Exchange Benutzerkonto ohne Zugriff auf öffentliche Informationen einrichten
Ein externer Benutzer, ein Bekannter des Chefs mit eigener Internetdomäne, soll ein Postfach auf unserem Exchange 2003 SP2 bekommen, natürlich mit seinem Domännamen. Er soll aber auf Öffentliche Ordner und sonstige firmeninterne Informationen keinen Zugriff haben.
Hallo!
Kann mir jemand sagen, wie die gewünschte Konfiguration zu erreichen ist?
Ich hab schon Stunden gesucht und Konfigs getestet und habe nun Zweifel, ob ein Exchange Server überhaupt dafür gedacht ist, Benutzerkonten zu hosten, die nicht auf alle öffentlichen Informationen Zugriff haben.
Das einzige, das ich gefunden habe, ist für Öffentlichen Ordner die Clientberechtigungen so zu setzen, dass der Benutzer den jeweiligen Ordner nicht sieht. Doch das müsste für jeden Ordner getrennt gemacht werden und wohl auch für zukünftig angelegte.
Lässt sich das Postfach nicht so einstellen, dass der Benutzer die Öffentlichen Ordner und ebenso die GAL gar nicht sieht?
Und weil ich eben dabei bin, ist Outlook 2010 dazu zu bewegen, ein Exchange-Konto einzurichten, ohne dass dieses in der GAL veröffentlicht ist?
Grüße
Hallo!
Kann mir jemand sagen, wie die gewünschte Konfiguration zu erreichen ist?
Ich hab schon Stunden gesucht und Konfigs getestet und habe nun Zweifel, ob ein Exchange Server überhaupt dafür gedacht ist, Benutzerkonten zu hosten, die nicht auf alle öffentlichen Informationen Zugriff haben.
Das einzige, das ich gefunden habe, ist für Öffentlichen Ordner die Clientberechtigungen so zu setzen, dass der Benutzer den jeweiligen Ordner nicht sieht. Doch das müsste für jeden Ordner getrennt gemacht werden und wohl auch für zukünftig angelegte.
Lässt sich das Postfach nicht so einstellen, dass der Benutzer die Öffentlichen Ordner und ebenso die GAL gar nicht sieht?
Und weil ich eben dabei bin, ist Outlook 2010 dazu zu bewegen, ein Exchange-Konto einzurichten, ohne dass dieses in der GAL veröffentlicht ist?
Grüße
Please also mark the comments that contributed to the solution of the article
Content-ID: 195685
Url: https://administrator.de/contentid/195685
Printed on: December 4, 2024 at 02:12 o'clock
5 Comments
Latest comment
Hallo,
erstens wird für den Benutzer sowohl eine Server CALL als auch eine Exchange CALL benötigt. Oder eine external Connectorlizence aber da bin ich mir nicht sicher.
Du legst einen neune Gruppe an, z.B. externeBenutzer.
Danach wird ein Benutzer angelegt und zum einen in die Gruppe externeBenutzer rein und bei DomainBenutzer rausgenommen.
Wenn Du nun die neu Gruppe nicht irgendwo Mitglied werden läßt oder anderweitige Rechte gibst, dann kann der auch keine Öffendlichen Ordner sehen, ob er welche erstleln kann müsstest Du versuchen.
Wenn Du bei den öffentlichen Ordnern der Gruppe Jeder Rechte gegeben hast, dann wird er auch davon profitieren.
Eine Gruppenrichtlinie, die nur auf die Gruppe externeBenutzer gefiltert wird kann dann noch die lokale Anmeldung verhindern.
Gruß
Chonta
erstens wird für den Benutzer sowohl eine Server CALL als auch eine Exchange CALL benötigt. Oder eine external Connectorlizence aber da bin ich mir nicht sicher.
Du legst einen neune Gruppe an, z.B. externeBenutzer.
Danach wird ein Benutzer angelegt und zum einen in die Gruppe externeBenutzer rein und bei DomainBenutzer rausgenommen.
Wenn Du nun die neu Gruppe nicht irgendwo Mitglied werden läßt oder anderweitige Rechte gibst, dann kann der auch keine Öffendlichen Ordner sehen, ob er welche erstleln kann müsstest Du versuchen.
Wenn Du bei den öffentlichen Ordnern der Gruppe Jeder Rechte gegeben hast, dann wird er auch davon profitieren.
Eine Gruppenrichtlinie, die nur auf die Gruppe externeBenutzer gefiltert wird kann dann noch die lokale Anmeldung verhindern.
Gruß
Chonta
Hallo,
was du vom Exchange willst ist letztlich eine Mandantenfähigkeit (also verschiedene Nutzergruppen auf einem System, ohne, dass sie sich gegenseitig sehen/beeinflussen - eine der Nutzergruppen besteht bei dir halt nur aus einer Person).
Man kann Exchange so verbiegen, dass das so halbwegs geht - bei 2003 aber noch schlechter als bei Folgeversionen. Zum Trennen der GAL läuft das unter dem (Such-)Begriff "Address List Segregation". Öffentliche Ordner lassen sich nicht trennen - hier muss man tatsächlich darauf achten, ihn niemals mitzuberechtigen. Auch andere Dinge gehen nicht, z.B. kann man normalerweise ja unter "Remotedomains" festlegen, an wen alles OOF gesendet werden etc - das greift nicht zwischen Mandanten einer Umgebung.
Mein Tipp: lieber 6 Euro im Monat für ein gehostetes Postfach (z.B. Office 365) investieren.
Gruß
Filipp
was du vom Exchange willst ist letztlich eine Mandantenfähigkeit (also verschiedene Nutzergruppen auf einem System, ohne, dass sie sich gegenseitig sehen/beeinflussen - eine der Nutzergruppen besteht bei dir halt nur aus einer Person).
Man kann Exchange so verbiegen, dass das so halbwegs geht - bei 2003 aber noch schlechter als bei Folgeversionen. Zum Trennen der GAL läuft das unter dem (Such-)Begriff "Address List Segregation". Öffentliche Ordner lassen sich nicht trennen - hier muss man tatsächlich darauf achten, ihn niemals mitzuberechtigen. Auch andere Dinge gehen nicht, z.B. kann man normalerweise ja unter "Remotedomains" festlegen, an wen alles OOF gesendet werden etc - das greift nicht zwischen Mandanten einer Umgebung.
Mein Tipp: lieber 6 Euro im Monat für ein gehostetes Postfach (z.B. Office 365) investieren.
Gruß
Filipp
Zitat von @viragomann:
Dank an euch für die Antworten.
@Chonta
So hatte ich mir das auch gedacht. Die öffentlichen Ordner bleiben aber dennoch sichtbar. Selbst wenn ich auf der Ebene
"\Exchange\Administrative Gruppen\Erste administrative Gruppe\Ordner\Öffenliche Ordner" eine Verweigerungsregel
für die externe Gruppe definiere. Die sollte schließlich alle Berechtigungen overrulen.
Das einzige, was hier Abhilfe schafft, ist der Gruppe keine Rechte in den Clientberechtigungen der einzelnen öffentl. Ordner
zu geben. Doch das muss bei jeder Neuanlage eines Ordners wieder bedacht und gemacht werden.
Dank an euch für die Antworten.
@Chonta
So hatte ich mir das auch gedacht. Die öffentlichen Ordner bleiben aber dennoch sichtbar. Selbst wenn ich auf der Ebene
"\Exchange\Administrative Gruppen\Erste administrative Gruppe\Ordner\Öffenliche Ordner" eine Verweigerungsregel
für die externe Gruppe definiere. Die sollte schließlich alle Berechtigungen overrulen.
Das einzige, was hier Abhilfe schafft, ist der Gruppe keine Rechte in den Clientberechtigungen der einzelnen öffentl. Ordner
zu geben. Doch das muss bei jeder Neuanlage eines Ordners wieder bedacht und gemacht werden.
Warum sthet die Gruppe denn schon bei allen Ordnern mit rechten drinnen? Normalerweise dürfte eine neue exchangeaktivierte Gruppe nicht in den Ordnern auftauchen.
Das der Benutzer die öffentlichen Ordner sieht muss damit zusamenhängen, das er entweder immernoch in der Gruppe Domainbenutzer ist, oder die Gruppe Jeder zuviele Rechte hat.
Gruß
Chonta