9. September 2015 - Oliver Scholl

Exchange 2013 – Vollzugriff über Sicherheitsgruppe

Das Setzen des Vollzugriffs auf Userpostfächer kann unterschiedlichste Gründe haben. Damit man aber nicht für jedes Postfach den Zugriff immer explizit setzen muss, bietet es sich an, eine Sicherheitsgruppe auf die Datenbank oder gleich die Administrative Gruppe zu berechtigen. In meinem Fall hat das bis Exchange 2010 immer makellos funktioniert. Eine universelle Sicherheitsgruppe mit den entsprechenden Admins wurde per ADSIEdit auf der Administrativen Gruppe des Exchanges mit Vollzugriff berechtigt.
Nach der Migration zu Exchange 2013 war der Zugriff von heute auf Morgen nicht mehr möglich.
vollzugriff-owa

 

Nach einigem Suchen und probieren stellte sich heraus, dass alle „Protected Groups“ ein DENY Recht gesetzt hatten. Ergebnis war, dass die Admins zusätzlich zu ihrem Adminkonto, das Mitglied einer solchen Gruppe ist,  nun ein Exchangeadminkonto ohne eine solche Mitgliedschaft benötigten.

Dieser neue User hatte nun über die Sicherheitsgruppe wieder den Vollzugriff auf alle Postfächer.

Zum Schluß noch eine kleine Anleitung wie man den Zugriff über ADSIEdit einrichtet.

  1. Anlegen einer Universellen Sicherheitsgruppe (egal ob mailaktiviert oder nicht)
  2. Hinzufügen eines User, der nicht Mitglied einer Protected Group ist!
  3. ADSIEdit öffnen und die Konfiguration laden
  4. In folgenden Pfad wechseln CN=Databases,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=<Organisationsname>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<DomainName>,DC=de
  5. adsiedit-vollzugriffEigenschaften der Databases öffnen
  6. In den Tab Sicherheit wechseln und die Sicherheitsgruppe mit Vollzugriff hinzufügen
  7. Auf Erweitert innerhalb des Tabs Sicherheit klicken
  8. Sicherstellen, dass die neue Gruppe die Berechtigungen vererbt. Hierzu muss unter Anwenden auf „Dieses und alle untergeordneten Objekte“ stehen. Wenn nicht anpassen und anwenden.
  9. Im ECP des Exchange sollte nun beim Vollzugriff der Mailboxen die neue Gruppe erscheinen.

Alle Blogs / Exchange 2013 Berechtigungen / Exchange 2013 /

Schreibe einen Kommentar