.: Daniel Melanchthon :.

Banging your head against a wall uses 150 Calories an hour.

Änderung im Verhalten von "Senden als" und Auswirkungen auf Blackberry, Goodlink und MOM 2005

Änderung im Verhalten von "Senden als" und Auswirkungen auf Blackberry, Goodlink und MOM 2005

  • Comments 4
  • Likes

Administratoren können auf Benutzerebene Konten Berechtigungen zum Zugriff auf andere Postfächer geben. Dabei werden zwischen verschiedenen Rechten unterschieden - sehr gebräuchlich sind dabei Senden als, Empfangen als und Vollständiger Postfachzugriff. Dabei muß insbesondere zwischen Senden als und Vollständiger Postfachzugriff unterschieden werden, da Vollständiger Postfachzugriff nur vollständig lesenden Zugriff auf ein Postfach bedeutet. Erst mit dem Recht Senden als kann man eine Email als der Postfachbesitzer versenden.

"Send as" and "Send on behalf" permissions in Exchange 2000 Server and in Exchange Server 2003

In früheren Exchange-Versionen wurde dieser Unterschied nicht immer beachtet. Wenn einem Benutzer als Vertreter Vollständiger Postfachzugriff für das Postfach eines anderen Benutzers gewährt wurde, konnte dieser sich in Outlook ein Profil einrichten, in dem er als primäres Postfach das Postfach des anderen Benutzers verwendete. In diesem Szenario konnte dann der Vertreter Emails im Namen des Postfach-Eigentümers aus dem Postfach des anderen Benutzers absenden, obwohl er keine Senden als-Berechtigungen für das Postfach des anderen Benutzers hatte.

A delegate user who has "Full mailbox access" permissions for another user's mailbox can send e-mail messages as the mailbox owner in Exchange Server 2003

Dieses Verhalten wurde mit einem Hotfix von Microsoft korrigiert. Das Senden als-Berechtigungsupdate ist für Exchange Server 2003 Service Pack 1 ab Build 7233.51 und höher sowie in Exchange Server 2003 Service Pack 2 ab Build 7650.23 und höher enthalten. Der Hotfix ist nicht Bestandteil von Exchange Server 2003 Service Pack 2, sondern muß nachträglich eingespielt werden.

Von dieser Änderung können eine ganze Reihe von Drittanbieter-Produkten betroffen sein. Alle Anwendungen, die mit einem speziellen Konto auf fremde Postfächer zugreifen und denen lediglich Vollständiger Postfachzugriff gewährt wurde, obwohl Senden als auch benötigt wird, werden nach dem Einspielen des Hotfix nicht mehr wie erwartet funktionieren und müssen in ihrer Konfiguration angepaßt werden.

Microsoft sind bisher folgende Anwendungen bekannt, bei denen sich die Auswirkungen zeigen:

Folgende Anwendungen sind davon nicht betroffen:

  • Cisco Unity Unified Messaging
  • Quest Migration Suite for Exchange
  • Microsoft ExMerge für Exchange

Um das Problem zu lösen, müssen die betroffenen Programme ihren speziellen Konten explizit das Recht Senden als vergeben.

Error message when an application tries to send a message as another user by using Exchange Server 2003: "Access denied" 

Comments
  • Interessanter Artikel. Ich fand diese Rechtevergabe auf Postfächer und insbesondere das erwähnte Senden Als immer etwas verwirrend bis ich mich mal intensiv damit auseinandergesetzt habe.

    Es ist ja so, dass man an 3 Stellen diese Rechte setzten kann. Eigentlich fast schon an 4. Zum einen beim Benutzerobjekt unter Exchange Advanced "Mailbox Rights". Diese Rechte hier sind die Rechte der Bentuzer auf den Information Store selbst. Der Urspung der Verwebung hier ist das Exchange Objekt in der Configuration Partition. Hierher nimmt sich der Store die Rechte. Auch die Server usw. Hier kann ich aber nur Postfachzugriff für andere User einstellen. Wie ich hier gelernt habe, ist es jedoch ohne den hotfix möglich auch mit diesen rechten als der User zu senden.

    Dann gibts die Stelle Exchange General "delivery options". Hier kann man das "Senden im Auftrag von" serverbasiert einstellen. Analog dazu die stelle in Outlook, wo dies Clientseitig geht. Dies sind meines Wissens nach aber auch Rechte auf dem Store die hier gesetzt werden.

    Dann die Rechte des Tabs "Sicherheit" des User Objektes. Hier kann man Send As gewähren. So wie ich das sehe, stellt man sich dieses Recht am besten so vor, als ob der Benutzer, der das Recht "Send As" besitzt, das Useobjekt "nimmt" und mit diesem sendet. Auf die Daten im Postfach hat ein User, der nur Send As Rechte auf Userebene hat, keinen Zugriff.

    was das genze verwirrend macht ist, das auf der Exchange Organisationsebene auch noch ein Recht "Send As sowie Recieve As existiert. Dies ist aber ungleich mit dem Recht Send As und Recieve As auf der Userebene. Es handelt sich um komplett andere Rechte. Das auf Userebene sind eben Rechte auf das Userobjekt und das auf Exchange Ebene definiert Rechte auf die Exchange Organisation. Beide haben im Ad auch unterschiedliche Wurzeln. Beim Userobjekt die Domänenpartition und beim Exchange die Config Partition. Send As und Recieve As auf Exchange Ebene bedeutet Vollständiger Zugriff auf alle Postfächer der Organisation.

    Sehe ich das alles so richtig? Kommentare und Verbesserungen sind erwünscht.

  • Eine Anmerkung: Senden *als* der User kann man nur, wenn man Senden als hat oder (altes Verhalten), wenn man Vollständigen Postfachzugriff hat. Diese Rechte werden auf dem Sicherheitsreiter des AD-Objekts des Users gesetzt.

  • Es gibt einen Hotfix für Exchange, der ein fehlerhaftes Verhalten von Exchange korrigiert. Mein Kollege...

  • Hi everyone! I think your site is very interesting and useful. I always bookmarked it.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment