Abfragebasierte Verteiler - Querybased distribution Groups

Normalerweise sind Verteiler im Active Directory eher statischer Natur. Sie legen eine Gruppe an und pflegen die Liste der Mitglieder. Nun erlaubt das Active Directory ja die Eingabe von sehr umfangreiche Daten zu Benutzern und Verteilern. So können bei Benutzern auch die Abteilung, Ort, Straße, Telefonnummer und andere Daten abgelegt werden.

In Exchange können ja basierend auf diesen Informationen auch entsprechende Adressbücher und Empfängerrichtlinien angelegt werden. Die abfragebasierten Verteiler erlauben die Nutzung dieser Informationen über die Steuerung von Mitgliedschaften.

Achtung:
Diese "Gruppen" werden nicht durch ADSync zu Exchange Online repliziert und sind dort nicht nutzbar.

Einschränkungen

So schön praktisch die dynamisch ermittelten Verteiler sind, so sollten Sie dennoch die Probleme und damit verbundenen Grenzen können.

  • Exchange 2003 Native und Windows 200x DCs
    Das erste Problem könnte sein, dass die abfragebasierten Verteiler nur in einer Umgebung verfügbar sein, in der die Domaincontroller Windows 2000 sind und auch alle Exchange Server mit Version 2003 installiert sind. Ohne diese Voraussetzung können sie keine solchen Verteiler anlegen.
  • Keine SID
    Zudem ist es wirklich nur eine "Verteilergruppe". Diese Gruppe hat keine SID und kann daher weder für Berechtigungen auf Dateisystemen aber auch nicht für öffentlichen Ordner verwendet werden.
  • Revision ?
    Durch die Dynamik der Mitgliedschaft ergeben sich andere Probleme. So ist es nicht mehr einfach nachzuvollziehen, wer zu welchen Zeitpunkt Mitglied der Gruppe war und wer nicht. Ohne ein Auditing fällt es dann schon mal schwer, eine Mail zu verfolgen.
  • Scope
    Achtung: Eine Dynamische Verteilerliste hat auch einen "Scope" ab dem sie sucht. das die per Default anscheinend immer die OU, in der die Gruppe selbst angelegt wird. Es kann also sein, dass Benutzer in anderen OU-Strukturen nicht damit erreicht werden. In dem Fall sollten Sie das Property "recipientcontainer" auf die Root der Domäne festlegen.
  • Exchange Online
    Standardmäßig schließen QBDG nur "Mailboxen" ein aber keine "Remote Mailbox der Benutzer in der Cloud. Sie müssen halt dran denken vorab die Definition zu erweitern.

Wenn Sie also wirklich abfragebasierte Gruppen benötigen, dann kann ein Script wie Querybased Groups, welches alle paar Stunden gestartet wird, eine sehr viel bessere Lösung sein.

Pflege im Active Directory

Angelegt und verwaltet werden die Verteiler wieder mit der MMC für Benutzer und Computer. Sofern ihre MMC aktuell genug ist (Windows 2003 und Exchange 2003 Verwaltungsprogramme) und die Domäne schon die Windows 2003 Betriebsart hat, können Sie diese Gruppen anlegen.

Das erste Fenster erfordert die Eingabe des Gruppennamens

Im nächsten Fenster müssen Sie dann die LDAP Filterkriterien angeben. Sie können entweder einfach die verschiedenen Exchange Empfängerarten angeben oder den Filter genauer über die bekannte Eingabemaske spezifizieren:

Beachten Sie in der Suchmaske aber den Fokus der Suche. In der Abbildung wird die OU "Groups" genutzt und nicht die gesamte Domäne oder der globale Katalog. Nach der Eingabe wird ihnen der LDAP-Filter noch einmal zur Kontrolle angezeigt:

Beenden Sie den Assistenten mit "Fertigstellen", damit die Gruppe im Active Directory angelegt wird. Nun müssen Sie natürlich noch etwas warten, bis folgende Schritte durchlaufen wurden:

  • AD Replikation
    Die Änderung erfolgt auf einem DC. Eventuell müssen die Daten erst auf andere DCs repliziert werden
  • RUS
    Der Exchange RUS überwacht einen DC und erkennt das neue Objekt. Nun kann er anhand der Empfängerrichtlinien die korrekte Mailadresse ermitteln und zuweisen
  • AD Replikation
    Auch diese Änderungen müssen wieder auf alle DCs repliziert werden
  • Offline Adressbuch
    Gerade die Outlook 2003 mit Cached Mode nutzen das Offline Adressbuch. Diese muss von Exchange natürlich erst aktualisiert werden. (Siehe Exchange Offline Adressbuch anlegen)
  • Clientcache/Download
    Das neue Adressbuch muss von Outlook erst herunter geladen werden.
  • Server Cache
    Auch der Exchange Server "puffert" LDAP-Anfragen zwischen. Es kann also sein, dass einige Minuten vergehen, ehe die neue Verteilerliste auch wirklich im Adressbuch sichtbar wird.

Erst dann können Sie die neue Gruppe gefahrlos nutzen. Bedenken Sie aber immer, das die Liste der Mitglieder immer dynamisch ermittelt wird, wenn eine Mail an diese Gruppe gesendet wird.

Eigenschaften der Gruppe

Die Gruppe unterscheidet sich in der MMC sowohl im Aussehen als auch in den Eigenschaften von normalen Verteilern und Sicherheitsgruppen:

Auf der Karteikarte "Allgemein" können Sie auch nachträglich noch den LDAP-Filter anpassen:

Wie jeder anderen Gruppe können Sie auf Exchange Allgemein die Grenzen und Beschränkungen pflegen:

Nachdem der RUS durchgelaufen ist, sollte ihre Gruppe auch eine SMTP-Adresse haben. Wenn Sie sicherstellen wollen, dass diese Gruppe nicht aus dem Internet erreichbar ist, dann können Sie die Mailadresse hier verändern, so dass Sie nicht mehr gültig ist. Vergessen Sie aber nicht unten die Anwendung der Richtlinien zu entfernen, damit später der RUS die Einstellungen nicht vielleicht "korrigiert"

Auf "Exchange - Erweitert" können Sie die Gruppe im Adressbuch verbergen und weitere Attribute und Einstellungen vornehmen:

Die Vorschau zeigt ihnen alle Objekte, die aktuell durch den LDAP-Filter in der Gruppe als Mitglieder erscheinen. Beachten Sie aber, dass die Mitglieder NICHT in den Attributen "Members" des Gruppe auftauchen. Dieses Attribut ist bei einer Abfragebasierten Gruppe nicht gefüllt (Siehe auch Windows Gruppen und Berechtigungen)

Damit ist die Einrichtung der Gruppe abgeschlossen.

Ansicht im Adressbuch

Nach der Einrichtung sehen Sie die Verteilergruppe mit einem eigenen Icon in ihrem Adressbuch.

Wenn Sie den Outlook 2003 Cached Mode verwenden, dann müssen Sie etwas warten, bis der Server das Adressbuch neu generiert hat (Exchange Offline Adressbuch anlegen) und Outlook dies herunter geladen hat.

Nutzung per OWA

Angeblich waren die Abfragebasierten Verteiler früher in Exchange 2003 nicht über OWA zu finden. Das kann ich zumindest für Exchange 2003 SP2 nicht bestätigen. Hier kann ich problemlos auch diese Gruppen suchen:

Weitere Links