Freigeben über


Exchange 2007-Berechtigungen: Häufig gestellte Fragen

 

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2008-01-24

In diesem Thema werden auf Berechtigungen bezogene Fragen beantwortet, die seit der Veröffentlichung von Microsoft Exchange Server 2007 eingegangen sind.

Viele der Antworten beschreiben bestimmte Änderungen an Berechtigungen, über die Zugriffsrechte eingeschränkt oder erweitert werden können. Falls Sie mit den Tools, mit denen Sie Berechtigungen verwalten können, nicht vertraut sind, finden Sie Informationen in Planen und Implementieren eines geteilten Berechtigungsmodells.

Die Fragen und Antworten sind in zwei Abschnitte unterteilt:

  • Exchange 2007-Bereitstellung

  • Verwaltung von Exchange 2007

Exchange 2007-Bereitstellung

F: Welche Berechtigungen sind zum Ausführen der Schritte für die Gesamtstruktur- und Domänenvorbereitung erforderlich?

A: Die folgenden Berechtigungen sind erforderlich:

  • Um den Befehl Setup /PrepareLegacyExchangePermissions auszuführen, müssen Sie Mitglied der Sicherheitsgruppe Organisations-Admins sein.

  • Um den Befehl Setup /PrepareSchema auszuführen, müssen Sie Mitglied der Sicherheitsgruppen Schema-Admins und Organisations-Admins sein.

  • Um den Befehl Setup /PrepareAD auszuführen, müssen Sie Mitglied der Sicherheitsgruppe Organisations-Admins sein.

Um die Befehle Setup /PrepareDomain, setup /PrepareDomain:<FQDN> oder Setup /PrepareAllDomains auszuführen, müssen Sie Mitglied der Gruppe Organisations-Adminis oder in der jeweils vorzubereitenden Domäne ein Mitglied der Gruppe Domänen-Admins sein.

F: Welche Funktion hat /PrepareLegacyExchangePermissions für Exchange 2007?

A: Ausführliche Informationen finden Sie unter Vorbereiten von Exchange-Legacyberechtigungen.

F: Wie bestimmt Setup /PrepareLegacyExchangePermissions die Liste der zu aktualisierenden Domänen?

A: Der Task Setup /PrepareLegacyExchangePermissions ruft die Liste der Domänen in der Gesamtstruktur aus der Gesamtstrukturkonfiguration ab. Der Task stellt dann die Verbindung zu einem globalen Katalogserver her und führt eine Suche in der Namenspartition aller Domänen durch. Als nächstes ermittelt der Task, ob die Domäne für Microsoft Exchange 2000 Server oder Exchange Server 2003 vorbereitet wurde, indem er versucht, die SID (Security Identifier) der Sicherheitsgruppen der Exchange Domain Server und Exchange Enterprise Server aufzulösen. Nachdem der Task eine Liste der Domänen erstellt hat, die zuvor vorbereitet wurden, dann versucht der Task mit den einzelnen Domänen eine Domänenkonfiguration-LDAP-Sitzung einzurichten. Wenn der Task eine Sitzung einrichten kann, legt er die Legacyberechtigungen für die Domäne fest. Wenn die Sitzung vom Task aufgrund eines berechtigungsabhängigen Problems oder einer nicht verfügbaren Domäne nicht eingerichtet werden kann, dann fügt er diese Domäne zur Liste der nicht erreichbaren Domänen hinzu. Wenn die Liste der nicht erreichbaren Domänen Domänennamen enthält, dann schlägt der Task fehl, nachdem er die Liste der erreichbaren Domänen verarbeitet hat.

Wenn der Task fehlschlägt, müssen Sie eine Korrekturmaßnahme bestimmen, z. B. das Ausführen des Tasks auf einem Domänencontroller in dieser Domäne unter Verwendung eines Kontos mit den entsprechenden Anmeldeinformationen, um sicherzustellen, dass die Domäne aktualisiert wird, bevor Sie mit den restlichen Exchange 2007-Vorbereitungsschritten fortfahren.

F: Welche Funktion hat Setup /PrepareSchema für Exchange 2007?

A: Ausführliche Informationen finden Sie unter Vorbereiten von Active Directory und Domänen.

F: Welche Funktion hat Setup /PrepareAD für Exchange 2007?

A: Ausführliche Informationen finden Sie unter Vorbereiten von Active Directory und Domänen.

F: Welche Funktion hat Setup /PrepareDomain für Exchange 2007?

A: Weitere Informationen finden Sie unter Vorbereiten von Active Directory und Domänen. Dadurch wird der Microsoft Exchange System Objects-Container in der Domäne erstellt.

Dieser Container wird zum Speichern von Proxyobjekten von Öffentlichen Ordnern sowie Exchange-spezifischen Systemobjekten, z. B. das Postfach des Postfachspeichers, verwendet.

Durch den Befehl Setup /PrepareDomain werden diesem Ordner bestimmte Berechtigungen zugeordnet. Weitere Informationen zu den erteilten spezifischen Berechtigungen finden Sie unter Berechtigungsreferenz für Exchange2007 Server Setup.

Durch den Befehl Setup /PrepareDomain wird die globale Sicherheitsgruppe Exchange Install Domain Servers erstellt und in den Microsoft Exchange System Objects-Container gestellt.

Er fügt die globale Sicherheitsgruppe Exchange Install Domain Servers zur universellen Sicherheitsgruppe Exchange Servers hinzu.

Er weist der universellen Sicherheitsgruppe Exchange Server Berechtigungen auf Domänenebene zu. Weitere Informationen zu den erteilten spezifischen Berechtigungen finden Sie unter Berechtigungsreferenz für Exchange2007 Server Setup.

Er weist der universellen Sicherheitsgruppe Exchange-Empfängeradministratoren Berechtigungen auf Domänenebene zu. Weitere Informationen zu den erteilten spezifischen Berechtigungen finden Sie unter Berechtigungsreferenz für Exchange2007 Server Setup.

Er weist der universellen Sicherheitsgruppe Exchange Server die in der Organisationseinheit Sicherheitsrichtlinie für Domänencontroller festgelegte Berechtigung Verwalten von Überwachungs- und Sicherheitsprotokollen zu.

F: Wann muss Setup /PrepareDomain für Exchange Server 2007 ausgeführt werden?

A: Mithilfe des Befehls Setup /PrepareDomain können Active Directory-Domänenadministratoren ihre Domänen für Exchange 2007-Benutzer und -Server vorbereiten. Sie sollten den Befehl Setup /PrepareDomain in sämtlichen Domänen ausführen, die Folgendes enthalten:

  • Exchange 2000, Exchange 2003- oder Exchange 2007-Server

  • E-Mail-aktivierte Objekte

  • Globale Katalogserver, die möglicherweise von Exchange-Verzeichniszugriffskomponenten verwendet werden

F: Warum ist die Gruppe "Exchange-Server" ein Mitglied der Windows-Autorisierungszugriffsgruppe in jeder Domäne, die Exchange-Server oder Benutzer mit Exchange-Postfächern aufweist?

A: Diese Änderung wurde im Zusammenhang mit der PrepareDomain-Funktionalität in Exchange 2007 Service Pack 1 eingeführt. Durch diese Änderung kann der Microsoft Exchange-Transportdienst die Kerberos-Erweiterungssammlung S4U (Service-for-User) verwenden, um Berechtigungsprüfungen auf Computern auszuführen, die keine Domänencontroller sind.

F: Setup /PrepareDomain ändert die Domänencontrollerrichtlinie. Dabei wird der universellen Sicherheitsgruppe Exchange Server die Berechtigung zum Verwalten der Überwachungs- und Sicherheitsprotokolle gewährt. Aus welchem Grund ist dies erforderlich?

A: Damit der Speicherprozess die Überwachung von Postfächern unterstützt, ist diese Berechtigung erforderlich, da der Exchange-Server hiermit SACLs (System Access Control Lists) in der Domäne lesen kann. Wenn diese Berechtigung entfernt wird, können Exchange-Serverdatenbanken nicht mehr bereitgestellt werden. Dies ist die einzige Anpassung, die der Befehl Setup /PrepareDomain an der Domänencontrollerrichtlinie vornimmt. Diese Richtlinie wird über eine Kombination aus der Active Directory-Replikation und dem Dateireplikationsdienst an andere Domänencontroller repliziert.

Hinweis

Wenn Sie andere Richtlinien auf den Organisationseinheiten des Domänencontrollers implementiert haben, müssen Sie diese Berechtigung der höchsten betreffenden Richtlinie hinzufügen.

Nach oben

F: Welche Funktion hat die Sicherheitsgruppe "Exchange Install Domain Servers"?

A: Bei der Installation eines Exchange 2007-Servers wird dessen Computerkonto zur universellen Sicherheitsgruppe Exchange Server hinzugefügt. In der Standardeinstellung wird diese Gruppe in der Stammdomäne der Gesamtstruktur gehostet. Wenn sich der von Ihnen zu installierende Server in einer anderen Domäne befindet, werden die Exchange-Dienste während der Installation möglicherweise nicht gestartet, da die Active Directory-Replikation die Exchange Server-Mitgliedschaft nicht an die globalen Katalogserver repliziert, die sich in der Domäne befinden, in der Sie Exchange 2007 installieren.

Der Zweck der Sicherheitsgruppe Exchange Install Domain Servers ist es sicherzustellen, dass während des Setups die Dienste ordnungsgemäß gestartet werden können, ohne auf die Active Directory-Replikation warten zu müssen. Exchange-Setup fügt das Computerkonto zur globalen Sicherheitsgruppe Exchange Install Domain Servers der lokalen Domäne hinzu.

F: Können die Exchange-Standardsicherheitsgruppen in einen anderen Container oder in eine andere Domäne der Gesamtstruktur verschoben werden?

A: Exchange 2007 verwendet einen neuen Satz von Sicherheitsgruppen zum Verwalten des Berechtigungsmodells und zum Aufrechterhalten der Koexistenz. Dies sind folgende Gruppen:

  • Exchange Servers

  • Exchange-Administratoren mit Leserechten

  • Exchange-Öffentlicher Ordner-Administratoren (neu in Exchange 2007 Service Pack 1)

  • Exchange-Empfängeradministratoren

  • Exchange-Organisationsadministratoren

  • ExchangeLegacyInterop

Diese Sicherheitsgruppen befinden sich standardmäßig in der Stammdomäne in der Organisationseinheit Microsoft Exchange-Sicherheitsgruppen. Sie können in andere Organisationseinheiten und auch in andere Domänen in der Gesamtstruktur verschoben werden. Das Verschieben von Gruppen in der Gesamtstruktur wird unterstützt, da diese Gruppen zwei eindeutige Eigenschaften aufweisen: eine bekannte GUID und ein DN (Distinguished Name), der geändert werden kann. Mithilfe dieser zwei Eigenschaften und durch deren Hinzufügen zum Attribut otherWellKnownObjects der Gesamtstruktur während des Tasks Setup /PrepareAD, kann Exchange die Sicherheitsgruppe überall in der Gesamtstruktur finden. Der Verzeichnisdienst übernimmt das Aktualisieren des DNs (Distinguished Name) des Objekts, wenn dieses verschoben wird. Auf diese Weise ist für Exchange kein fester Speicherort im Verzeichnis erforderlich.

Nach oben

F: Im Unternehmen dürfen Berechtigungen auf der Domänenebene von Active Directory nicht an untergeordnete Container oder Organisationseinheiten vererbt werden. Führt dies zu Problemen?

A: Der Befehl Setup /PrepareDomain stellt nur Zugriffssteuerungseinträge (Access Control Entries, ACE) für die Gruppen Exchange Server und Exchange-Empfängeradministratoren auf die Domänenebene. Daher kann Microsoft Exchange keine Benutzerobjekte verarbeiten, wenn Sie die Vererbung blockieren. Das führt dazu, dass Empfängeradministratoren keine E-Mail-Empfänger bereitstellen können und Exchange ist dann nicht in der Lage, die entsprechenden Attribute für die Objekte zu aktualisieren.

Beim Blockieren der Vererbung können Sie die Berechtigungen des ausgewählten Containers bzw. der Organisationseinheit entweder entfernen oder kopieren. Wenn Sie die Berechtigungen kopieren, werden die entsprechenden ACEs angewendet. Wenn Sie die Berechtigungen entfernen, werden die entsprechenden ACEs nicht angewendet und die Bereitstellung von Empfängern wird nicht funktionieren.

Hinweis

Die Berechtigungsstruktur kann sich in zukünftigen Versionen oder Service Packs von Microsoft Exchange ändern. Daher wird empfohlen, dass Sie die Vererbung zulassen oder zumindest Berechtigungsänderungen überwachen, wenn Sie neue Versionen von Microsoft Exchange bereitstellen, damit die Container mit blockierter Vererbung entsprechend aktualisiert werden können.

Wenn Sie die Berechtigungen für eine Organisationseinheit manuell festlegen möchten, damit Exchange 2007 und die Empfänger auf Objekte zugreifen und diese verarbeiten können, dann müssen Sie die folgenden Berechtigungen zuweisen:

  • Weisen Sie dem Sicherheitsobjekt Authentifizierte Benutzer die folgende Berechtigung für alle Empfängerobjekttypen in der Organisationseinheit zu:

    • Lesezugriff für den Eigenschaftensatz Exchange-Informationen
  • Weisen Sie der Gruppe Exchange-Server die folgende Berechtigung für alle Empfängerobjekttypen in der Organisationseinheit zu:

    • Schreibzugriff für die folgenden Attribute:

      groupType

      msExchUMPinChecksum

      msExchMailboxSecurityDescriptor

      publicDelegates

      msExchUMSpokenName

      msExchUserCulture

      userCertificate

      msExchMobileMailboxFlags

      msExchUMServerWriteableFlags

    • Lesezugriff für die folgenden Attribute:

      garbageCollPeriod

      canonicalName

      userAccountControl

      memberOf

    • Lesezugriff für den Eigenschaftensatz Persönliche Exchange-Informationen

    • Lesezugriff für den Eigenschaftensatz Exchange-Informationen

    • Berechtigung zum Ändern des Kennworts

    • Schreibberechtigungen für Gruppenobjekte

Wenn Sie eine Umgebung betreiben, die Exchange 2000- oder Exchange 2003-Server enthält, müssen Sie auch der Sicherheitsgruppe Exchange Enterprise Servers die folgenden Berechtigungen zuweisen, damit der Exchange 2003-Empfängeraktualisierungsdienst Objekte verarbeiten kann:

  • Inhalt auflisten

  • Alle Eigenschaften lesen

  • Berechtigungen lesen

  • Öffentliche Informationen schreiben

  • Persönliche Informationen schreiben

  • Exchange-Informationen schreiben

  • displayName schreiben

  • groupType schreiben

  • Schreibberechtigungen für Gruppenobjekte (diese Berechtigung ist erforderlich, um ausgeblendete Gruppenmitgliedschaften zu unterstützen)

Sie müssen der Sicherheitsgruppe Exchange-Empfängeradministratoren die folgenden Berechtigungen zuweisen, um sicherzustellen, dass die Exchange-Empfängeradministratoren die Empfängerobjekte in der Organisationseinheit verwalten können:

  • Schreibzugriff auf die folgenden Eigenschaftenmengen:

    • Persönliche Exchange-Informationen

    • Exchange-Informationen

  • Schreibzugriff auf die folgenden Attribute:

    legacyExchangeDN

    publicDelegates

    showInAddressBook

    displayName

    garbageCollPeriod

    proxyAddresses

    adminDisplayName

    textEncodedORAddress

    mail

    displayNamePrintable

     

     

  • Die Berechtigung zum Erstellen von msExchDynamicDistributionList-Objekten.

  • Das Benutzerrecht zum Löschen von msExchDynamicDistributionList-Objekten.

  • Vollzugriff auf msExchDynamicDistributionList-Objekte.

  • Generische Leseberechtigung, die Lesen, Inhalt auflisten, Objekt auflisten und Alle Eigenschaften lesen umfasst

Sie können all diese Berechtigungen mithilfe von ADSI-Snap-Ins (Active Directory Service Interfaces), DACLs (Discretionary Access Control Lists) oder des Cmdlets Add-ADPermission in der Exchange-Verwaltungsshell festlegen. Weitere Informationen zum Festlegen von Berechtigungen auf Organisationsebene finden Sie unter Planen und Implementieren eines geteilten Berechtigungsmodells.

Nach oben

F: Welche Berechtigungen sind für die Installation des ersten Exchange-Servers erforderlich?

A: In der Annahme, dass Sie alle Schritte für die Gesamtstruktur- und Domänenvorbereitung ausgeführt haben, müssen Sie zum Installieren des ersten Exchange-Servers bei Active Directory mit den folgenden Berechtigungen angemeldet sein:

  • Exchange-Organisationsadministrator-Rolle

  • Mitglied der lokalen Gruppe Administratoren auf dem Exchange-Zielserver

Hinweis

Die Rolle Exchange-Organisationsadministrator ist zum Installieren des ersten Servers für die einzelnen Exchange 2007-Serverfunktionen erforderlich.

F: Welche Berechtigungen sind für die Installation weiterer Exchange-Server erforderlich?

A: In der Annahme, dass Sie alle Schritte für die Gesamtstruktur- und Domänenvorbereitung ausgeführt haben und dass die erste Exchange 2007-Serverfunktion installiert wurde, müssen Sie zum Installieren weiterer Exchange-Server bei Active Directory mit den folgenden Berechtigungen angemeldet sein:

  • Der Rolle Exchange-Organisationsadministrator wurde die Berechtigung zum Installieren des Servers über den Serverbereitstellungsprozess des Setups übertragen. Weitere Informationen zum Bereitstellen von Serverobjekten finden Sie unter Bereitstellen von Exchange 2007 Server und Delegieren des Setups.

  • Mitglied der lokalen Gruppe Administratoren auf dem Exchange-Zielserver

F: Wie können Berechtigungen an andere Administratoren delegiert werden, damit diese verschiedene Exchange 2007-Dienste verwalten können?

A: Verwenden Sie Folgendes, um Berechtigungen an andere Benutzer zu delegieren:

  • Den Assistenten zum Hinzufügen von Exchange-Administratoren in der Exchange-Verwaltungskonsole

  • Das Cmdlet Add-ExchangeAdministrator in der Exchange-Verwaltungsshell

Sie müssen als Benutzer mit zugewiesener Rolle Exchange-Organisationsadministrator angemeldet sein, um weitere Administratoren delegieren zu können.

Nach oben

F: Gibt es beim Verschieben der Exchange-Computerkonten in eine andere Organisationseinheit in Active Directory eine Auswirkung auf die Exchange-Berechtigungen und die Delegierung?

**A:**Nein, mit dem Assistenten zum Hinzufügen von Exchange-Administratoren werden Berechtigungen im Konfigurationsnamenskontext von Active Directory zugewiesen, nicht im Domänennamenskontext (in dem sich die Computerkonten befinden). Der Microsoft Exchange-Systemaufsichtsdienst auf dem Exchange-Server muss jedoch nach dem Verschieben des Computerkonto-Objekts neu gestartet werden. Weitere Informationen zu den Gründen für den Neustart des Exchange-Servers finden Sie im Microsoft Knowledge Base-Artikel System Attendant generates Event ID 9186 and Event ID 9187 in Exchange 2000 and in Exchange 2003

F: Worin besteht der Unterschied zwischen der Rolle "Exchange-Organisationsadministrator" und der Rolle "Exchange-Serveradministrator"?

A: Ein Exchange-Organisationsadministrator kann Einstellungen für beliebige Exchange-Objekte in der Konfigurationspartition der Exchange-Organisation verarbeiten und ändern.

Ein Exchange-Serveradministrator kann nur das Exchange-Serverobjekt und alle untergeordneten Objekte ändern, für die dem Administrator die Berechtigung erteilt wurde.

F: Werden Berechtigungen einer Gruppe oder eines Benutzers auf Exchange-Organisationsebene automatisch weitergegeben?

**A:**Ja. Berechtigungen werden wie in Exchange 2003 vererbt.

F: Welche Berechtigungen sind für das Dienstkonto in Exchange 2007 in einer Clusterkonfiguration erforderlich?

A: Für das Clusterdienstkonto sind keine Berechtigungen der Exchange-Organisation erforderlich.

F: Welche Berechtigungen sind zum Installieren von Exchange 2007 in einer Clusterkonfiguration erforderlich?

**A:**Weitere Informationen über das Ausführen einer delegierten Installation von Postfachclusterservern finden Sie unter Durchführen einer delegierten Installation eines Postfachclusterservers.

Nach oben

F: Es wird eine Messaginganwendung eines Drittanbieters ausgeführt, für die vollständiger Zugriff auf das Postfach jedes Benutzers erforderlich ist. Unter Exchange Server 5.5 erhält ein besonderes Konto die Berechtigung "Administrator des Dienstkontos", das für die Anwendung verwendet wird. Wie ist eine ähnliche Funktionalität unter Exchange 2007 zu erreichen?

A: Exchange 2007 verfügt über eine andere Sicherheitsarchitektur als Exchange Server 5.5. Bei Exchange 2007 wird tatsächlich kein Standortdienstkonto verwendet. Stattdessen starten alle Dienste als lokales Computerkonto.

Wenn es sich bei Ihrem Anmeldekonto um das Administratorkonto, ein Mitglied der Administratoren der Stammdomäne, ein Mitglied der Gruppen Unternehmensadministratoren oder ein Mitglied der Rolle Exchange-Organisationsadministratoren handelt, wird Ihnen der Zugriff auf alle Postfächer explizit verwehrt, bei denen es sich nicht um Ihr eigenes Postfach handelt. Dies gilt auch, wenn Sie uneingeschränkte Administratorrechte für das Exchange-System besitzen. Es können alle Exchange 2007-Verwaltungsaufgaben ausgeführt werden, ohne einem Administrator die Rechte zum Lesen der E-Mails anderer Benutzer gewähren zu müssen.

Sie können die gewünschten Ergebnisse wie folgt erreichen, wobei Sie sich aber an die Sicherheits- und Datenschutzrichtlinien Ihrer Organisation halten müssen:

  • Verwenden Sie den folgenden Befehl in der Exchange-Verwaltungsshell, um den Zugriff auf alle Postfächer eines gegebenen Postfachspeichers zu gewähren:

    Add-ADPermission -identity "mailbox database" -user "serviceaccount" -ExtendedRights Receive-As
    
  • Verwenden Sie den folgenden Befehl in der Exchange-Verwaltungsshell, um den Zugriff auf ein einzelnes Postfach zu gewähren:

    Add-MailboxPermission -identity "user" -user "serviceaccount" -AccessRights FullAccess
    

Nach oben

F: Wieso können Domänenadministratoren Konten von postfachaktivierten Benutzern in deren Domäne fälschen?

A: Active Directory enthält einen Basissatz von Berechtigungen, die auf Objekte im Verzeichnis angewendet werden können. Insbesondere enthält Active Directory die erweiterte Berechtigung "Senden als". In der Standardeinstellung verfügen die Administratorengruppe, die Gruppe Domänen-Admins, die Gruppe Organisations-Admins und die Gruppe Konten-Operatoren über die "Senden als"-Berechtigungen für alle Benutzer. Die Berechtigungen der Administratorengruppe und der Gruppe Organisations-Admins werden von der Domänenebene vererbt. Die Gruppe Konten-Operatoren und die Gruppe Domänen-Admins erhalten explizite Berechtigungen, die auf der Definition des Benutzerobjekts beruhen, das sich im Active Directory-Schema befindet.

Möglicherweise erwägen Sie die Implementierung eines Zugriffsverweigerungs-Steuerungseintrags für "Senden als" für Administratoren für Benutzerobjekte innerhalb der Domäne. Bei der Entscheidung, einen Zugriffsverweigerungs-Steuerungseintrag für "Senden als" für Administratoren für Benutzerobjekte innerhalb der Domäne zu implementieren, sollten Sie Folgendes beachten:

  • Ein expliziter Steuerungseintrag für das Zulassen des Zugriffs überschreibt einen vererbten Zugriffsverweigerungs-Steuerungseintrag. Das bedeutet, dass explizite Steuerungseinträge vor den vererbten Steuerungseinträgen angewendet werden.

  • Mitglieder der Gruppe Domänen-Admins können den Zugriffsverweigerungs-Steuerungseintrag entfernen und einen expliziten Zugriffszulassungs-Steuereintrag hinzuzufügen.

  • Das Hinzufügen eines Zugriffsverweigerungs-Steuerungseintrags hat möglicherweise weitere Folgen für die Umgebung.

Wenn das Implementieren eines Steuerungseintrags zum Verweigern von "Senden als" für Administratoren für Benutzerobjekte innerhalb der Domäne ein Risiko für die Messagingumgebung darstellt, sollten Sie eine oder mehrere der folgenden Empfehlungen implementieren:

  • Begrenzen Sie die Anzahl von Domänenadministratoren in der Domäne durch Delegieren bestimmter Aufgaben. Weitere Informationen finden Sie unter Best Practices for Delegating Active Directory Administration.

  • Überwachen Sie mittels Auditing die Kontoanmeldungsereignisse für jene Konten, die Mitglieder der Gruppe Domänen-Admins sind.

Nach oben

F: Warum besitzen Mitglieder der Gruppe Organisations-Admins und der Stammgruppe Domänen-Admins vollständigen Zugriff in der Exchange-Organisation?

A: In Exchange 2000 und nachfolgenden Versionen von Exchange Server werden Daten über die Exchange-Organisation nicht in einem separaten Verzeichnis gespeichert. Exchange speichert Organisationsdaten in Active Directory im Konfigurationsnamenskontext. Die Gesamtstrukturadministratoren, die Mitglieder der Gruppe Organisations-Admins oder der Stammgruppe Domänen-Admins sind, steuern alle Aspekte des Verzeichnisses und die im Verzeichnis gespeicherten Daten. Administratoren der Gesamtstruktur müssen das Verzeichnis steuern, weil eine einzige Konfigurationsänderung sich nachteilig auf die ganze Gesamtstruktur auswirken könnte. Der Konfigurationsnamenskontext und, durch Vererbung, die im Konfigurationsnamenskontext gespeicherte Exchange-Organisation, verfügen über folgende Berechtigungen:

  • Organisations-Admins – Vollzugriff

  • Stamm-Domänen-Admins – Berechtigungen zum Lesen, Schreiben, zum Erstellen aller untergeordneten Objekte und spezielle Berechtigungen

Neben den vererbten Berechtigungen fügt Exchange Setup einen Steuerungseintrag zum Verweigern von "Senden als" und "Empfangen als" für die Gruppe Organisations-Admins und die Stammgruppe Domänen-Admins hinzu. Damit werden diese Administratoren daran gehindert, auf Postfächer innerhalb der Gesamtstruktur zuzugreifen und deren Adressen zu fälschen. Weitere Informationen finden Sie unter Berechtigungsreferenz für Exchange2007 Server Setup.

Die Vererbung vom Knoten der Exchange-Organisation innerhalb des Konfigurationsnamenskontexts kann nicht entfernt werden. Wenn die Messagingadministratoren den Gesamtstrukturadministratoren nicht vertrauen, sollten die Messagingadministratoren in Betracht ziehen, Exchange innerhalb seiner eigenen Gesamtstruktur zu isolieren. Weitere Informationen zu den Bereitstellungsoptionen finden Sie unter Exchange Server 2007 Deployment.

Wenn die Exchange-Organisation nicht in einer separaten Gesamtstruktur untergebracht werden kann, empfiehlt es sich, eine oder mehrere der folgenden Aufgaben auszuführen:

  • Begrenzen Sie die Anzahl von Organisationsadministratoren und Domänenadministratoren in der Stammdomäne durch Delegieren bestimmter Aufgaben. Weitere Informationen finden Sie unter Best Practices for Delegating Active Directory Administration.

  • Überwachen Sie mittels Auditing die Kontoanmeldungsereignisse für jene Konten, die Mitglieder privilegierter Gruppen sind. Diese umfassen die Gruppe Organisations-Admins und die Stammgruppe Domänen-Admins.

  • Überwachen Sie die Änderungen, die im Bereich CN=<Exchange Organization>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Stammdomäne> des Verzeichnisses erfolgen.

Nach oben

F: Warum können Mitglieder der Gruppe "Kontenoperatoren" die Exchange-Serversicherheitsgruppen ändern?

A: Einer privilegierten Gruppe wie der Sicherheitsgruppe Kontenoperatoren werden in Active Directory bestimmte Berechtigungen erteilt. Insbesondere wird der Sicherheitsgruppe Kontenoperatoren explizit die Berechtigungen für den Vollzugriff für alle Objekte in der Domänenpartition gewährt, damit die Gruppe die Objekte verwalten kann.

Sie können auch einen Zugriffsverweigerungs-Steuerungseintrag (Deny ACE) für Kontenoperatoren dieser Sicherheitsgruppen implementieren. Beachten Sie Folgendes, wenn Sie einen Zugriffsverweigerungs-Steuerungseintrag implementieren:

  • Den Kontenoperatoren wird unter Verwendung eines expliziten Zugriffssteuerungseintrags (Access Control Entries, ACE) der Vollzugriff auf die Objekte im Verzeichnis gewährt. Das bedeutet, Sie müssen jeder einzuschränkenden Gruppe einen expliziten Zugriffsverweigerungs-Steuerungseintrag zuordnen. Beachten Sie, dass ein expliziter Steuerungseintrag für das Zulassen des Zugriffs einen vererbten Zugriffsverweigerungs-Steuerungseintrag außer Kraft setzt.

  • Das Hinzufügen eines Zugriffsverweigerungs-Steuerungseintrags hat möglicherweise weitere Folgen für die Umgebung. Weitere Informationen finden Sie unter Planen und Implementieren eines geteilten Berechtigungsmodells.

Wenn das Implementieren eines Zugriffsverweigerungs-Steuerungseintrags für Kontenoperatoren oder andere privilegierte Gruppen für die Exchange-Sicherheitsgruppen ein Risiko für die Messagingumgebung darstellt, sollten Sie eine oder mehrere der folgenden Empfehlungen implementieren:

  • Begrenzen Sie die Anzahl von Kontenoperatoren in der Domäne durch Delegieren bestimmter Aufgaben. Weitere Informationen finden Sie unter Best Practices for Delegating Active Directory Administration.

  • Überwachen Sie mittels Auditing die Kontoanmeldungsereignisse für jene Konten, die Mitglieder der Sicherheitsgruppe Kontenoperatoren sind.

  • Überwachen Sie mittels Auditing die Änderungen an den Exchange-Sicherheitsgruppen.

F: Warum gibt es ein besonderes Dienstkonto in Exchange Server 5.5, wenn Exchange 2007-Dienste als LocalSystem (integriertes Computerkonto) gestartet werden können?

A: Exchange Server 5.5 war aufgrund einer Einschränkung unter Microsoft Windows NT 4.0 ein besonderes Anmeldekonto für die Dienste erforderlich. Obwohl lokale Computerkonten in Windows NT 4.0 über Tokens verfügten, wiesen sie keine Anmeldeinformationen auf. Deshalb konnte sich ein Computerkonto nicht bei einem anderen Computerkonto authentifizieren. In Windows Server 2003 wird die Kerberos-Authentifizierung verwendet und die Computerkonten verfügen sowohl über Tokens als auch über Anmeldeinformationen.

Die Verwendung des lokalen Computerkontos ist aus den folgenden Gründen sicherer als ein vom Administrator angegebenes Konto:

  • Das Kennwort des lokalen Computers ist eine zufällige hexadezimale Zahl anstelle einer verständlichen Zeichenfolge.

  • Das Kennwort des lokalen Computerkontos wird automatisch alle sieben Tage geändert.

  • Das Exchange Server 5.5-Dienstkonto muss aus Sperrrichtlinien ausgeschlossen werden, da Bruteforce-Anmeldeversuche zu einer Deaktivierung des Kontos und dem Herunterfahren der Exchange-Dienste führen könnten.

Nach oben

Verwaltung von Exchange 2007

F: Welche Berechtigungen sind zum Erstellen und Löschen von Exchange 2007-Benutzern erforderlich?

A: Wenn Sie für die Benutzer- und die Postfachverwaltung verantwortlich sind, benötigen Sie Berechtigungen zum Erstellen und Verwalten von Empfängerobjekten in Active Directory. So könnten Sie beispielsweise ein Domänenadministrator oder ein Kontenoperator sein, oder Ihnen könnte der Zugriff auf eine bestimmte Organisationseinheit übertragen worden sein. Beachten Sie, dass Mitglieder privilegierter Konten von untergeordneten Domänen auch über die Rolle Exchange-Administrator mit Leserechten verfügen müssen, um die E-Mail-bezogenen Eigenschaften der Exchange-Verwaltungskonsole und der Exchange-Verwaltungsshell verwalten zu können. Wenn Sie nicht über erweiterte Berechtigungen verfügen, sind folgende Berechtigungen erforderlich:

  • Die Rolle Exchange-Empfängeradministrator oder entsprechende Berechtigungen. Weitere Informationen zum Delegieren der Empfängerverwaltung finden Sie unter Planen und Implementieren eines geteilten Berechtigungsmodells und Überlegungen zu Berechtigungen.

    • Damit das Postfach zwischen Servern verschoben werden kann, muss der Administrator ein Exchange-Organisationsadministrator sein oder über die Rolle Exchange-Serveradministrator für die Quell- und Zielserver verfügen.
  • Entsprechende Berechtigungen in der Domänenpartition zum Erstellen, Löschen und Verwalten der fraglichen Objekte.

Wenn Sie außerdem Öffentliche Ordner-Objekte verwalten, sollte es sich bei dem Verwaltungskonto, d. h. dem Konto, mit dem Sie sich zur Bearbeitung von Objekten in der Exchange-Verwaltungskonsole oder Exchange-Verwaltungsshell anmelden, um ein E-Mail-aktiviertes oder ein postfachaktiviertes Konto handeln. Unter Umständen können ungewöhnliche Vorfälle in der Benutzeroberfläche für die Berechtigungsvergabe sowie Fehler bei der Namensauflösung auftreten, wenn das Konto zum Verwalten der Öffentlichen Ordner-Objekte nicht E-Mail-aktiviert oder postfachaktiviert ist.

Weitere Informationen finden Sie unter dem Thema "Sonstige Probleme" im Abschnitt "Fehlersuche und Beheben von Informationsspeicherproblemen in Exchange Server 2003" in Arbeiten mit Exchange Server 2003-Informationsspeichern.

Nach oben

F: Warum sind zusätzliche Berechtigungen erforderlich, die nicht im Umfang der Exchange-Empfängeradministrator-Rolle enthalten sind, um bestimmte Vorgänge mit Postfächern, z. B. Ändern des Postfachtyps, ausführen zu können?

A: Um ein Postfach von einem Typ in einen anderen zu konvertieren, müssen mehrere Änderungen in Active Directory vorgenommen werden, die eventuell erhöhte Rechte erfordern, die von der Exchange-Empfängeradministrator-Rolle nicht bereitgestellt werden. Nehmen wir folgendes Beispielszenario an, in dem ein Benutzerpostfach in ein Raumpostfach konvertiert werden soll: Ressourcenpostfächer sind konstruktionsbedingt deaktivierte Benutzerkonten, die postfachaktiviert sind, während Benutzerpostfächer postfachaktivierte Benutzerkonten sind. Um also das Postfach vom Typ UserMailbox in den Typ RoomMailbox zu konvertieren, muss dieses Benutzerkonto deaktiviert werden. Hierzu muss der Wert des Attributs userAccountControl des Benutzers von 512 (aktiviert) in 514 (deaktiviert) geändert werden. Da das Konto nun deaktiviert ist, müssen zusätzlich, damit das Postfach weiterhin verwendet wird, das Attribut msExchMasterAccountSID festgelegt und die geeigneten Berechtigungen angewendet werden. In diesem Fall wird kein verknüpftes Konto zugewiesen, sondern dem Attribut msExchMasterAccountSID wird das Recht NT-AUTORITÄT\SELBST zugewiesen. Darüber hinaus muss sichergestellt werden, dass das Recht NT-AUTORITÄT\SELBST über die geeigneten Berechtigungen verfügt, sodass die Nachrichtenübermittlung und das Postfach unbeeinflusst bleiben. Dies wird auf zwei Arten erreicht. Erstens wird dem Recht NT-AUTORITÄT\SELBST Vollzugriff für das Postfach gewährt, indem die Sicherheitsbeschreibung des Postfachs aktualisiert wird. Zweitens wird dem Recht NT-AUTORITÄT\SELBST das erweiterte Recht Senden als sowie Lese- und Schreibzugriff für den Eigenschaftensatz Persönliche Informationen gewährt (sodass publicDelegates und andere Attribute von NT-AUTORITÄT\SELBST verwaltet werden können).

F: Welche Berechtigungen sind zum Ändern der Postfachberechtigungen eines Benutzerobjekts erforderlich?

A: Sie müssen über die folgenden Berechtigungen verfügen, um die Postfachberechtigungen über die Exchange-Verwaltungsshell ordnungsgemäß zu ändern:

  • Exchange-Administrator mit Leserechten-Rolle

  • Berechtigung zum Verwalten von Informationsspeichern für den Postfachspeicher, in dem sich das Postfach befindet

  • Schreibberechtigung für den Postfachspeicher, in dem sich das Postfach befindet

F: Welche Berechtigungen sind zum Verschieben eines Postfachs zwischen Exchange-Postfachspeichern erforderlich?

A: Die Funktion zum Verschieben von Postfächern, auf die über die Exchange-Verwaltungskonsole und über die Exchange-Verwaltungsshell zugegriffen werden kann, meldet sich beim Quellpostfach an und verschiebt die Ordner und Nachrichten in das Zielpostfach. Sie können Postfächer zwischen Postfachspeichern in derselben Speichergruppe, über verschiedene Speichergruppen auf demselben Server hinweg und zwischen Exchange-Servern verschieben. Sie müssen über Berechtigungen für das Benutzerobjekt in Active Directory verfügen, um dessen Exchange-Postfachattribute ändern zu können. Ein Benutzer mit der Funktion des Kontenoperators verfügt über diese Berechtigungen. Sie müssen auch über die folgenden Berechtigungen verfügen:

  • Die Rolle Exchange-Organisationsadministrator oder die Rolle Exchange-Serveradministrator auf den Exchange 2007-Quell- oder -Zielpostfachservern.

    Hinweis

    Wenn Sie Postfächer zwischen Verwaltungsgruppen in einer gemischten Exchange 2007–Exchange 2003-Umgebung verschieben, müssen Sie über die Rolle Exchange-Administrator für die administrativen Quell- und Zielgruppen verfügen.

  • Mitglied der Administratorgruppe auf der lokalen Arbeitsstation oder dem Server zum Erstellen eines dynamischen MAPI-Profils

Nach oben

F: Welche Berechtigungen sind zum Erstellen eines neuen Postfachs oder eines Öffentliche Ordner-Informationsspeichers oder einer Speichergruppe auf einem Exchange 2007-Server erforderlich?

A: Sie müssen mit den folgenden Berechtigungen angemeldet sein:

  • Die Rolle Exchange-Organisationsadministrator oder die Rolle Exchange-Serveradministrator auf dem Exchange 2007-Postfachserver.

    Hinweis

    Exchange-Serveradministratoren können keine Öffentliche Ordner-Datenbanken erstellen.

F: Einzelne Sicherheits-IDs (SIDs) für verschiedene Empfangs- und Sendeconnectors werden nicht aufgelöst. Warum ist dies der Fall?

A: Einige logische Gruppen, die Berechtigungen zu verschiedenen Empfangs- und Sendeconnectors zuweisen, werden von einer Sicherheits-ID (SID) dargestellt und besitzen keinen Anzeigenamen. In diesen Fällen gibt das Cmdlet Get-ADPermission nur die SID aus. Die folgenden SIDs wurden im Exchange 2007-Transport definiert:

  • Hub-Transport-Server in der gleichen Organisation. S-1-9-1419165041-1139599005-3936102811-1022490595-21

    Hinweis

    Für die Authentifizierung und Autorisierung zwischen zwei Hub-Transport-Servern in derselben Domäne wird das Computerkonto verwendet, das Mitglied der Sicherheitsgruppe Exchange-Server ist.

  • Vertrauenswürdige Edge-Transport-Server: S-1-9-1419165041-1139599005-3936102811-1022490595-22

  • Vertrauenswürdige Server von Drittanbietern, die dieselbe(n) autorisierende(n) Domäne(n) versorgen. S-1-9-1419165041-1139599005-3936102811-1022490595-23

  • Exchange 2003-Server in derselben Organisation: S-1-9-1419165041-1139599005-3936102811-1022490595-24

  • Partnertransportserver: S-1-9-1419165041-1139599005-3936102811-1022490595-10

Nach oben

F: Welche Berechtigungen sind für die Nachrichtensuche erforderlich?

A: Der Administrator muss über folgende Berechtigungen verfügen, um mehrere Postfächer mithilfe der Aufgabe Export-Mailbox durchsuchen zu können:

  • Die Rolle Exchange-Serveradministrator oder höher auf dem Quell- oder Zielpostfachserver

  • Mitglied der Gruppe der lokalen Administratoren auf der lokalen Arbeitsstation oder dem Server, auf der/dem der Task ausgeführt wird

F: Welche Berechtigungen sind zum Nachverfolgen von Nachrichten erforderlich?

A: Die folgenden Berechtigungen sind zum Nachverfolgen einer Nachricht erforderlich:

  • Für die RMT-Version von Exchange 2007     Die Rolle Exchange-Serveradministrator oder höher für die Postfach- und Hub-Transport-Server, die vom Task möglicherweise abgefragt werden

  • Neues in Exchange 2007 Service Pack 1 Rolle Exchange-Administrator mit Leserechten oder höher innerhalb der Organisation

  • Lokaler Administrator für den Edge-Transport-Server

  • Lokaler Administrator auf der Arbeitsstation, auf der der Task ausgeführt wird

    Hinweis

    In der RTM-Version von Exchange 2007 müssen Sie den Microsoft Exchange-Transportprotokoll-Suchdienst neu starten, nachdem Sie einem Administrator die Rolle Exchange-Serveradministrator gewährt haben, falls der Administrator Nachrichten nachverfolgen können soll.

F: Welche Berechtigungen sind zum Ausführen des Exchange-Problembehandlungs-Assistenten erforderlich?

A: Die folgenden Berechtigungen sind zum Ausführen von Exchange Mail Flow Analyzer erforderlich:

  • Domänenadministrator oder ein Mitglied der Gruppe VORDEFINIERT\Administratoren auf dem Active Directory-Server zum Aufzählen von Active Directory-Informationen und Aufrufen der Microsoft WMI-Anbieter (Windows Management Instrumentation) für Domänencontroller und globale Katalogserver

  • Mitglied der Gruppe der lokalen Administratoren auf den einzelnen Exchange-Servern zum Aufrufen der WMI-Anbieter und für den Zugriff auf die Registrierung und die IIS-Metabase

  • Rolle Exchange-Administrator mit Leserechten oder höher

Folgende Berechtigungen sind zum Ausführen von Exchange Performance Troubleshooting Analyzer erforderlich:

  • Domänenbenutzer oder höhere Berechtigungen auf dem im Verbindungsschritt angegebenen globalen Katalogserver

  • Mitglied der Gruppe der lokalen Administratoren auf den einzelnen Servern, die Microsoft Exchange ausführen und analysiert werden müssen. Diese Berechtigungen sind für den Zugriff auf WMI, die Registrierung und auf Leistungsdaten erforderlich.

Folgende Berechtigungen sind zum Ausführen von Exchange Disaster Recovery Analyzer erforderlich:

  • Mitglied der Gruppe der lokalen Administratoren auf den einzelnen Exchange-Servern zum Aufrufen der WMI-Anbieter und für den Zugriff auf die Registrierung, die IIS-Metabase, auf die Datenbank- und Transaktionsprotokolldateien sowie auf das Datenbankmodul

  • Die Rolle Exchange-Serveradministrator oder höher auf allen Servern

Nach oben

F: Welche Berechtigungen sind zum Ausführen von Microsoft Exchange Best Practices Analyzer erforderlich?

A: Sie müssen zum Ausführen von Exchange Best Practices Analyzer über folgende Berechtigungen verfügen:

  • Rolle Exchange-Administrator mit Leserechten oder höher

  • Computeradministrator-Berechtigungen zum Aufzählen von Active Directory-Informationen und Aufrufen des WMI-Anbieters auf DC- oder GC-Servern

  • Mitglied der Gruppe der lokalen Administratoren auf den einzelnen Exchange-Servern zum Aufrufen der WMI-Anbieter und für den Zugriff auf die Registrierung und die IIS-Metabase

F: Welche Berechtigungen sind zum Verwalten von Nachrichtenwarteschlangen erforderlich?

A: Zum Verwalten von Nachrichtenwarteschlangen müssen Sie über die folgenden Berechtigungen verfügen:

  • Auf Edge-Transport-Servern müssen Sie ein Mitglied der Gruppe der lokalen Administratoren sein.

  • Für Exchange 2007 RTM   Auf Hub-Transport-Servern müssen Sie ein Mitglied der Rolle Exchange-Serveradministrator oder höher sein.

  • Neu in Exchange 2007 Service Pack 1   Auf Hub-Transport-Servern müssen Sie ein Mitglied der Rolle Exchange-Administrator mit Leserechten oder höher sein, um die Warteschlangen anzeigen zu können. Wenn Sie die Warteschlangen ändern möchten, müssen Sie Mitglied der Rolle Exchange-Serveradministrator oder höher sein.

Nach oben