Sicherheit in Exchange 2019 richtig setzen Geteilte und gemeinsame Active Directory-Verwaltung verstehen und aktivieren

Autor / Redakteur: Thomas Joos / Thomas Joos

Unternehmen, in denen die Verwaltung von Exchange 2019- und Active Directory-Objekten getrennt wird, verwenden ein Modell mit geteilten Berechtigungen. Hier lassen sich Administratoren für Active Directory und Exchange-Rechte klar voneinander trennen.

Anbieter zum Thema

Microsoft-Netzwerke effektiv verwalten
Microsoft-Netzwerke effektiv verwalten
(Microsoft-Netzwerke effektiv verwalten)

Die maximale Stufe geteilter Berechtigungen ist die Aufteilung von Exchange und Active Directory. Hier gibt es:

  • Administratoren, die die Exchange-Infrastruktur der Organisation, wie Server und Empfänger, verwalten
  • Administratoren, die die Active Directory-Infrastruktur verwalten

Sie können in Exchange 2019 auswählen, ob Sie ein Modell mit gemeinsamen Berechtigungen oder ein Modell mit geteilten Berechtigungen verwenden wollen. Bei der Installation wird standardmäßig das Modell mit gemeinsamen Berechtigungen aktiviert. Das heißt, Administratoren in Exchange haben auch administrative Rechte in Active Directory.

Ist ein Administrator berechtigt, eine Aktion durchzuführen, wird sie im Kontext von Exchange Trusted Subsystem und nicht in dem des Benutzers ausgeführt. Dabei handelt es sich um eine universelle Sicherheitsgruppe 

Das Modell mit gemeinsamen Berechtigungen ist standardmäßig bei der Installation aktiviert. Wenn in Ihrer Organisation die Exchange-Verwaltung und die Active Directory-Verwaltung getrennt sind, müssen Sie Exchange so anpassen, dass das Modell mit geteilten Berechtigungen verwendet wird. Dazu müssen Sie das Exchange 2019-Setup mit vorhandener Installation von Exchange 2019 starten und die entsprechende Option aktivieren.

Sie werden während der Installation gefragt, ob Sie geteilte Active Directory-Berechtigungen aktivieren wollen . Wenn Sie geteilte Active Directory-Berechtigungen aktivieren und dann zu gemeinsamen Berechtigungen oder geteilten RBAC-Berechtigungen wechseln wollen, müssen Sie das Exchange-Setup erneut starten und die geteilten Active Directory-Berechtigungen deaktivieren.

Geteilte RBAC-Berechtigungen konfigurieren Sie folgendermaßen:

  1. Deaktivieren Sie geteilte Active Directory-Berechtigungen über das Installationsprogramm von Exchange Server 2019.
  2. Erstellen Sie eine Rollengruppe mit den Active Directory-Administratoren, die Benutzerkonten erstellen sollen.
  3. Erstellen Sie Rollenzuweisungen zwischen der Rolle zur Erstellung von E-Mail-Empfängern und der neuen Rollengruppe zur Erstellung der zugrunde liegenden Benutzerkonten.
  4. Erstellen Sie Rollenzuweisungen zwischen der Rolle für Sicherheitsgruppenerstellung und -verwaltung und der neuen Rollengruppe.
  5. Entfernen Sie die Verwaltungsrollenzuweisungen zwischen der Rolle für Erstellung von E-Mail-Empfängern und den Rollengruppen für die Organisationsverwaltung und Empfängerverwaltung.

 

Exchange-Administratoren können aber Exchange-spezifische Objekte erstellen und verwalten, wie zum Beispiel Transportregeln oder Verteilergruppen. Hier haben wiederum die Active Directory-Administratoren keine Rechte.

Wenn Sie wollen, dass die neue Rollengruppe auch die Exchange-Einstellungen für neue Benutzer und Gruppen verwalten kann, muss ihr die Rolle für E-Mail-Empfänger ebenfalls zugewiesen werden.

Mit geteilten Active Directory-Berechtigungen muss die Erstellung von Benutzern und Gruppen mit Active Directory-Verwaltungstools durchgeführt werden. Das Erstellen von Postfächern, E-Mail-aktivierten Benutzern, Verteilergruppen und sonstigen Objekten wird  von den Exchange-Verwaltungstools entfernt. 

 

Sie können geteilte Active Directory-Berechtigungen auch nach der Installation von Exchange 2019 aktivieren oder deaktivieren. Dazu müssen Sie "Setup.exe" erneut über die Befehlszeile ausführen. Legen Sie die Option "ActiveDirectorySplitPermissions" auf "true" fest, um geteilte Active Directory-Berechtigungen zu aktivieren..

Legen Sie den Wert auf "false" fest, um geteilte Berechtigungen zu deaktivieren, wenn Sie diese bei der ursprünglichen Installation aktiviert haben. Sie müssen die Option "PrepareAD" zusammen mit der Option "ActiveDirectorySplitPermissions" verwenden..

Wenn Sie über mehrere Domänen in derselben Gesamtstruktur verfügen, müssen Sie entweder die Option "PrepareAllDomains" verwenden, wenn Sie geteilte Active Directory-Berechtigungen aktivieren, oder Sie müssen das Setupprogramm mit der Option "PrepareDomain" in jeder Domäne ausführen.

Sie können geteilte Active Directory-Berechtigungen nicht aktivieren, wenn Sie Exchange 2019 auf einem Domänencontroller installiert haben.

 

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu RZ- und Server-Technik

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung