» Home » Ex 2007/2010 » Ex2007 » E2K7:Berechtigungen

Exchange 2007 Berechtigungen

Mit Exchange 2007 hat Microsoft natürlich wieder alles auf den Kopf gestellt. Besonders die Berechtigungen sind grundlegend verändert worden. Bei Exchange 2000/2003 konnten Sie mit den Exchange System Manager Berechtigungen auf die Organisation und administrative Gruppe delegieren. Teilweise konnten Sie sogar Rechte auf Server und einzelne Datenbanken eintragen. Die Berechtigungen für die Anwender selbst wurden anhand der OU des Benutzerobjekts abgeleitet.

Exchange 2007 kennt aber offiziell keine administrativen Gruppen mehr, bzw. es gibt nach der Deinstallation des letzten Exchange 2000/2003 Servers keine weitere administrative Gruppe mehr. Auch die Routingggruppen sind entfallen, so dass letztlich nur die Server mit ihren Datenbanken und die Empfänger übrig bleiben.

Exchange System Gruppen

Die Administration kann aber dennoch delegiert werden und wird über entsprechende Sicherheitsgruppen realisiert. Sie sollten diesem Beispiel natürlich folgen und nicht einzelnen Benutzern spezifische Rechte erteilen. Siehe auch Windows Gruppen und Berechtigungen und Adminkonzept.

Der erste "Domainprep" für Exchange 2007 legt einige Sicherheitsgruppen in einer eigenen OU (Domainname\Microsoft Exchange Security Groups) an. Diese sehen Sie nur in der erweiterten Ansicht der MMC für Benutzer und Computer:

Wie schon bei Exchange 2000/2003 sollten Sie diese Gruppen nicht in andere OUs verschieben.

Die Gruppen haben folgende Bedeutung:

• Exchange Organization Administrators
  Mitglieder: Administrator
  Diese Gruppe kennzeichnet die Personen, die Administrator über die Exchange Organisation sind. Hier ist normalerweise nur der "Administrator" Mitglied. Sie können über diese Gruppe auch anderen Personen das Recht auf die Organisation geben
• Exchange Recipient Administrators
  Mitglieder: Exchange Organization Administrators
  Mit Mitglieder dieser Gruppe haben das Recht, auf allen Exchange Empfängern in der Organisation die Exchange spezifischen Eigenschaften zu pflegen.
• Exchange Server Administrators
  Mitglieder: E2007 Server Computerkonten
  Mitglieder: Microsoft Exchange Security Objects
  Die Mitglieder dieser Gruppe sind Administrator über die Exchange Server, d.h. können auf den Servern z.B. Postfachspeicher etc. anlegen.
• Exchange View-Only Administrators
  Mitglieder: Exchange Recipient Administrators
  Diese Gruppe erlaubt den Mitgliedern die Anzeige der Exchange Konfiguration. Sie ist daher z.B. für all jede Personen interessant, die Exchange Empfänger verwalten dürfen und z.B. die verfügbaren Datenbanken finden müssen.
• ExchangeLegacyInterop
  Mitglieder: Exchange 2003 Server
  In dieser Gruppe sind z.B. alle Exchange 2000/2003 Server enthalten. Sie wird z.B. genutzt, dass diese "alten" Exchange Versionen eine Verbindung zum SMTP-Receive-Connector aufbauen dürfen.

Hinzu kommt eine weitere Gruppe, welches aber in der OU "Domain\Microsoft Exchange Security Objects"liegt

• Exchange Install Domain Servers
  Mitglieder: compatible Windows 2003 DCs
  Diese Gruppe enthält alle DCs, die bei der Installation von Exchange genutzt werden sollen. Diese Gruppe enthält zumindest bei mir nur den Exchange 2007 Server, wohl es noch weitere DCs gibt, die durchaus den Mindestanforderungen gerecht werden.

 

 

 

Seite muss noch weiter geschrieben werden

Rechte auf Postfächer

Eine wichtige und sicher oft nachgefragte Funktion ist der Zugriff auf "alle" Postfächer einer Datenbank.  Dies war in Exchange 5.5 dem Administrator by Default möglich. Bei Exchange 2000/2003 mussten hingegen explizit Rechte vergeben werden, da die Gruppe der Domänen-Administatoren sogar ein "DENY"-Recht auf den Inhalt hatten. Bei Exchange 2007 ist es ähnlich, nur dass die Berechtigungen hier per Powershell zu setzen sind

Add-ADPermission -Identity "DBName" -user "Username" -ExtendedRights Receive-As

Dieser Einzeiler erreicht, dass der User "Username" die Berechtigungen auf die Datenbank "DBName" erhält, um darin dann alle Inhalte einzusehen. Dies ist z.B. für Archivprogramme, Blackberry-Server o.ä. erforderlich, bei denen ein Dienstkonto auf alle Postfächer zugreift. Diese Funktion ist auch für meine Tools Feiertage, MBReport etc. erforderlich.

• Mailboxrechte
• Exchange 2000/2003 Berechtigungen

Weitere Links

• Exchange 2007 - Permission Considerations
  http://technet.microsoft.com/en-us/library/aa996881.aspx
• Exchange 2007 - Configuring Permissions
  http://technet.microsoft.com/en-us/library/aa997244.aspx
• Exchange 2007 - How to Grant Send As Permissions for a Mailbox
  http://technet.microsoft.com/en-us/library/aa998291.aspx
• Exchange 2007 - How to Allow Mailbox Access
  http://technet.microsoft.com/en-us/library/aa996343.aspx
• Exchange 2000/2003 Berechtigungen
• Ex55 Berechtigungen
• Windows Gruppen und Berechtigungen
• Adminkonzept

Keywords:

Exchange2K7 Exchange 2007 Tools ExBPA ExDra ExTra

Impressum und Datenschutzerklärung. Anmerkungen, Anregungen oder Fragen siehe "Kontakt". Alle Angaben ohne Gewähr! Namen und Produktbezeichnungen können Eigentum der jeweiligen Hersteller sein. (c) 2000-heute Frank Carius, Jede weitere Veröffentlichung nur mit meinem vorherigen Einverständnis.

• NOTFALL
• Grundlagen
• Konzepte
• Signieren und Verschlüsseln
• Verfügbarkeit
• Admin und Betrieb
• Ex 2000/2003
• Ex 2007/2010
  • Ex2007
    • E2K7:Berechtigungen
    • OWA2007 Anpassen
  • Ex2010
  • Wer braucht 2007/2010
  • Fakten
  • Erfahrung
  • Umsteiger
  • Rollen
  • Mailbox/Datenbank
  • Hub/Transport
  • Client Access
  • Unified Messaging
  • Edge
  • Dienste
  • 64-bit
  • Autodiscover
  • POP3/IMAP4
  • Management Console
  • Toolbox
  • Management Shell
  • Konformität
  • Whitepapers
  • OABGen
  • OPATH
  • Entfernen
  • Rollback
  • Ressourcen 2007/2010
  • MRM Message Records Management
  • Akzeptierte Domains
• Unified Communication
• Lync 2010
• Mobile Clients
• Clients
• Connectoren
• Internet
• Spam und UCE
• Migration/Koexistenz
• Tools
• How-To
• Programmieren
• Produkte
• Events
• Buch
• Verschiedenes
• Ideen
• Sonstiges
• Net at Work
• Newsletter
• Archiv
• English pages