Exchange 2000/2003 Berechtigungen

Der Exchange 2000 Server hat im Vergleich zu den Berechtigungen in Exchange 5.5 (Siehe Exchange 5.5 Berechtigungen) eine komplett andere neue Struktur der Rechte.

Wenn Sie Informationen suchen, wie Sie unter Exchange auf alle Postfächer Rechte erhalten , dann schauen Sie bitte auf Mailboxrechte nach. Auch ExAdminkonzept und Delegate Admin kann ihnen weitergehende Informationen liefern.

Der fundamentale unterschied besteht darin, dass die Rechte nicht mehr am Exchange 5.5 distinguished Name angebunden sind, sondern an die SID der Objekte. Dies hat weitgreifende Auswirkungen in der Nutzung, da z.B.: jedes Objekt, welches Rechte erhalten soll, zwingend im Active Directory vorhanden sein muss. Damit ist auch klar, warum einfache Kontakte oder Verteiler im AD, die keine SID haben, nicht genutzt werden können. Die Rechte werden in "Access Control Listen" (ACL) gespeichert.

GENERELL GILT: ändern Sie keine Rechte, ohne genau zu wissen, was sie erreichen wollen und dass dies der richtige Weg ist. Ansonsten wird Exchange System sehr schnell nicht mehr funktionieren und es ist nur sehr schwer möglich, die Funktion wieder herzustellen. Auf jeden Fall sollten Sie jede Änderung genau dokumentieren.

Dieser Abschnitt beschreibt recht genau, welcher Rechte und Gruppen es gibt, wofür diese genutzt werden und wie Sie sichtbar und verändert werden können. Diese Beschreibung ist aber bis auf eine Ausnahme keine Anleitung, wie man Rechte verändern kann oder sollte.

Worauf kann man Rechte haben ?

Exchange ist keineswegs ein einfaches System mit wenigen Rechten. Es gibt ein ganzes Bündel von Rechten, die den Zugriff auf die verschiedenen Bereiche sichern und absichern, aber manchmal auch die Administration verbieten.

  • Exchange Serversystem
    Der Zugriff auf den Server selbst, die Hardware und das Betriebssystem und die damit verbundenen Rechte, Dienste zu installieren, Dateien zu aktualisieren etc.
  • Exchange Konfiguration
    Die Informationen über administrative Gruppen, Routinggruppen, Richtlinien liegen in der  Konfiguration Partition des Active Directory. Hierauf können Rechte vergeben werden.
  • Exchange Benutzerobjekte
    Die Information, welcher Benutzer welches Postfach nutzt, seine Mailadresse, die Einstellungen für Grenzwerte etc. liegen in der Domänen Partition im Active Directory. für Änderungen an diesen Informationen benötigen Sie Rechte in der jeweiligen Domäne bzw. OU.
  • Exchange Inhalte in Postfächern
    In der Exchange Datenbank befinden sich Nachrichten, Kontakte, Termine etc. Auch hierauf sind Rechte vergeben, die in der Datenbank gespeichert sind. z.B. Stellvertreterrechte, Zugriff auf Postfächer und Ordner von Kollegen etc.
  • öffentliche Ordner
    Die Informationen über öffentliche Ordner (Replikate, Grenzwerte etc. stehe in einem versteckten Exchange 2000 Systemorder. Auch hierauf sind Rechte möglich. Und natürlich auf viele Systemordern wie "FreeBusy-Zeiten", "EventSinks", Formularbibliothek etc.
  • Exchange Systemobjekte
    Exchange pflegt in einer versteckten OU "Microsoft Exchange System Objects" die Referenzen von Mail enabled öffentliche Ordnern und anderes. Auch hierauf sind Rechte vergeben

Entsprechend sind für die Anzeige und Veränderung der Rechte verschiedene Programme notwendig.

  • MMC für Benutzer und Computer
    Dieses SnapIn "Active Directory Users and Computers" benötigen Sie um die Rechte im Active Directory zu bearbeiten
  • Exchange System Manager
    Der Exchange System Manager wird genutzt, um Objekte im Exchange Store zu verändern
  • MAPI Client
    Outlook bzw. MAPI um die Rechte in einem Postfach oder Ordner zu pflegen.
  • NICHT den Explorer
    Der EXPLORER mit dem Zugriff auf M: ist kein erlaubtes Hilfsmittel, um Rechte auf Ordner, Postfächer oder Elemente zu ändern !!

Aber leider gibt es weitere Rechte, die mit keinem Programm aktuell gesehen oder gesetzt werden können. Exchange 2000 unterstützt im Gegensatz zu Exchange 5.5 Rechte auf einzelne Objekte in Ordnern und sogar bis auf einzelne Felder eines Objekts. Diese Rechte sind aktuell nur für Programmierer in so genannten Application Ordnern sinnvoll zu nutzen.

Die Rechte im Einzelnen

Um im Exchange System Manager die Karteikarte Berechtigungen bei allen Objekten anzeigen zu lassen, müssen Sie einen Schlüssel in der Registrierung setzen. Siehe Exchange System Manager

Schauen wir und nun die Rechte im Einzelnen an:

Exchange Serversystem

Eine Berechtigung betrifft den Exchange Server selbst. Da Exchange 2000 nur auf einem ein Windows 2000 Server läuft, kann jeder, der Administrator über den Server selbst ist, Dienste stoppen und starten, Registrierungswerte ändern, Dateien austauschen etc.

Ein Administrator über den Server selbst ist aber kein Administrator über den Exchange Dienst und dessen Konfiguration. Diese ist eine Berechtigung, die im Active Directory verankert ist. Aber aufgrund des Schadenspotentials ist es zu überlegen, welche Position der Exchange Server im Netzwerk übernimmt. Als Mitgliedsserver ist er besonders gut geschützt. da damit ein Domänenadministrator ausgesperrt werden kann und umgekehrt ein lokaler Administrator nicht automatisch Domänenadministrator ist.

Eine Besonderheit gibt es bei der Nutzung von OWA, da auf einem Domänencontroller sich "normale Anwender" in der Regel nicht anmelden dürfen. Dann funktioniert aber auch kein OWA. Es sei denn ich gebe den Benutzern das Recht der "lokalen Anmeldung". Dann könnten Sich die Anwender aber "auf dem Server" interaktiv anmelden (Terminaldienste oder an der Konsole) und damit Berechtigungen auf Freigabeebene umgehen.

Andererseits kann nur ein Domänencontroller auch "Globaler Katalog" sein und den braucht Exchange. Allerdings kann er auch über das LAN einen GC erfragen.

Sie sehen, der Windows 2000 Server, auf dem Exchange läuft ist keineswegs "einfach". Sie müssen die Gründe für und gegen Mitgliedsserver und Domänencontroller abwägen. In kleinen Umfeldern ist es aber besser Exchange auf einem DC zu installieren, teils weil es der einzige Server ist oder um zwei Domänencontroller (Fehlertoleranz) zu besitzen.

EnterpriseUmgebungen können aber auch darüber nachdenken, eine eigene Domäne für Exchange zu installieren. Firmen, die Exchange als ASP für Kunden "hosten" werden sogar einen eigenen Forrest nur für Exchange implementieren.

Exchange Konfiguration

Exchange speichert seine Konfiguration fast komplett im Active Directory ab. Einige Einstellungen stehen auf dem lokalen Server in der Registrierung und der IIS-Metadatenbank (SMTP etc.). Auf die Einstellungen auf dem lokalen PC kommt jeder lokale Administrator, wie im vorherigen Abschnitt schon beschrieben.

Bleibt die Betrachtung hinsichtlich des Active Directory. Hier speichert Exchange 2000 seine Informationen an zwei unterschiedlichen Stellen. zu denen auch unterschiedlich die Berechtigungen gesetzt werden können:

  • Konfigurationspartition
    Ein Teil der Exchange Konfiguration wird in der Konfigurationspartition des Active Directory abgelegt. Diese Information wird über den gesamten Forrest repliziert und grob vereinfacht haben nur Enterprise Administratoren auf diese Informationen schreiben Zugriff.
    Hier speichert Exchange 2000 seine administrativen Gruppen, die Routinggruppen, Server, Connectoren und auch der ADC ist hier hinterlegt.
    Sie können sich diese Informationen mit dem "Active Directory Standorte und Dienste" anschauen. Bitte ändern Sie hier nicht an den Rechten oder Einstellungen. Nutzen die passenden Administrationswerkzeuge !!. Die Berechtigungen für Personen werden am besten über die extra von Exchange eingerichteten Gruppen vergeben.
  • Domänenpartition
    Losgelöst von der Serverkonfiguration sind die Einstellungen je Benutzer, d.h. die Information, welcher Benutzer "mailenabled" ist und auf welchem Server seine Mailbox liegt.

In  beiden Datenbanken gibt es entsprechende Strukturen mit Objekten, auf die sowohl ein Anwender Rechte braucht (Adressbuchsuche), ein Administrator Rechte zur Konfiguration benötigt, als auch die Exchange Dienste entsprechende Rechte zum Betrieb benötigen. Bitte sind Sie daher besonders vorsichtig beim Anzeigen oder Verändern von Rechten. Auch die Vererbung funktioniert ähnlich wie bei NTFS 5.

Das von Exchange 5.5 bekannte Verzeichnis (DIR.EDB) ist bei Exchange 2000 zugunsten des Active Directory weggefallen. Damit sind nicht nur die Konfigurationsinformationen in das Active Directory gewändert, sondern auch die Stelle, an der Rechte gespeichert werden.

Neu ist auch, dass die Rechte "vererbt" werden. ähnlich dem Dateisystem NTFS gibt es je Knoten die Optionen, die Rechte des darüber liegenden Objekts auf das eigene Objekt zu übernehmen. Entsprechend finden sich Rechteinträge die "Grau" sind. Hier am Beispiel der Servereigenschaften:

Ausnahme sind hiervon nur die öffentlichen Ordner. Rechte hierauf stehen NICHT im Active Directory (Siehe auch öffentliche Ordner)

Vererbung der Rechte

Die Berechtigungen von Exchange 2000 finden Sich im Active Directory ebenso wie auf den Datenobjekten. Die meisten Rechte werden im Exchange System Manager (ESM) verwaltet, wobei der Exchange System Manager aus Sicht des Active Directory nicht ganz oben an der Wurzel ansetzt. für die Bearbeitung einiger Rechte benötigen Sie daher das Programm ADSIEDIT oder LDP.. Unterschiedlich zu Exchange 5.5. ist hier nun die Vererbung durchgängig und vererbt und sehr viel mehrstufiger als "nur" die Rechte auf Organisation, Standort und Konfiguration.

Von oben nach unten sind die Rechte auf folgende Objekte vergeben:

  • AD Site&Server erweiterte Ansicht - Services - Microsoft Exchange - Eigenschaften - Sicherheitseinstellungen
  • AD Site&Server erweiterte Ansicht -Services- Microsoft Exchange - Name der Organisation - Eigenschaften - Sicherheitseinstellungen
    = ESM -Name der Organisation - Eigenschaften - Sicherheitseinstellungen (Registrierungskey notwendig)
  • ESM - Organisation - AdminGroup - Eigenschaften - Sicherheitseinstellungen
  • ESM - Organisation - AdminGroup- Server - Eigenschaften - Sicherheitseinstellungen
  • ESM - Organisation - AdminGroup- Server - Storagegroup - Eigenschaften -Sicherheitseinstellungen
  • ESM - Organisation - AdminGroup- Server - Storagegroup - Datenbank - Eigenschaften - Sicherheitseinstellungen 
  • AD User - Username- Exchange Erweitert - Postfachberechtigungen

Das sind aber bei weitem noch nicht alle Rechte. z.B.: bekommen die Exchange Server über die Sicherheitsrichtlinien für Domain Controller weitere Rechte (z.B. Manage Auditing and Security Log) auf das Active Directory. Fehlt dieses Recht, dann startet ihr Exchange Datenbank nicht mehr.

Daher "Vorsicht", wenn Sie an den Standardrechten etwas ändern. Wenn sie daran schon etwas ändern, sollten Sie sehr bald den Server neu starten um zu erkennen, dass es immer noch läuft und vor allen Dingen sollten Sie genau "DOKUMENTIEREN", wann sie was verändert haben.

Exchange Benutzerobjekte

Exchange liest die Information, welcher Benutzer eine Mailadresse hat und wo dessen Postfach liegt aus dem Active Directory. Da dieses aus mehreren Domänen besteht, werden die meisten Informationen aus dem Globalen Katalog gelesen, welcher eine Teilmenge aller Domänenobjekte des gesamten Forrest enthält. Dieser ist aber "Readonly". Daher benötigt ein Administrator immer die Schreibrechte auf dem Objekt in der Quelldomäne, um hier Änderungen durchführen zu können.

Zuerst sind da die Rechte auf das Active Directory Objekt selbst zu sehen, welche auch ohne Exchange 2000 vorhanden sind. Sie bestimmen, z.B.: die Sichtbarkeit in Adressbüchern, Die Administration etc.

Mit der Installation von Exchange 2000 oder eines ADC mit Exchange 5.5 kommen die Karteikarten "Exchange - Allgemein" und "Exchange - Erweitert" hinzu.  ("Erweiterte Funktionen" in der MMC aktivieren und Exchange Verwaltungsprogramme installieren).

Unter "Exchange - Erweitert" gelangen Sie an die Postfachberechtigungen.

Über die Postfachberechtigungen sind die Zugriffsrechte auf das Exchange Postfach zu steuern. Sie sind im Active Directory abgelegt. Sie sind aber keine ACL auf

Es gibt beim Anwender weitere Rechtelisten , z.B.  für Instant Messaging, welche nicht per GUI erreichbar sind. Per ADSIEDIT kann z.B.: ein Feld MSExchangeIMACL ausgelesen werden. Allerdings ist die Dokumentation dazu recht spärlich.

Auch wenn "technisch" es für die Änderung von Mailadressen bei Benutzern eigentlich ausreichend wäre, das Feld "ProxyAddresses" zu ändern so ist die MMC leider so ungeschickt, eine Systemaufsicht eines Server anzusprechen. Ich vermute, dass die MMC so prüfen möchte, ob die neue Adresse bereits verwendet wird. Genau genommen könnte die MMC auch den GC fragen. Der Zugriff auf den SA erfordert natürlich entsprechende Berechtigungen auf dem Server
Das ist auch in folgendem Technet Artikel beschrieben:

905809 You receive an "ID no: c10308a2" error message when you use the Active Directory Users and Computers snap-in to remotely add or edit an e-mail address für a mail-enabled User in Exchange Server 2003

Exchange Inhalte in Postfächern

Losgelöst vom Active Directory gibt es noch die Exchange Datenspeicher, in denen die gesamten Nachrichten als Postfächer oder öffentliche Ordner liegen. Auch hierauf sind Rechte zu vergeben. Die Rechte sind dabei zusammengesetzt aus dem Recht auf das entsprechende AD-Objekt der Datenbank und des jeweiligen Objekts.

Sie können z.B. auf ein Postfach über "Active Directory Benutzer und Computer" einem, anderen Benutzer auch Rechte auf ein Postfach vergeben. Über Outlook können Sie als Anwender dies ebenso einstellen. Hier sogar noch feiner je Ordner. Exchange kennt dabei eine einfache Abstufung in 8 Stufen. Dahinter werden die Berechtigungen natürlich in NTFS-ACLs umgesetzt.

Stufe (numerisch) 8 7 6 5 4 3 2 1 0
Deutsch Bezeichnung Besitzer Veröffent-lichender Herausgeber Herausgeber Veröffent-lichender Autor Autor Nicht heraus-gebender Autor Lektor Mitarbeiter Keine
Englische Bezeichnung Owner Publishing Editor Editor Publishing Author Author Contributor Reviewer ? None
Ordnerbesitzer

Ja

Nein

Nein

Nein

Nein

Nein

Nein

Nein

Nein
Ordnerkontakt

 

 

 

 

 

 

 

 

 
Ordner sichtbar

Ja

Ja

Ja

Ja

Ja

Nein

Nein

Ja

Ja
Objekte erstellen

Ja

Ja

Ja

Ja

Ja

Ja

Nein

Ja

Nein
Objekte lesen

Ja

Ja

Ja

Ja

Ja

Nein

Nein

Nein

Nein
Unterordner erstellen

Ja

Ja

Nein

Ja

Nein

Nein

Nein

Nein

Nein
Objekte bearbeiten

Alle

Alle

Alle

Eigene

Eigene

Keine

Keine

Keine

Keine
Objekte löschen

Alle

Alle

Alle

Eigene

Eigene

Eigene

Keine

Keine

Keine

Ob ein Ordner sichtbar ist, ist nicht über die acht Stufen definiert, sondern eine eigene Einstellung, d.h. auch ein Benutzer "ohne Rechte" kann den Ordner sehen. Dies ist z.B. auch erforderlich, wenn er z.B.: auf einem unterordner mehr Berechtigungen hat. Ohne die Sichtbarkeit des Wegs dorthin, kann er sonst seine Berechtigungen nicht ausüben.

Werden allerdings einem Konto entsprechende Rechte auf den Datenspeicher selbst vergeben, so kommt diese Konto auch an alle Elemente heran. Siehe auch Mailboxrechte

Exchange Berechtigungen auf öffentliche Ordner

Auf öffentliche Ordner werden ebenfalls per Outlook oder Exchange System Manager entsprechende Rechte verwaltet.

Rechte und Vererbung

Ein besonderes Wort der Warnung ist an die Administratoren zu richten, die an der Vererbung der Berechtigungen drehen wollen. Nicht nur im Dateisystem, sondern viel mehr noch in den OUs und Konfigurationen von Exchange greifen "Vererbungen". Hat ein Benutzer oder eine Gruppe auf einer Ebene entsprechende Rechte, werden diese auch weiter nach unten durchgegeben. Dies gilt erst recht für "Verbote". Besonders bekannt ist hier das Verbot, dass Domain Administratoren keinen Zugriff auf die Inhalte der Postfächer haben und dieses Recht von der Organisation oben bis zum letzten Postfach durch vererbt wird.

Achtung: Deaktivieren Sie NIEMALS die Vererbung. Es gibt andere Wege, Benutzer die erforderlichen Rechte zu geben. Verwenden Sie möglichst nicht die Domain Admin Gruppe, dann stört Sie auch das DENY-Recht nicht.

Um zu verdeutlichen, welchem Risiko Sie ihre Umgebung aussetzen erläutere ich eines der häufigen Probleme: Wenn Sie die Vererbung abschalten bedeutet das, dass der "Status Quo" der Berechtigungen eingefroren wird. Nun gibt es aber Vorgänge, die die Berechtigungen in der Exchange Organisation verändern. Wenn Sie z.B. einen neuen Exchange Server installieren, dann wird dieses Computerkonto ebenso in die Exchange Organisation als berechtigt aufgenommen, zumindest solange es noch Exchange 5.5 Server gibt. ist nun die Vererbung deaktiviert, dann bedeutet dies, dass diese Recht nicht mehr auf die darunter liegenden Objekte vererbt wird. Der Server wird meist gar nicht mal mehr laufen. Sie erkennen das z.B. an einem Eintrag im Eventlog

Der SA wird es immer wieder versuchen, aber letztlich wird die Lösung nur erreicht, wenn Sie die Vererbung wieder aktivieren oder manuell alle Rechte hinzufügen.

Rechte im WebStore

Hier noch ein Auszug aus dem MSDN samt Link, um die Thematik mit dem Webstore und den Problemen aber auch der Programmierung etwas deutlicher zu machen:

Web Storage System Security Roles

Microsoft® Exchange® 2000 Server uses Windows® 2000 security data structures natively in the Microsoft Web Storage System. In addition to the basic read, write, create, and delete rights at the folder and item (or message) levels, Exchange 2000 also supports property-level access control and the concept of application-scoped roles (referred to as Roles).

To provide support für these features on the Windows 95 and Windows 98 platforms, a new XML format has been defined für getting and setting security descriptors on folders and items. This code sample illustrates how roles can be defined and subsequently used in setting security descriptors using XML.

Besondere Gruppen im AD

Mit der Installation von Exchange 2000 in ihren Forrest werden in der Forrest Root Domäne weitere Gruppen angelegt, welche zur Vergabe von Rechten geeignet sind. Vermeiden Sie es, diese Gruppen zu löschen oder zu verändern, ohne genau zu wissen, was Sie bewirken wollen. Diese Gruppen haben teilweise Rechte auf Objekte des Active Directory. Wenn Sie hierbei etwas ungewollt verändern, kann ihre gesamte Exchange Organisation gestört werden. Allerdings hilft es dann oft, das Exchange 2000 Setup einfach wieder eine Reparatur durchführen zu lassen, wobei die Rechte aber wieder auf die Standardwerte zurückgesetzt werden. Exchange 2003 setzt die Rechte nicht mehr zurück.

Es ist immer ein guter Gedanke, die Rechte über Gruppen zu vergeben, da Gruppen einen beschreibenden Namen tragen können und Personen einfach durch die Mitgliedschaft entsprechende Rechte erhalten und auch wieder entzogen werden können. Benutzer sind möglich, aber ein Löschen des Benutzers hinterlässt dann eine verwaiste ACL in der Liste. Ein "Aufräumen" gibt es hier nicht.

Vermeiden Sie Änderungen an den Standardgruppen. Vor allem sollten sie die Gruppen nicht in andere OU's verschieben, da sonst weitere Installationen fehlschlagen. Das erkennen Sie gut an folgenden Einträgen in der "C:\Exchange Server Setup.log"

[12:59:49] Leaving ScIsDomainPrepped
[12:59:49] Entering ScGetExchangeServerGroups
[12:59:49] Getting DOB für group 0
[12:59:49] ScGetExchangeServerGroups
(K:\admin\src\libs\exsetup\dsmisc.cxx:301)
Error code 0X80072030 (8240): Ein solches Objekt ist auf dem
Server nicht vorhanden.

Hier ein Einstieg in die Gruppen:

Exchange Services, Exchange Enterprise Servers, Exchange Domain Servers

Diese Gruppen werden vom Exchange Setup je Domäne bzw. Forrest angelegt um die Exchange Server Konten und Programm darin zusammen zu fassen. Diese Gruppen werden unter anderem benutzt, um Berechtigungen im Active Directory einzutragen. Bitte verändern Sie diese Gruppen nicht. Dies betrifft umbenennen, Verschieben oder Löschen ebenso wie die Änderung der Mitgliedschaften. für einige Administratoren haben diese Gruppen eventuell etwas "viele" Rechte. Das ist aber in Ordnung und solange die Kennworte der Administratoren sicher sind, ist auch das Gesamtsystem sicher. Einzige Ausnahme ist das Hinzufügen besonderer Dienstkonten, z.B. Datensicherung oder Virenscanner nach Herstellervorgabe. Vermeiden Sie es, Dienstkonten blind in diese Gruppen oder auch die Gruppen "Domänenadministratoren" etc. hinzuzufügen, da sowohl NTFS als auch Active Directory auch das System des "Rechte verweigern" kennt und z.B.: die Gruppe der Administratoren einige Rechte "verweigert" bekommt. Der Hersteller der jeweiligen Software sollte ihnen genau sagen können, wie die Rechte einzutragen sind. Ansonsten sollten Sie ein anderes Produkt vorziehen.

Die Gruppe "Exchange Enterprise Servers" enthält z.B.: jede "Exchange Domain Servers" aller Domäne im Forrest. Die Mitgliedschaft wird vom RUS gepflegt !!!. Insofern sind auch Änderungen an diesen Gruppen nicht ratsam.

Die Verwendung der Rechte

In einem Exchange Umfeld gibt es immer verschiedene Rollen, die durch verschiedene Personen ausgefüllt werden. Es bietet sich an, eine entsprechende Gruppe oder einen eigenen Benutzeraccount für diese Verwaltungsaufgaben zuzuweisen. Dann lassen sich Rechte schnell vergeben und an Benutzer binden und mit den Gruppenrichtlinien kann für den Anwender sogar die passende Software veröffentlicht werden. Folgende Rollen wären denkbar

Exchangeadministrator

Diese Personen stellen im wesentlichen die Exchange Dienste bereit, d.h. Sie sind verantwortlich für die Installation, den Betrieb und Kontrolle der Exchange Server. Hier können dank der Exchange 2000 Administratoren Gruppen untergliederungen stattfinden, damit bestimmte Bereiche nicht gegenseitig sich beeinflussen können.

Aufgabe dieser Personen ist es auch, die anderen Rollen zu definieren und die entsprechend notwendigen Rechte zuzuweisen

Serveradministrator

Sollte es eine eigene Personengruppe geben, die für den Betrieb der Serverhardware zuständiges ist, so hat dies keinen direkten Einfluß auf den Exchange Server selbst. Diese Personen sind dann in der Regel Administrator über die Server (Lokale Administratoren, keinen Domänenadministratoren) um den Server bei Bedarf zu starten, Dienst zu stoppen und zu starten oder Updates der Managementsoftware (Compaq Insight, Siemens ServerView, IBM Directory, HP Toptools etc.) durchführen zu können. Die Aufgabe dieser Personen ist es auch, defekte Festplatten, Lüfter und andere Komponenten zu ersetzen. Im Bezug auf Exchange haben diese Personen keine erweiterten Rechte und sind daher nicht gesondert zu berücksichtigen.

Benutzeradministrator

Diese Rolle beschreibt den Administrator, der Benutzer im Active Directory einrichtet und ihnen in diesem Falle optional auch ein Postfach zuweisen muss, damit der Anwender an der Kommunikation teilnehmen kann. Dieser Personenkreis wind in größeren Firmen mehrfach vorhanden sein, wenn die Möglichkeiten des Active Directory ausgeschöpft werden und eine delegierte Administration eingerichtet wird. Entsprechend sind hier die Rechte zu vergeben.

Virenschutzadministrator und Programm

Ein Mailsystem ohne effektiven Virenschutz ist heute nicht mehr denkbar. Daher ist es notwendig, einen Virenscanner zu installieren und zu warten. Hierzu sind zwei Funktionen zu beachten:

  • Virenscanner
    Wenn der Virenscanner auch Postfächer überprüft und dies per MAPI erfolgt, dann muss dieser Dienst mit einem Benutzernamen auf die Postfächer zugreifen, welcher alle Postfächer lesen. Es ist sinnvoll, dazu einen gesonderte Benutzer einzurichten, der die notwendigen Rechte dazu hat und nicht den Administrator die Rechte zu geben
  • Administrator
    Ein Virenscanner muss regelmäßig aktualisiert werden. Auch hierfür sind Rechte notwendig, um Dateien auf dem Server auszutauschen und eventuell die Dienste neu zustarten und die Funktion zu überwachen. Diese Konto sollte die dazu notwendigen Rechte haben, muss aber nicht das Recht haben, alle Postfächer zu öffnen.

Backupadministrator und Programm

Die Datensicherung ist ein besonders wichtiger Punkt bei Exchange 2000, da ohne Sicherung die Transaktionsprotokolle sehr schnell die Festplatte auffüllen würden. Allerdings ist das Backup auch ein sehr sicherheitsrelevanter Bereich, da mit diesem Konto ausreichend rechte zur Sicherung der Datenbank benötigt, aber trotzdem sichergestellt werden muss, dass die Sicherung nicht in falsche Hände gelangt oder irrtümlicherweise durch ein Restore ein Produktivserver beschädigt wird.

Besonderes Augenmerk ist diesem Konto zuzuwenden, wenn zusätzlich zur normalen Sicherung auch noch die einzelnen Mailelemente gesichert werden sollen, denn dann hat diese Konto sehr weit reichende Leserechte auf Postfächer und ist entsprechend sicher ist das Kennwort zu handhaben. (z.B. indem zwei Administratoren immer nu einen Teil des Kennworts können und damit immer beide bei der Eingabe dabei sein müssen)

Kleine Rechte-FAQ

Hier eine "Zusammenfassung" einiger Berechtigungen für die tägliche Arbeit. Mehr möchte ich hier dazu gar nicht publizieren, da Veränderungen an Rechten um spezielle Aufgaben zu bewältigen immer ein Eingriff in das System sind. Wenn Ihnen die Standardrechte und Gruppen nicht ausreichen, dann sollten Sie die Konzepte und Dokumente genau lesen, ein aktuelles Backup haben oder jemanden beauftragen, der sich damit auskennt. Nicht immer sind alle Änderungen einfach zu finden und auch wieder rückgängig zu machen. Auf jeden Fall sollten Sie Änderungen gewissenhaft protokollieren.

öffentliche Ordner zu erstellen

  • Q256131 XADM: Restricting Users from Creating Top-Level Folders
    enthält auch die Infos, wie man die Security tab einblendet

Postfacheigenschaften im AD zu verändern, Verteiler anzulegen oder zu ändern

Hierzu sind die entsprechenden Schreibrechte auf das Active Directory Objekt bzw. die entsprechende OU notwendig. Soll ein Objekt "Mailenabled" werden, so benötigt derjenige noch zumindest das Leserecht auf die Teile des Exchange Konfigurationszweigs, um eine Liste der Exchange 2000 Server und Speichergruppen zu erhalten.

Benutzer zwischen Server zu verschieben oder zu Migrieren

  • Q281496 XFOR: Permissions Required to Run the Migration Wizard
  • Q298142 XADM: Permissions Required to Move a Mailbox from Exchange Server 5.5 to Exchange 2000

Alle Nachrichten zu lesen, nach Viren zu scannen, einzeln zu sichern oder zu archivieren

Hier stehen noch Erweiterungen an. Bitte haben Sie Verständnis, wenn nicht alle Seiten gleich fertig sind

  • Q262054 XADM: How to Get Service Account Access to All Mailboxes in Exchange 2000
  • Q268754 XADM: How to Assign Full Access to Other User's Mailbox

Connectoren zu installieren

Hier stehen noch Erweiterungen an. Bitte haben Sie Verständnis, wenn nicht alle Seiten gleich fertig sind

Exchange 2000 SP2 Update Permissions

To Update an existing Exchange 2000 installation to SP2, log on to the target machine with the following permissions:

  • At least Exchange Administrator (full or standard) of the Administrative Group that contains the server object to be Updated
  • Member of the local “Administrators” group
  • Note If the server running Exchange 2000 is part of an Exchange cluster, or has Key Management Service installed, log on to the target machine with the following permissions:
    Full Exchange Administrator to the Exchange organization
    Member of the local “Administrators” group

Exchange System Management Tools SP2 Update Permissions

It is important that you Update any computers running System Management Tools to Service Pack 2. To Update an existing Exchange System Manager installation to Service Pack 2, log on to the target machine with the following permission:

  • Member of the local “Administrators” group

Exchange 2000 Conferencing Server SP2 Update Permissions

To Update your servers running Exchange 2000 Conferencing Server to SP2, log on to the target computer with the following permissions:

  • Full Exchange Administrator to the Exchange organization
  • Member of the local “Administrators” group
  • If you didn’t previously Update to Exchange 2000 Conferencing Server SP1, you will also require the following permission:
    Member of “Domain Administratoren” in the domain where the conferencing server resides
    Note The ”Domain Administratoren” permission is required because the SP2 Update für Exchange Conferencing Server creates a new global security group called “Exchange Conferencing Access Servers” in the Users container of the Active Directory domain.

Weiter Links

  • Vererbung
  • Mailboxrechte
  • AG-Rechte - Berechtigungen für die Exchange Konfiguration verstehen und setzen
  • Adminkonzept
  • ExAdminkonzept
  • Delegate Admin
  • Split Permissions Model Reference
    http://www.Microsoft.com/technet/prodtechnol/exchange/guides/E2k3ADPerm/22cab6dc-765a-4593-904f-1f50e5f299f5.mspx?mfr=true
  • Exchange 2000 ResKit - Enterprise Deployment Guide - Chapter 30 - Security
  • Working with Store Permissions in Microsoft Exchange 2000 and 2003 Chapter 3: Modifying Permissions
    http://www.Microsoft.com/technet/prodtechnol/exchange/guides/StrPermwE2k3/770b3f6d-9e32-45a0-9b70-843f72f445ed.mspx
  • Exchange 2000 Internals Permissions Guide
    http://www.Microsoft.com/exchange/techinfo/administration/2000/Permissions.doc
  • Q168753 XADM Microsoft Exchange Roles, Rights, and Permissions
  • 240911 How To use ACL Object and CDO (1.21) to List Folder Permissions für a MAPI Folder
  • Q241152 XADM: How to Remove All Security from an Exchange Server Directory Service Database für a Lab Environment
  • Q243330 Well Known Security Identifiers in Windows 2000
  • Q259221 Security Tab Not Available on All Objects in System Manager
  • Q262389 XADM Permissions Required to Move Server Between Routing Groups
  • Q264733 - ADM: How to Enable the Security Tab für the Organization Object
  • Q270905 XADM: unable to Set Client Permissions on Public Folders Through Exchange System Manager
  • Q278888 XADM How to Associate an Exchange 2000 Mailbox with a Windows NT 4.0 Account
  • Q281537 XADM Description of the Policytest.exe utility
  • Q282496 XADM Considerations and Best Practices When Resetting an Exchange Mailbox Database
  • Q291840 Anonymous Client Permissions on Exchange 2000 Newsgroup Folders
  • Q292594 XADM The Information Store Does Not Adhere to Anonymous Client Permissions on Newsgroup Folders
  • Q300444 XADM: Recovering Permissions on Public Folders When Deny Is Set
  • Q309090 XADM: Exchange Administrators Have More Permissions than Expected
  • Q313807 XADM: Enhancing the Security of Exchange 2000 für the Exchange Domain Servers Group
  • Q316792 XADM: Minimum Permissions Necessary to Perform Tasks
  • Q328906 XADM: Access Control List upgrades Cause Slow Public Folder Performance; Fix Requires Exchange 2000 SP3
  • 905809 You receive an "ID no: c10308a2" error message when you use the Active Directory Users and Computers snap-in to remotely add or edit an e-mail address für a mail-enabled User in Exchange Server 2003
  • 828765 Permissions that you must have to install components in Exchange Server 2003
  • Reverse Permissions Audit Scripts Part 2
    http://gsexdev.blogspot.com/2005/06/reverse-permissions-audit-scripts-part.html
  • Setting Permissions on a Mailbox
    http://www.howto-outlook.com/howto/permissions.htm