» Home » Konzepte » ExAdminkonzept

Exchange Adminkonzept

Diese Beschreibung ist für Exchange 2000/2003. Exchange 2007 nutzt ein anderes Berechtigungsmodell.

Auf der Seite Adminkonzept habe ich einige Informationen zu Prinzipien einer administrativen Delegierung von Berechtigungen beschrieben. Diese Seite beschäftigt sich mehr mit den Exchange Berechtigungen, d.h. wie Sie vielleicht in ihrer Umgebung die Berechtigungen etwas weiter vergeben können, so dass nicht alle IT-Mitarbeiter auch "Exchange Fulladmin" sind, wenn es nicht notwendig ist: Denn der größte Feind einer stabilen Umgebung ist der Administrator, der mit zu vielen Berechtigungen sorglos hantiert. Dazu gehört, dass man eben nicht als Administrator auch seine Mails liest oder im Internet surfte. Und dass man als Administrator auch nur die Rechte des täglichen Bedarf ausüben kann und besonders kritischen Berechtigungen (z.B. Schema Admin, Exchange Organisationsadministrator, Mailbox Full Admin) gesonderten Konten vorbehalten bleiben.

Unterstützung durch Net at Work:
Diese Seite kann nur eine Einführung sein. Kleine Firmen werden vermutlich nur eine Teilmenge davon umsetzen, während größere Firmen sehr viel mehr als diese paar Abschnitte definieren sollten. Wir können Sie hier natürlich unterstützen.

Grundprinzipien

Die Verwaltung von Exchange Einstellungen, Exchange Servern und Exchange Empfängern wird über Berechtigungen im Active Directory und auf den Servern gesteuert. Daher sollten Sie einige Grundregeln beachten:

• Keine Berechtigungen an Benutzer
  Es werden keine Benutzer für die Vergabe von Berechtigungen verwendet. Einzig die durch das Exchange Setup eingetragenen Computerkonten (Exchange Server) sind erlaubte Einzelberechtigungen
• Berechtigungen nur über dazu bestimmte universelle Sicherheitsgruppen
  Für die Vergabe von Berechtigungen werden entsprechende Sicherheitsgruppen angelegt und verwendet.
• Keine Deaktivierung von Vererbung auf Objektebene.
  Die Vererbung von Berechtigungen auf Objekt bzw. Containerebene wird nicht deaktiviert. Eine Vergabe von Rechten "nur auf dieses Objekt" sind aber möglich.
• DENY nur in Ausnahmefällen
  Um Berechtigungen zu entfernen kann mit DENY gearbeitet werden. Dies sollte aber nur in Ausnahmefällen und mit einem sehr engen Fokus erfolgen.
• Keine Änderung der "Default Berechtigungen" von Exchange
  Die Berechtigungen, welche von Exchange bei der Installation oder über Assistenten gesetzt werden, werden nicht verändert. Es werden nur zusätzliche Rechte vergeben.
• Beschränkung auf die Rechte des Exchange Assistenten
  An Stellen ohne Assistent werden nur einfache Rechte verwendet. (nicht erweitert)
• Admin-Account
  Die Berechtigungen zur Verwaltung werden nur an spezielle Admin-Accounts vergeben. „Normale“ Benutzer erhalten keine administrative Berechtigungen.
• ChangeLog
  Alle Änderungen der Berechtigungen werden protokolliert (Sharepointliste oder gesondertes Changelog)

Tätigkeiten und ihre Berechtigungen

Um die benötigten Berechtungen und Gruppen entwerfen zu können, sind die gewünschten Aufteilungen der Zuständigkeiten zu definieren. Hier eine kleine Auswahl von möglichen Rollen, die mit entsprechenden Berechtigungen versehen werden können.

Tätigkeiten	Berechtigungen
Benutzer verwalten Anlegen, Ändern, Löschen, Mailadresse zuweisen, Quota	Rechte in der OU und Exchange Read Sonderfall Mail versucht SA zu erreichen
Postfach Aktionen Exmerge, Postfach Moven	Rechte in der OU Rechte auf Mailbox (SendAs/RcvAs/ oder auf Quell/Zielstore
Verteiler Anlegen, Ändern, Löschen, Mailadresse zuweisen, Quota	Rechte in der OU und Exchange Read Sonderfall Mail versucht SA zu erreichen
Kontakt Anlegen, Ändern, Löschen, Mailadresse zuweisen, Quota	Rechte in der OU und Exchange Read Sonderfall Mail versucht SA zu erreichen
PF-Folder	Anlegen durch den User mit Outlook unter "seinen Ordner". Optional Berechtigungen wenn erlaubt Anlegen der BasisOrdner und Berechtigung, Replikation, Mailenabled etc. durch PF Admin
AG Administration Einrichten neuer AGs, Berechtigungen anpassen	Exchange Administrator über die Organisation
Server Backup/restore/Desaster Recovery	Exchange Admin über die administrative Gruppe
Queue Management	Lokaler Admin (Perfmon) Exchange View bis zum Server remove Message erfordert LokalAdmin
MessageTracking	Exchange Org – VIEW Read auf "Tracking Share" + WMI-Berechtigungen Alternative: eigene DB/MessageStats (?) How to Grant WMI Permissions for Message Tracking http://www.microsoft.com/technet/prodtechnol/exchange/guides/E2k3ADPerm/29fa71f4-60bc-4fea-98eb-86528a9106d9.mspx?mfr=true

Besondere Tätigkeiten für Organisationsadministratoren

Seltene Aufgaben die vom Exchange Org Admin durchgeführt werden und daher nicht delegiert werden. Hinzu kommt, dass diese Tätigkeiten nur sehr selten durchgeführt werden müssen und entsprechende Kenntnisse daher nicht jeder Administrator haben muss.

• Verwaltung der administrativen Gruppen
  Das Anlegen, Delegieren und Löschen von administrativen Gruppen sind eher seltene und gravierende Änderungen. Es ist sinnvoll diese Äderungen bei der Standardgruppe des Exchange Organisationsadmins zu belassen.
• Verwaltung der Routinggruppen und Connectoren
  Auch die Verbindungen zwischen den verschiedenen Routinggruppen werden durch den Exchange Organisation Admin verwaltet und nicht gesondert delegiert. Sie sind theoretisch aber auch durch den Admin der administrativen Gruppe verändert werden.
• RUS und Empfängerrichtlinien
  Der Empfängeraktualisierungsdienst ist eine wichtige Infrastruktureinrichtung, die ebenfalls nur durch entsprechend geschulte Mitarbeiter verändert werden sollten
• Adressbuchansichten und Offline Adressbücher
  Diese Einstellungen sollten ebenfalls zentral koordiniert werden und müssen daher nicht delegiert werden
• Öffentliche Ordner (Standard)
  Die öffentlichen Ordner sollten in der Regel „flach“ und einfach gehalten sein. Wenn lokale Benutzer oder Administratoren mit Outlook Ordner in ihrem „Teilzweig“ anlegen dürfen, dann erben diese Ordner die Replikationseinstellungen des darüberliegenden Ordners. Dies ist in den meisten Fällen ausreichend. Daher ist zu prüfen, ob es überhaupt erforderlich ist, die Administration von Teilbereichen an andere Administratoren zu delegieren. Gerade Fehler bei der Konfiguration hinsichtlich der Replikation können sehr schnell zu hohen Datenvolumen führen und sollten daher vermieden werden. Ideal ist ein Ordnerkonzept, welches die Ordner weitgehend festlegt und daher nach der Ersteinrichtung kaum Änderungen mehr erforderlich sind.
• Öffentliche Ordner (System)
  Einstellungen der Systemordner (Offline Adressbuch, Free/Busy-Zeiten, Formulare) bleiben den Organisationsadministratoren vorbehalten. Eine Delegierung ist hier nicht erforderlich, da Änderungen nur sehr selten durchgeführt werden und eine zentrale Kontrolle erhalten bleiben soll.
• Site Recovery (Free/Busy etc.)
  Die Wiederherstellung kompletter Standorte und speziell der „Sitefolder“ wird sicher nicht der Administrator einer administrativen Gruppe durchführen, sondern bleibt auch den Organisationsadministratoren vorbehalten.

3. Übersicht der Objekte und Rechte

Folgende Objekte und Ort können mit Rechten versehen werden:

• Exchange Organisation
  Auf dieser Ebene benötigen alle Gruppen, die mit etwas mit der Exchange Konfiguration zu tun haben, zumindest das Recht zu „Lesen“. Das Schreibrecht erlaubt zudem die Änderung von Empfängerrichtlinien, RUS, Adressbüchern, OAB etc. und sollte sehr wenigen Personen eingeräumt werden. Im Idealfall genau einer administrativen Gruppe.
• Exchange Admininistrative Gruppe
  Pro administrativer Gruppe sind können die darin enthaltenen Server, Datenbanken Connectoren und anderen Einstellungen delegiert werden. Über die aktive Vererbung hat hier jede Gruppe mit Lesenrecht auf der Exchange Organisation ebenfalls READ.
  Sofern erforderlich können über eigene administrative Gruppen hier Lesen und Schreiben delegiert werden.
  Hinweis: Ab Exchange 12 wird diese Zwischenstufe vermutlich entfallen.
• EX- Server
  Die nächste Stufe ist der jeweilige Server selbst, auf den Berechtigungen vergeben werden. Dies sind aber Rechte auf das Exchange Objekt und sind nicht mit den Berechtigungen auf den Server als Hardware und Betriebssystem zu verwechseln. Diese Rechte erlauben dem Administrator z.B. die Datenbanken auf dem Server zu stoppen und zu starten und Servereinstellungen vorzunehmen, sofern diese nicht durch Richtlinien vorgegeben werden.
  Normal werden hier keine weiterer Delegierung vorgenommen. Erst mit E12 wird dies interessant.
• Exchange Mailbox Store
  Unter dem Server gibt es die Speichergruppen mit den Datenbanken, die ebenfalls separat berechtigt werden können. Dies wird z.B.: genutzt, um das „SendAs“-Recht für Migrationen, Move-Mailbox oder den Einsatz von ExMerge zu setzen.
• Exchange öffentliche Ordner
  Administrative Berechtigungen auf öffentliche Ordner dienen dazu, z.B. die Konfiguration von Einstellungen der Replikation, Grenzwerte, Mailadresse etc. zu delegieren. Diese Rechte sind nicht mit den Inhalten (Editor, Autor etc.) zu verwechseln. und sind nicht erforderlich, um Ordner anzulegen oder die Rechte auf die Inhalte zu pflegen.
  Hier ist zu prüfen, ob eine Delegierung überhaupt erforderlich ist und die Verwaltung von Mailadresse und Replikaten nicht zentralisiert erfolgen soll, zumal der Public Folder Tree eine administrativen Gruppe zugeordnet ist.
• Active Directory Benutzer/Kontakte/Verteiler in OUs
  Die eigentlichen Empfänger von Nachrichten sind nicht in der Exchange Konfiguration zu finden, sondern normale Objekte in der jeweiligen Domänenpartition und werden dort in OUs abgelegt. Wenn Sie Benutzeradministratoren zugleich auch die Exchange Eigenschaften verwalten sollen, ist das OU-Berechtigungskonzept maßgeblich. Die Administratoren benötigen allerdings noch selektiv Leserechte auf die Exchange Konfiguration um z.B. Postfächer anzulegen. (Anzeige der verfügbaren Datenbanken).
  Jeder Standort hat seine eigene OU mit weiteren UnterOU’s für die verschiedenen Objekte. Über Berechtigungen wird sichergestellt, dass
• SRV Exchange lokal Server
  Zuletzt sind für bestimmte Aktivitäten auch entsprechende Berechtigungen auf dem Server und Betriebssystem erforderlich, z.B. zum Stoppen und Starten von Diensten, Installationen von Update und Patches oder die Verbindung zu WMI, Freigaben (trackinglog) und Registrierung (Diagnoseprotokoll)

Für die verschiedenen Tätigkeiten müssen entsprechende Rechte über Gruppen und Gruppenmitgliedschaften vergeben werden.

Konzeptvorschlag

Basierend auf den Annahmen zur Delegierung von Berechtigungen könnte folgendes vereinfachtes Berechtigungsmodell angesetzt werden.

• Kooperation statt Konfrontation
  Das System erlaubt eine sehr feine und restriktive Konfiguration von Berechtigungen auf einzelne Objekte und sogar einzelne Eigenschaften. Allerdings wird dies immer schwerer zu verwalten und zu überschauen. Über „Tätigkeitsbeschreibungen“ wird festgelegt, welcher Personenkreis für welche Tätigkeiten zuständig ist, auch wenn die Berechtigungen mehr Änderungen zulassen würden. Der Aufwand dies alles 100% dicht zu machen ist nicht zu rechtfertigen. (Siehe auch 313807 XADM: Enhancing the Security of Exchange 2000 for the Exchange Domain Servers Group)
• Jeder Exchange Admin kann „sehen“
  Es wird darauf verzichtet, die Inhalte von Administrativen Gruppen über „DENY“ oder andere Wege vor Benutzern zu verbergen. Dies macht die Vergabe einfacher, da damit ein READ auf der Organisation für alle Exchange Administratoren für viele Aufgaben ausreichend ist und keine Vererbung deaktiviert werden muss
• Wenige ORG-Admins
  Aufgrund der globalen Wirkung von Empfängerrichtlinien, RUS und Adressbüchern ist die Anzahl der Administratoren mit ORG-Rechten beschränkt.
• Effektive und zugleich unterste Berechtigungsstufe ist die Admingroup
  Es wird darauf verzichtet, einzelne Berechtigungen auf einzelne Server, Speichergruppen oder Datenbanken zu vergeben oder zu verbieten.
  Meist ist ein Admin der AdminGroup auch Admin über die Server und kann auch so über Umwege (Backup, PowerControls o.ä.) auf alle Mailboxen zugreifen, d.h. ein Verbot in Exchange ist nur vordergründig wirksam.
• MailboxAdmin
  Eine besondere Rolle kommt den Personen zu, die auch in die Mailboxinhalte Einblick nehmen können oder müssen (z.B. ExMerge, Migration, Archiv, Auswertungen, Virenscan). Dieses Recht ist an der Regel an „SendAs/ReceiveAs“ des Users oder der Datenbank gebunden und für Administratoren mit einem DENY versehen. Ein explizites Recht auf den User oder die Datenbank gewinnt aber und ist daher der geeignete Weg diese Funktion zu erlauben. (MSXFAQ.DE - Mailboxrechte)
• Rechte per Assistent
  Für die Vergabe der Berechtigungen wird der Berechtigungsassistent des Exchange System Managers genutzt. Die Rechte beschränken sich auf „NONE, READ, ADMIN, FULLADMIN.
  Benefiting from Exchange Administration Delegation Wizard
  http://www.microsoft.com/technet/prodtechnol/exchange/guides/E2k3AdminGuide/b9ba8186-737d-4e86-99bb-6374e25082f7.mspx
  Natürlich wird es Ausnahmen geben, die durch den Wizard nicht eingestellt werden können.
• FullAdmin limitert
  Die Berechtigung „Full Admin“ ist auf die Organisationsadmins beschränkt. Damit ist sichergestellt, dass Berechtigungen selbst nicht durch lokale Administratoren weiter delegiert werden können.

Umsetzung

Nachdem Sie nun gelesen haben, welche Berechtigungen vergeben werden können, nachdem Sie die entsprechenden Rollen und die ausübenden Personen definiert haben, geht es zuletzt natürlich an die Umsetzung dieser Berechtigungsstruktur. Dazu sind im wesentlichen folgende Schritte erforderlich:

• Namenskonzept für Gruppen
  Für die Vergabe von Berechtigungen sind Sicherheitsgruppen erforderlich. Ein Namenskonzept hilft bei der Unterscheidung von Gruppen für Datenzugriffen (Freigaben und NTFS) und Verteilergruppen.
• Anlegen der Sicherheitsgruppen
  Weiterhin sind die Gruppen selbst in einer geeigneten OU anzulegen, so dass unerlaubte Änderungen ausgeschlossen sind. Hierzu bieten sich universelle Sicherheitsgruppen an. Die SID ist für die Berechtigung erforderlich und wenn Sie mehrere Domänen in einem Forest betreiben, dann sind universelle Gruppen aufgrund ihrer Auflösung über den GC besser geeignet.
• Berechtigungen delegieren
  Diese neu geschaffenen Gruppen werden nun verwendet, um an den verschiedenen Stellen die erforderlichen Berechtigungen einzutragen.
• Pflegen der Mitgliedschaften
  In diese neu geschaffenen Gruppen sind die entsprechenden administrativen Benutzerkonten aufzunehmen. Allerdings sollten Sie hier noch keine "Fakten" schaffen, sondern erst mal nur einen "Testadmin" einfügen und damit prüfen, ob die vergebenen Berechtigungen auch der zugeteilten Rolle entsprechen. Erst dann sollten Sie die gewünschten administrative Konten in die Gruppe aufnehmen.

Natürlich sind die Möglichkeiten der MSXFAQ begrenzt hier ein vollständiges Konzept für alle Anwendungsfälle und Umgebungen zu erstellen. Das kann ich nicht im Rahmen der Webseite leisten.

Unterstützung durch Net at Work:
Wenn Sie Unterstützung bei einer individuellen Ausarbeitung benötigen, dann sprechen Sie uns doch einfach an.

Weitere Links

• MSXFAQ.DE -AG-Rechte - Berechtigungen für die Exchange Konfiguration verstehen und setzen
• Vererbung
• MSXFAQ.DE - Mailboxrechte
• Exchange 2000/2003 Berechtigungen
• Windows Gruppen und Berechtigungen
• Benefiting from Exchange Administration Delegation Wizard
  http://www.microsoft.com/technet/prodtechnol/exchange/guides/E2k3AdminGuide/b9ba8186-737d-4e86-99bb-6374e25082f7.mspx
• How to Grant WMI Permissions for Message Tracking
  http://www.microsoft.com/technet/prodtechnol/exchange/guides/E2k3ADPerm/29fa71f4-60bc-4fea-98eb-86528a9106d9.mspx?mfr=true
• Sperre der Vererbung von Berechtigungen für Objekt Konfiguration
  http://technet.microsoft.com/de-de/library/aa998240.aspx
• 264733 How to enable the Security tab for the organization object in Exchange 2000 and in Exchange 2003

Keywords:

Adminkonzept Administrator Rechte

Impressum und Datenschutzerklärung. Anmerkungen, Anregungen oder Fragen siehe "Kontakt". Alle Angaben ohne Gewähr! Namen und Produktbezeichnungen können Eigentum der jeweiligen Hersteller sein. (c) 2000-heute Frank Carius, Jede weitere Veröffentlichung nur mit meinem vorherigen Einverständnis.

• NOTFALL
• Grundlagen
• Konzepte
  • Reporting
  • Sizing
  • 4GB Ram
  • 2TB Disk
  • Datenbank Management
  • Backupkonzepte
  • Ende2Ende Monitoring
  • Kontakte
  • Termine
  • TerminFAQ
  • Aufgaben
  • Konferenzräume und Ressourcen
  • Raumbuchung
  • RTFMAIL und WINMAIL
  • Stellvertreter
  • Vertraulich
  • Regeln
  • Weiterleitungen
  • SMTP-Relay
  • Out of Office
  • Hosting
  • Provisioning
  • Metadirectory
  • AG-Rechte
  • Auditing
  • Öffentliche Ordner
  • Web Storage System
  • Archivieren
  • Verzeichnisabgleich
  • Interorg
  • Virenschutz
  • Exchange 5.5 Beispielkonzept
  • Sicherheit
  • Private Mails
  • DNS
  • WINS
  • SAN oder NAS
  • IDE oder SCSI
  • iSCSI
  • SNMP Basics
  • SNMP Intern
  • IPV6
  • NetWare
  • Adminkonzept
  • AdminSDHolder
  • ExAdminkonzept
  • Testfeld
  • Virtualisierung
• Signieren und Verschlüsseln
• Verfügbarkeit
• Admin und Betrieb
• Ex 2000/2003
• Ex 2007/2010
• Unified Communication
• Mobile Clients
• Clients
• Connectoren
• Internet
• Spam und UCE
• Migration/Koexistenz
• Tools
• How-To
• Programmieren
• Produkte
• Events
• Buch
• Verschiedenes
• Ideen
• Sonstiges
• Net at Work
• Newsletter
• Archiv
• English pages