2
Bearbeiten von Verteilergruppen - Exchange 2010, Outlook 2010 auf 2008er Terminalserver
Hallo,
ich bin ganz frisch hier und habe gleich mal eine Frage an die Community.
Folgendes Szenario:
Es wurde seitens unserer Exchange-User (ca 50 Personen) angefragt, ob diese selbst im globalen Adressbuch Verteilergruppen erstellen und pflegen können.
Das Erstellen würden wir als Domainadmins selbst übernehmen (müssen), die Pflege würde ich aber gern dedizierten Usern überlassen wollen.
Wenn ich einen Domain-User als Verwalter der Verteilergruppe deklariere und eine entsprechende Policy in der rollenbasierten Zugriffssteuerung erstelle, kann dieser User (allerdings nur im OWA) die Verteilergruppen bearbeiten.
Den OWA wollen wir aber hierbei außer Acht lassen, die Arbeit mit Outlook/Exchange erfolgt fast ausschließlich in dem jeweiligen User-Account auf dem Terminalserver.
Ich habe heute herausgefunden, dass, wenn man Mitglied der Gruppe "Organization Management" in den AD-Microsoft Exchange Security Groups ist, eben diese Verwaltung der Verteilergruppen im Outlook - > Adressbuch tätigen kann, selbst wenn man kein Mitglied der Administratoren bzw. Domainadmins ist.
Meine Frage ist: Welche Auswirkung hat diese Gruppenmitgliedschaft für normale Domainbenutzer, wenn sie aufgrund ihrer diesbezüglichen Einschränkungen keinerlei Zugriffe auf z.B. alle relevanten Server und die Exchange-GUI haben, außer dem positiven Effekt, dass sie -wie gewünscht- Verteilergruppen bearbeiten können?
Bestehen dadurch potenzielle Sicherheitsrisiken für unsere Organisationsstruktur?
Danke schonmal im Voraus
Tilo
ich bin ganz frisch hier und habe gleich mal eine Frage an die Community.
Folgendes Szenario:
Es wurde seitens unserer Exchange-User (ca 50 Personen) angefragt, ob diese selbst im globalen Adressbuch Verteilergruppen erstellen und pflegen können.
Das Erstellen würden wir als Domainadmins selbst übernehmen (müssen), die Pflege würde ich aber gern dedizierten Usern überlassen wollen.
Wenn ich einen Domain-User als Verwalter der Verteilergruppe deklariere und eine entsprechende Policy in der rollenbasierten Zugriffssteuerung erstelle, kann dieser User (allerdings nur im OWA) die Verteilergruppen bearbeiten.
Den OWA wollen wir aber hierbei außer Acht lassen, die Arbeit mit Outlook/Exchange erfolgt fast ausschließlich in dem jeweiligen User-Account auf dem Terminalserver.
Ich habe heute herausgefunden, dass, wenn man Mitglied der Gruppe "Organization Management" in den AD-Microsoft Exchange Security Groups ist, eben diese Verwaltung der Verteilergruppen im Outlook - > Adressbuch tätigen kann, selbst wenn man kein Mitglied der Administratoren bzw. Domainadmins ist.
Meine Frage ist: Welche Auswirkung hat diese Gruppenmitgliedschaft für normale Domainbenutzer, wenn sie aufgrund ihrer diesbezüglichen Einschränkungen keinerlei Zugriffe auf z.B. alle relevanten Server und die Exchange-GUI haben, außer dem positiven Effekt, dass sie -wie gewünscht- Verteilergruppen bearbeiten können?
Bestehen dadurch potenzielle Sicherheitsrisiken für unsere Organisationsstruktur?
Danke schonmal im Voraus
Tilo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 230968
Url: https://administrator.de/contentid/230968
Printed on: April 24, 2024 at 14:04 o'clock
2 Comments
Latest comment
Hallo Tilo,
dafür braucht es nur die entsprechende Berechtigung für die User im AD die man granular mit Delegation festlegen kann:
Beispiel: Berechtigungen für ein Attribut eines Users setzen
Die Exchange-Gruppe "Organization Management" würde ich dazu nicht verwenden, da diese doch weit mehr Rechte hat als dir recht wäre..
Grüße Uwe
dafür braucht es nur die entsprechende Berechtigung für die User im AD die man granular mit Delegation festlegen kann:
Beispiel: Berechtigungen für ein Attribut eines Users setzen
Die Exchange-Gruppe "Organization Management" würde ich dazu nicht verwenden, da diese doch weit mehr Rechte hat als dir recht wäre..
Grüße Uwe
1
Danke für die Anwort, das war der Hinweis zum richtigen Weg.
Viele Grüße
Tilo
Viele Grüße
Tilo
