dies ist in der Regel nur für eine Single Item BackupEXMERGE oder Archivlösungen erforderlich. Aktuelle Virenscanner basieren nicht mehr auf MAPI und benötigen daher das Recht nicht mehr.

Sollten Sie trotzdem diesen Weg wählen, dann starten Sie nun den Exchange System Manager. Wenn wir uns die Standardrechte auf einem Exchange 2003 Postfachspeicher anschauen, dann werden Sie schnell erkennen, dass die Gruppe "Domänen Administatoren" ein vererbtes DENY-Recht hat:

Dies bedeutet, dass so ohne weiteres jemand keine Rechte bekommen kann, der auch in der Gruppe Domänen Administratoren ist. Ich rate so wie so dazu, dass Funktionskonten keine Domänen Administratoren sind. Siehe dazu auch 328753 XADM: Do Not Assign Mailboxes to Administrative Accounts

Nur spezielle Datenbanken, Server, Admingruppen

Ob ein Konto in die Postfächer einer Speichergruppe, eines Servers, einer administrativen Gruppe oder der gesamten Organisation zugreichen kann, hängt nur davon ab, ob dieses Konto die Rechte "Receive As" und "Send As" hat.

Sie können daher mit dem Exchange System Manager das Konto auf dem jeweiligen Objekt hinzufügen und die Rechte vergeben. Solche explizit vergebenen Rechte werden auch durch vererbte DENY-Rechte nicht außer Kraft gesetzt. Dazu müssen Sie einfach die Logik bei der Windows Rechtvergabe verstehen:

Explizit vergebene Zugriffsrechte überschreiben vererbte Berechtigungen. Ein Erlauben auf einem Objekt gewinnt daher gegenüber einem vererbten "Verbot". Allerdings nur auf diesem Objekt.

In diesem Beispiel bedeutet das, dass Sie auf jeder Storage Group diesem Benutzer die Zugriffsrechte geben müssen. Ist daher nicht ausreichend z.B. auf dem Server die Rechte anzupassen da die Verbotsrechte in den Unterobjekte n wieder Vorrang haben.

Dies ist übrigens auch das Prinzip, warum ein Administrator sein eigenes Postfach weiterhin öffnen kann, ob wohl er ja auch Domänen Administrator ist: Er hat einfach explizit die erforderlichen Rechte in seinen Benutzerdaten.

Rechte für Konten in Domänen Administratoren

Das gleiche Prinzip ist auch ein Weg, wenn ein Konto bestimmte Postfachspeicher öffnen muss und Mitglied in Domänen Administratoren ist. Vergeben Sie einfach explizit auf dem Postfachspeicher diesem Konto das Recht. Es ist aber nicht ausreichend, z.B.: auf einem Server oder der Administrativen Gruppe die Rechte zu vergeben, da diese dann ebenfalls "vererbt" werden würden. Und in diesem Fall würde das DENY wieder gewinnen.

Rechte für alle Domänen Administratoren

Um sich die Vielzahl an explizit vergebenen Rechten zu ersparen, können Sie natürlich das Pferd auch umgekehrt aufsatteln und das DENY-Recht selbst entfernen.

Diese Karteikarte sehen Sie erst, wen Sie den Wert "ShowSecurityPage" im ESM aktiviert haben. Siehe auch Exchange System Manager

Auf der Ebene der Organisation wird den Domänen Administratoren das DENY-Recht gesetzt. Es ist sehr einfach an dieser Stelle einfach die Verbote zu entfernen.

Dies bedeutet dann aber, dass ab nun jedes Konto aus der Gruppe "Domänen Administratoren" nun alle Postfächer öffnen könnte. Da die meisten Firmen immer noch aus meiner Sicht zu viele "Domänen Administratoren" haben, ist das aus meiner Sicht kein vernünftiger Weg.

Vererbung deaktivieren ?

Nun finden Sie auf den meisten Bildern auch die Option, die Vererbung der Rechte zu unterbrechen. Dies ist tatsächlich möglich, z.B.: auf einem Server die Vererbung zu unterbrechen. Allerdings müssen Sie dann die folgende Warnung verstehen:

Durch die Unterbrechung der Vererbung fragt das System nach, ob die bisherigen Rechte kopiert oder entfernt werden sollen. Wenn etwas sinnvoll sein kann, dann ist es "kopieren". Danach ist es möglich, auf diesem Objekte die Rechte eigenständig zu verarbeiten. Sie können ab hier dann auch die DENY-Rechte entfernen.

Allerdings ist hiervon ohne Wenn und Aber abzuraten, da die Unterbrechung der Vererbung auch zukünftige Rechteveränderungen auf übergeordneten Objekten nicht mehr wirken lassen. Diese werden aber z.B. durch Installationen weiterer Server immer wieder erfolgen. Siehe dazu auch Exchange 2000 Berechtigungen.

Daher sollten Sie den Weg über explizit vergebene Rechte wählen, um das DENY-Recht der Gruppe "Domänen Administratoren" zu überschreiben oder gleich die Konten nicht Mitglied der Gruppe "Domänen Administratoren" machen.

Vergabe von Rechten über den Assistenten

Exchange bietet ihnen auch die Möglichkeit, die Berechtigungen zur Exchange Administration über einen Assistenten zu vergeben. Hierbei können Sie nur zwischen drei verschiedenen Rechten wählen mit entsprechenden Auswirklungen auf die Postfachrechte.

Exchange Berechtigung Postfachberechtigung

Exchange Administrator - Vollständig

Send As /Receive as ist gesetzt
Verweigern ist ebenfalls explizit gesetzt

Exchange Administrator

Send As /Receive as ist gesetzt
Verweigern ist ebenfalls explizit gesetzt

Exchange Administrator - Nur Ansicht

Send As /Receive as ist NICHT gesetzt
Verweigern ist NICHT gesetzt

Bis auf das "Nur Ansicht" Recht, welches Sie den Personen geben, die z.B.: über die MMC die Benutzer verwalten (und mit der MMC die verfügbaren Datenbanken lesen) haben beide anderen Rechte ein DENY auf den Zugriff.

ändern Sie daher an den administrativen Rechten für Exchange etwas, dann prüfen Sie, ob das DENY nicht eine andere Funktion behindert. Hier könnten Sie aber in den detaillierten Eigenschaften der Berechtigung das DENY wieder entfernen.

Rechte per Script oder Tool setzen

Oftmals sind die globalen Rechte auf dem Informationsspeicher oder die manuelle Vergabe durch den Anwender selbst nicht ausreichend für eine bestimmte Lösung. Wenn Sie z.B.: einer Anwendung (z.B. Telefonzentrale) das Recht geben möchten, alle Terminkalender einzusehen, aber nicht die  sonstigen Postfachinhalte, dann geht dies nicht ohne Mitwirkung der Anwender oder einen Admin, der per Script die Einträge durchführt, die sonst der Anwender tun müsste.

Mailboxrechte und Exchange 2007/2010

Mit Exchange 2007 hat sich wieder einiges geändert. Mit Exchange 2007 kann der Administrator sowohl auf der Speichergruppe als auch auf der einzelnen Mailbox entsprechende Berechtigungen vergeben. Dies erfolgt aber über die PowerShell.

Die Rechte auf eine einzelne Mailbox werden über folgenden Befehl vergeben.

Add-MailboxPermission "Mailbox" -User "Trusted User" -AccessRights FullAccess

Oder wenn man gleich mehrere Postfächer umkonfigurieren will hier ein Beispiel mit einem Filter

Get-Mailbox | where {$_.IsResource -eq "true"} | Get-User | 
  Add-MailboxPermission -User "UseroderGROUP" -AccessRights FullAccess

Die Berechtigungen auf eine Datenbank werden hingegen im Active Directory direkt hinterlegt.

Add-ADPermission -Identity "Mailbox Store" -User "Trusted User" -ExtendedRights Receive-As

Oder wenn Sie dies auf viele Postfachdatenbanken anwenden wollen:

Get-MailboxDatabase | ForEach-Object {Add-ADPermission -Identity $_.DistinguishedName -User SVCUser -ExtendedRights Receive-As}

Die Änderungen werden erst nach einiger Zeit aktiv, da Exchange die Daten im Cache hält. Ein Durchstarten des Informationsspeichers forciert dies.

Mit Exchange 2010 Bordmitteln ist es auch sehr einfach möglich, nicht mehr gültige SIDs zu erkennen und zu löschen. z.B. mit:

get-mailbox -resultsize unlimited |  Get-MailboxPermission | where {$_.User -match "^S-"}| remove-mailboxpermission

Dieser Befehl holt sich erst alle Postfächer um dann die Rechte zu lesen und die Einträge mit einem "S-" am Anfang zu finden und zu entfernen. Natürlich können Sie z.B.: bei GET-Mailbox die Ergebnisliste auch weiter filtern (z.B. nach OU, Server, Datenbank etc.)

Achtung: Wenn Konten aus einer anderen Domain per Trust berechtigt werden und diese Auflösung nicht zuverlässig ist, dann werden diese Konten eventuell auch entfernt. Das Gleiche gilt, wenn Sie wirklich einen Benutzernamen mit einem "S-" als Anfang haben.

Postfachzugriff über Webservices mit "Impersonation"

Mit Exchange 2007 hat sich noch ein weiterer Weg eröffnet. Hier übernehmen die CAS-Server schon die Anmeldung und können ihrerseits über weitere CAS-Server in anderen Standorten Anfragen an dort platzierte Postfachserver absetzen. Damit hier nicht an jeder Stelle ein Anmeldung und Prüfung passiert, können Exchange 2007 Webservices ein "Impersonation" Recht. Damit kann ich einem Konto das Recht geben, quasi als der angegebene Benutzer zu arbeiten, ohne sich explizit mit dessen Anmeldedaten zu authentifizieren. Dieser Weg kann aber nur über die Exchange Webservices genutzt werden. Die Beschreibung dazu finden Sie auf MSXFAQ.DE:EWS.

Weitere Links