none
Frage zu cmdlet's (bzgl. BES-Installation) RRS feed

  • Frage

  • Hi,

    ich habe in einer kleinen Lokation einen weiteren Exchange Multi Role Server (EX2010SP2) installiert. Die Lokation hat zusätzlich noch einen BES-Server. Da BES nur für diese Lokation verwendet wird, muss ich entsprechend gewährleisten, dass der User BESAdmin nur die Rechte für die User auf diesem Exchange Server hat. Laut BES-Install-Doku muss ich jetzt noch die folgenden cmdlet's laufen lassen:

    1. Get-MailboxDatabase | Add-ADPermission -User "BESAdmin" -AccessRights ExtendedRight -ExtendedRights Receive-As, ms-Exch-Store-Admin

    2. Add-RoleGroupMember "View-Only Organization Management" -Member "BESAdmin".

    3. Add-ADPermission -InheritedObjectType User -InheritanceType Descendents -ExtendedRights Send-As -User "BESAdmin" -Identity "DC=<domain_1>,DC=<domain_2>,DC=<domain_3>"

    4. neue Throttlingpoly "BESPolicy" erstellen

    5. Set-ThrottlingPolicy BESPolicy -RCAMaxConcurrency $null -RCAPercentTimeInAD $null -RCAPercentTimeInCAS $null -RCAPercentTimeInMailboxRPC $null -EWSMaxConcurrency $null -EWSPercentTimeInAD $null -EWSPercentTimeInCAS $null -EWSPercentTimeInMailboxRPC $null -EWSMaxSubscriptions $null -EWSFastSearchTimeoutInSeconds $null -EWSFindCountLimit $null

    6. Set-Mailbox "BESAdmin" -ThrottlingPolicy BESPolicy.

    Fragen:

    Zu 1.: Hier kann ich den Befehl mit -server erweitern und nur die Mailboxen auf dem entsprechenden Server verwenden --> OK

    Zu 2.: Laut MS-Doku können Mitglieder dieser Gruppe Objekte jeder Mailbox lesen. Was bedeutet das genau? Kann so ein User auch in die Mailbox rein und Mails lesen?

    Zu 3. Was sagt dieses cmdlet genau aus? Erhält der BESAdmin dadurch die SendAs-Berechtigung für sämtliche Mailboxen der ges. Exchange Organisation? Kann ich das auf eine OU eingrenzen?

    Zu 5. Sollte kein Problem darstellen, da der Benutzer dann halt die ThrottlingPolicies nicht verwendet!

    Wäre super, wenn ihr mir kurz bie Punkt 2 und Punkt 3 helfen könntet!

    Danke,

    Julian.

    Montag, 27. Februar 2012 15:32

Antworten

  • Hi Julian,

    Zu 2: Also der User BESAdmin kann sämtliche Emails jeder verfügbaren Mailbox lesen?

    Zu 3: Da der Command auf Mailbox-Ebene aufsetzt, hat der User für alle Mailboxen der Exchange Organisation SendAs-Berechtigung?

    Ja, wer das eine haben will, muss das anderen mögen, hier eben der Service Account...

    Wenn ich dich richtig verstehe, gibt es hier keine andere Möglichkeit, dies auf einen bestimmten Server einzugrenzen, richtig?

    woher kommt diese Unsicherheit - was steckt der Hinter? Du hast ja mit dem Service-Account nichts zu tun...


    Viele Grüße
    Christian

    • Als Antwort vorgeschlagen Alex Pitulice Freitag, 2. März 2012 09:10
    • Als Antwort markiert Alex Pitulice Sonntag, 4. März 2012 23:02
    Dienstag, 28. Februar 2012 07:20
    Moderator

Alle Antworten

  • Hi Julian,

    Fragen:

    Zu 1.: Hier kann ich den Befehl mit -server erweitern und nur die Mailboxen auf dem entsprechenden Server verwenden --> OK

    Genau: Bei get-mailboxdatabase...

    Zu 2.: Laut MS-Doku können Mitglieder dieser Gruppe Objekte jeder Mailbox lesen. Was bedeutet das genau? Kann so ein User auch in die Mailbox rein und Mails lesen?

    Ja, darum ist das BESAdmin ein dedizierter User-Account, der nichts anderes mach.

    Zu 3. Was sagt dieses cmdlet genau aus? Erhält der BESAdmin dadurch die SendAs-Berechtigung für sämtliche Mailboxen der ges. Exchange Organisation? Kann ich das auf eine OU eingrenzen?

    Nein, das setzt du ja auf Mailbox ebene und da spielen die Postfächer keine Rolle, da es von oben geerbt wird.

    Zu 5. Sollte kein Problem darstellen, da der Benutzer dann halt die ThrottlingPolicies nicht verwendet!

    Die ThortllingPolicy verhindert, das Abfragen der Clients durch ein Limit irgendwann abgebrochen werden. Starten werden sie aber...

    Wäre super, wenn ihr mir kurz bie Punkt 2 und Punkt 3 helfen könntet!

    -- Viele Grüße
    Christian

    Montag, 27. Februar 2012 16:08
    Moderator
  • Hi Christian,

    danke für deine Antwort. Nochmal zwei Fragen:

    Zu 2: Also der User BESAdmin kann sämtliche Emails jeder verfügbaren Mailbox lesen?

    Zu 3: Da der Command auf Mailbox-Ebene aufsetzt, hat der User für alle Mailboxen der Exchange Organisation SendAs-Berechtigung?

    Wenn ich dich richtig verstehe, gibt es hier keine andere Möglichkeit, dies auf einen bestimmten Server einzugrenzen, richtig?

    Beste Grüße,

    Julian.

    Dienstag, 28. Februar 2012 07:15
  • Hi Julian,

    Zu 2: Also der User BESAdmin kann sämtliche Emails jeder verfügbaren Mailbox lesen?

    Zu 3: Da der Command auf Mailbox-Ebene aufsetzt, hat der User für alle Mailboxen der Exchange Organisation SendAs-Berechtigung?

    Ja, wer das eine haben will, muss das anderen mögen, hier eben der Service Account...

    Wenn ich dich richtig verstehe, gibt es hier keine andere Möglichkeit, dies auf einen bestimmten Server einzugrenzen, richtig?

    woher kommt diese Unsicherheit - was steckt der Hinter? Du hast ja mit dem Service-Account nichts zu tun...


    Viele Grüße
    Christian

    • Als Antwort vorgeschlagen Alex Pitulice Freitag, 2. März 2012 09:10
    • Als Antwort markiert Alex Pitulice Sonntag, 4. März 2012 23:02
    Dienstag, 28. Februar 2012 07:20
    Moderator
  • Hallo Julian,
      
    Ist Deine Situation eigentlich abgeklärt? :) Können wir den Thread schließen?
    Wenn ja - bitte markiere den hilfreichen Beitrag "als Antwort".  
    Viele Grüße,
    Alex

    Alex Pitulice, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Freitag, 2. März 2012 09:10