Freigeben über

Zugreifen auf Exchange-Objekte

  • Artikel

 

Letztes Änderungsdatum des Themas: 2005-05-18

In diesem Thema wird anhand zweier Beispiele der Zugriffssteuerungsprozess dargestellt, der von Microsoft® Exchange verwendet wird. In dem ersten Beispiel versucht ein Benutzer, einen Ordner oder eine Nachricht in seinem Postfach zu öffnen. Im zweiten Beispiel versucht ein Benutzer, einen Ordner oder eine Nachricht in einem Öffentlichen Ordner zu öffnen.

Öffnen eines Ordners oder einer Nachricht in einem Benutzerpostfach

Wenn ein Benutzer versucht, auf einen Ordner oder eine Nachricht in einem Postfach zuzugreifen bzw. damit einen Vorgang auszuführen, verwendet Exchange den in der folgenden Abbildung dargestellten Prozess, um zu bestimmen, ob der Benutzer zum Ausführen des Vorgangs berechtigt ist.

noteAnmerkung:
Windows 2000 führt die tatsächlichen Prüfungen aus, doch der Prozess wird von Exchange gesteuert, wobei manchmal spezielle Regeln und Änderungen Anwendung finden. Eine Beschreibung dieser Regeln und Änderungen finden Sie unter Details des Zugriffssteuerungsprozesses in Exchange.

efa00397-3f58-4272-893f-44339b8e9a3b

Wie in der vorangehenden Abbildung dargestellt, findet der Autorisierungsprozess in zwei wesentlichen Schritten statt: einer Reihe von einleitenden Prüfungen und einer Überprüfung auf Ordner- oder Nachrichtenebene.

Einleitende Prüfungen für Benutzerpostfächer   Drei einleitende Prüfungen werden von Exchange ausgeführt:

  • Fordert der Benutzer ein Attribut eines Ordners oder einer Nachricht an? (Details zur Zugriffssteuerung für Attribute geht über den Rahmen dieses Handbuchs hinaus.)
  • Welcher Benutzertyp fordert Zugriff an? Bestimmte Typen von Benutzern, beispielsweise der Postfachbesitzer, verfügen über uneingeschränkte Zugriffsberechtigungen auf alle Elemente im Postfach.
  • Führt der Benutzer außerdem eine administrative Aktion aus? Administrative Aktionen (wie das Ändern der Speichergrenzwerte für ein bestimmtes Postfach) werden von einem anderen Berechtigungssatz gesteuert als dem, von dem Clientaktionen (wie das Erstellen einer neuen Nachricht) gesteuert werden. Exchange bestimmt mithilfe dieser Prüfung, welcher Berechtigungssatz verwendet werden muss, um die Ordner- oder Nachrichtenberechtigungen zu überprüfen.
    Informationen, wie administrative Aktionen von Exchange identifiziert werden, finden Sie unter "Ermitteln des Typs der Clientanwendung" in Details des Zugriffssteuerungsprozesses in Exchange.

Ordner- oder Nachrichtenüberprüfung für Benutzerpostfächer   Diese Überprüfung wird von Exchange in Abhängigkeit vom Ergebnis der ersten Prüfung auf eine von zwei Arten gehandhabt:

  • Wenn es sich bei dem Benutzer um einen speziell angegebenen Benutzer handelt (z. B. den Postfachbesitzer), lässt Exchange diese Überprüfung aus und gewährt vollständige Zugriffsberechtigungen.
  • Ist der Benutzer kein speziell angegebener Benutzer, ermittelt Exchange, ob er über die geeigneten Berechtigungen verfügt, um die angeforderte Aktion auszuführen. Wenn der Benutzer eine administrative Anwendung verwendet, aber nicht über die geeigneten Berechtigungen zum Ausführen der angeforderten Aktion verfügt, führt Exchange einen weiteren Test mithilfe der normalen Berechtigungen aus.

Da die zweite Prüfung im Autorisierungsprozess auf Ordner- oder Nachrichtenebene erfolgt, ist es für einen Benutzer möglich, sich bei einem Postfach anzumelden, das nicht sein eigenes ist; Er kann jedoch nur dann auf Elemente in diesem Postfach zugreifen, wenn ihm Zugriffsberechtigungen für den entsprechenden Ordner oder die Nachricht zugewiesen wurden.

noteAnmerkung:
Dieses Beispiel beschreibt zwar Zugriffsüberprüfungen für ein Benutzerpostfach, doch der Prozess ist für ein Systempostfach (oder jeden anderen von Ihnen erstellten Postfachtyp) identisch.

Öffnen eines Öffentlichen Ordners oder einer Nachricht in einem Öffentlichen Ordner

Wenn ein Benutzer versucht, auf einen Öffentlichen Ordner oder eine Nachricht in einem Öffentlichen Ordner zuzugreifen bzw. damit einen Vorgang auszuführen, verwendet Exchange den in der folgenden Abbildung dargestellten Prozess, um zu bestimmen, ob der Benutzer zum Ausführen des Vorgangs berechtigt ist.

4ef416c3-8f2a-4dd9-83f6-881c22a06560

Wie in dem vorangehenden Diagramm dargestellt, findet der Autorisierungsprozess in zwei wesentlichen Schritten statt: einer Reihe von einleitenden Prüfungen und einer Überprüfung auf Ordner- oder Nachrichtenebene.

Einleitende Prüfungen für Öffentliche Ordner oder Nachrichten   Die folgenden einleitende Prüfungen werden von Exchange ausgeführt:

  • Fordert der Benutzer ein Attribut eines Ordners oder einer Nachricht an? (Details zur Zugriffssteuerung für Attribute geht über den Rahmen dieses Handbuchs hinaus.)
  • Führt der Benutzer außerdem eine administrative Aktion aus?
    Exchange bestimmt mithilfe dieser Prüfung, welcher Berechtigungssatz verwendet werden muss, um die Ordner- oder Nachrichtenberechtigungen zu überprüfen. Administrative Aktionen werden von einem anderen Berechtigungssatz gesteuert als dem, von dem Clientaktionen gesteuert werden. Exchange identifiziert eine Aktion als "administrativ" auf Grundlage des Anwendungstyps, von dem die Aktion angefordert wird. Wenn die Aktion von Microsoft Outlook® angefordert wird, behandelt Exchange die Aktion als Clientaktion. Wenn die Aktion vom Exchange-System-Manager angefordert wird, behandelt Exchange die Aktion als administrative Aktion. Selbst wenn die Aktion identisch ist (z. B. das Ändern von Berechtigungen), und der Benutzer diese Aktion als "administrativ" einstuft, behandelt Exchange diese als Clientaktion, wenn sie von Outlook angefordert wird, und als administrative Aktion, wenn sie vom Exchange-System-Manager angefordert wird. Weitere Informationen, wie administrative Aktionen von Exchange identifiziert werden, finden Sie unter "Ermitteln des Typs der Clientanwendung" in Details des Zugriffssteuerungsprozesses in Exchange.

Ordner- oder Nachrichtenüberprüfung für Öffentliche Ordner oder Nachrichten   Diese Überprüfung wird von Exchange in Abhängigkeit vom Ergebnis der einleitenden Prüfungen auf eine von drei Arten gehandhabt:

  • Wenn es sich bei dem Benutzer um einen speziell angegebenen Benutzer handelt (z. B. einen Ordnerbesitzer) und die angeforderte Aktion nicht administrativ ist, lässt Exchange diese Überprüfung aus und gewährt vollständige Zugriffsberechtigungen.
  • Wenn der Benutzer ein speziell angegebener Benutzer ist und die angeforderte Aktion administrativ ist, ermittelt Exchange, ob er über die geeigneten administrativen Berechtigungen verfügt, um die angeforderte Aktion auszuführen.
  • Ist der Benutzer kein speziell angegebener Benutzer, ermittelt Exchange, ob er über die geeigneten, nicht administrativen Berechtigungen verfügt, um die angeforderte Aktion auszuführen.
    noteAnmerkung:
    Systemordner (wie der Öffentliche Frei/Gebucht-Ordner) verfügen über zusätzliche Einschränkungen, die hier nicht besprochen werden.