unitet20
Goto Top

Exchange 2003 ungewollter Zugriff auf einige andere Postfächer der Domäne?!

Moin Moin!

Ich stehe mal wieder vor einem Problem,
bei dem ich nicht so recht weiterkomme ...
Wie immer habe ich bereits die Administrator.de und Google.de ausgereizt,
aber nichts gefunden, was in etwa meinem Problem entspricht...

Also kommen wir zu Sache:

Wir sind 3 Admins hier... folgend:
Admin A (ich),
Admin B,
Admin C.

Wir haben ein merkwürdiges Berechtigungs-Problem auf unserem Exchange...

Der Ablauf:
1) Ich melde mich mit meinem Benutzernamen (mit Admin rechten für die AD) an unserem Webmail an: https://unsere-domain.de/exchange
2) Nun gebe ich die Adresse eines anderen Mitarbeiters ein: https://unsere-domain.de/exchange/mustermann
3) Nun bekomme ich ohne Nachfrage oder zusätzliche PW Eingabe direkt das Postfach von "Mustermann" zu sehen!
4) gehe ich nun auf das Postfach von einem Mitarbeiter, der in den gleichen Gruppen ist, wie Mustermann... zum Beispiel "Musterfrau" funktioniert der Zugriff auf das Postfach nicht.

Dieses Problem begrifft allerdings nicht nur Webmail - sondern auch Outlook direkt...
Outlook setzt sogar noch einen drauf..
Da können Admin A und Admin B ALLE Postfächer der Firma einbinden - ohne nach einem PW oder ähnlichem gefragt zu werden.

Das Oben geschilderte funktioniert 1:1 bei Admin A und bei Admin B ...
Wir beide bekommen Zugriff im Webmail auf Mustermann aber nicht auf Musterfrau.
Aber im Outlook auf Mustermann UND Musterfrau...

Bei Admin C wiederum ist alles genauso wie es bei allen (inklusive Admin A und B) sein sollte.
Er bekommt nur Zugriff auf SEIN Postfach auf KEIN anderes...

Erste Schlussfolgerung
- Es muss einen Berechtigungs-Unterschied zwischen Admin A+B und Admin C geben.
- UND es muss ein Berechtigungs-Unterschied zwischen Mustermann und Musterfrau geben

Interessante Infos dazu
- Als "Exchange Besitzer" bzw. Verwalter ist nur unser gemeinsamer Administrations-Account "Administrator" eingetragen... (Also weder der Account von Admin-A, B noch C)
- ALLE Admins befinden sich in den gleichen Benutzer- / Berechtigungsgruppen.
- Musterfrau und Mustermann befinden sich ebenfalls in den gleichen Benutzer- / Berechtigungsgruppen.

Habt ihr noch eine Idee wo wir schauen können?
bzw. was dieses komische Problem verursachen kann?
Wir sind hier langsam ziemlich Ratlos!
Versuchen schon seid 3 Stunden - mit 3 Mann diesem Problem auf die Schliche zu kommen...
Haben bisher aber absolut garnichts gefunden, was uns in der Hinsicht weitergebracht hat...

Administrator.de ist wenn man so will unsere letzte Hoffnung.

Gruß
Uni

Content-ID: 153575

Url: https://administrator.de/forum/exchange-2003-ungewollter-zugriff-auf-einige-andere-postfaecher-der-domaene-153575.html

Ausgedruckt am: 23.12.2024 um 07:12 Uhr

GuentherH
GuentherH 22.10.2010 um 11:40:01 Uhr
Goto Top
Hallo.

Habt ihr noch eine Idee wo wir schauen können?

Ja, beginnend mit der Exchange Organisation nach unten alle Berechtigungen überprüfen (vor allem das Send As Recht) und korrigieren. Zudem wurde mit Sicherheit an einer Stelle die Vererbung der Rechte nach unten unterbrochen bzw. aufgehoben.

bzw. was dieses komische Problem verursachen kann?

Einer von euch 3 Admins face-wink

LG Günther
SanTalesh
SanTalesh 22.10.2010 um 12:02:28 Uhr
Goto Top
Hallo Uni,

seid Ihr auch alle in gleichen Gruppen wie Organisations-Admin, Schema-Admins etc oder ist es unterschiedlich? Haben die Mustermann und Musterfrau auf dem gleichen Postfachspeicher die Postfächer? Wenn nicht, dann bitte die Rechte auf diesen prüfen. Das Problem kann auch vorkommen, wenn auf Exchange-Ebene die Rechte geändert werden, entweder per Objektverwaltung oder Sicherheit (Gruppe jeder etc).
Ich bin kein "Fachmann" für Exchange ( Ich verwaltete MS-Exchange Server 2000 und jetzt haben wir Exchange 2003 Server), aber diese Erfahrung habe ich auch gemacht und festgetellt, dass die Rechte auf "Sicherheit-Ebene" von Exchange-Server geändert worden waren.
Habt Ihr hier http://www.msxfaq.de/ nichts gefunden?

Gruß
Unitet20
Unitet20 22.10.2010 um 13:13:08 Uhr
Goto Top
Vorab schon mal danke für eure Antworten! face-smile

bzw. was dieses komische Problem verursachen kann?
Einer von euch 3 Admins


Dazu muss ich sagen: Nein.
hier war bis vor einem Jahr noch ein 4ter Admin - der hat den Exchange damals eingerichtet. ;)
Das Problem ist heute nur durch Zufall aufgeflogen... das heißt es besteht womöglich schon Jahre.
(Was ja nicht heißt das man es so lassen sollte...)

seid Ihr auch alle in gleichen Gruppen wie Organisations-Admin, Schema-Admins etc oder ist es unterschiedlich?
Alle Gleich.

Haben die Mustermann und Musterfrau auf dem gleichen Postfachspeicher die Postfächer?
Ja - haben nur den einen Exchange.

Habt Ihr hier http://www.msxfaq.de/ nichts gefunden?
Da arbeite ich gerade einen Artikel nach dem nächsten Durch - bisher habe ich noch nichts verdächtiges gefunden...
Aber ich bleibe dran ...
GuentherH
GuentherH 22.10.2010 um 19:27:30 Uhr
Goto Top
Hi.

Einer von euch 3 Admins

Gut, dann seid ihr ja aus dem Schneider face-angel face-laugh

Was ich damit sagen wollte, bis jetzt habe ich keinen Exchange gesehen, bei dem, wenn Berechtigungen nicht ok waren, nicht ein menschliches Wesen seine Finger im Spiel gehabt hat.
Ich weiß, es ist mühsam, aber du musst dich bei den Berechtigungen von der Organisationsebene nach unten händeln, und den Bruch finden, an dem die Vererbung aufgebrochen wurden, oder an den Deney Rechten gedreht wurde.

LG Günther
Unitet20
Unitet20 26.10.2010 um 10:38:25 Uhr
Goto Top
Moin!

So ... am WE und gestern keine Zeit gehabt.
Nun widme ich wieder dem Thema.

Ich werde mir nächstes Wochenende den Exchange nochmal intensiv zur Brust nehmen...
Ist mir im laufenden Betrieb etwas zu heikel - sollte ich was kaputt fummeln. ;)
... und da der Fehler mutmaßlich schon Jahre besteht, machen die 4 Tage wohl auch keinen Unterschied mehr.

Als erstes werde ich wohl alle Berechtigungen auf dem Postfachspeicher notieren...
dann entfernen und nur die von Microsoft angegebenen Mindestberechtigungen neu setzen...

Artikel dazu:
http://technet.microsoft.com/de-de/library/aa996629%28EXCHG.65%29.aspx

Danach schau ich mal was passiert. Eventuell behebt das ja schon das Problem.
Denn in den Postfachberechtigungen der jeweiligen User ist nichts individuelles eingetragen...

Ich berichte dann hier wie es weitergeht und ob das Problem so behoben wurde.
Gruß und Danke nochmal für eure Hilfe...

Gruß
Uni
SanTalesh
SanTalesh 26.10.2010 um 12:37:52 Uhr
Goto Top
hallo Uni,
Hast Du keine Möglichkeit einen zweiten Postfachspeicher zu erstellen und mit den Test-Usern zu experimentieren? Wenn der Server nicht stark ausgelastet ist, kannst Du diesen auch im laufenden Betrieb mahen. Je nach der Exchange--Version kannst Du auch Speichergruppen erstellen.
Ich bin mir nicht sicher, ob die Gruppe "Prä-Windows 2000 kompatibler Zugriff" bei Deinem Problem eine Rolle spielt, falls die Mitgliedschaften der Gruppe geändert worden sind. Habt Ihr den "Exchange-Server-Name$" und Exchange Domäne Server unter die Luppe genommen? Der erste hat standardmäßig volle Rechte und die zweite keine Receive As etc.
Habt Ihr zusätzliche Gruppen wie etwa zwecks der Verwaltung oder Berechtigung (z. B. beim Faxen über Exchange etc) erstellt, die zwingend hohe Berechtigungen haben müssen und andere Mitgliedschaften aufweisen?

Trotzdem würde ich vorher eine Sicherung des Servers durchführen, weil allein das Notieren der Rechte kann nicht im nachhinein unbedingt hilfreich sein. Und das Notieren der erweiterten Rechte kann sehr umfangreich werden.
Bitte achte darauf, dass beim Entfernen der Mitglieder -Button "Sicherheit" - nicht die Gruppe "Jeder" als einzige und letzte zu sehen ist und entfernt wird, before Deine Admins mit den entsprechenden Rechten drin stehen. Nach dem "OK" kann schon zu spät sein, die Rechte wieder herzustellen.

Viele Glück!
Gruß SanTalesh