6
Alten Exchange 2010 mit neuen Exchange 2016 in eigener Domäne ablösen
Hallo,
ich bräuchte doch einmal eure Unterstützung, Meinung.
Aktuell gegeben ist eine Windows Domäne ( Server 2012 R2 ) mit einem Exchange Server 2010. Geplant war hier eigentlich der Umstieg auf einen Exchange 2016 in gleicher Domäne.
Jetzt hat unsere GL bedingt durch DSGVO große bedenken das Administraoren der Domäne die einen Dom-Admin Account besitzen den Exchange Server administrieren
können. Es soll nur noch einem Admin möglich sein, Arbeiten am Exchange ( 2016 ) vorzunehmen.
Die Idee war nun, eine eigene Mail Domäne bestehend aus einem DC + Exchange 2016 auzusetzen. Die doppelte Pflege der Benutzer in beiden Domänen ist klar und wird akzeptiert.
Die Idee dahinter war, es gibt X Admins der jetzigen Domäne aber nur einen der die normale + Mail Domäne administrieren kann. Somit könnte man die vorgaben der GL umsetzen.
Hat hier eventuell noch jemand eine andere Idee ?
Eine große Frage die noch offen ist trotz suchen hier im Forum und google. Wenn ich die neue Domäne mit Exchange 2016 aufbaue kann ich Domänenübergreifend Postfächer aus
Exchange 2013 nach 2016 migrieren ?
oder was müsste hier eingerichtet werden ?
schon einmal vielen Dank für eure Kommentare.
Gruß Sven
ich bräuchte doch einmal eure Unterstützung, Meinung.
Aktuell gegeben ist eine Windows Domäne ( Server 2012 R2 ) mit einem Exchange Server 2010. Geplant war hier eigentlich der Umstieg auf einen Exchange 2016 in gleicher Domäne.
Jetzt hat unsere GL bedingt durch DSGVO große bedenken das Administraoren der Domäne die einen Dom-Admin Account besitzen den Exchange Server administrieren
können. Es soll nur noch einem Admin möglich sein, Arbeiten am Exchange ( 2016 ) vorzunehmen.
Die Idee war nun, eine eigene Mail Domäne bestehend aus einem DC + Exchange 2016 auzusetzen. Die doppelte Pflege der Benutzer in beiden Domänen ist klar und wird akzeptiert.
Die Idee dahinter war, es gibt X Admins der jetzigen Domäne aber nur einen der die normale + Mail Domäne administrieren kann. Somit könnte man die vorgaben der GL umsetzen.
Hat hier eventuell noch jemand eine andere Idee ?
Eine große Frage die noch offen ist trotz suchen hier im Forum und google. Wenn ich die neue Domäne mit Exchange 2016 aufbaue kann ich Domänenübergreifend Postfächer aus
Exchange 2013 nach 2016 migrieren ?
oder was müsste hier eingerichtet werden ?
schon einmal vielen Dank für eure Kommentare.
Gruß Sven
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 438459
Url: https://administrator.de/contentid/438459
Printed on: April 19, 2024 at 13:04 o'clock
6 Comments
Latest comment
Hallo Sven,
besser wäre es ein ordentliches rechte Konzept in einer Domäne aufzubauen.
Vg
besser wäre es ein ordentliches rechte Konzept in einer Domäne aufzubauen.
Vg
@certifiedit.net
da gebe ich dir recht, da könnte man auch ein wenig drehen. Das wird aber um einiges schwieriger
es gibt leider einige alt eingesessene Dinge die da dagegen wirken. Und dadurch kann die Vorgabe der GL nie 100% erfüllt werden. Das alles zu erleutern dauert ein weing zu lange und gehört hier auch nicht hin.
Fakt ist X Admins die in der Domäne alles machen können und einer davon auf dem Exchange. Alle anderen Admins sollen keinen Zugriff auf dem Exchange haben und sich auch nicht verschaffen können. Nach meinem Meinung bleibt da nur eine separierung des Servers in eine eigene Domäne.
da gebe ich dir recht, da könnte man auch ein wenig drehen. Das wird aber um einiges schwieriger
es gibt leider einige alt eingesessene Dinge die da dagegen wirken. Und dadurch kann die Vorgabe der GL nie 100% erfüllt werden. Das alles zu erleutern dauert ein weing zu lange und gehört hier auch nicht hin.Fakt ist X Admins die in der Domäne alles machen können und einer davon auf dem Exchange. Alle anderen Admins sollen keinen Zugriff auf dem Exchange haben und sich auch nicht verschaffen können. Nach meinem Meinung bleibt da nur eine separierung des Servers in eine eigene Domäne.
Nun, wenn das so ist, dann nimmt sich der MasterAdmin von A eben durch die Blume die Rechte auf den User.
Also nochmals: Macht das Rechtekonzept ordentlich (müsst doch sowieso neu aufbauen?) - Neue(r) 2019er + Exchange und alles komplett neu aufbauen. Gerade unter dem Aspekt "Altlast" wäre das doch optimal, dieses Ding durchzuziehen, eine zweite Domäne aufzubauen, warten und koppeln (und das warten) kostet bestimmt nicht weniger (auf dauer Mehr!).
Ist aber kein "machen wir übers we projekt".
Wie viele Admins habt Ihr denn? Wofür sind die jew. gut? - gab es einen Vorfall/breach?
VG
Also nochmals: Macht das Rechtekonzept ordentlich (müsst doch sowieso neu aufbauen?) - Neue(r) 2019er + Exchange und alles komplett neu aufbauen. Gerade unter dem Aspekt "Altlast" wäre das doch optimal, dieses Ding durchzuziehen, eine zweite Domäne aufzubauen, warten und koppeln (und das warten) kostet bestimmt nicht weniger (auf dauer Mehr!).
Ist aber kein "machen wir übers we projekt".
Wie viele Admins habt Ihr denn? Wofür sind die jew. gut? - gab es einen Vorfall/breach?
VG
Moin,
also zwei Domainen, nur damit einer die Arbeit doppelt machen darf ist Quatsch.
Wie Christian schon sagte: sauberes Rechtekonzept.
Keiner ist mehr Domain-Admin.
Jeder physische Admin hat zwei Benutzer: seinen normalen sowie einen personifizierten Admin -Account.
Letzter erhält dann rechte wie AD+ DHCP + DNS usw. limitiert auf alle OUs, außer der, in der die Admin-Accounts liegen. Da darf nur der Chef, Oberadmin oder HR dran.
Der Oberadmin hat zusätzlich das Recht Exchange-Admin.
DER Dom-Admin (= DOMAIN\Administrator) erhält ein neues PW welches versiegelt im Dafe liegt und nicht mehr angefasst wird.
Suche mal nach delegated user rights
Gruß
em-pie
also zwei Domainen, nur damit einer die Arbeit doppelt machen darf ist Quatsch.
Wie Christian schon sagte: sauberes Rechtekonzept.
Keiner ist mehr Domain-Admin.
Jeder physische Admin hat zwei Benutzer: seinen normalen sowie einen personifizierten Admin -Account.
Letzter erhält dann rechte wie AD+ DHCP + DNS usw. limitiert auf alle OUs, außer der, in der die Admin-Accounts liegen. Da darf nur der Chef, Oberadmin oder HR dran.
Der Oberadmin hat zusätzlich das Recht Exchange-Admin.
DER Dom-Admin (= DOMAIN\Administrator) erhält ein neues PW welches versiegelt im Dafe liegt und nicht mehr angefasst wird.
Suche mal nach delegated user rights
Gruß
em-pie
Ich kann mich auch nur anschließen, mach ein sauberes Konzept. Eine zweite Domain ist unnötiger Aufwand. Btw. was passiert denn wenn der eine Exchange Admin im Urlaub ist oder auf der Bananenschale ausrutscht?
Wir hatten vor einigen Jahren die Digitalisierung der Personalakten eingeführt. Beim Gespräch mit einer externen Firma, welche ein Produkt vorgestellt hat, meinte einer meiner Vorgesetzten, dass dann ja die IT-Mitarbiter Zugriff auf die Personalakten haben und gefragt, wie man das unterbinden könne.
Das sagte der Vertriebler der Firma "Dann suchen sie sich neue IT.Mitarbeiter, wenn sie den jetzigen nicht vertrauen. Sie können ihnen die Rechte wegnehmen, aber wenn einer an die Informationen ran will, holt er sich die Rechte wieder.
Wie schon empfohlen ein sauberes Rechtekonzept und evtl. noch eine Art Überwachung, dass zur Not geschaut werden kann, wer wann was am Exchange gemacht hat.
Das sagte der Vertriebler der Firma "Dann suchen sie sich neue IT.Mitarbeiter, wenn sie den jetzigen nicht vertrauen. Sie können ihnen die Rechte wegnehmen, aber wenn einer an die Informationen ran will, holt er sich die Rechte wieder.
Wie schon empfohlen ein sauberes Rechtekonzept und evtl. noch eine Art Überwachung, dass zur Not geschaut werden kann, wer wann was am Exchange gemacht hat.
