andrew 15 Geschrieben 26. September 2013 Melden Teilen Geschrieben 26. September 2013 (bearbeitet) hello together Auftrag/ Wunsch des Kunden > jeder Benutzer in der Domäne des SBS 2011 bekommt durchschnittlich 6 Postfächer zugewiesen, zum Beispiel info@gugus.ch info@blabla.ch contact@juhu.ch ...... und und ... > jeder Benutzer soll Leseberechtigung auf allen Postfächern erhalten, darf also keine Mails verschieben oder löschen können > jeder Benutzer soll Mails unter jedem Postfach versenden können > die Mails sollen beim Versenden im oder aus dem entsprechenden Postfach versendet werden und NICHT unter den gesendeten Objekten des persönlichen Postfachs gespeichert werden! > jedes Postfach erhält einen physischen Benutzer, der Herr über das jeweilige Postfach sein darf, sprich, Mails löschen, verschieben kann (oder mehr) Problem/ Frage Frage 1Aus welchen Gründen ist Outlook 2010 NICHT in der Lage, die Passwörter beim Starten des Outlook 2010 für jedes integrierte Exchange Postfach mit verschiedenen Maildomänen zu speichern? (beim Schliessen und Öffnen des Outlooks 2010 muss immer wieder für jedes eingebundene Exchange Postfach das Passwort einmal oder zweimal im Passwortabfragefenster bestätigt werden) Frage 2Gemäss einem Benutzer sei es möglich gewesen (er hatte auf diesem Postfach nur LESE Berechtigung, meinte ich doch zumindest so gesetzt zu haben) Mails zu verschieben und zu löschen Wie oder was ich hier beim Setzen der Berechtigungen via Exchange PowerShell falsch gelaufen? Weniger als Read Rechte kann ich wirklich nicht geben oder? oder wie jetzt? :-) Aufgabe wie folgt umgesetzt Bemerkung Info Server> ein SBS 2011 mit Exchange 2010 und POP3 Connector im Einsatz (Migration von POP Konten in Thunderbird nach Exchange) > für jede zu empfangende Maildomäne in der Exchange Konsole unter Organisationskonfiguration/ HUB- Transport/ Akzeptierte Domänen (Reiter) alle Maildomänen eingetragen, für welche Mails empfangen werden sollen respektive der Exchange Server wissen muss, jawohl, Mails, welche ich für info@blabla.ch und info@gugus.ch empfangen habe, darf und muss ich auch entsprechend lokal in das entsprechende Exchange Postfach zustellen (wären diese zusätzlichen, akzeptierten Maildomänen NICHT erstellt worden, wäre der POP Connector in der Lage, nach erfolgreichem Empfang der Mails, diese lokal in das entsprechende Exchange Konto zuzustellen) > auf jedem Exchange Postfach Leseberechtigungen vergeben, da die Benutzer auf Ihren zig eingebundenen Exchange Postfächern keine Mails löschen und/ oder verschieben dürfen respektive die Berechtigungen auf den Postfächern so gesetzt werden soll, damit dies für die Benutzerinnen und Benutzer NICHT möglich ist > ich habe das Berechtigungsprinzip angewendet, welches ich auch immer für die Ordnerstrukturen verwende => A-G-DL-P (A = Acconts in G = Gruppen abfüllen, die Globalen Gruppen als Member von Domänenlokalen Gruppen machen und diese Berechtigen) > dieses fiktive Exchange Postfach im POP Connector des SBS 2011 Server beim entsprechenden POP Konto als Exchange Zustellpostfach hinterlegt > Unter Systemsteuerung/ E-Mail dieses fiktive Exchange Postfach auf dem oder Outlook 2010 Clients als zusätzliches, neues Exchange Postfach eingebunden (genau so, wie wenn ich ein Exchange Postfach einrichte, nur habe ich diesen Vorgang halt bis zu 6 oder sogar 9 mal wiederholt Und: habe die Exchange Postfächer via manuelle Konfiguration angegeben, nicht via (Auto Erkennungsfunktion, also den Exchange Server manuell angegeben und das Postfach auch manuell angeben => zur Auflösung des Postfachnamens jeweils die externe Antwortadresse verwendet, zum Beispiel info@blabla.ch welche ich natürlich zuvor von Hand dem jeweiligen fiktiven AD Benutzer in der Exchange Konsole unter dem Reiter E-Mailadressen als Antwortadresse hinterlegt hatte > So, nachdem Outlook gestartet wurde, musste ich dann für jedes Postfach ein Passwort eingeben (man muss ja für jeden Benutzer, welchen man im AD erstellt, auch ein Passwort festlegen) > Es kam sogar vor, dass ich für ein Postfach zweimal das gleiche Passwort angeben musste, bis die Passwortabfrage Meldung mit der nächsten Meldung kam, verbinden mit info@gugus.ch ..Passwort eingegeben, oder zweimal, dann kam wieder die Abfrage für das nächste Exchange Postfach, verbinden mit contact@juhu.ch und hier wieder das Passwort einmal oder sogar zweimal eingeben müssen ...und und ..bis ich alle durch hatte Am Schluss öffnete sich endlich das Outlook 2010, alle zusätzlichen eingebundenen Exchange Postfächer sind erschienen und das Beste, es waren sogar Mails in den jeweiligen Postfächer drin, neue Mails kamen an, genial oder? :-) Berechtigungssystem im Detail erklärt zum Besseren Verständnis, wie ich das Problem mit fiktiven AD Usern und Gruppen gelöst habe, welche ich zwecks Berechtigung für die Exchange Postfächer benutze Für das Postfach info@blabla.ch , welches zum Beispiel Herr Hans Muster erhalten soll (und übrigens auch andere Benutzer), habe ich einen fiktiven Mailbenutzer im AD erstellt, welche ich im SBS 2011 POP Connector als anzugebendes Exchange Postfach verwende (jedes einzurichtende POP Konto im POP Connector muss auch einem jeweiligen Exchange Postfach zugewiesen werden, damit die abgeholten Mails von POP Konto XY lokal in das Exchange Postfach zugestellt werden können) > Habe also einen fiktiven Mailbenutzer info.blabla im AD erstellt > diesen info.blabla Benutzer in die zuvor erstellte, Globale Gruppe G_info.blabla_L (L für Leserechte) gepflanzt (übrigens nicht nur diesen Benutzer, sondern alle Benutzer, welchen eben das Postfach info@blabla.ch im Outlook eingebunden werden soll) > diese Globale Gruppe G_info.blabla_L in die ebenfalls vorher schon erstellte Domänenlokale Gruppe mit dem Namen DL_info.blabla_L (für Leserechte) gepflanzt > und zum Schluss dieser Domänenlokalen Gruppe via PowerShell mit dem Befehl Add-MailboxPermission -Identity "info.blabla" -User "DL_info.blabla_L" -AccessRights ReadPermissions -InheritanceType all erteilt > Damit die Benutzer auch Mails versenden können, habe ich ebenfalls den gleiche Domänenlokalen Gruppen die Berechtigung "senden als" erteilt, mit dem Befehl Add-ADPermission "info.blabla" -User "Domain\DL_info.blabla_L" -Extendedrights "Send As und weitere Probleme => Kann es sein, dass durch diesen Versuch, benennen wir mal so, mehrere Exchange Konten in Outlook 2010 einzubinden, mit Berechtigungsgruppen (neuen, Domänenlokalen Gruppen welche nur für die Postfachberechtigungen benutzt werden und eigentlich mit den Berechtigungsgruppen der Benutzer keinen Zusammenhang haben sollten) beispielsweise auf Windows XP Geräte dadurch Probleme entstehen, welche vor der Exchange Umstellung vorhanden waren, entstanden sind? (Probleme wie, ein Benutzer hat zig Laufwerke verbunden, kann plötzlich auf keine einzige Freigabe mehr zugreifen, da Meldung: Kein Zugriff oder dass dadurch auch Probleme entstehen im Bezug auf die Funktion Laufwerkszuordnung via Gruppenrichtlinien? => Oder dass das Outlook abstürzt, oder dass die Meldung von Outlook erscheint, Daten werden vom Server abgerufen und dies dauert extrem lange bearbeitet 26. September 2013 von andrew Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 26. September 2013 Melden Teilen Geschrieben 26. September 2013 Moin, 1. Dein Text ist zu lang. Wir sind hier alle ehrenamtlich und niemand hat Lust, Romane zu lesen. 2. Zu viele Probleme und Infos in einer Frage. Da sind strukturierte Antworten nicht möglich, zumal nicht immer klar ist, welche Info sich auf welche Fragestellung bezieht. Die meisten Leute geben beim Fragen zu wenig Infos. Du bist einer der wenigen, der den Leser mit Infos erschlägt, die leider zu 90% nichts mit dem Problem zu tun haben. POP-Cons sind zwar Mist, aber das hier zu beschreiben, wäre nicht notwendig gewesen. :) Zu den Problemen: - Passwort: Das kann mehrere Gründe haben, meisten irgendwas mit Proxy, Zertifikaten, nicht erreichbaren URLs oder dem lokalen Kennworttresor. Ausgerechnet hier hast zu wenig Infos geliefert. - Berechtigungen: Es gibt auf Postfach-Ebene nur "Alles oder Nichts". Nur Leseberechtigung gibt es nicht. Die müsstest Du auf Ordner setzen, dass ist aber extrem unflexibel. Zitieren Link zu diesem Kommentar
andrew 15 Geschrieben 27. September 2013 Autor Melden Teilen Geschrieben 27. September 2013 Hallo RobertWi zu Punkt 1:korrekt, habe sehr viel Text geschrieben. Grund: Das Schildern, wo ich an Veränderungen und Anpassungen vorgenommen habe, damit die User eine Ahnung habe, wie es schlussendlich zur Problematik gekommen sind, erfinde keine Geschichten, sondern genau das, was ich vorgenommen habe Und: Das ist auch genau das, wo man sich im Support von den Benutzern erhoffen, dass Sie möglichst genau schildern, was Sie gemacht haben, damit ein geschildertes Problem fassbarer wird :-) Aber im Prinzip hast Du recht, gebe mir Mühe, in Zukunft möglichst viele Infos so in einem Text zu verpacken, dass trotzdem am Schluss der Leser noch lebend und genügend Atem hat, um auch eine konstruktive Antwort zu liefern :-) 2. Was ist Dir hier nicht klar? 3. Der Kunden Wunsch habe ich ganz oben mit der Überschrift Auftrag/ Wunsch des Kunden geschildert, Frage RobertWI: Ist Dir bei dieser Aufgabenstellung etwas unklar? :-) Du hättest demnach, da für Dich zu viel Text, "spülen können" und einfach auf diese ganz klare Aufgabenstellung schildern, wie Du beispielsweise die Aufgaben lösen würdest, was meinst Du zu diesem Vorschlag? :-) Ich wäre Dir so unendlich dankbar, wenn Du genau auf diese Aufgabenstellung vielleicht für das Erste mir Punkt für Punkt schilderst, musst ja keinen Roman schreiben, so wie ich :-) ... wie hier das Vorgehen ist, stelle mir das so vor: 1. ..... 2. ... 3... 4... Dein letzter Hinweis scheint mir Gold Wert und genau da vermute ich, dass genau da der Hase begraben ist (Redewendung) Ich zitiere Dich: " - Berechtigungen: Es gibt auf Postfach-Ebene nur "Alles oder Nichts". Nur Leseberechtigung gibt es nicht. Die müsstest Du auf Ordner setzen, dass ist aber extrem unflexibel" 1. Gegenfrage: blöde Frage von mir, auf welchen Ordner sollte ich den die Berechtigung setzen, wenn nicht auf dem Postfach? 2. Ich zitiere einer meiner Tätigkeiten, welche ich im Bezug auf die Postfachberechtigung vorgenommen hatte: "und zum Schluss dieser Domänenlokalen Gruppe via PowerShell mit dem Befehl Add-MailboxPermission -Identity "info.blabla" -User "DL_info.blabla_L" -AccessRights ReadPermissions -InheritanceType all erteilt" Wiederlegt dieser Befehl NICHT dein letzter Satz, es gäbe nur "Alles oder nichts"? Der Befehl wir in der Exchange Shell anstandslos ausgeführt?! Ich wiederhole mich und Frage erneut: Wenn man die Postfachberechtigungen nicht so mit Leserechten versorgt, wie schafft man es denn, dass die Benutzer auf den eingebundenen Postfächern die Mails NICHt verschieben können, NICHT löschen können? Ich möchte diese Sache auf Exchange Ebene lösen, da ich nicht Lust habe, mich remote auf jeden Arbeitsplatz zu verbinden, um im Outlook Leserechte setzen zu können Und: dann zu hoffen, dass der oder die Benutzer wirklich in der Lage sind, keine Mails aus "fremden" Postfächern verschieben oder löschen zu können RobertWi, vielen Dank für die konstruktive Kritik, nehme mich dieser an. Darf ich Dich bitten, nochmals Stellung zu nehmen? Vielen Dank Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 27. September 2013 Melden Teilen Geschrieben 27. September 2013 Moin, 3. Der Kunden Wunsch habe ich ganz oben mit der Überschrift Auftrag/ Wunsch des Kunden geschildert, Frage RobertWI: Ist Dir bei dieser Aufgabenstellung etwas unklar? :-) Nein, außer dass sie nicht umsetzbar ist und schon in sich unlogisch (Nur Leseberechtigung auf das Gruppenpostfach, gesendete Objekte sollen aber in dem Gruppenpostfach landen, was also bedeutet, ich muss da doch schreiben können muss). 1. Gegenfrage: blöde Frage von mir, auf welchen Ordner sollte ich den die Berechtigung setzen, wenn nicht auf dem Postfach? Auf *alle* Ordner im Postfach. Jeder einzelne (es gibt keine Vererbung!) muss mit passenden Ordnerberechtigungen versehen werden. Und wenn ein Berechtigter darin neuer Ordner anlegt, muss wieder die Berechtigung nachgezogen werden. Das kann man zwar scripten (Add-Mailboxfolderpermission), aber nicht wirklich automatisieren. 2. Ich zitiere einer meiner Tätigkeiten, welche ich im Bezug auf die Postfachberechtigung vorgenommen hatte: "und zum Schluss dieser Domänenlokalen Gruppe via PowerShell mit dem Befehl Add-MailboxPermission -Identity "info.blabla" -User "DL_info.blabla_L" -AccessRights ReadPermissions -InheritanceType all erteilt" Wiederlegt dieser Befehl NICHT dein letzter Satz, es gäbe nur "Alles oder nichts"? Der Befehl wir in der Exchange Shell anstandslos ausgeführt?! Gegenfrage: Funktioniert er wie gewünscht? Oder ist Dein beobachtetes Nichtfunktionieren nicht gerade die Bestätigung meiner Aussage. ;) Erklärung: Du stolperst wie viele andere vor Dir über eine unglückliche Formulierung: "ReadPermission" heißt hier nicht "Leseberechtigung" sondern "lese Berechtigung" -> Du hast damit das Recht, Berechtigungen auf diesem Objekt zu lesen. Ich wiederhole mich und Frage erneut: Wenn man die Postfachberechtigungen nicht so mit Leserechten versorgt, wie schafft man es denn, dass die Benutzer auf den eingebundenen Postfächern die Mails NICHt verschieben können, NICHT löschen können? Auf Postfachebene: Gar nicht. Das gibt es schlichtweg nicht. Das gibt es nur auf Ordnerebene, macht da aber keinen Spaß. Alternativ kann man auch Work-Arounds mit dem Kunden besprechen, z.B. ein "Schatten"-Postfach, in dem Kopien aller Objekte des Gruppenpostfaches landen. Oder Mailbox-Auditing wird aktiviert, dann kann man wenigstens nachvollziehen, wer gelöscht hat. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.