Verteiler und Gruppen

Ich habe zwar auf Windows Gruppen und Berechtigungen schon einiges über Gruppen im Windows Umfeld beschrieben, aber dort liegt der Schwerpunkt auf den Active Directory Gruppen selbst. Eben jede Gruppen im Active Directory können auch auch von Exchange genutzt werden, wenn der Administrator diese entsprechend vorbereitet hat.

Windows Gruppen und Exchange Verteiler

Wer im Active Directory schon einmal Gruppen angelegt hat, wird schon erkannt haben, dass es nicht nur "eine "Gruppe gibt, sondern derer viele: Das sind aber nur die Windows Gruppen ohne Aussage, ob diese etwas mit Exchange zu tu haben. Allerdings sind nicht alle Gruppen gleich gut für Exchange geeignet. Wird eine Gruppe entsprechend "Exchange Aktiviert", dann ist diese aus Exchange Sicht immer ein Verteiler. Folgende Kombinationen sind möglich:

Typ Scope Exchange Tauglichkeit Bemerkung
Sicherheitsgruppe Lokal VerbotSchlecht Sind für Exchange nicht im AD sichtbar
Sicherheitsgruppe Domain WarnungMöglich z.B. wenn der Forest aus nur einer Domain besteht. Problematisch in großen Umgebungen, weil die Memberships nicht im GC sind
Sicherheitsgruppe Universell Sehr gut. Erforderlich, wenn für Berechtigungen genutzt
Verteiler Lokal VerbotSchlecht Sind für Exchange nicht im AD sichtbar
Verteiler Domain WarnungMöglich In einer Single Domain Umgebung nutzbar aber nicht ratsam, da Exchange sich beschwert
Verteiler Universell Sehr gut Nur für Mailverteiler. Werden durch den Store zu Sicherheitsgruppen konvertiert, wenn diese zur Berechtigung verwendet werden..

Die oft gehörten Vorbehalte gegenüber "universellen Gruppen" sind heute so nicht ehr gültig und stammen aus der Windows 2000 Zeit, bei der Mitgliedschaften immer nur komplett repliziert wurden und Bandbreiten im Kilobit-Bereich zu berücksichtigen sind.

Ich würde heute nur noch universelle Gruppen in Verbindung mit Exchange nutzen. In Exchange 2007 werden andere Gruppen gar nicht mehr als Verteiler akzeptiert.

Seit Exchange 2000 ist also alles, was Exchange den Anwendern und Administratoren als "Verteiler" präsentiert eine Windows Gruppe. Es kann eine Sicherheitsgruppe (mit SID) oder ein Verteiler (ohne SID) sein. Technisch ist es ein AD-Objekt der Objektklasse "Group".

Eine SID wir von Exchange immer dann benötigt, wenn dieser Verteiler für die Vergabe von Berechtigungen eingesetzt werden kann. Da nun ein Anwender mit Outlook ja nicht erkennen kann, ob es sich bei einer Gruppe um einen Verteiler oder eine Sicherheitsgruppe handelt, hat der Exchange Store seit Exchange 2000 auch die Möglichkeit, aus einer Verteilergruppe im Active Directory eine Sicherheitsgruppe zu machen.

Zur Verdeutlichung hier ein paar Aussagen zu Gruppen und Verteilen mit Exchange:

Verteiler und RUS

Bei Exchange 2000 und 2003 unterliegen auch die Verteiler der Hoheit des RUS. Immer wenn eine Gruppe für Exchange aktiviert wurde, wird der RUS nach kurzer Zeit dieses neue Objekt finden und mit den ProxyAddresses gemäß seiner Richtlinien versehen.

Bei Exchange 2007/2010 ist das wieder eine Aufgabe der Powershell Commandlets. Wer hier also mit einem Metadirectory arbeitet, muss

Verteiler und Berechtigungen / Erreichbarkeit aus dem Internet

Verteiler sind wichtig und nützlich, aber auch ein Risiko, wenn jeder einen solchen Verteiler einfach ansprechen könnte. Dies gilt um so mehr, da ein Verteiler ja eine SMTP-Adresse hat, die prinzipiell auch aus dem Internet erreichbar ist. Ein gefundenes Fressen für Spammer und Viren.

Seit Exchange 2007/2010 ist ein Verteiler daher sogar per Default besonders geschützt. Hier ist nämlich die Einstellung aktiv, dass Sender an solch einen Verteiler sich authentifizieren müssen.

Wer diesen Weg nicht gehen möchte, kann natürlich auf dem Internet Gateway Mails an solche Adressen direkt aussortieren oder ablehnen. Über eigene Empfängerrichtlinien könnten Sie solchen Gruppen auch eigene Maildomänen (z.B.: gruppenname@firma.intern) o.ä. vergeben, so dass diese sicher nicht aus dem Internet erreichbar sind.

Verborgene Verteilermitgliedschaften

Manchmal ist es erwünscht, dass bestimmte Personen in einem Verteiler sind, damit dieser per Mail angesprochen werden kann, aber die Liste der Personen selbst soll nicht offen gelegt. werden. Ich frage mich natürlich, was das letztlich soll, da ich dann einfach eine Mail per Einschreiben" sende und nach kurzer Zeit dann vermutlich doch von den meisten Personen eine Quittung erhalten habe.

Bis Exchange 2003 war dies sogar möglich, aber Exchange 2007 unterstützt dies nicht mehr. Mit Exchange 2010 SP2 werden die Addressbuchrichtlinien (Adress book Polices) hier wieder etwas Abhilfe schaffen.

Aber Exchange nimmt auch auf solche Anforderungen Rücksicht.

For DLs with hidden membership, the Recipient Update Service removes the non-canonical portion of the security descriptor, leaving only the canonical permissions… After the RUS updates the DL, only members of the Exchange Domain Servers group and Account Operators are allowed to see the membership of the DL. Now, there was some discussion at one point regarding whether Domain Admins should also be removed from the non-canonical part of the security descriptor, but I’m not sure what ever came of that.
Afaik, Account Operators (and also Domain Admins) are not able to view hidden DL membership either. Did some fair amount of testing for this:
Quelle: HOW TO: Hide Distribution Group membership http://exchangepedia.com/blog/2007/11/how-to-hide-distribution-group.html

Berechtigungen auf Verteiler

Die Delegierung von Berechtigungen unterscheidet sich zwischen Exchange 2010 und früheren Versionen. Bei früheren Versionen hat Outlook die Aktionen direkt mit den Credentials des Benutzers durchgeführt. Entsprechend musste der Anwender auf dem AD-Objekt der Gruppe berechtigt sein. Das ist per Powershell sehr einfach möglich

Add-ADPermission `
    -Identity gruppe `
    -User:domain\username `
    -AccessRights ReadProperty, WriteProperty `
    -Properties 'Member'

Allerdings war damit auch verbunden, dass ein Anwender natürlich an Outlook vorbei diese Einstellungen ändern konnte.

Mit Exchange 2010 wurde dies durch RBAC natürlich umgestellt. Outlook gibt den Auftrag an Exchange, welcher dann zuerst die Berechtigungen prüft (RBAC-Rollen und ManagedBy-Attribut) und dann die Änderungen durchführt.

Koexistenz-Phase
Wenn Sie nach Exchange 2010 migrieren, stören die direkt vergebenen ACLs nicht mehr, aber sollten langfristig natürlich wieder entfernt werden. Gut, wer solche Änderungen damals dokumentiert hat.

Das Feld "ManagedBy" ist bei Exchange 2007 ein "Single Item", d.h. es konnte immer nur genau ein Manager festgelegt werden.

Das Feld "ManagedBy" ist bei Exchange 2010 weiterhin ein SingleValue-Feld. Aber mit dem Feld "msExchCoManagedByLink" gibt es neues Feld, welches die weiteren Manager aufnimmt.
Siehe auch ManagedBy

Bis Exchange 2010 SP1 RU2 konnte die Situation entstehen, dass auch per Exchange Powershell bzw. GUI eine Gruppe nicht verwaltet werden konnte, die keinen Manager hatte.

Das führte dann bei der MMC zu der Situation, dass auch Sie als Administrator diese Gruppe nicht mehr verwalten konnten

Das Problem hierbei ist aber, dass die Exchange MMC beim Aufruf der Powershell-Commandlets vergessen hat, den Parameter "BypassSecurityGroupManagerCheck" mit zu übergeben, damit die Überprüfung für Administratoren unterbleibt.

Die Exchange Server selbst haben natürlich über eine explizit vergebene ACL die erforderlichen Rechte zur Pflege von "Managed-by"

Exchange has permissions to modify the attribute:
 
User                : DOMAIN\Exchange Windows Permissions
Deny                : False
IsInherited         : True
InheritanceType     : All
AccessRights        : {WriteProperty}
Properties          : {Managed-By}

Und über eintsprechende Managementrollen ist das Verwaltungsrecht auch zugewiesen

[PS] C:\>Get-ManagementRoleAssignment |? { $_.Role -eq "Distribution Groups" } | Select Name, Role
 
Name                                                             Role
----                                                             ----
Distribution Groups-Organization Management-Delegating           Distribution Groups
Distribution Groups-Organization Management                      Distribution Groups
Distribution Groups-Recipient Management                         Distribution Groups

Die Rollen müssen natürlich auch den Anwendern zugewiesen werden. Zum Glück ist dies in Exchange 2010 gar nicht so schwer, da es schon eine entsprechende "Default Role Assigment Policy" gibt, die für die Anwender festlegt, was sie selbst machen dürfen. Über diese Richtlinie wird z.B. gesteuert, dass Sie als "Self Service" bestimmte Fehler ihres Active Directory Kontos pflegen dürfen. Und über diese Richtlinie lässt sich vortrefflich auch das Management von Verteilern steuern.

Pflege mit OWA/ECP

Der Anwender selbst kann dann einfach über das Controlpanel die Verteiler pflegen. Ich muss nur auf die Optionen gehen und dort "Meine Organisation" verwalten.

Über die Details kann ich dann die Gruppe anzeigen und auch die Mitglieder verwalten.

Pflege mit Outlook

Etwas anders ist die Funktion in Outlook. Auch hier kann der Anwender recht einfach über das Adressbuch den Verteiler öffnen.

Sie sehen hier den Button für "Mitglieder ändern" und über diesen Weg können Sie dann bestehende Mitglieder entfernen oder neue anhand der Adressliste addieren.

Allerdings hängt es etwas von der Outlook Version und Backends aus, ob die Funktion immer möglich ist. Knifflig ist es immer dann, wenn sie mehrere Domänen haben und ihr Outlook oder der Exchange Server einen GC in einer anderen Domäne verwendet, als die Domäne, in der die Gruppe angelegt ist. Dann kann Exchange und Outlook die Gruppe

Weitere Links

Keywords:Verteiler Gruppen Distribution