none
User Postfach: Liste von Server im Berechtigung Vollzugriff RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    in einer Multi-SubDomain AD à la main.biz, aaa.main.biz, bbb.main.biz, ... etc. habe ich festgestellt, dass in der Liste in der Einstellung Berechtigung Vollzugriffe eines jeden Postfachs nicht nur NT-AUTHORITÄT\SELBST und NT-AUTHORITÄT\SYSTEM stehen, sondern auch die Berechtigungsgruppen der jeweiligen Domäne wie:

    - main\Exchange Servers

    - main\Exchange Trusted Subsystem

    - aaa\Exchange Servers

    - aaa\Exchange Trusted Subsystem

    - bbb\Exchange Servers

    - bbb\Exchange Trusted Subsystem

    - ...

    Frage: Muss das sein? Kann man die alle rausschmeißen, ohne dass es schlimme Auswirkungen hat?

    Vielen Dank schon mal für Antworten

    Grüße

    Tu


    • Bearbeitet Tu Dang Freitag, 4. Mai 2012 09:29
    Freitag, 4. Mai 2012 09:15
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo

    Dies sind vererbte Standard Permissoins die nach der ersten Anmeldunge an der Mailbox gesetzt werden.

    An deiner Stelle würde ich diese nicht löschen, sonst wären die Postfächer nicht mehr Administrierbar!

    Viele Grüsse Georg

    Freitag, 4. Mai 2012 09:43
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Georg,

    vielen Dank für Deine Antwort.

    Mich wundert ja nur, dass alle darin sind. Ich meine, wenn z.B. für ein Postfach in der SubDomain aaa nur die 

    - main\Exchange Servers

    - main\Exchange Trusted Subsystem

    - aaa\Exchange Servers

    - aaa\Exchange Trusted Subsystem

    eingetragen sind, dann kann ich noch verstehen. Aber wozu sind die restlichen SubDomain Gruppen? Die anderen Admins können die Postfächer in aaa eh nicht bearbeiten.

    Grüße

    Tu

    Freitag, 4. Mai 2012 09:54
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Tu,

    NEIN! Da solltest Du definitiv nicht rumspielen. Ich denke auch nicht, dass Dir hier im Forum jemand sagen kann, was danach alles evtl. nicht mehr geht. Also besser die Finger davon lassen ;-)

    Btw: Was ist Deine Sorge hinsichtlich der Berechtigungen?

    VG, Timo

    Freitag, 4. Mai 2012 11:07
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Timo,

    nein, ich habe nicht wirklich vor sie zu entfernen :-). Mich interessiert es, warum sie da sind, denn Google konnte mir nichts brauchbares anbieten. Die Bücher z.B. von Herrn Thomas Joos habe ich durchwühlt und auch keiner sagt was darüber. Es war sogar ein Screenshot (Thomas Joos) mit den Eintragungen da, wo man zeigt wie zusätzliche Berechtigung für einen anderen User auf das gleiche Postfach eingerichtet werden kann; es steht, Zitat: Standardmäßig ist für jedes Postfach der Sicherheitsprinzipal NT AUTHORITY\SELBST aufgeführt - Zitat Ende, aber über die restlichen Eintragungen hat er keinen Kommentar verlauten lassen. Ist schon merkwürdig. Bin ich denn der erste der sich Gedanken darüber macht? *confused*

    Grüße

    Tu

    Freitag, 4. Mai 2012 12:20
    |
  • Question
    Anmelden
    1
    Anmelden

    Hallo,

    die Berechtigungen regeln z.B. das ActiveSync, darf der Exchange Server nicht auf das Postfach eines AS Users zugreiffen funktioniert ActiveSync nicht. Weiter werden darüber die Verwaltungsaufgaben die auf ein jedes Postfach angewendet werden durchgeführt usw. usf.

    Lass die Rechte wie sind, der gute Rat kam ja shon mehrmals, sonst machst du dir keine Freude ;)

    • Als Antwort markiert Alex Pitulice Freitag, 11. Mai 2012 06:57
    • Tag als Antwort aufgehoben Alex Pitulice Montag, 14. Mai 2012 13:40
    Freitag, 4. Mai 2012 13:11
    |
  • Question
    Anmelden
    1
    Anmelden

    Hallo Tu,

    unter Exchange 2010 werden ja (fast) alle administrativen Zugriffe ueber RBAC autorisiert. Wenn, z.B. ein Administrator an einem Postfach oder irgendeinem anderen Exchange Objekt eine Aenderung durchfuehrt oder irgendwas Anlegen/Loeschen moechte, dann pruefen wir ueber RBAC, ob der Administrator die Berechtigung dafuer hat. Die Aenderung wird aber dann nicht vom Benutzer direkt durchgefuehrt, sondern von dem Server auf dem der Benutzer diesen Prozess startet. Der Server wiederrum ist Mitglied der "Exchange Trusted Subsystem" Gruppe und erhaelt darueber die Berechtigung in das Active Directory zu schreiben. Stimmen diese Berechtigungen nicht, dann wirst Du sehr wahrscheinlich in irgendwelche Probleme laufen ;-)

    VG, Timo

    • Als Antwort markiert Alex Pitulice Freitag, 11. Mai 2012 06:57
    • Tag als Antwort aufgehoben Alex Pitulice Montag, 14. Mai 2012 13:40
    Freitag, 4. Mai 2012 13:24
    |
  • Question
    Anmelden
    1
    Anmelden

    Lies mal hier:

    http://technet.microsoft.com/en-us/library/dd638106.aspx

    Du wirst vermutlich Exchange Split Permissions haben.

    Caution: 

Don't make any manual changes to the membership of the Exchange Trusted Subsystem security group. Also, don't add it to or remove it from object access control lists (ACLs). By making changes to the Exchange Trusted Subsystem USG yourself, you could cause irreparable damage to your Exchange organization.

    Viele Grüsse Georg

    • Als Antwort markiert Alex Pitulice Freitag, 11. Mai 2012 06:57
    • Tag als Antwort aufgehoben Alex Pitulice Montag, 14. Mai 2012 13:39
    Montag, 7. Mai 2012 06:10
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Tu,

    Ist Deine Situation eigentlich abgeklärt? :) Wenn ja - bitte markiere die entsprechenden Beiträge "als Antwort".

    Viele Grüße,
    Alex

      

    Alex Pitulice, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Dienstag, 8. Mai 2012 08:05
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Tu,

    Wir gehen davon aus, dass die Antworten Dir weitergeholfen haben.
    Wenn ja, wäre es hilfreich wenn Du diese Lösung bestätigen würdest, sodass andere Leute von derselben Situation profitieren können.
    Wenn nein, neue Rückfragen oder Ergänzungen zu diesem Thread bleiben weiterhin möglich.

    Danke und viele Grüße,
    Alex

    Alex Pitulice, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Freitag, 11. Mai 2012 06:58
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Alex,

    eigentlich nicht, denn ich habe noch nirgends gefunden wodurch die Einträge darein gerutscht sind und nein, wir haben keine Split Permission eingestellt, alles ist noch Standard.

    Grüße

    Tu

    Freitag, 11. Mai 2012 14:26
    |
  • Question
    Anmelden
    1
    Anmelden

    Hallo Tu,

    guck mal nach PrepareDomain unter http://technet.microsoft.com/en-us/library/bb125224.aspx

    • If this is a new organization, creates the Microsoft Exchange System Objects container in the root domain partition in Active Directory and sets permissions on this container for the Exchange Servers, Exchange Organization Administrators, and Authenticated Users groups. This container is used to store public folder proxy objects and Exchange-related system objects, such as the mailbox database's mailbox.
    • Sets the objectVersion property in the Microsoft Exchange System Objects container under DC=<root domain>. This objectVersion property contains the version of domain preparation. The version for Exchange 2010 RTM is 12640. The version for Exchange 2010 SP1 and SP2 is 13040.
    • Creates a domain global group in the current domain called Exchange Install Domain Servers. The command places this group in the Microsoft Exchange System Objects container. It also adds the Exchange Install Domain Servers group to the Exchange Servers USG in the root domain.
       
      The Exchange Install Domain Servers group is used if you install Exchange 2010 in a child domain that is an Active Directory site other than the root domain. The creation of this group allows you to avoid installation errors if group memberships haven't replicated to the child domain.
    • Assigns permissions at the domain level for the Exchange Servers USG and the Exchange Recipient Administrators USG.

    Viele Grüße

    Timo

    • Als Antwort vorgeschlagen Alex Pitulice Montag, 14. Mai 2012 13:39
    Freitag, 11. Mai 2012 17:27
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Tu,

    danke für die Rückmeldung.Hast Du Dir den Link von Timo angeschaut?

    Gruss,

    Alex

    Alex Pitulice, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Montag, 14. Mai 2012 13:40
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Alex, hallo Timo,

    danke für den Link, aber DAS muss doch jeder ExAdmin auswendig wissen, oder? ;)

    Nun, ich habe in meiner virtuellen Umgebung getestet und bin zu folgendem Erkenntnis gekommen:

    a/. Domain/SubDomain => bis auf AdminKonten sind nur NT AUTHORITY\SELBST und NT AUTHORITY\SYSTEM drine

    b/. 2 Domains mit Full Trust => in jedem Postfach findet man zusätzlich diese Exchange Sicherheit Gruppen

    Also es muss was mit der Vertrauenstellungen zwischen Domänen sein. Topic kann somit als (teil)gelöst betrachtet werden, denn ich konnte in den MS Doku keine Erklärungen dafür finden; im Grunde genommen reicht mir einen einzigen Satz wie: "durch ... (bla bla) ... werden die Sicherheitsgruppen in die Liste der Vollzugriffberechtigte eingefügt, damit ...(bla bla)" völlig aus.

    Grüße

    Tu

    Mittwoch, 16. Mai 2012 09:35
    |
  • Question
    Anmelden
    1
    Anmelden

    Hallo Tu,

    im Abschnitt PrepareDomain unter http://technet.microsoft.com/en-us/library/bb125224.aspx stehts doch:

    "Assigns permissions at the domain level for the Exchange Servers USG and the Exchange Recipient Administrators USG."

    Da Deine Benutzerobjekte die Vererbung aktiviert haben, findest Du auch die Gruppen auf Deinen Benutzern wieder. In Deiner Testumgebung siehst Du das nur nicht, weil Du Dich noch nicht an die Postfaecher angemeldet hast. Erst bei der ersten Anmeldung am Postfach wird der SecurityDescriptor geschrieben.

    Jetzt alles klar? :-)

    VG, Timo

    • Als Antwort vorgeschlagen Alex Pitulice Montag, 21. Mai 2012 10:40
    Sonntag, 20. Mai 2012 20:37
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Timo,

    aber selbstverständlich habe ich mich in meiner Testumgebung als user (alle angelegte Accounts) angemeldet, doch es ist so wie ich es berichtet habe.

    Grüße

    Tu

    Freitag, 25. Mai 2012 13:02
    |