5
Exchange Benutzerkonto ohne Zugriff auf öffentliche Informationen einrichten
Ein externer Benutzer, ein Bekannter des Chefs mit eigener Internetdomäne, soll ein Postfach auf unserem Exchange 2003 SP2 bekommen, natürlich mit seinem Domännamen. Er soll aber auf Öffentliche Ordner und sonstige firmeninterne Informationen keinen Zugriff haben.
Hallo!
Kann mir jemand sagen, wie die gewünschte Konfiguration zu erreichen ist?
Ich hab schon Stunden gesucht und Konfigs getestet und habe nun Zweifel, ob ein Exchange Server überhaupt dafür gedacht ist, Benutzerkonten zu hosten, die nicht auf alle öffentlichen Informationen Zugriff haben.
Das einzige, das ich gefunden habe, ist für Öffentlichen Ordner die Clientberechtigungen so zu setzen, dass der Benutzer den jeweiligen Ordner nicht sieht. Doch das müsste für jeden Ordner getrennt gemacht werden und wohl auch für zukünftig angelegte.
Lässt sich das Postfach nicht so einstellen, dass der Benutzer die Öffentlichen Ordner und ebenso die GAL gar nicht sieht?
Und weil ich eben dabei bin, ist Outlook 2010 dazu zu bewegen, ein Exchange-Konto einzurichten, ohne dass dieses in der GAL veröffentlicht ist?
Grüße
Kann mir jemand sagen, wie die gewünschte Konfiguration zu erreichen ist?
Ich hab schon Stunden gesucht und Konfigs getestet und habe nun Zweifel, ob ein Exchange Server überhaupt dafür gedacht ist, Benutzerkonten zu hosten, die nicht auf alle öffentlichen Informationen Zugriff haben.
Das einzige, das ich gefunden habe, ist für Öffentlichen Ordner die Clientberechtigungen so zu setzen, dass der Benutzer den jeweiligen Ordner nicht sieht. Doch das müsste für jeden Ordner getrennt gemacht werden und wohl auch für zukünftig angelegte.
Lässt sich das Postfach nicht so einstellen, dass der Benutzer die Öffentlichen Ordner und ebenso die GAL gar nicht sieht?
Und weil ich eben dabei bin, ist Outlook 2010 dazu zu bewegen, ein Exchange-Konto einzurichten, ohne dass dieses in der GAL veröffentlicht ist?
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 195685
Url: https://administrator.de/contentid/195685
Printed on: April 25, 2024 at 19:04 o'clock
5 Comments
Latest comment
Hallo,
erstens wird für den Benutzer sowohl eine Server CALL als auch eine Exchange CALL benötigt. Oder eine external Connectorlizence aber da bin ich mir nicht sicher.
Du legst einen neune Gruppe an, z.B. externeBenutzer.
Danach wird ein Benutzer angelegt und zum einen in die Gruppe externeBenutzer rein und bei DomainBenutzer rausgenommen.
Wenn Du nun die neu Gruppe nicht irgendwo Mitglied werden läßt oder anderweitige Rechte gibst, dann kann der auch keine Öffendlichen Ordner sehen, ob er welche erstleln kann müsstest Du versuchen.
Wenn Du bei den öffentlichen Ordnern der Gruppe Jeder Rechte gegeben hast, dann wird er auch davon profitieren.
Eine Gruppenrichtlinie, die nur auf die Gruppe externeBenutzer gefiltert wird kann dann noch die lokale Anmeldung verhindern.
Gruß
Chonta
erstens wird für den Benutzer sowohl eine Server CALL als auch eine Exchange CALL benötigt. Oder eine external Connectorlizence aber da bin ich mir nicht sicher.
Du legst einen neune Gruppe an, z.B. externeBenutzer.
Danach wird ein Benutzer angelegt und zum einen in die Gruppe externeBenutzer rein und bei DomainBenutzer rausgenommen.
Wenn Du nun die neu Gruppe nicht irgendwo Mitglied werden läßt oder anderweitige Rechte gibst, dann kann der auch keine Öffendlichen Ordner sehen, ob er welche erstleln kann müsstest Du versuchen.
Wenn Du bei den öffentlichen Ordnern der Gruppe Jeder Rechte gegeben hast, dann wird er auch davon profitieren.
Eine Gruppenrichtlinie, die nur auf die Gruppe externeBenutzer gefiltert wird kann dann noch die lokale Anmeldung verhindern.
Gruß
Chonta
Hallo,
was du vom Exchange willst ist letztlich eine Mandantenfähigkeit (also verschiedene Nutzergruppen auf einem System, ohne, dass sie sich gegenseitig sehen/beeinflussen - eine der Nutzergruppen besteht bei dir halt nur aus einer Person).
Man kann Exchange so verbiegen, dass das so halbwegs geht - bei 2003 aber noch schlechter als bei Folgeversionen. Zum Trennen der GAL läuft das unter dem (Such-)Begriff "Address List Segregation". Öffentliche Ordner lassen sich nicht trennen - hier muss man tatsächlich darauf achten, ihn niemals mitzuberechtigen. Auch andere Dinge gehen nicht, z.B. kann man normalerweise ja unter "Remotedomains" festlegen, an wen alles OOF gesendet werden etc - das greift nicht zwischen Mandanten einer Umgebung.
Mein Tipp: lieber 6 Euro im Monat für ein gehostetes Postfach (z.B. Office 365) investieren.
Gruß
Filipp
was du vom Exchange willst ist letztlich eine Mandantenfähigkeit (also verschiedene Nutzergruppen auf einem System, ohne, dass sie sich gegenseitig sehen/beeinflussen - eine der Nutzergruppen besteht bei dir halt nur aus einer Person).
Man kann Exchange so verbiegen, dass das so halbwegs geht - bei 2003 aber noch schlechter als bei Folgeversionen. Zum Trennen der GAL läuft das unter dem (Such-)Begriff "Address List Segregation". Öffentliche Ordner lassen sich nicht trennen - hier muss man tatsächlich darauf achten, ihn niemals mitzuberechtigen. Auch andere Dinge gehen nicht, z.B. kann man normalerweise ja unter "Remotedomains" festlegen, an wen alles OOF gesendet werden etc - das greift nicht zwischen Mandanten einer Umgebung.
Mein Tipp: lieber 6 Euro im Monat für ein gehostetes Postfach (z.B. Office 365) investieren.
Gruß
Filipp
Dank an euch für die Antworten.
@Chonta
So hatte ich mir das auch gedacht. Die öffentlichen Ordner bleiben aber dennoch sichtbar. Selbst wenn ich auf der Ebene "\Exchange\Administrative Gruppen\Erste administrative Gruppe\Ordner\Öffenliche Ordner" eine Verweigerungsregel für die externe Gruppe definiere. Die sollte schließlich alle Berechtigungen overrulen.
Das einzige, was hier Abhilfe schafft, ist der Gruppe keine Rechte in den Clientberechtigungen der einzelnen öffentl. Ordner zu geben. Doch das muss bei jeder Neuanlage eines Ordners wieder bedacht und gemacht werden.
@filippg
Die Sache mit Office 365 habe ich mir kürzlich erst angesehen. Ist auf jeden Fall für eine geringe Anzahl an Mailboxen interessant, auch für uns intern, der alte Exchange will ja auch mal ersetzt werden. Dass ich dann nicht gleich daran gedacht habe. Das schlage ich meinem Chef nun vor. Ist wohl die vernünftigste Lösung.
Danke für den Tipp.
Grüße
@Chonta
So hatte ich mir das auch gedacht. Die öffentlichen Ordner bleiben aber dennoch sichtbar. Selbst wenn ich auf der Ebene "\Exchange\Administrative Gruppen\Erste administrative Gruppe\Ordner\Öffenliche Ordner" eine Verweigerungsregel für die externe Gruppe definiere. Die sollte schließlich alle Berechtigungen overrulen.
Das einzige, was hier Abhilfe schafft, ist der Gruppe keine Rechte in den Clientberechtigungen der einzelnen öffentl. Ordner zu geben. Doch das muss bei jeder Neuanlage eines Ordners wieder bedacht und gemacht werden.
@filippg
Die Sache mit Office 365 habe ich mir kürzlich erst angesehen. Ist auf jeden Fall für eine geringe Anzahl an Mailboxen interessant, auch für uns intern, der alte Exchange will ja auch mal ersetzt werden. Dass ich dann nicht gleich daran gedacht habe. Das schlage ich meinem Chef nun vor. Ist wohl die vernünftigste Lösung.
Danke für den Tipp.
Grüße
Zitat von @viragomann:
Dank an euch für die Antworten.
@Chonta
So hatte ich mir das auch gedacht. Die öffentlichen Ordner bleiben aber dennoch sichtbar. Selbst wenn ich auf der Ebene
"\Exchange\Administrative Gruppen\Erste administrative Gruppe\Ordner\Öffenliche Ordner" eine Verweigerungsregel
für die externe Gruppe definiere. Die sollte schließlich alle Berechtigungen overrulen.
Das einzige, was hier Abhilfe schafft, ist der Gruppe keine Rechte in den Clientberechtigungen der einzelnen öffentl. Ordner
zu geben. Doch das muss bei jeder Neuanlage eines Ordners wieder bedacht und gemacht werden.
Dank an euch für die Antworten.
@Chonta
So hatte ich mir das auch gedacht. Die öffentlichen Ordner bleiben aber dennoch sichtbar. Selbst wenn ich auf der Ebene
"\Exchange\Administrative Gruppen\Erste administrative Gruppe\Ordner\Öffenliche Ordner" eine Verweigerungsregel
für die externe Gruppe definiere. Die sollte schließlich alle Berechtigungen overrulen.
Das einzige, was hier Abhilfe schafft, ist der Gruppe keine Rechte in den Clientberechtigungen der einzelnen öffentl. Ordner
zu geben. Doch das muss bei jeder Neuanlage eines Ordners wieder bedacht und gemacht werden.
Warum sthet die Gruppe denn schon bei allen Ordnern mit rechten drinnen? Normalerweise dürfte eine neue exchangeaktivierte Gruppe nicht in den Ordnern auftauchen.
Das der Benutzer die öffentlichen Ordner sieht muss damit zusamenhängen, das er entweder immernoch in der Gruppe Domainbenutzer ist, oder die Gruppe Jeder zuviele Rechte hat.
Gruß
Chonta
Hallo Chonta!
Nein die Gruppe für externe User habe ich neu angelegt und der betroffene User ist nur in dieser Gruppe Mitglied. Aus Domain-User habe ich ihn rausgeschmissen.
Die Rechte ihm Exchange werden durch den Baum vererbt.
Die Zugriffsrechte auf Öffentliche Ordner lassen sich aber nur über die Clientberechtigungen (Karteireiter Berechtigungen des Ordners > Clientberechtigungen) steuern, und diese müssen für jeden Ordner einzeln gesetzt werden, es können nur User aus der GAL ausgewählt werden. Da müsste man den Benutzer auswählen und ihm dezidiert die Rechte (Ordner sichtbar) entziehen.
Grüße
Nein die Gruppe für externe User habe ich neu angelegt und der betroffene User ist nur in dieser Gruppe Mitglied. Aus Domain-User habe ich ihn rausgeschmissen.
Die Rechte ihm Exchange werden durch den Baum vererbt.
Die Zugriffsrechte auf Öffentliche Ordner lassen sich aber nur über die Clientberechtigungen (Karteireiter Berechtigungen des Ordners > Clientberechtigungen) steuern, und diese müssen für jeden Ordner einzeln gesetzt werden, es können nur User aus der GAL ausgewählt werden. Da müsste man den Benutzer auswählen und ihm dezidiert die Rechte (Ordner sichtbar) entziehen.
Grüße
