.: Daniel Melanchthon :.

Banging your head against a wall uses 150 Calories an hour.

Blogs

Webcastreihe Exchange Server 2003 (Teil 3 von 14): Empfängerobjekte in Exchange Server 2003 verwalten

  • Comments 6
  • Likes

Im dritten Teil unserer 14teiligen Webcastreihe dreht sich alles um Empfängerobjekte im Exchange Server 2003, um die Verwendung von Speichergruppen, Empfängerrichtlinien und Adresslisten. Es gibt für den Exchange Server 2003 eine Pflichtlektüre für Administratoren, die ich im Webcast als einzigen Link für weitere Informationen hinterlegt hatte:

Comments
  • Hallo Herr Melanchthon,

    erstmal ein großes Lob für die Webcasts bisher und auch dieses tolle Weblog. Es gibt hier wirlich seht interessante Informationen.

    Zwei Dinge liegen mir allerdings am Herzen, die ich während des Webcasts nicht fragen konnte, da ich diesen Offline sehen musste (aus technischen und beruflichen Problemen).

    Zum einen ist dies die Geschichte mit den Mailboxrechnten. Hierzu hatte ich auch schon einen Kommentar zu einem Ihrer letzten Blogeinträge abgegeben. Könnten Sie nocheinmal kurz den Zusammenhang zwischen dem Rechten auf das AD Objekt, die Mailbox Mapi Rechte des AD Objektes und den Rechten (insb. Send As und Recieve As) auf der Exchange Organisation erklären? Ich dachte immer, das Send As und Recieve As auf Exchange Organisationsebene andere Rechte sind als Send As und Recieve As auf Benutzerebene. Also das die Rechte nicht von der Exchange Organisationsebene auf die Benutzer vererbt werden. Ist das so richtig? Beim Send As auf Benuterebene habe ich mir immer vorgestellt, das ein berechtigter User, dieses Benutzerobjekt nimmt und mit diesem sendet. Ist dies auch mit dem Recive As auf Userebene so zu sehen? Also dass der berechtigte User das AD Objekt des Postfachbesitzers nimmt um auf dessen Postfach zuzugreifen? So kann ich mir das ganze ja gut vorstellen. Die Mailbox Rechte beim AD Benutzer sind "Replikate" bzw. sind die Mapi Rechte des Exchantge Store. Wie verhalten Sich nun die Rechte auf die Exchange Organisation? Vererben sich diese nur auf den Postfachspeicher. Dann muss das Organisations Send As und Recive As ein anderes Recht sein als die Pendants bei dem user oder sind dies doch die gleichen Rechte?

    Die zweite Sache sind die Mailbox Manager Richtlinien. Hier sind ja per Default keine Definiert. Ist es sinnvoll hier eigene Richtlinien zu machen oder bestehende Empfängerrichtlinien für "beides zu verwenden.

    Dann noch zum Schluss die Frage, ob Sie noch kurz eine Erläuterung zu Ihrer Webcasst Frage "Was aktualisiert der RUS" schreiben können?

    Vielen Dank und viele Grüße
    Patrick

  • Hallo Herr Adamek,

    der Hauptgrund für die Komplexität der Delegierung von Berechtigungen liegt in der Art, wie Exchange den Zugriff auf Postfächer und darin enthaltene Elemente steuert. Das Anmelden bei einem Postfach und der Zugriff auf einen Ordner in einem Postfach sind unabhängige Vorgänge, die von Exchange getrennt gesteuert werden.

    Die Rechtesteuerung unterscheidet dabei zwischen "Send as" und "Send on behalf". Auf Deutsch ist der Unterschied leider nicht so deutlich zu erkennen. "Send on behalf" wird unter "Exchange - Allgemeine Einstellungen" unter "Zustelloptionen" konfiguriert.

    "Send as" kann an mehreren Stellen eingerichtet werden. Entweder konfiguriert man es auf dem Postfach direkt oder zum Beispiel auf Store- oder Organisationsebene. Administratoren und deren Gruppen haben per se ein Deny für "Send as" und "Receive as" auf Organisationsebene, was aber durch das explizite Vergeben der Rechte auf Storeebene oder auf dem Postfach selbst überstimmen läßt:

    "Send as" and "Send on behalf" permissions in Exchange 2000 Server and in Exchange Server 2003
    http://support.microsoft.com/kb/327000/en-us

    Es gibt zu der Thematik auch drei sehr gute Witepaper von Microsoft, die ich Ihnen zur Lektüre empfehle, da dort die Zusammenhänge plastisch dargestellt werden:

    Arbeiten mit dem Exchange Server 2003-Informationsspeicher
    http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=9D438545-7697-4384-BD24-87E0CD3378CD

    Working with Active Directory Permissions in Exchange Server 2003
    http://www.microsoft.com/technet/prodtechnol/exchange/2003/library/ex2k3ad.mspx

    Working with Store Permissions in Microsoft Exchange 2000 and 2003
    http://www.microsoft.com/technet/prodtechnol/exchange/2003/library/storperm.mspx

    Zu den Mailbox Manager Richtlinien: Es kommt natürlich darauf an, was Sie mit den Richtlinien umsetzen möchten. Abhängig davon kann es sinnvoll sein, eigene Richtlinien zu definieren.

    Ihr Frage zum RUS verstehe ich nicht ganz. Beziehen Sie sich auf die Frage, die ich zum Schluß gestellt habe? Exchange nutzt den Recipient Update Service primär zum Generieren und Aktualisieren der Standard- und der selbst erstellten Empfängerrichtlinien und führt Änderungen an den Empfängerpolicies durch.

    Viele Grüße!
    Daniel Melanchthon

  • Hallo Herr Melanchthon,

    erstmal vielen Dank für Ihre Antwort (...und "Patrick" ist mit lieber). Demnach sind die Send As und Revice As Rechte auf Exchange Organisationsebene und auf dem UserObjekt im AD doch das "gleiche Recht"? Also ein Recht, welches von der Exchange Organisation auf die User vererbt wird? Ich werde mal in den empfohlenen Whitapapern lesen. Falls ich dann noch Fragen habe, werde ich sie stellen wenn ich darf. Zur RUS Frage: Ihre Antwort im Webcast lautete, das der RUS E-MailAddressen und Adresslisten generiert/aktualisiert. EMailAdressen ist ja klar, aber wie verstehe ich das mit der Adressliste? Ich dachte, dafür ist der Adresslistengenerator zuständig.

    Viele Grüße
    Patrick

  • was mir noch eingefallen ist. wenn die beiden beschreibenen "rechteorte" wirklich gleich wirken, dass müsste ich auch postfachzugriff auf mein postfach für einen anderen user erreichen, wenn ich diesem auf meinem ad user objekt nur send as und recieve as rechte gebe. in diesem fall könnte er nicht nur alles in meinem postfach machen (das kann ja ein admin mit send as und recive as auf org ebene auch) sonder ebenfalls (wie der admin auch) mit meinem namen senden (nicht im auftrag von mir).

    das werde ich mal nachstellen ...

    Gruß
    Patrick

  • Hallo nochmal,

    also irgendwie ist einer meiner posts untergegangen. also auf ein neues.

    ich habe mich jetzt mal intensiv mit den rechten befasst und leider meine fragen noch nicht alle beantworten können. ist verstehe das ganze jetzt so.

    wird ein postfach angelegt, so erhält es dir rechte des stores (vererbt) und das zugeordnete AD Userobjekt bekommt auch noch rechte drauf. Die mailboxrechte werden nun in eine attribut des Ad userobjektes geschrieben und diese können unter Exchange Allgemein - Mailboxrechte beim Userobjekt im AD eingesehen werden.

    Der Store erbt seine Rechte auch von der Exchange Organisation. Hier gibt es u.a. auch die Rechte Send As und Recive As. Meine Frage war, ob diese Rechte die gleichen Rechte sind wie die Send As und Recieve As Rechte, welche ich auf Userebene im Ad unter Security setzen kann. Eigentlich kann dies nicht sein, da beide Objekte (also die Exchange Organisation und die Userobjekte) in unterschiedlichen Partitionen liegen und somit kein gemeinsames Wurzelobjekt haben. Daher dachte ich mir, dass das Organisations Send und Recieve As vielleicht sone Art Overlay Recht ist, was ein nicht gesetztes Send As und Recieve As beim User sozusagen trozdem für den User der Send As und Recieve As auf Exchange Organisationsebene besitzt erlaubt. Hiervon bin ich aber wieder ab da ich folgendes testete: Habe einem User Send As und Receive As auf Userebene meines Userobjektes gegeben. Dieser User konnte nicht in mein Postfach hineinsehen (er hat zwar email ordner gesehen aber keine inhalte). Das einzige was er konnte war mails in meinem Namen zu senden. Wenn ich diesem User Send As und Receive As auf Organisationebene gebe, dann sieht er jeden Postfachinhalt von jedem User. Daher sind es wohl doch 2 Verschiedene Rechte, oder? Send As und Receive As auf Exchange Organisationsebene bedeutet vollständige Kontrolle über alle Postfächer und Send As und Receive As auf Userbebene im Ad bedeutet Senden Als... Dies geht allerdings auch nur mit Send As. Die Receive As Auswirkung konnte ich nicht feststellen. Um einem anderen Benutzer auf Userebene Rechte auf ein Postfach zu geben sind dann die Mailboxrechte auf Exchange Allgemein die richtige Wahl.

    So ich glaube das war es auch, was ich vorher auch schrieb. Sorry für einige Tippfehler!

    Gruß
    Patrick

  • PingBack from http://www.hilpers.com/426651-zusaetzlichen-exchangekonto-im-ol-einrichten/2

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment