de.le 10 Geschrieben 1. Dezember 2010 Melden Teilen Geschrieben 1. Dezember 2010 Moin. Wie kann ich verhindern, dass zur Anmeldung am OWA der Domain-Admin-Account verwendet wird? Im Normalfall ist es möglich, dass jemand ein Postfach über direkten Link (https://example.com/exchange/anderes_postfach) adressiert und mit dem Domain-Administrator authentifiziert. Der Admin soll aber weiterhin berechtigt auf die Postfächer bleiben. Meine erste Idee war es in der entsprechenden ISA-Regel den Admin zu den ausgeschlossenen Benutzern aufzunehmen, doch leider funktionierte anschließend das Active-Sync nicht mehr. What's wrong? Umgebung: Windows Server 2003, Exchange 2003 und ISA. Grüße de.le Zitieren Link zu diesem Kommentar
NorbertFe 2.102 Geschrieben 1. Dezember 2010 Melden Teilen Geschrieben 1. Dezember 2010 Wenn Active Sync bei dir über die selbe ISA Regel läuft kann das ja auch nicht mehr funktionieren. Wobei sich mir die Frage stellt, warum ein Domänenadministrator ein Handy haben sollte was synct. :) Bye Norbert Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 1. Dezember 2010 Melden Teilen Geschrieben 1. Dezember 2010 Hallo. Im Normalfall ist es möglich, dass jemand ein Postfach über direkten Link (https://example.com/exchange/anderes_postfach) adressiert und mit dem Domain-Administrator authentifiziert Nein, das ist nicht der Normalfall. Da wurde bereits an den Berechtigungen gedreht. LG Günther Zitieren Link zu diesem Kommentar
de.le 10 Geschrieben 2. Dezember 2010 Autor Melden Teilen Geschrieben 2. Dezember 2010 Wenn Active Sync bei dir über die selbe ISA Regel läuft kann das ja auch nicht mehr funktionieren Das Funktioniert sehr wohl zusammen. Es sind lediglich mehrere interne Pfade in der Regel notwendig, der Server ist aber der Selbe. Wobei sich mir die Frage stellt, warum ein Domänenadministrator ein Handy haben sollte was synct Das ist nicht die Frage, sondern MUSS ein Administrator sich überhaupt am OWA anmelden können! Da der Domain-Admin auf jedes Postfach berechtigt ist, kann auch demnach mit seiner Authentfizierung auf jedes Postfach über OWA zugreiffen. Genauso gut könnte es ein Backupuser sein, der auf alle Postfächer berechtigt ist (jetzt bitte nicht mit Backupkonzept kommen ;) ), irgendwie kannt ich doch unterbinden, dass bestimmte Benutzer sich am OWA authentifizieren dürfen. Nein, das ist nicht der Normalfall Ja, das ist richtig. Es wurde das Outlook Web Access Web Administration installiert. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 2. Dezember 2010 Melden Teilen Geschrieben 2. Dezember 2010 Man kann in den Exchange Features des Benutzerkontos definieren, ob OWA für den Benutzer aktiviert ist oder nicht ... Zitieren Link zu diesem Kommentar
de.le 10 Geschrieben 2. Dezember 2010 Autor Melden Teilen Geschrieben 2. Dezember 2010 Man kann in den Exchange Features des Benutzerkontos definieren, ob OWA für den Benutzer aktiviert ist oder nicht... Danke, das ist richtig. D.h. aber nur, dass das Postfach des Benutzers per OWA geöffnet werden kann oder nicht. Ich kann aber einen administrativen Benutzer (ohne Postfach) nicht daran hindern sich an der Stelle des Benutzer zu authentifizieren und somit auf das Postfach zu öffnen. Zitieren Link zu diesem Kommentar
NorbertFe 2.102 Geschrieben 2. Dezember 2010 Melden Teilen Geschrieben 2. Dezember 2010 Das Funktioniert sehr wohl zusammen. Es sind lediglich mehrere interne Pfade in der Regel notwendig, der Server ist aber der Selbe. Grmpf wenn du es in einer Regel mit mehreren Pfaden definierst geht es eben nicht, dass du einzelne Pfade deaktivierst. Irgendwie logisch, oder? ;) Das ist nicht die Frage, sondern MUSS ein Administrator sich überhaupt am OWA anmelden können! Da der Domain-Admin auf jedes Postfach berechtigt ist, kann auch demnach mit seiner Authentfizierung auf jedes Postfach über OWA zugreiffen. Wie schon geschrieben ist das nicht per Default so. Genauso gut könnte es ein Backupuser sein, der auf alle Postfächer berechtigt ist (jetzt bitte nicht mit Backupkonzept kommen ;) ), irgendwie kannt ich doch unterbinden, dass bestimmte Benutzer sich am OWA authentifizieren dürfen. Ja schrieb ich doch schon. Mehrere Regeln für OWA/Active Sync. Dann kannst du OWA für bestimmte Konten am ISA Deaktivieren. Notwendig ist aber, dass du die FBA vom ISA übernehmen läßt. Bye Norbert Zitieren Link zu diesem Kommentar
Wurstsalat 10 Geschrieben 2. Dezember 2010 Melden Teilen Geschrieben 2. Dezember 2010 Ja, das ist richtig. Es wurde das Outlook Web Access Web Administration installiert.mir wäre neu dass, das so tiefgreifende rechteänderungen durchführt... Danke, das ist richtig. D.h. aber nur, dass das Postfach des Benutzers per OWA geöffnet werden kann oder nicht. Ich kann aber einen administrativen Benutzer (ohne Postfach) nicht daran hindern sich an der Stelle des Benutzer zu authentifizieren und somit auf das Postfach zu öffnen.mir fällt auf anhieb auch nur ein die rechte auf eure postfachspeicher wieder auf die defaultwerte zu setzen... alternativ übern isa + explizite zulassungsregeln für owa und activesync aber ist sichergestellt dass alle owa verbindungen übern isa kommen? €dith oder einfach lesen was über mir steht Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.