none
Kalenderberechtigungen Domänenadministratoren RRS feed

  • Frage

  • Ich habe hier ein merkwürdiges Verhalten bei der Ansicht der Kalender einiger (nicht aller) Benutzer durch Domänenadministratoren.

    Wir setzen Exchange 2010 SP2 und Outlook 2010 ein. Bei einigen Benutzern werden im Kalender trotz fehlender Berechtigungen nicht nur die Frei/Gebucht Informationen angezeigt sondern auch die Details im Betreff. Das Verhalten tritt allerdings nur bei Administratoren auf. Normale Benutzer sehen immer nur die Frei/Gebucht Zeiten. Ein Öffnen des Termins ist aber auch für die Administratoren nicht möglich.

    Ich habe schon die Benutzerberechtigungen verglichen, kann aber keine Unterschiede feststellen.

    Geprüft habe ich die Postfachberechtigungen mittels "Get-MailboxPermissions BenutzerXY"
    Hier haben die Domänenadmins geerbten FullAccess, der allerdings verweigert (Deny) wird!

    Und die Kalenderberechtigungen mit "Get-MailboxFolderPermissions BenutzerXY:\Kalender"
    Hier hat der Standard-User nur das Recht AvailabilityOnly und der Benutzer Anonym hat keine Rechte (None).

    Das war es auch schon. Wenn ich die Kalender-Rechte z.B. für die Standard-Benutzer auf None ändere, dann greift diese Einstellung für den normalen Benutzer auch. Er hat dann keinen Zugriff mehr auf den Kalender.

    Wo kann ich noch nachsehen was für versteckte Rechte die Domänenadministratoren haben?


    Dienstag, 1. April 2014 12:54

Antworten

  • Moin,

    mal davon abgesehen, dass man für Benutzerbetreuung KEINE Dom-Admin-Berechtigungen braucht, weil man jede Tätigkeit dediziert delegieren kann: Microsoft geht davon aus, dass mit hochprivilegierten Konten nicht gearbeitet wird und nimmt daher keine Rücksicht darauf.

    Bei Exchange sind z.B. manche Berechtigungen für Admins so gesetzt, dass man Zugriff auf bestimmte Informationen in allen Postfächern hat. Andere Berechtigungen sind dagegen so gesetzt, dass ein Dom-Admin explizit "verweigert" wird. So ist es zum Beispiel nicht möglich, dass ein Dom-Admin ein ActiveSync-Gerät an sein Postfach anbindet.

    Hintergrund ist, dass AD diese Konten besonders schützt.

    Und wie gesagt, dass wissen die Entwickler bei Microsoft und nehmen keine Rücksicht darauf. Das Prinzip ist einfach: "Damit darf nicht gearbeitet werden, als legen wir auch keine Energie darin, dass man es könnte."

    Eine bessere Begründung brauchst Du nicht. ;)


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    • Als Antwort vorgeschlagen Alex Pitulice Montag, 7. April 2014 10:41
    • Als Antwort markiert Alex Pitulice Freitag, 18. April 2014 07:22
    Mittwoch, 2. April 2014 08:53

Alle Antworten

  • Guten Abend!

    Schau mal in der Exchange Konsole ganz oben in der Organisation. Da setzt man meines Wissens globale Rechte für Administratoren oder z.B. für einen Fax Server Dienstaccount, der Zugriff auf alle Postfächer braucht.

    Die Berechtigungsgruppen heißen "Administratoren der Exchange-Organisation" und "Exchange-Administrator mit Leserechten". Kann sein, dass da etwas eingetragen ist.

    Gruß Thomas

    Dienstag, 1. April 2014 18:13
  • Moin,

    @Thomas: Meinst Du Ex 2003 oder 2007? Bei 2010 gibt es so was jedenfalls nicht mehr. ;)

    @seh67: Warum haben Eure Dom-Admins Postfächer? Warum wird mit diesen produktiv gearbeitet? Das ist nicht vorgesehen und funktioniert auch nicht fehlerfrei, und es ist auch noch ein kapitales Sicherheitsrisiko. Auch dürftest Du Berechtigungen, die Du mit unserer Hilfe findest, gar nicht einfach so entfernen, weil Du gar nicht beurteilen kannst, ob die eventuell gebraucht würden.

    Und schließlich wäre es müssig, da überhaupt aufzuräumen. Denn ein Privileg des Dom-Admins ist, dass er sich jederzeit die Berechtigungen wieder eintragen könnte.

    Mit Dom-Admin Konten arbeitet man nicht und man meldet sich mit diesen auf keinen Fall auf einem anderen Gerät als einem DC an - niemals und ohne Ausnahme. Die werden nur für Verwaltungstätigkeiten auf einem DC verwendet und zu nichts anderem!


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    • Als Antwort vorgeschlagen Alex Pitulice Montag, 7. April 2014 10:41
    Dienstag, 1. April 2014 18:47
  • Hallo Robert,

    da hast Du natürlich Recht. Leider sind die Menschen meistens sehr bequem. Wenn man den ganzen Tag Server administriert und Benutzerbetreuung macht und nebenbei aber auch als normaler Mitarbeiter kommuniziert, ist es eben nicht sehr praktikabel ständig den Benutzer wechseln zu müssen.

    Ich werde diesen Vorschlag aber mal in unserer Abteilung kundtun, vielleicht siegt ja die Einsicht.

    Gruß, Sven


    • Bearbeitet seh67 Mittwoch, 2. April 2014 08:13
    Mittwoch, 2. April 2014 08:12
  • Moin,

    mal davon abgesehen, dass man für Benutzerbetreuung KEINE Dom-Admin-Berechtigungen braucht, weil man jede Tätigkeit dediziert delegieren kann: Microsoft geht davon aus, dass mit hochprivilegierten Konten nicht gearbeitet wird und nimmt daher keine Rücksicht darauf.

    Bei Exchange sind z.B. manche Berechtigungen für Admins so gesetzt, dass man Zugriff auf bestimmte Informationen in allen Postfächern hat. Andere Berechtigungen sind dagegen so gesetzt, dass ein Dom-Admin explizit "verweigert" wird. So ist es zum Beispiel nicht möglich, dass ein Dom-Admin ein ActiveSync-Gerät an sein Postfach anbindet.

    Hintergrund ist, dass AD diese Konten besonders schützt.

    Und wie gesagt, dass wissen die Entwickler bei Microsoft und nehmen keine Rücksicht darauf. Das Prinzip ist einfach: "Damit darf nicht gearbeitet werden, als legen wir auch keine Energie darin, dass man es könnte."

    Eine bessere Begründung brauchst Du nicht. ;)


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    • Als Antwort vorgeschlagen Alex Pitulice Montag, 7. April 2014 10:41
    • Als Antwort markiert Alex Pitulice Freitag, 18. April 2014 07:22
    Mittwoch, 2. April 2014 08:53