Ankündigung

Einklappen
Keine Ankündigung bisher.

Admin-Berechtigungen für Empfängerkonfiguration

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Admin-Berechtigungen für Empfängerkonfiguration

    Hallo Ferrari-Forum,

    wir möchten mit einem nicht Domain-Admin-User in der OfficeMaster Exchange Administration (Lokale Exchange-Administration) Empfängereinstellungen bearbeiten.
    Der User ist in den Gruppen "Exchange Admins" und "Exchange Organization Administrators". Wenn der User die Eigenschaften eines Empfängers öffnet so sind alle Felder ausgegraut. Welche Berechtigungen werden benötigt damit Empfänger bearbeitet werden können?

    #2
    Admin-Berechtigungen für Empfängerkonfiguration

    Hallo,

    ich gehe mal davon aus, dass es sich beim Exchange Server um Exchange 2013 oder höher handelt. Dieses Problem kann mehrere Ursachen haben.

    Ich tippe mal folgendes: Das Tool verwehrt die Administration, wenn der Basisknoten (Globale Organisationskonfiguration) nicht zugänglich ist.

    Das Tool benutzt einen direkten Zugriff auf das AD über das Active Directory Service Interface. Ab Exchange 2013 ist das Rechtekonzept der Organisationsadministration jedoch über die Remote Powershell auf Basis des Rollenmodells (RBAC) umgesetzt. Die Sicherheitsgruppen der Organisationsadministration folgen genau diesem Modell. So kann es passieren, dass die Sicherheitsgruppen keine echten AD-Zugangsberechtigungen per ADSI haben. Das ist völlig normal.

    Könnten Sie den zu verwendenden Admin-Benutzer bitte in die Gruppe der "Public Folder Management" hinzufügen? Diese hat zumindest volle Leseberechtigung in der Organisation. Ändert sich nun das Verhalten der OfficeMaster Exchange Administration?

    Viele Grüße

    Marko Riebe

    Kommentar


      #3
      Admin-Berechtigungen für Empfängerkonfiguration

      Hallo Herr Riebe,

      vielen Dank für die schnelle Antwort.
      Leider habe ich vergessen im ursprünglichen Post unsere Exchange-Version zu korrekt zu benennen. Wir setzen Exchange 2010 SP3 R18 (Build 14.3.361.1) ein.
      Ich habe den User in die Gruppe "Public Folder Management" aufgenommen.
      Die Eigenschaften der Empfänger sind weiterhin ausgegraut.

      Mit freundlichen Grüßen,
      Helge Nemetz

      Kommentar


        #4
        Admin-Berechtigungen für Empfängerkonfiguration

        Hallo Herr Nemetz,

        für die Administration der Objekte führt das Tool einen Schreibtest durch. Aufs Einzelne heruntergebrochen sind folgende Rechte für eine Administration notwendig:

        Benutzer und Öffentliche Ordner
        • Lese- und Schreibberechtigung auf das eingestellte extensionAttribute für die individuelle Parameterspeicherung
        • Lese- und Schreibberechtigung auf das Attribute "title" (Dieses Attribut wird in der ADUC in den Berechtigungseditoren als "JobTitle" angezeigt.)
        • Active Directory ACL Leseberechtigung auf den Ort des Globalen Basisknotens (Wenn der Knoten organisationsweit angelegt wurde, ist dies z.B. eine Leseberechtigung der Organisation (z.B. Public Folder Administration). Wenn der Knoten domänenweit angelegt wurde, dann nur Leseberechtigung auf Domänenobjekte. Wenn der Knoten als Konfigurationsdatei erstellt wurde, dann wäre dies eine Leseberechtigung im Ordner/Freigabe des Pfades.)


        Gruppen
        • Lese- und Schreibberechtigung auf das eingestellte extensionAttribute für die individuelle Parameterspeicherung
        • Lese- und Schreibberechtigung auf das Attribute "extensionName"
        • Active Directory ACL Leseberechtigung auf den Ort des Globalen Basisknotens (Wenn der Knoten organisationsweit angelegt wurde, ist dies z.B. eine Leseberechtigung der Organisation (z.B. Public Folder Administration). Wenn der Knoten domänenweit angelegt wurde, dann nur Leseberechtigung auf Domänenobjekte. Wenn der Knoten als Konfigurationsdatei erstellt wurde, dann wäre dies eine Leseberechtigung im Ordner/Freigabe des Pfades.)


        Adressen vom Typ Fax
        • Schreib- und Leseberechtigungen des Attributes „proxyAddresses“


        Vielleicht hilft Ihnen das weiter.

        Viele Grüße

        Marko Riebe

        Kommentar


          #5
          Admin-Berechtigungen für Empfängerkonfiguration

          Hallo Herr Riebe,

          nochmals vielen Dank für schnelle und umfassende Antwort.
          Wenn ich Sie richtig verstehe müsste ich also entweder Gruppen mit den entsprechenden Berechtigungen finden und den User in diese aufnehmen oder dem User via ADSI die passenden Berechtigungen geben?

          Mit freundlichen Grüßen,
          Helge Nemetz

          Kommentar


            #6
            Admin-Berechtigungen für Empfängerkonfiguration

            Hallo Herr Nemetz,

            es gibt mehrere Möglichkeiten solche Berechtigungen zu vergeben. Man könnte eine Sicherheitsgruppe erstellen und dann die Berechtigungen vergeben. Es ist jedoch auch möglich diese einzelnen Berechtigungen direkt für den User zu vergeben.

            In meiner Erklärung bezieht sich die Unterscheidung von Gruppen und Benutzern darauf, dass für die Administration von Benutzern andere Voraussetzungen sind, als bei der Administration von Benutzerobjekten, da Gruppen andere Attribute besitzen, als Benutzer.

            Ich persönlich würde eine Sicherheitsgruppe erstellen und dann über Domain > Delegate Control explizit diese Gruppe volle Berechtigungen auf extensionAttribute15, extensionname, title und proxyaddresses vergeben. Die Gruppe kommt ebenfalls in die Gruppe der Public Folder Management Benutzer.

            Viele Grüße

            Marko Riebe

            Kommentar

            Lädt...
            X