Exchange Gruppen
Jede Exchange Version hat ihre eigenen Gruppen mitgebracht um Berechtigungen zu vergeben und Funktionen zu steuern. Exchange 2010 macht da keine Ausnahme und legt eine ganze Menge neuer Gruppen in einer eigenen OU "Microsoft Exchange Security Groups" an. Ganz klassisch zu der Vergabe von Berechtigungen gibt es wieder universelle Gruppen, in denen Personen aufgenommen werden können, die ihrerseits in anderen Gruppen Mitglied sind, die zur Delegierung der Berechtigungen genutzt werden.
Exchange 2000/2003
Hier war die Welt noch einfach. Gerade mal zwei Gruppen wurde im Active Directory für die Delegierung von Berechtigungen angelegt:
| OU | Gruppe | Mitglieder |
|---|---|---|
| cn=Users | Exchange Domain Servers | Computerkonten |
| cn=Users | Exchange Enterprise Servers | Exchange Domain Servers |
Zusätzlich gab es nur die Abstufung von Berechtigungen, die über den Assistent der Exchange Verwaltungskonsole vergeben werden konnten:
- Exchange Full Administrator
- Exchange Administrator
- Exchange View Only Administrator
Exchange 2007
Mit Exchange 2007 hat sich die Anzahl der Gruppen verändert. Da es keine klassische Administrative Gruppe mehr gibt und die Verwaltung nicht mehr primär über delegierte OU-Berechtigungen und die MMC für Benutzer und Computer geht, wurden die "Exchange Recipient Administrators" addiert.
Die Gruppen liegen alle bis auf eine Ausnahmen in der neuen OU Microsoft Exchange Security Groups in der Root Domain.
| OU | Gruppe | Mitglieder |
|---|---|---|
| Microsoft Exchange Security Groups | Exchange Organization Administrators | Administrator bzw. wer den ersten Exchange 2007 installiert hat |
| Microsoft Exchange Security Groups | Exchange Public Folder
Administrators (Seit Exchange 2007 Service Pack 1) |
Exchange Organization Administrators |
| Microsoft Exchange Security Groups | Exchange Recipient Administrators | Exchange Organization Administrators |
| Microsoft Exchange Security Groups | Exchange Servers | Exchange Install Domain Servers Compterkonten mit Exchange |
| Microsoft Exchange Security Groups | Exchange Trusted Subsystem | <leer> bzw. Memberserver der Domain |
| Microsoft Exchange Security Groups | Exchange View-Only Administrators | Exchange Public Folder
Administrators Exchange Recipient Administrators |
| Microsoft Exchange Security Groups | ExchangeLegacyInterop | <leer> bzw. Exchange 2003/2000 Server |
| Microsoft Exchange System Objekts | Exchange Install Domain Servers | Computerkonten, der Domäne, auf denen Exchange Installiert werden soll/ist |
Exchange 2010
Die Gruppen von Exchange 2010 stellen eine Übermenge der Exchange 2007 Gruppen dar. Neben den schon bekannten Gruppen wurden neue Gruppen für die Umsetzung von RBAC eingeführt. Hier ein Bild der Exchange 2010 Standardgruppen einer frischen unveränderten Installation:
Die Gruppen haben ebenso einige vordefinierten Mitglieder, die Sie möglichst nicht ändern sollten.
| OU | Gruppe | Mitglieder |
|---|---|---|
| Microsoft Exchange Security Groups | Delegated Setup | <Leer> |
| Microsoft Exchange Security Groups | Discovery Management | <Leer> |
| Microsoft Exchange Security Groups | Exchange All Hosted Organizations | <Leer> |
| Microsoft Exchange Security Groups | Exchange Organization Administrators | Administrator |
| Microsoft Exchange Security Groups | Exchange Public Folder Administrators | Exchange Organization Administrators |
| Microsoft Exchange Security Groups | Exchange Recipient Administrators | Exchange Organization Administrators |
| Microsoft Exchange Security Groups | Exchange Servers | Computerkonto der Exchange Server Exchange Install Domain Servers |
| Microsoft Exchange Security Groups | Exchange Trusted Subsystem | Computerkonto der Exchange Server |
| Microsoft Exchange Security Groups | Exchange View-Only Administrators | Exchange Public Folder
Administrators Exchange Recipient Administrators |
| Microsoft Exchange Security Groups | Exchange Windows Permissions | Exchange Trusted Subsystem |
| Microsoft Exchange Security Groups | ExchangeLegacyInterop | <Leer> |
| Microsoft Exchange Security Groups | Help Desk | <Leer> |
| Microsoft Exchange Security Groups | Hygiene Management | <Leer> |
| Microsoft Exchange Security Groups | Organization Management | Administrator Exchange Organization Administrators |
| Microsoft Exchange Security Groups | Public Folder Management | Exchange Public Folder Administrators |
| Microsoft Exchange Security Groups | Recipient Management | Exchange Recipient Administrators |
| Microsoft Exchange Security Groups | Records Management | <Leer> |
| Microsoft Exchange Security Groups | Server Management | <Leer> |
| Microsoft Exchange Security Groups | UM Management | <Leer> |
| Microsoft Exchange Security Groups | View-Only Organization Management | Exchange View-Only Administrators |
| Microsoft Exchange System Objects | Exchange Install Domain Servers | <Leer> |
Sie sehen aber auch, dass viele Gruppen gar keine Mitglieder haben. So sind z.B. "Helpdesk" und andere einfach für RBAC vorbereitet Gruppren, die schon entsprechende Rollen zugewiesen bekommen haben und sie nur noch die Benutzer dort aufnehmen müssen
Weitere Links
- RBAC
- Windows Gruppen und Berechtigungen
- Security Group Creation and Membership Role
http://technet.microsoft.com/en-us/library/dd876860.aspx - Exchange 2010 Permissions and Security Groups
http://communified.net/archive/2009/04/20/exchange-2010-permissions-and-security-groups.aspx - Exchange 2010 Permissions and Security Groups
http://www.shudnow.net/2009/04/17/exchange-2010-permissions-and-security-groups/
