11
Zusammenhang zw. Exchange und AD
Hallo,
ich habe eine Frage zum Zusammenspiel zwischen Exchange und dem Actice Directory. Vorab: Ich habe relativ wenig Erfahrung in dem Bereich und daher fehlt es mir ein wenig am Grundlagenwissen.
Meine Situation ist folgende: Ich bin zur Zeit damit beschäftigt zu Versuchen ein AD aufzuräumen. Das ganze ist schon einige Jahre alt und in den letzten Jahren nicht gepflegt worden. Es gibt ungefähr 100 Benutzeraccounts, von denen etwa 15 tatsächlich noch zur Benutzeranmeldung verwendet werden; der Rest ist offenbar nur noch vorhanden, für die dazugehörigen Exchange-Postfächer. (Mails werden zum Teil entweder von anderen Benutzern bearbeitet, oder nach extern weitergeleitet)
Womit ich zu meiner Frage komme: Ist das wirklich notwendig, dass es zu jedem Postfach in Exchange auch einen Benutzer im AD gibt? (Insbesondere für die Mailadressen, die nur weitgergeleitet werden)
Was passiert, wenn ich den Benutzer im AD deaktiviere, damit sich mit den Zugangsdaten nicht mehr an der Domäne angemeldet werden kann; ist dann auch das Postfach nicht mehr zu verwenden? Was wäre dann das korrekte Vorgehen, wenn man möchte, dass jemand ein Postfach verwenden, sich aber sonst nicht weiter an der Domäne anmelden kann?
Kann man ein Postfach/eine Mailadresse gefahrlos einem anderen Nutzer zuweisen und den dann unnötigen AD-Account löschen?
Wie man vermutlich sieht fehlt mir das Grundwissen im Zusammenspiel von Exchange und AD, ein gutes Tutorial würde mir da möglicherweise auch helfen.
ich habe eine Frage zum Zusammenspiel zwischen Exchange und dem Actice Directory. Vorab: Ich habe relativ wenig Erfahrung in dem Bereich und daher fehlt es mir ein wenig am Grundlagenwissen.
Meine Situation ist folgende: Ich bin zur Zeit damit beschäftigt zu Versuchen ein AD aufzuräumen. Das ganze ist schon einige Jahre alt und in den letzten Jahren nicht gepflegt worden. Es gibt ungefähr 100 Benutzeraccounts, von denen etwa 15 tatsächlich noch zur Benutzeranmeldung verwendet werden; der Rest ist offenbar nur noch vorhanden, für die dazugehörigen Exchange-Postfächer. (Mails werden zum Teil entweder von anderen Benutzern bearbeitet, oder nach extern weitergeleitet)
Womit ich zu meiner Frage komme: Ist das wirklich notwendig, dass es zu jedem Postfach in Exchange auch einen Benutzer im AD gibt? (Insbesondere für die Mailadressen, die nur weitgergeleitet werden)
Was passiert, wenn ich den Benutzer im AD deaktiviere, damit sich mit den Zugangsdaten nicht mehr an der Domäne angemeldet werden kann; ist dann auch das Postfach nicht mehr zu verwenden? Was wäre dann das korrekte Vorgehen, wenn man möchte, dass jemand ein Postfach verwenden, sich aber sonst nicht weiter an der Domäne anmelden kann?
Kann man ein Postfach/eine Mailadresse gefahrlos einem anderen Nutzer zuweisen und den dann unnötigen AD-Account löschen?
Wie man vermutlich sieht fehlt mir das Grundwissen im Zusammenspiel von Exchange und AD, ein gutes Tutorial würde mir da möglicherweise auch helfen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 202003
Url: https://administrator.de/contentid/202003
Printed on: April 25, 2024 at 13:04 o'clock
11 Comments
Latest comment
Hallo,
werden denn die Mails abgeholt oder zugestellt? Beim abholen kannst Du ja einstellen an welchen internen es gehen soll, bei Zustellen gibst Du dem Mitarbeiter eine weitere Mailadresse (nachdem Du den org. Mitarbeiter mit der Adresse gelöscht hast). Du kannst aber auch Ordnern Mailadressen geben (wenn eh der Mensch fort ist).
Ich glaube, bevor Du das AD aufräumst, solltest Du eine Vorstellung vom dem Zustand haben der das Ziel ist...
Gruß Tim
werden denn die Mails abgeholt oder zugestellt? Beim abholen kannst Du ja einstellen an welchen internen es gehen soll, bei Zustellen gibst Du dem Mitarbeiter eine weitere Mailadresse (nachdem Du den org. Mitarbeiter mit der Adresse gelöscht hast). Du kannst aber auch Ordnern Mailadressen geben (wenn eh der Mensch fort ist).
Ich glaube, bevor Du das AD aufräumst, solltest Du eine Vorstellung vom dem Zustand haben der das Ziel ist...
Gruß Tim
Hallo,
wenn Du einem Benutzer eine Mailadresse wegnimmst und einem anderen gibst, wird er in sein Postfach fortan die Mails bekommen die an diese Adresse gerichtet sind.
Wenn Du einen Benutzer nur deaktivierst, gehen in dem Postfach, WENN keine Weiterleitung eingerichtet ist, keine Mails ein und der Absender bekommt eine Fehlermeldung.
Wenn eine Weiterleitung eingerichtet ist (vom Administrator) dann geht die Mail an die entsprechende Mailadresse.
Wenn Du einen Benutzer löschsat werden auch alle Mailadressen, Weiterleitungen, Postfächer gelöscht. Denk daran, das es eine Mailarchivierungspflicht gibt, also fang nicht an irgendwelche Postfächer zu löschen von denen zumindest keine Sicherung mehr besteht.
Ist es ein SBS? Der generiert nette Übersichten wo man sehen kann welches Postfach um wieviel gewachsen ist, so findest Du ggf. Postfächer bei denen nix mehr an kommt.
Generell im AD löschen immer mit Vorsicht, wenn man weiß was man tut, sonst nur deaktivieren.
Gruß
Chonta
wenn Du einem Benutzer eine Mailadresse wegnimmst und einem anderen gibst, wird er in sein Postfach fortan die Mails bekommen die an diese Adresse gerichtet sind.
Wenn Du einen Benutzer nur deaktivierst, gehen in dem Postfach, WENN keine Weiterleitung eingerichtet ist, keine Mails ein und der Absender bekommt eine Fehlermeldung.
Wenn eine Weiterleitung eingerichtet ist (vom Administrator) dann geht die Mail an die entsprechende Mailadresse.
Wenn Du einen Benutzer löschsat werden auch alle Mailadressen, Weiterleitungen, Postfächer gelöscht. Denk daran, das es eine Mailarchivierungspflicht gibt, also fang nicht an irgendwelche Postfächer zu löschen von denen zumindest keine Sicherung mehr besteht.
Ist es ein SBS? Der generiert nette Übersichten wo man sehen kann welches Postfach um wieviel gewachsen ist, so findest Du ggf. Postfächer bei denen nix mehr an kommt.
Generell im AD löschen immer mit Vorsicht, wenn man weiß was man tut, sonst nur deaktivieren.
Gruß
Chonta
Hallo,
fangen wir doch mal oben an...
Damit sind wir bei
). Das Postfach wird weiterhin Mails empfangen (mindestens seit Exchange 2007). Nur kannst du dich mit dem Account, der zum Postfach gehört, nicht mehr anmelden, also auch nicht mehr auf das Postfach zugreifen. Machen kann man das aber etwa mit Gruppenpostfächern (info@firma.de). Da kannst du den zugehörigen AD-Account disablen und dafür den persönlichen Postfächern der Mitarbeiter FullAccess geben. Dann können sie das info als zusätliches in Outlook einbinden.
Beispiel: du hast ein Postfach "Info" (info@firma.de) und eins "Verkauf" (verkauf@firma.de) (intern verwendest du ja eh Anzeigenamen, nicht E-Mail-Adressen). Jetzt überträgst du die E-Mail-Adresse von Info an Verkauf. Dann fällt dir auf, dass "Verkauf" kein guter Name ist, und du benennst es in "Info" um. Tippt jetzt ein Mitarbeiter intern "Info" in sein Outlook, so ist im Cache noch die alte interne Adresse (LegacyDN), und die Mail kann nicht zugestellt werden.
Gruß
Filipp
fangen wir doch mal oben an...
Zusammenhang zw. Exchange und AD
Der ist sehr eng. Exchange speichert letzlich nur die eigentlichen Postfachächer (Ordnerstrukturen, E-Mails, Kalendereinträge, Regeln...) auf Exchange selber. Alles andere liegt im AD. Das betrifft neben 99% der Exchange-Konfiguration auch alles was zur Adressierung (sämtliche E-Mail-Adressen) von Postfächern und Zugriffsrechten auf Postfächer etc gehört.Damit sind wir bei
Ist das wirklich notwendig, dass es zu jedem Postfach in Exchange auch einen Benutzer im AD gibt?
Ja, definitiv!(Insbesondere für die Mailadressen, die nur weitgergeleitet werden)
Dafür allerdings brauchst du i.A. kein Postfach, sondern nur eine Mail-Enabeld Kontakt. Der wird zwar auch im AD gespeichert (wie alles von Exchange...), ist aber kein Useraccount - man kann sich damit also nicht anmelden.Was passiert, wenn ich den Benutzer im AD deaktiviere, damit sich mit den
Zugangsdaten nicht mehr an der Domäne angemeldet werden kann; ist dann auch das Postfach nicht mehr zu verwenden?
Klares Jein (und der Tip: Probieren geht über studieren Zugangsdaten nicht mehr an der Domäne angemeldet werden kann; ist dann auch das Postfach nicht mehr zu verwenden?
). Das Postfach wird weiterhin Mails empfangen (mindestens seit Exchange 2007). Nur kannst du dich mit dem Account, der zum Postfach gehört, nicht mehr anmelden, also auch nicht mehr auf das Postfach zugreifen. Machen kann man das aber etwa mit Gruppenpostfächern (info@firma.de). Da kannst du den zugehörigen AD-Account disablen und dafür den persönlichen Postfächern der Mitarbeiter FullAccess geben. Dann können sie das info als zusätliches in Outlook einbinden.Was wäre dann das korrekte Vorgehen, wenn man möchte, dass jemand ein Postfach verwenden,
sich aber sonst nicht weiter an der Domäne anmelden kann?
Auf Exchange-Seite sieht MS diese Funktion nicht vor. Aber: Man kann im AD das Anmelden auf bestimmte PCs beschränken. Die Exchange-Anmeldung sollte dadurch nicht eingeschränkt werden. Ist glaube ich der beste Workaround.sich aber sonst nicht weiter an der Domäne anmelden kann?
Kann man ein Postfach/eine Mailadresse gefahrlos einem anderen Nutzer zuweisen und
den dann unnötigen AD-Account löschen?
Wieder ein klares Jein. E-Mail-Adressen kannst du gefahrlos von einem Nutzer auf einen anderen übertragen. Bei von extern empfangenen Mails funktioniert das auch einwandfrei. Etwas tricky ist: intern verwendet Exchange keine E-Mail-Adressen sondern einen internen Namen (LegacyExchangeDN) und den Outlook Nickname Cache. Der LegacyDN lässt sich auch übertragen, man muss nur dran denken. Und wenn man Postfächer umzieht oder umorganisiert kann der für etwas Verwirrung sorgen.den dann unnötigen AD-Account löschen?
Beispiel: du hast ein Postfach "Info" (info@firma.de) und eins "Verkauf" (verkauf@firma.de) (intern verwendest du ja eh Anzeigenamen, nicht E-Mail-Adressen). Jetzt überträgst du die E-Mail-Adresse von Info an Verkauf. Dann fällt dir auf, dass "Verkauf" kein guter Name ist, und du benennst es in "Info" um. Tippt jetzt ein Mitarbeiter intern "Info" in sein Outlook, so ist im Cache noch die alte interne Adresse (LegacyDN), und die Mail kann nicht zugestellt werden.
Gruß
Filipp
Zitat von @Chonta:
Ist es ein SBS? Der generiert nette Übersichten wo man sehen kann welches Postfach um wieviel gewachsen ist, so findest Du ggf. Postfächer bei denen nix mehr an kommt.
Generell im AD löschen immer mit Vorsicht, wenn man weiß was man tut, sonst nur deaktivieren.
Ist es ein SBS? Der generiert nette Übersichten wo man sehen kann welches Postfach um wieviel gewachsen ist, so findest Du ggf. Postfächer bei denen nix mehr an kommt.
Generell im AD löschen immer mit Vorsicht, wenn man weiß was man tut, sonst nur deaktivieren.
Hm, wenn man nur deaktiviert, dann trägt das doch aber auch nicht zur Übersichtlichkeit bei. Ich finde das AD so schon unübersichtlich genug, wie soll das denn bei einem richtig großen System mit mehreren Hundert oder Tausend Nutzern aussehen?
Also es handelt sich um einen Exchange Server 2010 auf einem Windows Server 2008 R2. Die Domönenfunktionsebene ist Windows Server 2003 (falls das von Bedeutung ist).
Gibt es da ebenfalls diese Übersichten?
Was ich auch interessant fände wäre eine Übersicht, wann die einzelnen Postfächer das letzte Mal abgerufen wurden. Mails die ankommen aber von niemandem gelesen/bemerkt werden sind doch irgendwie wichtiger, als Mails die nicht ankommen.
Zitat von @filippg:
> (Insbesondere für die Mailadressen, die nur weitgergeleitet werden)
Dafür allerdings brauchst du i.A. kein Postfach, sondern nur eine Mail-Enabeld Kontakt. Der wird zwar auch im AD gespeichert (wie alles von Exchange...), ist aber kein Useraccount - man kann sich damit also nicht anmelden.
> (Insbesondere für die Mailadressen, die nur weitgergeleitet werden)
Dafür allerdings brauchst du i.A. kein Postfach, sondern nur eine Mail-Enabeld Kontakt. Der wird zwar auch im AD gespeichert (wie alles von Exchange...), ist aber kein Useraccount - man kann sich damit also nicht anmelden.
Okay, also Weiterleitungen kann man über Kontakte machen. Gut. Aber ich nehme nicht an, dass ich einen "Benutzer" in einen "Kontakt" umwandeln kann. Wenn ich jetzt also die Mailadresse eines Benutzers mit Postfach zu einer Weiterleitung machen will, wie ist das korrekte vorgehen? Mailadresse beim Benutzer löschen, beim Kontakt neu hinzufügen und dann den ursprünglichen Benutzer löschen, bzw. deaktivieren?
Klares Jein (und der Tip: Probieren geht über studieren ). Das Postfach wird weiterhin Mails empfangen (mindestens seit Exchange 2007). Nur kannst du dich mit dem Account, der zum Postfach gehört, nicht mehr anmelden, also auch nicht mehr auf das Postfach zugreifen. Machen kann man das aber etwa mit Gruppenpostfächern (info@firma.de). Da kannst du den
zugehörigen AD-Account disablen und dafür den persönlichen Postfächern der Mitarbeiter FullAccess geben. Dann
können sie das info als zusätliches in Outlook einbinden.
). Das Postfach wird weiterhin Mails empfangen (mindestens seit Exchange 2007). Nur kannst du dich mit dem Account, der zum Postfach gehört, nicht mehr anmelden, also auch nicht mehr auf das Postfach zugreifen. Machen kann man das aber etwa mit Gruppenpostfächern (info@firma.de). Da kannst du denzugehörigen AD-Account disablen und dafür den persönlichen Postfächern der Mitarbeiter FullAccess geben. Dann
können sie das info als zusätliches in Outlook einbinden.
Also das mit dem Probieren ist so eine Sache. Man will ja am Live-System nichts kaputt machen. ;)
Das mit den Gruppenpostfächern klingt doch schonmal ganz interessant. Wäre das dann auch der korrekte Weg, wenn ein Benutzer zwei voneinander unabhängige Postfächer haben soll, die im gleichen Outlook angezeigt werden sollen: Zusätzlichen Benutzer anlegen und deaktivieren, diesem die entsprechende Mailadresse geben und Vollzugriff für den tatsächlichen Benutzer. Oder gäbe es da noch einen anderen Trick?
Beispiel: du hast ein Postfach "Info" (info@firma.de) und eins "Verkauf" (verkauf@firma.de) (intern verwendest
du ja eh Anzeigenamen, nicht E-Mail-Adressen). Jetzt überträgst du die E-Mail-Adresse von Info an Verkauf. Dann
fällt dir auf, dass "Verkauf" kein guter Name ist, und du benennst es in "Info" um. Tippt jetzt ein
Mitarbeiter intern "Info" in sein Outlook, so ist im Cache noch die alte interne Adresse (LegacyDN), und die Mail kann
nicht zugestellt werden.
du ja eh Anzeigenamen, nicht E-Mail-Adressen). Jetzt überträgst du die E-Mail-Adresse von Info an Verkauf. Dann
fällt dir auf, dass "Verkauf" kein guter Name ist, und du benennst es in "Info" um. Tippt jetzt ein
Mitarbeiter intern "Info" in sein Outlook, so ist im Cache noch die alte interne Adresse (LegacyDN), und die Mail kann
nicht zugestellt werden.
Wo wird das dann umgestellt, damit alles wieder funktioniert wie es soll?
Okay, dann versuche ich nochmal kurz eine Zusammenfassung:
E-Mailadresse, die einfach weitergeleitet werden soll -> als Kontakt
E-Mailadresse, deren Mails an mehrere Postfächer gehen soll -> als Verteilergruppe
E-Mailadresse an ein Postfach, welches ein Benutzer als zusätzlicher Postfach nutzen soll -> "toten" Benutzer anlegen und deaktivieren, Vollzugriff für existierenden Benutzer.
Da kommt mir gerade nochwas in den Sinn: Was passiert eigentlich mit E-Mails, die an eine Adresse gehen, die zu einer Gruppe gehört, wenn diese Gruppe keine Mitglieder hat. Oder die Gruppe hat Mitglieder, aber keines davon hat ein Postfach?
Danke schonmal für die bisherigen Antworten.
Hallo,
Wenn du einfach 2-5 Testnutzer mit Postfach anlegst, und dann mal a weng mit den Adressen hin- und herjonglierst kann nur sehr wenig passieren.
Gruß
Filipp
Hm, wenn man nur deaktiviert, dann trägt das doch aber auch nicht zur Übersichtlichkeit bei. Ich
finde das AD so schon unübersichtlich genug, wie soll das denn bei einem richtig großen System
mit mehreren Hundert oder Tausend Nutzern aussehen?
Die Frage ist m.E. nicht, wie viele Objekte man hat, sondern wie gut man die Pflegt. Wenn man immer nur anlegt & nie löscht (oder deaktiviert), am besten auch keine Namenskonventionen hat, dann weiß man schnell nicht mehr, welcher Account wofür ist. Aber mit ein bisschen Selbstdisziplin...finde das AD so schon unübersichtlich genug, wie soll das denn bei einem richtig großen System
mit mehreren Hundert oder Tausend Nutzern aussehen?
Was ich auch interessant fände wäre eine Übersicht, wann die einzelnen Postfächer das letzte Mal abgerufen
wurden.
Was man auslesen kann ist, wann sich das letzte mal jemand am Postfach angemeldet hat. Probier mal get-mailboxstatistics | select DisplayName, Last*wurden.
Mailadresse beim Benutzer löschen, beim Kontakt neu
hinzufügen und dann den ursprünglichen Benutzer löschen, bzw. deaktivieren?
Genau.hinzufügen und dann den ursprünglichen Benutzer löschen, bzw. deaktivieren?
Also das mit dem Probieren ist so eine Sache. Man will ja am Live-System nichts kaputt machen. ;)
Naja... ich sage ja auch nicht, du sollst mal schauen, was passiert, wenn du eine DB löschst (wobei du tatsächlich unbedingt mal versuchen solltest, ob euer Backup funktioniert, aber das ist ein anderes Thema).Wenn du einfach 2-5 Testnutzer mit Postfach anlegst, und dann mal a weng mit den Adressen hin- und herjonglierst kann nur sehr wenig passieren.
Das mit den Gruppenpostfächern klingt doch schonmal ganz interessant. Wäre das dann auch der korrekte Weg, wenn ein
Benutzer zwei voneinander unabhängige Postfächer haben soll, die im gleichen Outlook angezeigt werden sollen:
Zusätzlichen Benutzer anlegen und deaktivieren, diesem die entsprechende Mailadresse geben und Vollzugriff für den
tatsächlichen Benutzer. Oder gäbe es da noch einen anderen Trick?
Dazu muss man sich überlegen, wofür man "unabhängige Postfächer" benötigt, und was "unabhängig" bedeutet. Was in der Beschreibung noch fehlt, ist das SendAs-Recht (des Nutzer auf dem sekundären Postfach). Und wenn man beide Nutzer aktiviert lässt kann man beide als eigenständige Postfächer in Outlook 2010 einbinden, dann ist das noch etwas unabhängiger.Benutzer zwei voneinander unabhängige Postfächer haben soll, die im gleichen Outlook angezeigt werden sollen:
Zusätzlichen Benutzer anlegen und deaktivieren, diesem die entsprechende Mailadresse geben und Vollzugriff für den
tatsächlichen Benutzer. Oder gäbe es da noch einen anderen Trick?
Wo wird das dann umgestellt, damit alles wieder funktioniert wie es soll?
Als erstes braucht man den LegcayDN. Den bekommt man bei existierenden Nutzern mit get-Recipient. Ist der Nutzer schon gelöscht und das Problem bereits aufgetreten steht er in der Fehlermeldung. In beiden Fällen: in Exchange als neue E-Mail-Adresse hinzufügen, und als Typ X500 angeben (siehe E-Mail-Übermittlung an externen (vormals internen) Exchange-Benutzer)Da kommt mir gerade nochwas in den Sinn: Was passiert eigentlich mit E-Mails, die an eine Adresse gehen, die zu einer Gruppe
gehört, wenn diese Gruppe keine Mitglieder hat. Oder die Gruppe hat Mitglieder, aber keines davon hat ein Postfach?
Da sind wir wieder beim Probieren, das über Studieren geht. Und von wegen "nichts kaputtmachen": Was soll denn passieren, wenn du einen neuen Verteiler anlegst und eine Mail an ihn schickst? (Am besten erst mit Mitgliedern testen, dann ohne).gehört, wenn diese Gruppe keine Mitglieder hat. Oder die Gruppe hat Mitglieder, aber keines davon hat ein Postfach?
Gruß
Filipp
Zitat von @filippg:
Die Frage ist m.E. nicht, wie viele Objekte man hat, sondern wie gut man die Pflegt. Wenn man immer nur anlegt & nie löscht (oder deaktiviert), am besten auch keine Namenskonventionen hat, dann weiß man schnell nicht mehr, welcher Account wofür ist. Aber mit ein bisschen Selbstdisziplin...
Die Frage ist m.E. nicht, wie viele Objekte man hat, sondern wie gut man die Pflegt. Wenn man immer nur anlegt & nie löscht (oder deaktiviert), am besten auch keine Namenskonventionen hat, dann weiß man schnell nicht mehr, welcher Account wofür ist. Aber mit ein bisschen Selbstdisziplin...
Naja, der Tipp wäre dann wohl bei meinen Vorgängern besser aufgehoben gewesen.
Ich muss mich halt mit dem Zustand des AD arrangieren, wie er jetzt vorliegt. Und das ich zur Zeit auf dem Gebiet noch Anfänger bin macht es nicht unbedingt besser. (z.B. weiß ich ja nichtmal welche OUs im AD built-in sind und welche angelegt wurden)
Was man auslesen kann ist, wann sich das letzte mal jemand am Postfach angemeldet hat. Probier mal get-mailboxstatistics | select DisplayName, Last*
Danke, das hat mir schon mal etwas weiter geholfen.
> Also das mit dem Probieren ist so eine Sache. Man will ja am Live-System nichts kaputt machen. ;)
Naja... ich sage ja auch nicht, du sollst mal schauen, was passiert, wenn du eine DB löschst (wobei du tatsächlich unbedingt mal versuchen solltest, ob euer Backup funktioniert, aber das ist ein anderes Thema).
Wenn du einfach 2-5 Testnutzer mit Postfach anlegst, und dann mal a weng mit den Adressen hin- und herjonglierst kann nur sehr wenig passieren.
Naja... ich sage ja auch nicht, du sollst mal schauen, was passiert, wenn du eine DB löschst (wobei du tatsächlich unbedingt mal versuchen solltest, ob euer Backup funktioniert, aber das ist ein anderes Thema).
Wenn du einfach 2-5 Testnutzer mit Postfach anlegst, und dann mal a weng mit den Adressen hin- und herjonglierst kann nur sehr wenig passieren.
Naja, wenn man sich nach dem "nicht löschen sondern nur deaktivieren" richtet, dann habe ich hinterher 2–5 weitere Nutzerobjekte, die die Übersichtlichkeit beeinträchtigen.
)Dazu muss man sich überlegen, wofür man "unabhängige Postfächer" benötigt, und was "unabhängig" bedeutet.
Naja, du hast da vorher ein gutes Beispiel gebracht: info@firma.de
Wenn ich das richtig verstehe wäre halt eine Möglichkeit, das als Mailadresse einer Verteilergruppe anzulegen. Dann würden Mails an die Adresse an jedes Mitglied der Gruppe gehen, aber ein Mitglied wüsste nicht, ob jemand anderes die Mail schon gelesen (oder beantwortet hat).
Oder eben das, was ich mir eher drunter vorstelle: Ein Postfach, das bei den betreffenden Nutzern im Outlook zusätzlich angezeigt wird. Also ein deaktivierter Nutzer, auf dessen Postfach die Nutzer vollzugriff haben.
Was in der Beschreibung noch fehlt, ist das SendAs-Recht (des Nutzer auf dem sekundären Postfach).
Ist das "Senden als"-Recht beim Vollzugriff nicht implizit mit dabei?
Und wenn man beide Nutzer aktiviert lässt kann man beide als eigenständige Postfächer in Outlook 2010 einbinden, dann ist das noch etwas unabhängiger.
Hm, als zusätzliches Konto einbinden habe ich gerade mal ausprobiert; hat aber auch bei einem deaktivierten Nutzer funktioniert, oder lag das jetzt daran, dass ich zusätzlich noch das Vollzugriffsrecht hatte?
Da sind wir wieder beim Probieren, das über Studieren geht. Und von wegen "nichts kaputtmachen": Was soll denn passieren, wenn du einen neuen Verteiler anlegst und eine Mail an ihn schickst? (Am besten erst mit Mitgliedern testen, dann ohne).
Na gut, dann spiele ich mal rum.
Dann kann ich auch testen, ob man bei einem Verteiler auch ein "Senden als" festelegen kann.
Eine Sache gibt es aber, die ich beim Testen jetzt noch nicht so recht verstehe: Wenn ich in der Exchange-Verwaltungskonsole bei einem Testpostfach mich als Vollzugriff eintrage, dann erscheint dieses Konto im Outlook völlig automatisch in der Ordner-Liste und ich bekomme es nicht weg. Bei einem anderen Nutzer hatte ich jetzt aber letztens die Situation, dass das Postfach erst dann erschien, als man es unter Konto ändern > weitere Einstellungen > Erweitert bei "Zusätzlich diese Postfächer öffnen" eingetragen hat. Und es verschwand auch wieder wenn man es dort entfernte. Woran liegt das?
Hi,
Nein, es ist nicht dabei (seit Exchange 2003 SP2)
Bei dem anderen Nutzer war dieses Attribut nicht befüllt. Entweder, weil es jemand manuell gelöscht hatte, oder weil das FullAccess-Recht mit einer älteren Version von Exchange gesetzt wurde oder weil etwas schiefgelaufen ist
Gruß
Filipp
Ich muss mich halt mit dem Zustand des AD arrangieren, wie er jetzt vorliegt.
Ja, aufräumen ist viel Arbeit. Wobei auch da gilt: nur Mut! Bei AD-Objekten kann man sich "LastModified" anzeigen lassen. Wenn eine Kennwortpolicy gesetzt ist, die alle 30 Tage Kennwortwechsel erfordert, LastModified aber 6 Monate zurückliegt & der Account nicht "Password never expires" gesetzt hat, dann wurde er wohl seit mind. 5 Monaten nicht genutzt -> Deaktivieren & und in eine neu angelegte OU "Alt-Accounts" verschieben. Und wenn doch jeamdn schreit, mei, dann halt wieder aktivieren & zurückschieben. Und OUs und Gruppen kann man auch einfach umbenennen, wenn's jemand nicht passt, wird er sich melden.(z.B. weiß ich ja nichtmal welche OUs im AD built-in sind und welche angelegt wurden)
Soweit ich weiß: es gibt gar keine Built-In-OUs, sondern nur built-in-Container. Bei genauem Hinsehen wirst du erkennen, dass z.B. "Users" ein anderes Symbol hat, als eine von dir angelegte Test-OU.Naja, du hast da vorher ein gutes Beispiel gebracht: info@firma.de
Wenn ich das richtig verstehe wäre halt eine Möglichkeit, das als Mailadresse einer Verteilergruppe anzulegen.
Bloß nicht. Das Problem dabei hast du ja selbst erkannt.Wenn ich das richtig verstehe wäre halt eine Möglichkeit, das als Mailadresse einer Verteilergruppe anzulegen.
Ist das "Senden als"-Recht beim Vollzugriff nicht implizit mit dabei?
Probieren geht über... Ist allerdings nicht ganz einfach, da die SendAs-Berechtigungen auf dem Hub gecacht werden -> wenn du zu schnell testest (Cache-Aging glaube ich 30min) bekommst du falsche Ergebnisse.Nein, es ist nicht dabei (seit Exchange 2003 SP2)
Hm, als zusätzliches Konto einbinden habe ich gerade mal ausprobiert; hat aber auch bei einem deaktivierten Nutzer
funktioniert, oder lag das jetzt daran, dass ich zusätzlich noch das Vollzugriffsrecht hatte?
Wenn du es bei deinem primären Postfach als zusätzliches Postfach einbindest (Kontoeinstellungen -> Doppelklick auf das Konto -> Weitere -> Erweitert) authentifizierst du dich mit deinem Konto am Exchange und das FullAccess wird verwendet. Wenn du Kontoeinstellungen -> Neu ->... wählst wird ein weiteres Primäres Konto hinzugefügt. Du musst dann auch die entsprechenden Zugangsdaten eingeben, und die können nur authentifiziert werden, wenn das Konto nicht deaktiviert ist.funktioniert, oder lag das jetzt daran, dass ich zusätzlich noch das Vollzugriffsrecht hatte?
Eine Sache gibt es aber, die ich beim Testen jetzt noch nicht so recht verstehe: Wenn ich in der Exchange-Verwaltungskonsole bei
einem Testpostfach mich als Vollzugriff eintrage, dann erscheint dieses Konto im Outlook völlig automatisch in der
Ordner-Liste und ich bekomme es nicht weg.
Ja, das ist ein Exchange-Feature. Beim Vergeben der Berechtigung wird an deinem Account das Postfach, auf das du berechtigt wurdest, in einem AD-Attribut hinterlegt. Das fragt dann Outlook ab (bzw. kommt es über AutoDiscover mitgeteilt) und bindet es automatisch ein.einem Testpostfach mich als Vollzugriff eintrage, dann erscheint dieses Konto im Outlook völlig automatisch in der
Ordner-Liste und ich bekomme es nicht weg.
Bei dem anderen Nutzer war dieses Attribut nicht befüllt. Entweder, weil es jemand manuell gelöscht hatte, oder weil das FullAccess-Recht mit einer älteren Version von Exchange gesetzt wurde oder weil etwas schiefgelaufen ist
Gruß
Filipp
Zitat von @filippg:
Ja, aufräumen ist viel Arbeit. Wobei auch da gilt: nur Mut! Bei AD-Objekten kann man sich
[...]
schreit, mei, dann halt wieder aktivieren & zurückschieben. Und OUs und Gruppen kann man auch einfach umbenennen, wenn's jemand nicht passt, wird er sich melden.
Ja, aufräumen ist viel Arbeit. Wobei auch da gilt: nur Mut! Bei AD-Objekten kann man sich
[...]
schreit, mei, dann halt wieder aktivieren & zurückschieben. Und OUs und Gruppen kann man auch einfach umbenennen, wenn's jemand nicht passt, wird er sich melden.
Meine Sorge wäre jetzt auch, dass durch das Umbenennen / Verschieben plötzlich irgendwo etwas ins Leere zeigt und dadurch Probleme entstehen, die ich sonst nicht hätte.
Da fällt mir auf: Benutzer kann ich deaktivieren, aber was mache ich mit leeren Gruppen, die ich nicht mehr brauche? Ich kann sie zwar in eine OU "deaktiviert" verschieben, aber das hindert ja niemanden daran sie trotzdem zu verwenden und ihr Zugriffsrechte o.ä. zuzuweisen.
Soweit ich weiß: es gibt gar keine Built-In-OUs, sondern nur built-in-Container. Bei genauem Hinsehen wirst du erkennen, dass z.B. "Users" ein anderes Symbol hat, als eine von dir angelegte Test-OU.
Hm, stimmt. Wobei unter "Users" kann ich gar keine OUs erstellen. Dabei klingt der Begriff so, als wären Benutzer darunter gut aufgehoben. ;)
Ja, das ist ein Exchange-Feature. Beim Vergeben der Berechtigung wird an deinem Account das Postfach, auf das du berechtigt wurdest, in einem AD-Attribut hinterlegt. Das fragt dann Outlook ab (bzw. kommt es über AutoDiscover mitgeteilt) und bindet es automatisch ein.
Bei dem anderen Nutzer war dieses Attribut nicht befüllt. Entweder, weil es jemand manuell gelöscht hatte, oder weil das FullAccess-Recht mit einer älteren Version von Exchange gesetzt wurde oder weil etwas schiefgelaufen ist
Bei dem anderen Nutzer war dieses Attribut nicht befüllt. Entweder, weil es jemand manuell gelöscht hatte, oder weil das FullAccess-Recht mit einer älteren Version von Exchange gesetzt wurde oder weil etwas schiefgelaufen ist
Ah, ich vermute es war "ältere Version von Exchange". Bei einigen Objekten, die ich mir in der Verwaltungskonsole ansehen will bekomme ich nämlich Fehlermeldungen, die mir was von ungültigen Optionen und notwendigen Aktualisierungen erzählen; aber ic hdenke so weit bin ich noch nicht.
Wenn Exchange das also in den aktuellen Versionen automatisch macht, ist diese "Zusätzlich diese Postfächer öffnen"-Option in Outlook nur noch ein Relikt, oder gibt es da noch andere Verwendungen für?
Hallo,
Die Alternative zum einfach löschen ist übrigens, den DisplayName in "*DELETE*AlterGruppenname" zu ändern, und deinen Anwendern mitzuteilen, dass sie dir unbedingt melden sollen, wenn irgendwo eine Gruppe mit *DELETE* auftaucht (tun sie eh nicht), und dass du derartige Gruppen in 1Monat löschen wirst.
Gruß
Filipp
Meine Sorge wäre jetzt auch, dass durch das Umbenennen / Verschieben plötzlich irgendwo etwas ins Leere zeigt und
dadurch Probleme entstehen, die ich sonst nicht hätte.
Da sollte relativ wenig passieren. "DisplayNames" sind eigentlich immer nur "DisplayNames" - sprich: eine Software, die auf dieser Basis irgendetwas verwaltet & dann nichtmehr funktioniert, ist selber schuld. Was ist denn bei Heirat (Namensänderung)? Verschieben: Schon eher, weil sich dadurch der (Fully)DistinguishedName ändert, den könnte jemand nutzen wollen. Aber hey: was kann in einer so kleinen Umgebung schon wirklich passieren. Dann melden sich halt 5 Nutzer bei dir, und du aktivierst sie wieder.dadurch Probleme entstehen, die ich sonst nicht hätte.
Da fällt mir auf: Benutzer kann ich deaktivieren, aber was mache ich mit leeren Gruppen, die ich nicht mehr brauche? Ich kann
sie zwar in eine OU "deaktiviert" verschieben, aber das hindert ja niemanden daran sie trotzdem zu verwenden und ihr
Zugriffsrechte o.ä. zuzuweisen.
Richtig. Aber welchen Sinn hat es, einer leeren Gruppe Zugriffsrechte zuzuweisen? Ja, es kann sein, dass die Gruppe noch irgendwo berechtigt ist und der Geschäftsführer dir morgen sagt "Nehmen Sie mich mal in die Gruppe auf, damit ich da auf die Daten zugreifen kann". Mei, dann legst die Gruppe halt wieder an (und berechtigst sie neu). Oder sagst ihm, dass sie im Rahmen des Projekts "Improve efficency and quality in local IT" entfernt wurde, und du sie neu anlegen musstest.sie zwar in eine OU "deaktiviert" verschieben, aber das hindert ja niemanden daran sie trotzdem zu verwenden und ihr
Zugriffsrechte o.ä. zuzuweisen.
Die Alternative zum einfach löschen ist übrigens, den DisplayName in "*DELETE*AlterGruppenname" zu ändern, und deinen Anwendern mitzuteilen, dass sie dir unbedingt melden sollen, wenn irgendwo eine Gruppe mit *DELETE* auftaucht (tun sie eh nicht), und dass du derartige Gruppen in 1Monat löschen wirst.
Gruß
Filipp
Zitat von @filippg:
Richtig. Aber welchen Sinn hat es, einer leeren Gruppe Zugriffsrechte zuzuweisen?
Richtig. Aber welchen Sinn hat es, einer leeren Gruppe Zugriffsrechte zuzuweisen?
Das Problem ist doch, dass man – soweit ich das sehe – beim Zuweisen von Zugriffsrechten (z.B. zu einem Verzeichnis) eben nicht sehen kann, ob die Gruppe leer ist oder nicht.
Die Alternative zum einfach löschen ist übrigens, den DisplayName in "*DELETE*AlterGruppenname" zu ändern, und deinen Anwendern mitzuteilen, dass sie dir unbedingt melden sollen, wenn irgendwo eine Gruppe mit *DELETE* auftaucht (tun sie eh nicht), und dass du derartige Gruppen in 1Monat löschen wirst.
Aber das widerspricht doch dann dem "keine AD-Objekte löschen" Grundsatz? *verwirrt*
(Ich glaube wenn ich nur das AD hätte, so ganz ohne das Exchange mit dran, würde ich das AD wohl komplett mit neuem Namen neu aufsetzen und die benötigten Nutzer einzeln anlegen. Wäre wohl einfacher, als nach nicht benötigten zu suchen.
)
Hallo,
Nein, im Ernst: irgendwann musst du die Objekte natürlich löschen. Auch deaktivierte User solltest du irgendwann man abräumen.
So, jede weitere Antwort kostet eine Fünfer.
Gruß
Filipp
Das Problem ist doch, dass man – soweit ich das sehe – beim Zuweisen von Zugriffsrechten (z.B. zu einem Verzeichnis)
eben nicht sehen kann, ob die Gruppe leer ist oder nicht.
Ja, das schon. Aber man sollte sich doch beim zuweisen von Zugriffsrechten überlegen, wem man die zuweist, und nicht einfach die erstbeste Gruppe nehmen. Und wenn man dann darüber nachdenkt, kommt man vielleicht auf die Idee, dass die Gruppe "Interne_Fortpflanungsforschung" nicht so super ist, weil die zugehörige Abteilung vor 2 Jahren aufgelöst wurde (respektive geschlossen in Elternfreizeit ging). Kurz gesagt: wenn ich nicht weiß, wer Mitglied einer Gruppe ist, dann berechtige ich die nicht.eben nicht sehen kann, ob die Gruppe leer ist oder nicht.
Aber das widerspricht doch dann dem "keine AD-Objekte löschen" Grundsatz? *verwirrt*
Das ist kein Grundsatz, mehr eine lose Richtlinie Nein, im Ernst: irgendwann musst du die Objekte natürlich löschen. Auch deaktivierte User solltest du irgendwann man abräumen.
(Ich glaube wenn ich nur das AD hätte, so ganz ohne das Exchange mit dran, würde ich das AD wohl komplett mit neuem
Namen neu aufsetzen und die benötigten Nutzer einzeln anlegen. Wäre wohl einfacher, als nach nicht benötigten zu
suchen. )
Na, dann lösche doch einfach alle im vorhandenen AD und lege sie einzeln neu an Namen neu aufsetzen und die benötigten Nutzer einzeln anlegen. Wäre wohl einfacher, als nach nicht benötigten zu
suchen.
)So, jede weitere Antwort kostet eine Fünfer.
Gruß
Filipp
