tgyssling 11 Geschrieben 19. Juni 2013 Melden Teilen Geschrieben 19. Juni 2013 Hallo zusammen,hab da mal wieder eine Frage bzw. Anliegen.Standardmäßig haben ja die Domain User Leserechte auf die AD oder?Ist dies zwingend Notwendig? Was passiert wenn ich das entferne und vor allem wie? Hatte jemand zufällig schon einmal das gleiche anliegen und kann mir helfen? danke Gruß Thorsten Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 19. Juni 2013 Melden Teilen Geschrieben 19. Juni 2013 Aus welchem Grund willst du das Leserecht entfernen? Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 19. Juni 2013 Melden Teilen Geschrieben 19. Juni 2013 Gegenfrage: Was stört dich am Default-Zustand? Und ja, man kann sowas entfernen, nachdem man in einer Testumgebung festgestellt hat, dass alle Applikationen die derzeit im Einsatz sind damit kein Problem haben. Bye Norbert Zitieren Link zu diesem Kommentar
tgyssling 11 Geschrieben 20. Juni 2013 Autor Melden Teilen Geschrieben 20. Juni 2013 Hi danke für die Antworten. Dann mach ich mich mal weiter noch auf die Suche was bei uns alles nit funktionieren wird. Gruß Thorsten Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 20. Juni 2013 Melden Teilen Geschrieben 20. Juni 2013 Moin, sei dir bewusst, dass du dich damit schnell außerhalb der supporteten Konfiguration bewegst. Ich hab sowas mal für eine Hochschule durchgespielt. Nur so als Orientierung: Das war ein Projekt mit 30 Manntagen und am Ende war nur eine Labor-Umgebung fertig. Und es funktionierte dort auch nur, weil KEIN Exchange im Einsatz war - ab Exchange 2010 kümmert sich Exchange nämlich nicht mehr, was an Zugriffsberechtigungen im AD konfiguriert ist. [ice:2010 AD-Delegation – die Folien und Skripts | faq-o-matic.net]http://www.faq-o-matic.net/2010/08/14/ice2010-ad-delegation-die-folien-und-skripts/ Gruß, Nils Zitieren Link zu diesem Kommentar
tgyssling 11 Geschrieben 20. Juni 2013 Autor Melden Teilen Geschrieben 20. Juni 2013 (bearbeitet) Moin Nils vielen Dank wird mir das mal ansehen und so weitergeben Heist Exchange 2012 hätte schon extreme Probleme damit richtig? bearbeitet 20. Juni 2013 von tgyssling Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 20. Juni 2013 Melden Teilen Geschrieben 20. Juni 2013 Moin, nein, Exchange 2010 hat keine Probleme damit, jedenfalls nicht pauschal. Aber umgekehrt: Exchange 2010 hält sich selbst nicht an die AD-Zugriffsrechte. Ein User, der im AD "nichts" sehen darf, ist in der Exchange-Adressliste usw. nicht eingeschränkt. Das liegt daran, dass Exchange mit einem Proxykonto aufs AD zugreift und einen separaten Mechanismus zur Steuerung verwendet. Wenn man also die Möglichkeiten des Users einschränken muss, muss man es (mindestens) zweimal tun - einmal im AD, einmal in Exchange. Gruß, Nils Zitieren Link zu diesem Kommentar
tgyssling 11 Geschrieben 20. Juni 2013 Autor Melden Teilen Geschrieben 20. Juni 2013 Achso OK Danke für die ausführliche Erklärung.Dann stell ich das alles mal zusammen und schau mir nochmals die Dateien von dir an. Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 20. Juni 2013 Melden Teilen Geschrieben 20. Juni 2013 Grundsätzlich ist die Konfiguration eines "locked-down Active Directory" mit entfernten "Authenticated Users" von Microsoft unterstützt. Microsoft referenziert dies z.B. in der Dokumentation zu Lync Server 2013. Nils' Hinweis auf Exchange Server 2010 gilt es in Betrachtung zu ziehen. U.a. können Standardbenutzer in der Standardkonfiguration tatsächlich Verteiler- in Sicherheitsgruppen konvertieren. Exchange übernimmt diese Aufgabe freundlicherweise im erhöhten Kontext und sorgt dafür, dass sich die Admins vielleicht plötzlich damit auseinandersetzen müssen, dass ihre Benutzer in zu vielen Sicherheitsgruppen sind. Es hat sich für Admins auch in hochsicheren Umgebungen bewährt, möglichst nahe am Standard zu arbeiten. Wenn es kritische Objekte in AD gibt, die Du vor Deinen Benutzern verbergen willst, kannst Du auch eine versteckte OU-Teilstruktur erstellen und die Objekte darin platzieren. Ebenfalls zu bedenken ist die Option "Restore defaults" in den "Advanced Security Settings" von OUs und Domänen. Diese Option stellt ohne weitere Nachfrage die standardmässigen ACL wieder her, und all die liebevoll gepflegten zusätzlichen Einträge sind weg (inkl. Berechtigungen für Exchange) resp. die ggf. entfernten "Authenticated Users" wieder da. Wenn Du AD also hoch sicher machen möchtest, gibt es weit mehr anzufassen, wie Nils schon angemerkt hast ("Restricted Groups" fallen mir u.a. ein). Und es kann Dir niemand garantieren, dass Dir die Änderungen nicht irgendwann auf die Füsse fallen, weil Microsoft in seiner Road Map nicht Deine kundenspezifischen Anpassungen berücksichtigt hat. :D Zitieren Link zu diesem Kommentar
tgyssling 11 Geschrieben 25. Juni 2013 Autor Melden Teilen Geschrieben 25. Juni 2013 Hidanke für die vielen Antworten.Eine abschlieeßende Frage habe ich noch, kann ich z.B, nur einzelne Informationen ausblenden wie z.B. Last login?Wenn ja wie? wie sieht es dann mit dem Support von seiten MS aus?danke Gruß Thorsten Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 25. Juni 2013 Melden Teilen Geschrieben 25. Juni 2013 Moin, ja, im AD kannst du Berechtigungen auch auf Attributebene verwalten. Aber sei dir bewusst, dass du damit die Komplexität drastisch erhöhst. Umfangreiches Testen und genaue Dokumentation sind unabdingbar. Mit dem Support verhält es sich grob gesagt so: Nur wenige Szenarien sind explizit "unsupported". Microsoft wird aber die meisten Dinge, die man so konfigurieren kann, niemals getestet haben. Daher kann es dafür dann keinen definierten Support geben. Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 25. Juni 2013 Melden Teilen Geschrieben 25. Juni 2013 Außerdem wäre zu prüfen ob ein normaler User überhaupt Zugriff auf Last Login hat. Zitieren Link zu diesem Kommentar
tgyssling 11 Geschrieben 26. Juni 2013 Autor Melden Teilen Geschrieben 26. Juni 2013 (bearbeitet) HI Das mit dem Last Login war nur als Beispiel gedacht:) danke für die weiteren Antworten, dann werde ich das mal so aufnehmen und schauen was raus kommt.Gruß Thorsten bearbeitet 26. Juni 2013 von tgyssling Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.