Exchange User - ohne AD Berechtigungen

[xergo 0]

Hallo zusammen,

 

habe mal eine Frage zur Umsetzung.

 

Ich möchte eine zusätzliche Domain auf unseren Exchange 2013 schalten und für diese Domain neue Benutzer anlegen. Jetzt sollten diese Benutzer aber lediglich von extern mit OWA, ActivSync und Outlook arbeiten, sind also streng genommen keine Mitarbeiter der Firma/Domain.

 

Nun frage ich mich, ob ich den Usern die Reche im AD nehmen kann und diese dann lediglich die Funktionen des Exchange nutzen können. Die User sollen aber trotzdem Rechte für z.b. Verteilergruppen, öffentliche Ordner ect. bekommen können.

 

Geht das oder sollten die User als normale Domain-User weiterhin bestehen bleiben?

Vielen Dank vorab für eure Beiträge :-)

[NilsK 2.937]

Moin,

 

sobald die User eine Mailbox haben, müssen sie auch echte AD-Benutzer sein. Das heißt aber noch lange nicht, dass sie dadurch auch innerhalb der Domäne Zugriffsrechte brauchen. Du wirst nur vermutlich noch einiges dazu einschränken müssen.

 

Solange die User nur per OWA und EAS zugreifen, ist die Wahrscheinlichkeit gering, dass sie überhaupt auf interne Ressourcen kommen. Wenn aber eben mal jemand ins Unternehmen kommt, kann er sich grundsäzlich anmelden und hat die Zugriffsrechte, die seine Gruppenmitgliedschaften erlauben.

 

Denkbar wären z.B. folgende Maßnahmen:

• per GPO die lokale Anmeldung an allen Rechnern verweigern
• die Konten nicht in Gruppen aufnehmen, die unerwünschte Zugriffe zulassen
• Berechtigungen nicht für die Gruppe "Domänen-Benutzer" erteilen
• die betreffenden Konten in eine Deny-Gruppe aufnehmen, der der Zugriff auf kritische Ressourcen ausdrücklich verweigert wird

Das alles sind aber nur beschränkende Maßnahmen. Der grundsätzliche Einwand, dass Personen, denen man nicht (ausreichend) vertraut, kein Konto im AD haben sollten, bleibt bestehen.

 

Gruß, Nils

[magheinz 110]

Wie schaut das mit den Lizenzen aus. Kann man die CALs problemlos für Firmenfremde verwenden?

[xergo 0]

Danke Nils für deinen Beitrag.

 

So ähnlich hatte ich mir das dann auch gedacht. Ich erstelle für die "AD User" eine eigene Gruppe die dann wiederrum Mitglied von Domänen Benutzer ist. Alle "Standard-"Freigaben laufen dann über die neue Gruppe.

 

Theoretisch könnte ich der Gruppe Domänen Benutzer dann prizipell die lokale Anmeldung verbieten und der neuen Gruppe die Anmeldung erlauben. Passt das oder mache ich hier einen Denkfehler?

 

Zur Lizenzierung:

So wie ich das verstanden habe, benötigen wir für die Firmenfremden User lediglich ein Windows Server CAL. Für Exchange Standardfunktionen wird für externe User keine extra CAL benötigt. https://www.microsoft.com/de-de/licensing/produktlizenzierung/exchange-server/externe-nutzer.aspx

[NilsK 2.937]

Moin,

 

deine Ideen bezüglich der "Domänen-Benutzer" hauen nicht hin. Die Gruppe lässt du in Ruhe und setzt sie für Berechtigungen nicht ein bzw. ersetzt sie, sofern sie in Berechtigungen schon eingesetzt wurden. "Domänen-Benutzer" ist eine Systemgruppe, die alle Benutzerkonten der Domäne enthält. Da sowas erforderlich ist, solltest du daran nicht rummachen.

 

Gruß, Nils

[xergo 0]

Hallo nochmal,

 

vielen Dank für deinen Hinweis! Dann lasse ich das mal lieber. Aber ich habe gesehen, dass ich den jeweiligen Usern unter "Anmelden an..." keinen Eintrag setzen kann, somit sollte der Zugriff auf jeglichen Rechnern gesperrt sein?

 

Vielen Dank für deine Unterstützung vorab.

 

Grüße

[NilsK 2.937]

Moin,

 

nein. Die Einträge unter "Anmelden an" sind eine Positivliste: Wenn da was steht, darf der User sich nur an diesen Rechnern anmelden. Steht nichts dort, dann gibt es keine Einschränkung.

Sinnvoller ist es, dies über Gruppenrichtlinien zu regeln.

 

Gruß, Nils

[NorbertFe 2.037]

Naja anmelden nur am Exchange. ;) aber gpo wäre sicher die sinnvollere Lösung.