Verteiler und Gruppen

Ich habe zwar auf Windows Gruppen und Berechtigungen schon einiges über Gruppen im Windows Umfeld beschrieben, aber dort liegt der Schwerpunkt auf den Active Directory Gruppen selbst. Eben jede Gruppen im Active Directory können auch auch von Exchange genutzt werden, wenn der Administrator diese entsprechend vorbereitet hat.

Windows Gruppen und Exchange Verteiler

Wer im Active Directory schon einmal Gruppen angelegt hat, wird schon erkannt haben, dass es nicht nur "eine "Gruppe gibt, sondern derer viele: Das sind aber nur die Windows Gruppen ohne Aussage, ob diese etwas mit Exchange zu tu haben. Allerdings sind nicht alle Gruppen gleich gut für Exchange geeignet. Wird eine Gruppe entsprechend "Exchange Aktiviert", dann ist diese aus Exchange Sicht immer ein Verteiler. Folgende Kombinationen sind möglich:

Typ Scope Exchange Tauglichkeit Bemerkung

Sicherheitsgruppe

Lokal

VerbotSchlecht

Sind für Exchange nicht im AD sichtbar

Sicherheitsgruppe

Domain

Warnungmöglich

z.B. wenn der Forest aus nur einer Domain besteht. Problematisch in großen Umgebungen, weil die Memberships nicht im GC sind

Sicherheitsgruppe

Universell

Sehr gut.

Erforderlich, wenn für Berechtigungen genutzt

Verteiler

Lokal

VerbotSchlecht

Sind für Exchange nicht im AD sichtbar

Verteiler

Domain

Warnungmöglich

In einer Single Domain Umgebung nutzbar aber nicht ratsam, da Exchange sich beschwert

Verteiler

Universell

Sehr gut

Nur für Mailverteiler. Werden durch den Store zu Sicherheitsgruppen konvertiert, wenn diese zur Berechtigung verwendet werden.

Stop Automatic Conversion of Universal Distribution Groups to Universal Security Groups https://technet.microsoft.com/en-us/library/bb430793(v=exchg.141).aspx

Die oft gehörten Vorbehalte gegenüber "universellen Gruppen" sind heute so nicht ehr gültig und stammen aus der Windows 2000 Zeit, bei der Mitgliedschaften immer nur komplett repliziert wurden und Bandbreiten im Kilobit-Bereich zu berücksichtigen sind.

Ich würde heute nur noch universelle Gruppen in Verbindung mit Exchange nutzen. In Exchange 2007 werden andere Gruppen gar nicht mehr als Verteiler akzeptiert.

Seit Exchange 2000 ist also alles, was Exchange den Anwendern und Administratoren als "Verteiler" präsentiert eine Windows Gruppe. Es kann eine Sicherheitsgruppe (mit SID) oder ein Verteiler (ohne SID) sein. Technisch ist es ein AD-Objekt der Objektklasse "Group".

Eine SID wir von Exchange immer dann benötigt, wenn dieser Verteiler für die Vergabe von Berechtigungen eingesetzt werden kann. Da nun ein Anwender mit Outlook ja nicht erkennen kann, ob es sich bei einer Gruppe um einen Verteiler oder eine Sicherheitsgruppe handelt, hat der Exchange Store seit Exchange 2000 auch die Möglichkeit, aus einer Verteilergruppe im Active Directory eine Sicherheitsgruppe zu machen.

Zur Verdeutlichung hier ein paar Aussagen zu Gruppen und Verteilen mit Exchange:

  • Jeder Verteiler in Exchange ist ein Active Directory Objekt
    Damit wird deutlich, dass es keine Exchange Verteiler außerhalb des Active Directory geben kann. Allerdings kann ein Anwender natürlich in Outlook eigene Verteiler anlegen. Von denen weiß aber Exchange dann nichts. Entsprechend können Sie nicht für die Vergabe von Berechtigungen genutzt werden. Zudem werden Mails an diese Gruppe schon durch den Anwender aufgesplittet.
  • Nicht jede Gruppe im AD ist auch ein Exchange Verteiler
    Das ist natürlich auch klar, da eine Gruppe im Active Directory erst durch die zusätzlichen Exchange Attribute zum Exchange Verteiler wird und dies optionale Einstellungen sind
  • Alle Verteiler mit Berechtigungen auf öffentliche Ordner sind immer Windows Sicherheitsgruppen
    Eine Windows Gruppe, die "nur" ein Verteiler ist, hat keine SID. Da nicht nur das Dateisystem und Windows sondern auch Exchange die Berechtigungen anhand von ACLS unter Nutzung der SID anwendet, muss eine Gruppe eine SID haben.
  • Alle Mitglieder in Verteilern sind AD-Objekte
    Die Liste der Mitglieder wird im Feld "members" gepflegt, welches natürlich nur auf Objekte im gleichen Active Directory Forest verweisen kann. Es ist demnach nicht möglich, Kontakte aus einem öffentlichen Ordner oder einem Postfach in einen zentral gepflegten Verteiler aufzunehmen.
  • Zentrale Verwaltung
    Die Gruppe im Active Directory muss natürlich auch dort gepflegt werden. Dafür ist zum einen LDAP-Zugriff und eine passende Anwendung erforderlich (Active Directory Benutzer und Computer). Weiterhin muss der Mitarbeiter über entsprechende Rechte verfügen.

Verteiler und RUS

Bei Exchange 2000 und 2003 unterliegen auch die Verteiler der Hoheit des RUS. Immer wenn eine Gruppe für Exchange aktiviert wurde, wird der RUS nach kurzer Zeit dieses neue Objekt finden und mit den ProxyAddresses gemäß seiner Richtlinien versehen.

Bei Exchange 2007/2010 ist das wieder eine Aufgabe der PowerShell Commandlets. Wer hier also mit einem Metadirectory arbeitet, muss

Verteiler und Berechtigungen / Erreichbarkeit aus dem Internet

Verteiler sind wichtig und nützlich, aber auch ein Risiko, wenn jeder einen solchen Verteiler einfach ansprechen könnte. Dies gilt um so mehr, da ein Verteiler ja eine SMTP-Adresse hat, die prinzipiell auch aus dem Internet erreichbar ist. Ein gefundenes Fressen für Spammer und Viren.

Seit Exchange 2007/2010 ist ein Verteiler daher sogar per Default besonders geschützt. Hier ist nämlich die Einstellung aktiv, dass Sender an solch einen Verteiler sich authentifizieren müssen.

Wer diesen Weg nicht gehen möchte, kann natürlich auf dem Internet Gateway Mails an solche Adressen direkt aussortieren oder ablehnen. Über eigene Empfängerrichtlinien könnten Sie solchen Gruppen auch eigene Maildomänen (z.B.: gruppenname@firma.intern) o.ä. vergeben, so dass diese sicher nicht aus dem Internet erreichbar sind.

Verborgene Verteilermitgliedschaften

Manchmal ist es erwünscht, dass bestimmte Personen in einem Verteiler sind, damit dieser per Mail angesprochen werden kann, aber die Liste der Personen selbst soll nicht offen gelegt. werden. Ich frage mich natürlich, was das letztlich soll, da ich dann einfach eine Mail per Einschreiben" sende und nach kurzer Zeit dann vermutlich doch von den meisten Personen eine Quittung erhalten habe.

Bis Exchange 2003 war dies sogar möglich, aber Exchange 2007 unterstützt dies nicht mehr. Mit Exchange 2010 SP2 werden die Addressbuchrichtlinien (Adress book Polices) hier wieder etwas Abhilfe schaffen.

Aber Exchange nimmt auch auf solche Anforderungen Rücksicht.

For DLs with hidden membership, the Recipient Update Service removes the non-canonical portion of the security descriptor, leaving only the canonical permissions… After the RUS Updates the DL, only members of the Exchange Domain Servers group and Account Operators are allowed to see the membership of the DL. Now, there was some discussion at one point regarding whether Domain Administratoren should also be removed from the non-canonical part of the security descriptor, but I’m not sure what ever came of that.
Afaik, Account Operators (and also Domain Administratoren) are not able to view hidden DL membership either. Did some fair amount of testing für this:
Quelle: HOW TO: Hide Distribution Group membership http://exchangepedia.com/blog/2007/11/how-to-hide-distribution-group.html

Berechtigungen auf Verteiler

Die Delegierung von Berechtigungen unterscheidet sich zwischen Exchange 2010 und früheren Versionen. Bei früheren Versionen hat Outlook die Aktionen direkt mit den Credentials des Benutzers durchgeführt. Entsprechend musste der Anwender auf dem AD-Objekt der Gruppe berechtigt sein. Das ist per PowerShell sehr einfach möglich

Add-ADPermission `
    -Identity gruppe `
    -User:domain\Username `
    -AccessRights ReadProperty, WriteProperty `
    -Properties 'Member'

Allerdings war damit auch verbunden, dass ein Anwender natürlich an Outlook vorbei diese Einstellungen ändern konnte.

Mit Exchange 2010 wurde dies durch RBAC natürlich umgestellt. Outlook gibt den Auftrag an Exchange, welcher dann zuerst die Berechtigungen prüft (RBAC-Rollen und ManagedBy-Attribut) und dann die Änderungen durchführt.

Koexistenz-Phase
Wenn Sie nach Exchange 2010 migrieren, stören die direkt vergebenen ACLs nicht mehr, aber sollten langfristig natürlich wieder entfernt werden. Gut, wer solche Änderungen damals dokumentiert hat.

Das Feld "ManagedBy" ist bei Exchange 2007 ein "Single Item", d.h. es konnte immer nur genau ein Manager festgelegt werden.

Das Feld "ManagedBy" ist bei Exchange 2010 weiterhin ein SingleValue-Feld. Aber mit dem Feld "msExchCoManagedByLink" gibt es neues Feld, welches die weiteren Manager aufnimmt.
Siehe auch ManagedBy

Bis Exchange 2010 SP1 RU2 konnte die Situation entstehen, dass auch per Exchange PowerShell bzw. GUI eine Gruppe nicht verwaltet werden konnte, die keinen Manager hatte.

Das führte dann bei der MMC zu der Situation, dass auch Sie als Administrator diese Gruppe nicht mehr verwalten konnten

Das Problem hierbei ist aber, dass die Exchange MMC beim Aufruf der PowerShell-Commandlets vergessen hat, den Parameter "BypassSecurityGroupManagerCheck" mit zu übergeben, damit die Überprüfung für Administratoren unterbleibt.

Die Exchange Server selbst haben natürlich über eine explizit vergebene ACL die erforderlichen Rechte zur Pflege von "Managed-by"

Exchange has permissions to modify the attribute:
  User                : DOMAIN\Exchange Windows Permissions
Deny                : False
IsInherited         : True
InheritanceType     : All
AccessRights        : {WriteProperty}
Properties          : {Managed-By}

Und über eintsprechende Managementrollen ist das Verwaltungsrecht auch zugewiesen

[PS] C:\>Get-ManagementRoleAssignment |? { $_.Role -eq "Distribution Groups" } | Select Name, Role
 
Name                                                             Role
----                                                             ----
Distribution Groups-Organization Management-Delegating           Distribution Groups
Distribution Groups-Organization Management                      Distribution Groups
Distribution Groups-Recipient Management                         Distribution Groups

Die Rollen müssen natürlich auch den Anwendern zugewiesen werden. Zum Glück ist dies in Exchange 2010 gar nicht so schwer, da es schon eine entsprechende "Default Role Assigment Policy" gibt, die für die Anwender festlegt, was sie selbst machen dürfen. Über diese Richtlinie wird z.B. gesteuert, dass Sie als "Self Service" bestimmte Fehler ihres Active Directory Kontos pflegen dürfen. Und über diese Richtlinie lässt sich vortrefflich auch das Management von Verteilern steuern.

Pflege mit OWA/ECP

Der Anwender selbst kann dann einfach über das Control-Panel die Verteiler pflegen. Ich muss nur auf die Optionen gehen und dort "Meine Organisation" verwalten.

Über die Details kann ich dann die Gruppe anzeigen und auch die Mitglieder verwalten.

Pflege mit Outlook

Achtung:
In Exchange Online können Sie solche Verteiler nicht mit Outlook pflegen, wenn diese durch ADSync verwaltet werden. Siehe auch DL Management mit EXO

Etwas anders ist die Funktion in Outlook. Auch hier kann der Anwender recht einfach über das Adressbuch den Verteiler öffnen.

Sie sehen hier den Button für "Mitglieder ändern" und über diesen Weg können Sie dann bestehende Mitglieder entfernen oder neue anhand der Adressliste addieren.

Allerdings hängt es etwas von der Outlook Version und Backends aus, ob die Funktion immer möglich ist. Knifflig ist es immer dann, wenn sie mehrere Domänen haben und ihr Outlook oder der Exchange Server einen GC in einer anderen Domäne verwendet, als die Domäne, in der die Gruppe angelegt ist. Dann kann Exchange und Outlook die Gruppe.

Weitere Links