Postfachzugriff dokumentieren
Hi,
supporten eine größere Firma mit mehreren Lokationen. Zentrale Anlaufstelle ist der Exchange. Manche Mitarbeiter haben Zugriff die Postfächer anderer Kollegen. Nun möchte die Firma gerne eine Aufstellung, wär wo Berechtigungen hat.
Gibt es einen Möglichkeit, die unter Outlook eingebundenen Postfächer zu dokumentieren? Also eine Liste zu erhalten, wer wo Zugriff hat? Jeden Mitarbeiter Fragen, bzw. via VNC zu schauen kommt natürlich nicht in Frage. Hat jemand eine Idee?
mfg Crusher
supporten eine größere Firma mit mehreren Lokationen. Zentrale Anlaufstelle ist der Exchange. Manche Mitarbeiter haben Zugriff die Postfächer anderer Kollegen. Nun möchte die Firma gerne eine Aufstellung, wär wo Berechtigungen hat.
Gibt es einen Möglichkeit, die unter Outlook eingebundenen Postfächer zu dokumentieren? Also eine Liste zu erhalten, wer wo Zugriff hat? Jeden Mitarbeiter Fragen, bzw. via VNC zu schauen kommt natürlich nicht in Frage. Hat jemand eine Idee?
mfg Crusher
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 114901
Url: https://administrator.de/forum/postfachzugriff-dokumentieren-114901.html
Ausgedruckt am: 23.12.2024 um 07:12 Uhr
7 Kommentare
Neuester Kommentar
Servus,
das ist aber nicht gut wenn das nicht sauber dokumentiert ist!
Der Kollege hat Recht wenn er sagt das es unter "Datenschutz" läuft, allerdings gibt es da so viele "wenns" und "abers" ...
Wenn der Exchange zentrale anlauf Stelle ist,dann könnte es ja sein, das alle User irgendwo in einem AD zusammen auftauchen - da muss man dann eben User für User die Exchange Attribute anschauen, oder darf bei Euch jeder ganz pauschal von jedem anderen das Postfach abbonieren? Da müssen ja Rechte für vergeben werden....
Oder haben Die User sich untereinander die Postfächer freigegeben? Dann wird es schwer.
das ist aber nicht gut wenn das nicht sauber dokumentiert ist!
Der Kollege hat Recht wenn er sagt das es unter "Datenschutz" läuft, allerdings gibt es da so viele "wenns" und "abers" ...
Wenn der Exchange zentrale anlauf Stelle ist,dann könnte es ja sein, das alle User irgendwo in einem AD zusammen auftauchen - da muss man dann eben User für User die Exchange Attribute anschauen, oder darf bei Euch jeder ganz pauschal von jedem anderen das Postfach abbonieren? Da müssen ja Rechte für vergeben werden....
Oder haben Die User sich untereinander die Postfächer freigegeben? Dann wird es schwer.
Hallo,
ein Datenschutzrechtliches Problem sehe ich erstmal nicht. I.A. pflegen Firmen eine IT-Security-Policy in der definiert ist, dass man anderen nicht den Zugriff auf Resourcen gewähren darf, die für einen selbst angelegt wurden, ein Überprüfen ist dann zulässig. Bezieht sich meist auf Accounts, lässt sich aber auch auf Postfächer übertragen. Ob eine solche Policy bei euch definiert wurde weiß ich natürlich nicht (aber selbst wenn nicht halte ich es für ein berechtigtes Interesse zu prüfen, wer Zugriff worauf hat).
Und wie man es macht? Es gibt leider keine Standard-Exchange-Funktionalität, die einem das schön auflistet (insbesondere, da man die Rechte Serverseitig [-> Speicherung im AD] oder Clientseitig [-> Speicherung im Postfach selber] angeben kann). Aber unter http://msexchangeteam.com/archive/2006/05/01/426936.aspx der 4. Beitrag könnte dir weiterhelfen.
Gruß
Filipp
ein Datenschutzrechtliches Problem sehe ich erstmal nicht. I.A. pflegen Firmen eine IT-Security-Policy in der definiert ist, dass man anderen nicht den Zugriff auf Resourcen gewähren darf, die für einen selbst angelegt wurden, ein Überprüfen ist dann zulässig. Bezieht sich meist auf Accounts, lässt sich aber auch auf Postfächer übertragen. Ob eine solche Policy bei euch definiert wurde weiß ich natürlich nicht (aber selbst wenn nicht halte ich es für ein berechtigtes Interesse zu prüfen, wer Zugriff worauf hat).
Und wie man es macht? Es gibt leider keine Standard-Exchange-Funktionalität, die einem das schön auflistet (insbesondere, da man die Rechte Serverseitig [-> Speicherung im AD] oder Clientseitig [-> Speicherung im Postfach selber] angeben kann). Aber unter http://msexchangeteam.com/archive/2006/05/01/426936.aspx der 4. Beitrag könnte dir weiterhelfen.
Gruß
Filipp
Moin,
ganz so einfach ist das nicht... Auch eine Überprüfung kann - je nach Art der Überprüfung - durchaus ein Problem darstellen. Da es hier aber nur darum geht wer wodrauf Zugriff hat wäre das kein Thema - da ja zu keiner Zeit der *inhalt* der Postfächer selbst überprüft wird (oder habe ich das falsch verstanden?)
Ich würde mal unter google nach der Option "Powershell Exchange Rechtevergabe" suchen. Da sollte es durchaus möglichkeiten geben via Shell auch Rechte zu gewähren (ich weiss das nur noch grob - weil ich das für den BB-Server mal brauchte). Und normalerweise kann man mit demselben oder einem ähnlichen Kommando und etwas Lesen der Hilfe zu den Parametern sich dann auch die Zugriffsrechte auf ein/alle Postfächer anzeigen lassen... (wer hat Vollzugriff, ...).
Das Problem an der Sache wird natürlich werden das ein User selbst ja auch den Vollzugriff auf seinen Ordner an einen Stellvertreter geben kann und der Zugriff auf die öffentlichen Ordner... Denn speziell wenn deine User den Ordnerzugriff selbst anpassen können ist deine Liste wenn die aus dem Drucker kommt ja prinzipiell schon wieder veraltet...
ganz so einfach ist das nicht... Auch eine Überprüfung kann - je nach Art der Überprüfung - durchaus ein Problem darstellen. Da es hier aber nur darum geht wer wodrauf Zugriff hat wäre das kein Thema - da ja zu keiner Zeit der *inhalt* der Postfächer selbst überprüft wird (oder habe ich das falsch verstanden?)
Ich würde mal unter google nach der Option "Powershell Exchange Rechtevergabe" suchen. Da sollte es durchaus möglichkeiten geben via Shell auch Rechte zu gewähren (ich weiss das nur noch grob - weil ich das für den BB-Server mal brauchte). Und normalerweise kann man mit demselben oder einem ähnlichen Kommando und etwas Lesen der Hilfe zu den Parametern sich dann auch die Zugriffsrechte auf ein/alle Postfächer anzeigen lassen... (wer hat Vollzugriff, ...).
Das Problem an der Sache wird natürlich werden das ein User selbst ja auch den Vollzugriff auf seinen Ordner an einen Stellvertreter geben kann und der Zugriff auf die öffentlichen Ordner... Denn speziell wenn deine User den Ordnerzugriff selbst anpassen können ist deine Liste wenn die aus dem Drucker kommt ja prinzipiell schon wieder veraltet...
Hallo,
das "Who has access"-Skript liest nach meiner Interpretation nur die (serverseitig) im AD gesetzten Rechte aus, nicht die in der Mailbox (über Outlook) gesetzten.
Erstere bekommt man in Exchange 2007 mit der Powershell übrigens ganz einfach (get-mailbox -server ... | get-mailboxpermission | export-csv...)
Gruß
Filipp
das "Who has access"-Skript liest nach meiner Interpretation nur die (serverseitig) im AD gesetzten Rechte aus, nicht die in der Mailbox (über Outlook) gesetzten.
Erstere bekommt man in Exchange 2007 mit der Powershell übrigens ganz einfach (get-mailbox -server ... | get-mailboxpermission | export-csv...)
Gruß
Filipp
Hi,
ich habe einen ähnlichen Fall und hier bei SOLL ich gem. Angabe der Betriebsrates, der Geschäftsleitung, des Datenschutzbeauftragten und des HR Managers die Rechte, die sich ein Admin genommen hat im Exchange prüfen, da sich wiederholt der Verrdacht stellte, dass der Admin E-Mails anderer liest!
Hat da einer von Euch was zur Hand was funktioniert?
Ich muss die Rechte nachschauen und evtl. auch Zugriffe auf andere Postfächer loggen! Und das wenn möglich gerichtsverwertbar! ?
Ich habe da zwar eins zwei Ideen, aber vielleicht wisst ihr ja noch was?
Genauso wie ich gerne mit einem Externen Tool ein Netzwerkshare überwachen würde, wer wann darauf zugreift!?
Ideen sind willkommen:
Danke!
ich habe einen ähnlichen Fall und hier bei SOLL ich gem. Angabe der Betriebsrates, der Geschäftsleitung, des Datenschutzbeauftragten und des HR Managers die Rechte, die sich ein Admin genommen hat im Exchange prüfen, da sich wiederholt der Verrdacht stellte, dass der Admin E-Mails anderer liest!
Hat da einer von Euch was zur Hand was funktioniert?
Ich muss die Rechte nachschauen und evtl. auch Zugriffe auf andere Postfächer loggen! Und das wenn möglich gerichtsverwertbar! ?
Ich habe da zwar eins zwei Ideen, aber vielleicht wisst ihr ja noch was?
Genauso wie ich gerne mit einem Externen Tool ein Netzwerkshare überwachen würde, wer wann darauf zugreift!?
Ideen sind willkommen:
Danke!