Öffentliche Ordner - Berechtigungen

Öffentliche Ordner können wichtige Daten enthalten und neben der Verteilung auf mehrere Server über Replikation muss auch der Zugriff gesteuert werden. Dazu können Sie jedem einzelnen öffentlichen Ordner explizit Berechtigungen vergeben:

Bei Exchange 5.5. nutze ich dabei nicht die NT-Domäne direkt, sondern das Exchange Verzeichnis. Insofern kann ich in meinem Standort jemandem aus einem anderen Standort Rechte geben. Wenn diese auf meinem Server kommen kann (NT-Trusts, Namensauflösung) kann der Anwender tatsächlich auch die Informationen erhalten. Interessant wird die Geschichte, wenn der Ordner zwischen Servern und Standorten repliziert ist. Dann kann ich quasi als Administrator auf meinem Server Rechte vergeben, die ebenfalls auf alle anderen Server repliziert werden. Exchange Verteiler basieren quasi als Gruppen um Rechte zu vergeben. Zum Glück hat jeder Ordner einen "Homeserver" und dieser Server ist maßgeblich. Ich kann als Administrator hier einstellen, dass nur auf diesem Homeserver der Ordner verwaltet werden darf. Aber ich kann es auch freigeben.

Mit  Exchange 2000 ist das alles zusammengewachsen, da es kein eigenes Exchange Verzeichnis mehr gibt. Wichtig bei Rechten ist, dass diese vergleichbar zu NTFS funktionieren, d.h. wenn ich auf einem darüber liegenden Ordner keine Rechte habe, dann komme ich schwer in den Ordner darunter überhaupt heran. Vererbung passiert im Moment des Anlegens. Ein neuer Ordner ererbt ALLE Einstellungen des darüber liegenden Ordnern inkl. Replikation, Speicherlimits etc. Spätere Änderungen werden nicht nachgeführt, aber ich kann als Administrator die Rechte untergeordneter Ordner "ersetzen". Bedenken Sie das bei ihrer Planung. Mit PFADMIN (Siehe Exchange Tools und Hilfsprogramme) kann dies auch per Skript erfolgen.

  • Erreichbarkeit aus dem Internet
    Damit Mails aus dem Internet an Ordner zugestellt werden können, müssen Sie den Benutzer "ANONYM" zumindest das Recht zum erstellen von Elementen in diesem Ordner geben. Wenn der Absender aber eine Adresse nutzt, die es in ihrer Exchange Organisation gibt, dann ist dieser Absender nicht mehr Anonym! (Kleine unstimmigkeit bei der Sicherheitszuordnung :-). Geben Sie daher auch Standard die Rechte. Achtung mit Formularen. Ein Ordner, der nur bestimmte Formulare zulässt und keine Standardformulare, kann ebenso nicht mehr per SMTP erreicht werden.
  • Sichtbar
    Weiterhin ist das Recht "Ordner sichtbar" je Ordner getrennt von allen anderen Rechten einzustellen. Was jemand nicht sicht, versucht er gar nicht erst. Dies geht bei NTFS so noch nicht.
  • Basisordner
    Zudem gibt es losgelöst hiervon noch das Recht, Ordner auf der obersten Ebene (Basisordner) anzulegen. Umgekehrt kann ich einem Anwender oder einer Gruppe Rechte verweigern, z.B. Um keine öffentlichen Ordner anzulegen.

Entgegen der landläufigen Meinung, dass bei Exchange 5.5. das Verzeichnis DIR.EDB und bei Exchange 2000 das Active Directory alle Konfigurationsdaten enthält, ist dies bei den öffentlichen Ordnern nicht der Fall. Es gibt vielmehr einen besonderen unsichtbaren Ordner mit dem Namen "1-1", in dem es für jeden Ordner ein Objekt mit diesen Informationen gibt. Hier stehen nicht nur die Rechte drin, sondern auch die Replikate etc. Dieser Ordner wird per Default auch auch alle Server in der gesamten Organisation repliziert. (Siehe auch Hierarchie).

Öffentliche Ordnern Rechte

Die Rechte der öffentlichen Ordner sind allerdings auf den ersten Blick etwas schwerer zu verstehen, da die entsprechende Karteikarte im Exchange System Manager alleine drei Buttons anbietet, und es genau genommen noch weitere Stellen gibt. Aber eines nach dem andern.

Clientrechte

Wenn Sie auf den Button "Clientberechtigungen" drücken, erhalten Sie die folgende Auswahl. Das Fenster können Sie auch über Outlook erhalten. Diese Rechte sind im Store auf den Ordner vergeben. Und bestimmen, welche Anwender die Inhalte dieses Ordners nutzen können. Sie stehen NICHT im Active Directory, sondern sind in der Datenbank (z.B. PUB1.EDB/STM) hinterlegt.

Hier gibt es neben individuellen Rechten für Benutzer und Verteiler auch zwei Standardobjekte, die entsprechend konfiguriert werden können. Diese beiden Objekte werden wie folgt genutzt:

  • Standard
    Dieses Recht gilt für alle "bekannten" Benutzer. bekannt sind für Exchange nur die Benutzer, die im Active Directory als Exchange enabled gekennzeichnet sind. Dieser Eintrag ist daher vergleichbar zu "Domänen-Benutzer" in einem Dateisystem. Allerdings gibt es je nach Exchange Version ein kleines Problem. Exchange sucht den Absender anhand der SMTP-Adresse. Damit dies korrekt greift, müssen Sie Nachrichten aus dem Internet mit internen Absenderadressen verhindern.
  • Anonym
    Hiermit sind alle Absenderadressen gemeint, die nicht durch Exchange aufgelöst werden können. Faktische eben die ganze Welt AUSSER ihre internen Anwender. Sie sollten Anonym per Default das Recht "KEINE" geben. Das ist bei Exchange 2003 auch Standard, aber frühere Versionen haben Anonym zumindest das Recht "erstellen" gegeben, damit Mails auch angekommen sind. Kontrollieren Sie daher die Berechtigungen besonders bei Migrationen.

Nachrichten von Absendern an Ordner, die nicht berechtigt sind, werden mit einer unzustellbarkeit beantwortet. Besonders bei der Menge an Spam und Virennachrichten sollten Sie sich überlegen, ob vor Exchange nicht besser ein System steht, welches unerwünschte Empfängeradressen gleich blockiert. Dies reduziert den Datenverkehr und die Menge an unzustellbarkeitsnachrichten.

E2K "rechnet" diese MAPI-Rechte allerdings in ACLs um. Und dies ist oft das Problem, wenn öffentliche Ordner nicht oder nur teilweise sichtbar sind. Der Exchange Store muss dazu nämlich zu jedem "MAPI-Benutzer" und Verteiler dessen Exchange Distinguised Name (dn) nehmen und im Active Directory einen passenden Benutzer oder Sicherheitsgruppe finden. Ist dies nicht möglich, dann zeigt Outlook und der Exchange System Manager zwar die MAPI-Rechte an, aber der Zugriff ist nur den "Besitzern" des Ordners möglich.

Die umgerechneten ACLs kann man einsehen, wenn Sie mit gedrückter CTRL-Taste auf die Clientrechte klicken. Dann sehen sie die "echten" Rechte, die Exchange 2000 nutzt und damit en Zugriff der Anwender regelt.

  • Q233531 XADM: Exchange 2000 Server Information Store uses Windows 2000 ACLs

Allerdings muss hierzu eine klare Warnung ausgesprochen werden und jedem Exchange Administrator bekannt sein. Das ist auf jeden Fall besser als darauf zu vertrauen, dass Administratoren schon die Ctrl-Taste nicht finden werden:

Caution:
Although you can view the Windows 2000 version of the default Public Folders hierarchy permissions, do not attempt to edit the permissions in this view. The Windows User interface that is used to display the permissions will format the ACL in such a way that Exchange will no longer be able to convert the permissions to their MAPI form. If this happens, you will no longer be able to use Outlook or the regular Exchange System Manager dialog boxes to edit the permissions.

Dies sind auch in gewisser Maße die Rechte, die sie mit dem Windows Explorer beim Zugriff über das Laufwerk M: sehen. (siehe WebstorageSystem)

Verzeichnisrechte

Alle Ordner, die eine Mailadresse haben, haben ein korrespondierendes Objekt im Active Directory. Dies ist notwendig, da nur so die Information der über die Ordner auch im Globalen Katalog (GC) hinterlegt wird und das Exchange 2000 Routing Nachrichten entsprechend weiter leiten kann. Ordner, die nicht "Mail-enabled" sind, haben keinen Eintrag im Active Directory.

Den Ordnereintrag können Sie mit der Management Konsole "Benutzer und Computer" in der erweiterten Ansicht anzeigen und bearbeiten. Diese Rechte sind daher weder für den Zugriff auf den Ordner noch die Konfigurationseinstellungen des Ordners direkt verantwortlich, sondern für den Zugriff auf das Verzeichnisobjekt.

Sieh sehen hier rechts die Ordner. Zur Information: In einer gemischten Umgebung mit Exchange 5.5 sind alle Ordner immer "Mail-enabled". Die Objekte tauchen im Active Directory aber erst auf, wenn eine entsprechende Verbindungsvereinbarung für den Active Directory Connector eingerichtet wurde. Ohne diese Konfiguration sind die Ordner nicht per Mail erreichbar, wenn die Mail einen Exchange 2000 Server durchlaufen muss. (Siehe  Active Directory Connector Grundlagen)

Administrator Rechte

Zuletzt gibt es noch Rechte auf die Exchange Eigenschaften des Ordners. Das sind weitere Rechte, die im Store hinterlegt sind, und quasi die Rechte zur Verwaltung der Ordner bestimmen. Sie können auf Ordner nicht nur für Anwender Rechte auf den Inhalt geben, sondern im Exchange Systemmanager können pro Ordner auch Einstellungen wie Verfallszeiten, Replikation, Größenbeschränkung etc. eingestellt werden

Diese Informationen liegen in einem verborgenen Ordner im Exchange Store Namens "1-1". In diesem speziellen Ordner, welcher immer auf alle Server in der Organisation repliziert ist, gibt es für jeden Ordner einen Eintrag, auf dem all diese Daten stehen.

Auch der Exchange System Manager liest aus diesem versteckten Ordner die Struktur der öffentlichen Ordner aus.  Die Karteikarte bietet ihnen z.B.: folgende Ansicht:

Besonders interessant sind diese Berechtigungen, wenn Sie administrative Funktionen delegieren wollen. Zum einen ist die Struktur der öffentlichen Ordner natürlich in einer administrativen Gruppe aufgehängt. Jeder der öffentliche Ordner verwalten will, muss daher in dieser Administrativen Gruppe zumindest ein "Leserecht" erhalten, um die Struktur im Exchange System Manager überhaupt zu zu sehen. Der Exchange System Manager sichert dies automatisch, sobald Sie einem Anwender Rechte über eine Administrative Gruppe mittels dem Delegationsassistenten geben. Dieser Assistent sorgt dann nicht nur dafür, dass die ACLs der gewünschten Administrativen Gruppe angepasst werden, sondern auch, dass auf der Organisation zumindest das Recht zu "Lesen" eingetragen und entsprechend vererbt wird.

Nun kann es aber sein, dass Sie genau dies durch eigene ACLs verändert haben, z.B.: dass ein Administrator einer Administrativen Gruppe nicht automatisch alle anderen administrativen Gruppen sieht. Dies ist durchaus möglich. Auf der anderen Seit kann es ja nicht sein, dass ein Administrator, der Chef über die Administrative Gruppe mit den öffentlichen Ordnern ist, alle Ordner der gesamten Organisation ohne Rücksprache mit anderen Administratoren auf beliebige Server replizieren kann. (Hier unterstelle ich einem Administrator gar nicht mal Bosheit. Programme wie PFMigrate aber auch der Exchange System Manager machen es sehr einfach, sich mal zu "irren". Seit Exchange 2003 SP2 gibt es ja extra eine Option die Replikation auf der kompletten Organisation einzufrieren. Aber wie lässt sich das dann besser kontrollieren ?

Am Beispiel "wer darf was wohin replizieren", möchte ich die administrativen Berechtigungen der Ordner etwas ausführlicher darstellen: Nehmen Sie eine Organisation mit mehreren Administrativen Gruppen auf denen Sie als Benutzer immer nur "READ" haben und damit alles sehen aber nichts ändern dürfen. Welche Berechtigungen kann ich nun geben, um öffentlichen Ordner zu replizieren ? Das Recht "Modify public folder replicat List" gibt es gleich an mehreren Stellen:

In diesem Bild habe ich die öffentliche Ordner Struktur in eine eigene Administrative Gruppe verschoben. Da stellt sich natürlich die Frage der Vererbung, d.h. in welcher Hierarchie dieses Recht vergeben wird. Ich habe dazu einfach einen nicht privilegierten Benutzer angelegt und ihm einfach das Recht "Modify Public Folder replica list" auf den verschiedenen Stellen gegeben und dann geschaut, welche Rechte sich wie und wo auswirken.

  • Organisation
    Zuallererst können Sie ganz oben auf der Organisation Berechtigungen auf öffentliche Ordner eintragen, die sich natürlich überall hin vererben, sofern die Vererbung nicht blockiert ist.
  • Administrativen Gruppe
    Auch auf der Administrativen Gruppe können Sie Berechtigungen im Bezug auf öffentliche Ordner eintragen. Diese vererben sich über die Server auf den Public Folder Speicher. Interessant ist, dass das Recht nicht in der Administrativen Gruppe "PF" und nicht auf "öffentliche Ordner" vergeben wurde aber z.B. auf "Outlook Security Settings" gesetzt war. Ob es daran liegt, dass dieser Ordner ein Replikat in der Datenbank auf dem Server SRV01 hat ?
  • Server
    Auch auf dem Server selbst als übergeordnetes Objekte können Sie diese Einstellungen vornehmen. Da aber ein Server sowieso nur genau einen MAPI-Public Folder Speicher betreiben kann, ist es eher unwahrscheinlich, dass das Ergebnis von einer Einstellung auf dem Informationsspeicher selbst abweicht. Es sei denn Sie haben noch "NON-MAPI-Ordner oder arbeiten mit DENY. (ein vererbtes DENY gewinnt über ein vererbtes ALLOW)
    Hier vergeben Berechtigungen wurde auf den Public Folder Store vererbt aber nicht in übergeordneten Objekten eingetragen. Interessanterweise wurde das Recht auch nicht mehr im Ordner selbst eingetragen
  • Server: Public Folder Informationsspeicher
    Die öffentlichen Ordner werden in einer Datenbank gespeichert, deren Inhalte die auf verschiedene Servern repliziert werden könne. Bei jedem Server gibt es demnach einen Informationsspeicher für öffentliche Ordner. Und auch dort gibt es eine Einstellung für Berechtigungen.
  • Public Folder Wurzel
    Auch auf der obersten Ebene der öffentlichen Order gibt es eine Einstellung zur Sicherheit. Ein hier vergebenes Recht wird aber NICHT auf die Ordner vererbt.
  • Ordner
    Auf dem einzelnen Ordner gibt es natürlich dieses Recht. Wenn ich hier das Rechte habe, dann bedeutet dies, dass ich die Replikate dieses Ordners bearbeiten darf. Aber natürlich darf ich nicht jeden Server dazu fügen.
    Diese Berechtigung ist in der Public Folder Datenbank selbst gespeichert. Änderungen auf einem Ordner werden nicht auf unterordner angewendet. Selbst bei der Neuanlage eines Ordner ererbt dieser nicht die Einstellungen des übergeordneten Ordners oder gar des Stammordner.

Die Vererbung als Tabelle (Immer nur bezogen auf "Modify Public Folder replica list" !!:

  Organisation Server-AG1 PF-AG2 Server Store PF Hierarchie Ordner
Unterordner

1

ALLOW

Erbt

Erbt

Erbt

Erbt

Erbt

Erbt
Erbt

2

-

ALLOW

NEIN

Erbt

Erbt

NICHT

Erbt
Erbt

3

-

 

ALLOW

NICHT

NICHT

Erbt

NICHT
NICHT

4

-

-

-

ALLOW

Erbt

NICHT

NICHT
NICHT

5

-

-

-

-

ALLOW

NICHT

NICHT

NICHT

6

-

-

-

-

-

ALLOW

NICHT
NICHT

7

-

-

-

-

-

-

ALLOW
NICHT

So richtig kann ich aus der Tabelle mir noch keinen Reim machen. Die meisten Vererbungen kann ich mir wohl erklären. Aber folgende Fragen sind noch offen:

  • Sonderstellung der Public Folder Hierarchie
    Dieser Punkt ist ja im Active Directory eigentlich nur eine Art "Mountpount", damit Exchange weiß, welche Server einen Public Folder Store haben. Darauf kann man auch Rechte vergeben aber im Hinblick auf "Replica List" ist dieses ACL nicht maßgeblich. Allerdings muss ein Administrator bei der Installation eines neuen Servers natürlich hier diesen neuen Store eintragen können. Insofern hat die ACL hierfür eine Funktion. Seltsam nur, dass die Option überhaupt angezeigt wird. An anderen Stellen wird die Liste der möglichen Berechtigungen reduziert.
  • Zum anderen zeigt die Zeile 2 ein Verhalten, bei dem ein Recht auf eine andere Administrative Gruppe zwar nicht auf die Public Folder Hierarchie aber doch auf einzelne Ordner vererbt wird, was aber nicht mehr in der Zeile 4 der Fall ist, bei dem das gleiche Recht auf den Server vergeben wird.
  • Administrative Rechte in Ordnern
    Ich kann zwar Administrative Rechte per ESM dann "durchdrücken", aber bei der Neuanlage eines Ordner werden Berechtigungen von der Organisation als Vorlage genutzt. Es ist weder die Administrative Gruppe noch die Berechtigung der TopLevel Hierarchie.

All diese Beschreibungen beziehen sich auf einen einzelnen Server. Auf die Besonderheiten von replizierten Ordnern gehe ich nicht weiter ein.

Es scheint mir aber so, dass die Berechtigungen auf einzelnen Ordnern auch an den Replikaten hängen, auf denen der Ordner liegt. Umgekehrt kann ich z.B. einen Server anscheinend nun dann in die Replikatliste aufnehmen, wenn ich das Recht auf dem Zielstore habe.

Diese Berechtigungslogik lässt sich auch auf die anderen möglichen Berechtigungen anwenden, z.B.:

  • Create Public Folder
  • Create Top Level Public Folder
  • Public Folder Quota administrieren.

Und nicht vergessen werden darf dabei auch die Funktion über ein "DENY" bestimmte Funktionen zu sperren. So hat z.B. JEDER und sogar ANONYMOUS das Recht "Create Public Folder", was er demnach ausüben kann, wenn er einen Ordner erreichen kann. Mit einem einfachen DENY an der richtigen Stelle auf die richtige Gruppe könnten Sie damit sogar ihre Ordnerstruktur "einfrieren". Aber Achten Sie darauf, dass Sie nur die Benutzer damit aussperren und nicht auch gleich den Administrator oder die Exchange Server. Eine Anwendung auf "Domänen Benutzer" ist keine gute Idee. Vielleicht haben Sie ja eine Gruppe "Mitarbeiter", in der wirklich nur die Mitarbeiter und keine Dienstkonten enthalten sind.

Rechte und IMAP4

öffentliche Order von Exchange können nicht nur über das Protokoll NNTP, sondern auch über IMAP4 gelesen werden. Hier offenbart Exchange eine kleine Lücke derart, dass Benutzer beim Zugriff mittels IMAP4 immer die komplette Ordnerstruktur sehen können, selbst wenn diese Ordner für die Anwender nicht erreichbar oder in Outlook nicht "sichtbar" sind. Über diesen Weg kann ein neugieriger Benutzer natürlich allein über die Ordnernamen schon Rückschlüsse auf eine Firmenstruktur oder vielleicht auch Projekte und Codenamen erhalten. Bedenken Sie dies bei der Wahl der Ordnernamen.

Viel gravierender ist aber, dass diese Sichtbarkeit auch zu einem Sicherheitsproblem führen kann, wenn Sie bei der Vergabe der Berechtigungen nicht sauber arbeiten. So könnte folgende Situation entstehen.

ROOT
ROOT/Vorstand  (Gruppe Vorstand: Autor, EVERYONE: none/invisible)
ROOT/Vorstand/Gehalt/ Everyone:READ

Abhängig vom eingesetzten Client ergeben sich nun als Benutzer, der nicht in der Gruppe "Vorstand" enthalten ist, folgende Ergebnisse:

  • Outlook
    Der Order "Vorstand" ist nicht sichtbar. Damit ist der Zugriff auf den unterordner "Vorstand/Gehalt" für normale Benutzer nicht möglich, selbst wenn diese wir im Beispiel darauf entsprechende Berechtigungen haben.
  • OWA
    Der Order "Vorstand" ist nicht sichtbar. Damit ist der Zugriff auf den unterordner "Vorstand/Gehalt" für den Benutzer nicht möglich. Allerdings kann der Benutzer sehr wohl auf den Ordner "Vorstand/Gehalt" zugreifen, wenn er die URL für diesen Ordner erraten kann. Dies ist in Anbetracht der einfachen URLs von OWA nicht schwer. Ein Zugriff auf http://Exchangeserver/public/Vorstand/Gehalt dürfte hier funktionieren. Exchange verhält sich dabei korrekt, da der Benutzer ja die erforderlichen Rechte vorweisen kann.
  • IMAP4
    Der Zugriff auf öffentliche Ordner per IMAP4 ist nur auf Ordner möglich, auf die Sie auch berechtigt sind. Allerdings können Sie per IMAP4 immer die komplette Ordnerstruktur sehen, d.h. auch wenn ein Ordner unter Outlook oder OWA nicht sichtbar ist, ist per IMAP4 die Struktur einsehbar. Damit ist dann auch sehr einfach ein Zugriff auf Ordner zu erhalten, die nicht korrekt mit Berechtigungen versehen sind.

"Security by Obscurity" ist demnach wieder einmal kein ausreichender Schutz für sensible Daten.

Dies gilt insbesondere, wenn es dem Anwender möglich ist, die URL des Ordners relativ einfach zu erhalten. Dies kann z.B.: einfach beim Blick auf den Bildschirm eines berechtigten Anwenders geschehen oder vielleicht ein Link in einer Mail oder dem Intranet oder auch eine Volltextsuche in einem Indexsystem wie Sharepoint Portal Server.

Für die Vergabe von Rechten ist es daher essentiell wichtig, dass die Rechte nicht nur auf einer Stelle der Struktur quasi unterbrochen werden, sondern tatsächlich auf jedem einzelnen Objekt genau die Rechte gesetzt sind, die erforderlich sind.

Dies gilt analog auch für Dateisysteme und um so mehr, wenn z.B.: eine Suchmaschine wie der Sharepoint Portal Server eingesetzt wird. Hier entscheidet Sharepoint letztlich nur anhand der Berechtigungen am Objekt selbst, ob der Suchtreffer dem Anwender angezeigt wird.

Gruppen in Gruppen

Ein weiterer Aspekt sollten Sie noch berücksichtigen, wenn Sie Berechtigungen auf Ordner geben: Es hat sich als "gute Praxis" heraus gestellt, dass Berechtigungen möglichst nur über Gruppen zu vergeben sind. (Siehe auch Datenhaltung). Allerdings ist es nun seit dem Active Directory möglich, auch Gruppen in Gruppen aufzunehmen und hierbei können Sie in eine kleine Falle laufen:

Exchange nutzt prinzipiell nur die Gruppen, die auch "Exchange Enabled" sind. Alle anderen Gruppen (Local, Domäne oder universal) interessieren Exchange genauso wenig, wie einfache Verteiler. Erst mit den Exchange Eigenschaften werden diese Gruppen auch in Outlook sichtbar. Dann jedoch werden in Outlook sowohl Exchange aktivierte Sicherheitsgruppen (Verteiler mit SID) als auch Exchange aktivierte Verteiler (ohne SID) sichtbar. Dabei kann nun folgender Fall auftreten:

Der Anwender "User1" ist in der linken Sicherheitsgruppe. Für Exchange ist dies quasi ein Verteiler mit SID. Der Benutzer "User1" kann problemlos auf den öffentlichen Ordner "Ordner 1" zugreifen.

Der User2 ist nun aber nicht Mitglied von Gruppe 1, sondern Mitglied von Gruppe 2, die ihrerseits Mitglied von Gruppe 1 ist.

Die meisten Administratoren erwarten nun, dass auch User2 problemlos auf Ordner 1 zugreifen kann. Dem ist aber nicht so, da Exchange nur die Gruppen für die Evaluierung der Rechte heranziehen kann, die auch eine SID besitzen.

Die ist übrigens auch bei einem Dateiserver so.

Spannen wir den Bogen nun etwas weiter.

In diesem Schritt wird nun die Gruppe 2 einfach in einem anderen öffentlichen Ordner als "berechtigt" hinzugefügt. Dies ist erst mal kein Problem, das auch die "Gruppe 2" im Outlook Adressbuch auftaucht und ausgewählt werden kann.

Wird nun diese Einstellung in Outlook gespeichert, so steht der Exchange Server vor dem Problem, dass er die Berechtigungen im Informationsspeicher an der SID des Objekts festmachen will. Ein Verteiler hat aber keine SID. In diesem Fall wird nun der Exchange Informationsspeicher im Active Directory aus dem Verteiler eine Sicherheitsgruppe machen. Diese Umwandlung geschieht im Hintergrund und vollkommen transparent für Sie.

Der Nebeneffekt ist aber nun, dass diese Gruppe nun eine SID besitzt und damit auch von Exchange für alle anderen Berechtigungen berücksichtigt wird.

Möchte also der "User 2" auf die Inhalte des "Ordner 1" zugreifen, so funktioniert dies nun auch, da Exchange nun die komplette Kette bis zum "User 2" nach verfolgen kann.

Als Ergebnis sollten Sie hieraus mitnehmen, dass Exchange für die Berechtigung auf öffentliche Ordner immer mit Exchange aktivierten Sicherheitsgruppen arbeiten muss. Ideal sind hierzu universelle Gruppen, damit die Mitgliedschaften auch über Domänen hinweg im gesamten Forest aufgelöst werden können. Wenn Sie daher nicht alle Verteiler in Sicherheitsgruppen konvertieren, dann wird Exchange dies für Sie tun. Allerdings konvertiert Exchange immer nur die direkt auf einen Ordner berechtigten Gruppen. Verkettete Gruppen konvertiert Exchange nicht. für die Zuverlässigkeit und korrekte Funktion der Berechtigungen auf öffentlichen Ordner sollten Sie daher alle Verteiler zu Sicherheitsgruppen machen oder komplett auf die Verschachtelung von Gruppen verzichten.

Noch ein paar Worte zu öffentlichen Ordnern

Es ist ein fundamentaler Unterschied, wo man Rechte setzt.

  • Option1: Man KANN jemandem das Recht nehmen, auf dem obersten Level weitere Ordner anzulegen. Siehe auch "Q256131 XADM: Restricting Users from Creating Top-Level Folders in Exchange 2000 Server".
  • Option2: Sie können aber auch per ACL auf dem Objekt "Public Folder" im Active Directory das Rechte verweigern. Dann kann der Benutzer aber überhaupt keine Unterordner mehr anlegen, selbst wenn er Besitzer eines Ordners ist.

Bis Exchange 2000 war es möglich, durch eine Installation eines weiteren Servers in der Organisation, eben diese Default-Rechte wieder einzustellen. Was hier als Reparatur hilfreich sein kann, stört natürlich im laufenden Betrieb,  wenn Sie nach jeder Installation erst wieder ihre gewünschten Berechtigungen erneut eintragen müssen. Seit Exchange 2003 werden die Berechtigungen daher nicht mehr korrigiert. So sehen z.B.: die Rechte auf dem "Public Folder" aus, wenn Sie im Exchange System Manager sich auf dem Objekt "öffentliche Ordner" die Eigenschaften anzeigen lassen.

Real sehen Sie dabei die Information aus dem Active Directory von folgendem Objekt:

Die Organisation und der Standort heißt natürlich von Installation zu Installation anders. In Exchange 2007 ist diese Einstellung auch per ADSIEDIT zu erreichen. Wenn Sie sich dann die Berechtigungen  von "Public Folders" anschauen, dann finden Sie auch hier die Einstellungen, wer Ordner und Basisordner anlegen darf.

Selbst wenn jemand also in der Ordner Struktur so gar "Besitzer" eines Ordners ist und damit Unterordner anlegen könnte, kann hier ein Verbot diese Funktion global aushebeln.

Public Folder Rechte mit Exchange 2007/2010

Siehe dazu die Seiten

Weitere Links