Good Technology - Powershell-Befehl

[Heckflosse 10]

Hi,

wir wollen Good Technology MDM-Lösung in unserem Unternehmen testen. Exchange 2010 mit ca. 1.600 Mailboxen.

In der Install.-Anleitung muss dazu dies ausgeführt werden:

Option #1: To configure Exchange Impersonation for all users in an 

organization

2. Run the New-ManagementRoleAssignment cmdlet to add the 

permission to impersonate the specified user. The following 

example shows how to configure Exchange Impersonation to 

enable a service account to impersonate all other users in an 

organization.

New-ManagementRoleAssignment 

-Name:impersonationAssignmentName 

-Role:ApplicationImpersonation

-User:serviceAccount 

The vlue following -Name is arbitrary.

Example:

New-ManagementRoleAssignment

-Name:GMMEWSPermissions 

-Role:ApplicationImpersonation 

-User:"goodadmin@mydomain.com"

 

Was bewirkt dieser Befehl?

 

Danke.

 

[RobertWi 81]

Moin,

 

der User "serviceAccount" (den man für solche Dinge explizit anlegen sollte), bekommt im RBAC die Rolle "ApplicationImpersonation" zugewiesen.

 

Er kann dann von der Software benutzt werden, um eine fremde Identität anzunehmen ("Impersonierung") und mit deren Berechtigung zu arbeiten.

 

Das wird zum Beispiel von Blackberry benutzt, wenn Du Mails über BB schreibst. Dann machst das eigentlich nicht Du, sondern der BB-Service, da das ja über den BB läuft. Beim Empfänger wurde dann der BB-Service als Absender stehen. Durch die Impersonierung übernimmt der Service Deine Person und beim Empfänger stehst Du als Absender drin.

 

UM-Lösungen benutzen das auch gerne, damit Vociemail-Calls nicht vom UM-Server, sondern scheinbar vom Anrufer kommt (wenn der in der gleichen Organisation sitzt).

 

Ein Beispiel, dass jeder kennt, ist Vollzugriff. Nimmst Du Outlook, bleibst Du der eigentlicher User. Nutzt Du aber OWA, wirst Du quasi zum neuen Postfach. Das ist auch der technische Grund, warum Senden Als dann nicht mehr wirksam ist: Ich BIN die andere Person geworden. Auch hier wird Impersonierung benutzt.

 

Siehe auch hier:

http://technet.microsoft.com/de-de/library/dd776119(v=exchg.150).aspx

[Heckflosse 10]

Vielen lieben Dank!!!

[MrCocktail 192]

Das wird zum Beispiel von Blackberry benutzt, wenn Du Mails über BB schreibst. Dann machst das eigentlich nicht Du, sondern der BB-Service, da das ja über den BB läuft. Beim Empfänger wurde dann der BB-Service als Absender stehen. Durch die Impersonierung übernimmt der Service Deine Person und beim Empfänger stehst Du als Absender drin.

 

Das wurde von Blackberry genutzt.

Blackberry 10 macht es nicht mehr, sondern nutzt einen Tunnel, durch den EAS geht.

Hier wurde auf die Sicherheitsbedenken gehört, und auf eine andere Technik gesetzt.

 

Nur mal so als Hinweis.

[RobertWi 81]

Siehe hier:

 

http://docs.blackberry.com/en/admin/deliverables/63985/BES10_v10.2.3_Configuration_Guide_en.pdf

 

Seite 115.

 

Before you begin: 

• Configure a Microsoft Exchange account with permissions to impersonate all users.....

 

Mag man vielleicht nicht mehr für jedes Gerät brauchen, ändert aber nichts an meiner Grundaussage, dass der BB Service ein Beispiel für Impersonierung ist. ;)

[MrCocktail 192]

Ich weiss, steht da....

ich frage mal nach wofür / warum, weil brauchen, tut er es, zumindest für einen BB nicht, evtl. die APPs für Iphone / Android

[RobertWi 81]

Ja, mache. Ich konfiguriere natürlich grundsätzlich so, wie es der Hersteller vorschreibt. Meistens funktioniert es dann sogar.

[MrCocktail 192]

@Robert:

Meine Blackberry Server machen auch, was sie sollen ...

Und aufgrund von EZPass lasse ich die Umgebungen momentan doch von Blackberry selber installieren, und wenn die meinen, den User brauchen wir nicht mit den rechten, dann werden sie wohl wissen, was sie machen.

http://blackberry-downloads.de/sites/default/files/downloads/Installationsservice_Endkunde.pdf

 

Nicht dass ich es nicht selber könnte, aber bequemer geht es doch nicht :-)