Bubblegum 0 Geschrieben 18. Oktober 2018 Autor Melden Teilen Geschrieben 18. Oktober 2018 Bislang stört mich die Generierung der GAL und OAB. Schlussendlich soll nicht jeder Nutzer oder eine bestimmte Usergruppe ein verfügbares Adressbuch haben, sondern einfach nicht auf das interne Adressbuch zugreifen können. Wenn es nicht anders machbar ist, wie erreiche ich zumindest, dass der Zugriff so limitiert wird, dass weder eine Durchsuchung im neuen Adressbuch, noch Anzeige dessen möglich ist. So dass, sich die neuen User nicht gegenzeitig sehen. Zitieren Link zu diesem Kommentar
NilsK 2.937 Geschrieben 18. Oktober 2018 Melden Teilen Geschrieben 18. Oktober 2018 Moin, die einfache Antwort ist: Exchange ist einfach nicht für so ein Szenario entworfen worden. Die längeren Antworten hast du hier schon bekommen. Beachte an der Stelle auch, dass Exchange und das AD seit Exchange 2010 (oder 2007? Kann auch sein) getrennte Wege gehen. Solange es beim OWA-Szenario bleibt, können Address Book Policies ausreichen. Wenn aber die einzuschränkenden User auch im internen Netzwerk arbeiten und dann Zugriff auf das AD bekommen, müsste man dort die Sichtbarkeit der AD-Objekte mit Berechtigungen separat einschränken. Auch hier bewegt man sich dann in einem nicht supporteten Bereich, sobald man die Standardberechtigungen manipuliert (was man in dem Szenario tun müsste). Gruß, Nils Zitieren Link zu diesem Kommentar
Bubblegum 0 Geschrieben 18. Oktober 2018 Autor Melden Teilen Geschrieben 18. Oktober 2018 @NilsK Du hast es richtig erfasst. Es geht ebenfalls um User, welche einen AD Nutzer erhalten und als auch eine Mailbox. Es wäre grundsätzlich zu überlegen, ob man vielleicht das Design für Freelancer, wo im Unternehmen Mailboxen benötigen, anpasst, so dass ausschließlich der Mailboxzugriff auf OWA möglich wäre. @Dukel Kannst Du dein dargestellten Lösungsweg hier präsentieren, so dass man hier vielleicht bewerten kann, ob das für den Fall anwendbar ist? Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 18. Oktober 2018 Melden Teilen Geschrieben 18. Oktober 2018 ## Personen #AddressLists New-AddressList -Name Personen01_Mailverteiler -DisplayName "Alle Mailverteiler" -RecipientFilter {((((RecipientTypeDetails -eq 'MailUniversalSecurityGroup') -or (RecipientTypeDetails -eq 'MailUniversalDistributionGroup'))) -and (ExtensionCustomAttribute1 -eq 'P01'))} New-AddressList -Name Personen01_Kontakte -DisplayName "Alle Kontakte" -RecipientFilter {((RecipientTypeDetails -eq 'MailContact') -and (ExtensionCustomAttribute1 -eq 'P01'))} New-AddressList -Name Personen01_Personen -DisplayName "Alle Personen" -RecipientFilter {((RecipientTypeDetails -eq 'UserMailbox') -and (ExtensionCustomAttribute1 -eq 'P01'))} #RoomList New-AddressList -Name Personen01_Raeume -DisplayName "Alle Räume" -RecipientFilter {((RecipientTypeDetails -eq 'RoomMailbox') -and (ExtensionCustomAttribute1 -eq 'P01'))} #GlobalAddressList New-GlobalAddressList -Name Personen01 -RecipientFilter {ExtensionCustomAttribute1 -eq 'P01'} #OfflineAddressBook New-OfflineAddressBook -Name OAB_Personen01 -AddressLists Personen01 #Name New-AddressBookPolicy -Name ABP_Personen01 -GlobalAddressList Personen01 -OfflineAddressBook OAB_Personen01 -RoomList Personen01_Raeume -AddressLists Personen01_Mailverteiler,Personen01_Kontakte,Personen01_Personen ## Gäste #AddressLists New-AddressList -Name Gaeste01_Mailverteiler -DisplayName "Alle Mailverteiler" -RecipientFilter {((((RecipientTypeDetails -eq 'MailUniversalSecurityGroup') -or (RecipientTypeDetails -eq 'MailUniversalDistributionGroup'))) -and (ExtensionCustomAttribute1 -eq 'G01'))} New-AddressList -Name Gaeste01_Kontakte -DisplayName "Alle Kontakte" -RecipientFilter {((RecipientTypeDetails -eq 'MailContact') -and (ExtensionCustomAttribute1 -eq 'G01'))} New-AddressList -Name Gaeste01_Personen -DisplayName "Alle Personen" -RecipientFilter {((RecipientTypeDetails -eq 'UserMailbox') -and (ExtensionCustomAttribute1 -eq 'G01'))} #RoomList New-AddressList -Name Gaeste01_Raeume -DisplayName "Alle Räume" -RecipientFilter {((RecipientTypeDetails -eq 'RoomMailbox') -and (ExtensionCustomAttribute1 -eq 'G01'))} #GlobalAddressList New-GlobalAddressList -Name Gaeste01 -RecipientFilter {ExtensionCustomAttribute1 -eq 'G01'} #OfflineAddressBook New-OfflineAddressBook -Name OAB_Gaeste01 -AddressLists Gaeste01 #Name New-AddressBookPolicy -Name ABP_Gaeste01 -GlobalAddressList Gaeste01 -OfflineAddressBook OAB_Gaeste01 -RoomList Gaeste01_Raeume -AddressLists Gaeste01_Mailverteiler,Gaeste01_Kontakte,Gaeste01_Personen Die Unterscheidung zwischen Gästen und normalen Personen wurde über das ExtensionCustomAttribute1 gemacht. Bei Gästen ist dieses Attribut leer! Zitieren Link zu diesem Kommentar
mwiederkehr 373 Geschrieben 18. Oktober 2018 Melden Teilen Geschrieben 18. Oktober 2018 Bei OWA bin ich nicht ganz sicher, aber zumindest für den Zugriff mit Outlook müssen alle Benutzer Zugriff auf ein Adressbuch haben und in diesem auch vorhanden sein. Sonst kommt schon beim Einrichten des Kontos die Meldung "der Name kann nicht aufgelöst werden". Wie schon erwähnt wurde, sind Address Book Policies das richtige Mittel zur Separierung von Benutzern. Macht man auch so, wenn man Hosted Exchange für verschiedene Kunden auf dem gleichen Server bereitstellt (Suchbegriff: "Multi Tenancy"). Bei Dir ist dann einfach jeder Benutzer ein eigener Kunde. Du kannst die User zum Beispiel per OU aufteilen. Beispiel für die Adresslisten: New-GlobalAddressList -Name "XY – GAL" -IncludedRecipients MailboxUsers -RecipientContainer "domain.de/Freelancer/XY" New-AddressList -Name "XY" -RecipientContainer "domain.de/Freelancer/XY" New-AddressList -Name "XY – Räume" -RecipientFilter "(RecipientDisplayType -eq ‘ConferenceRoomMailbox’)" -RecipientContainer "domain.de/Freelancer/XY" New-OfflineAddressBook -Name "XY" -AddressLists "XY – GAL" New-AddressBookPolicy -Name "XY" -AddressLists "XY" -GlobalAddressList "XY – GAL" -OfflineAddressBox "XY" -RoomList "XY – Räume" Dann dem Benutzer zuweisen mit: Set-Mailbox -Identity benutzer@domain.de -AddressBookPolicy "XY" Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 18. Oktober 2018 Melden Teilen Geschrieben 18. Oktober 2018 9 minutes ago, mwiederkehr said: Wie schon erwähnt wurde, sind Address Book Policies das richtige Mittel zur Separierung von Benutzern. Macht man auch so, wenn man Hosted Exchange für verschiedene Kunden auf dem gleichen Server bereitstellt (Suchbegriff: "Multi Tenancy"). Bei Dir ist dann einfach jeder Benutzer ein eigener Kunde. Das ist aber sehr aufwändig, wenn jeder Freelancer ein eigener Kunde wird. Außerdem gibt es meines Wissens Grenzen bei der Anzahl der GALs / Adressbook Policys. Zitieren Link zu diesem Kommentar
Bubblegum 0 Geschrieben 18. Oktober 2018 Autor Melden Teilen Geschrieben 18. Oktober 2018 Grundsätzlich ist die Aufteilung in einer OU kein schlechter Ansatz. Diese Aufteilung liegt bei mir schon vor. Beispiel: Domäne/externalUser Und das man im Grunde für alle User der OU "external User" dann die Policy anwendet, dass diese in ihre GAL / OAB Zugriff haben. Der offene Punkt wo ich noch sehe: Sogar wenn die external User OU einer bestimmten GAL zugeordnet sind, wie erreiche ich im Anschluss daran, dass diese: a. kein Zugriff zum Durchsuchen von Kontakten haben von z.B anderen Freelancern b. keinerlei Kontakte angezeigt werden Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 18. Oktober 2018 Melden Teilen Geschrieben 18. Oktober 2018 Dann müsstest du - wie schon geschrieben - für jeden externen eine eigene ABP erstellen - m.E. wenig Zielführend. Der Rest wurde aus meiner Sicht hinreichend erläutert. Zitieren Link zu diesem Kommentar
Bubblegum 0 Geschrieben 18. Oktober 2018 Autor Melden Teilen Geschrieben 18. Oktober 2018 vor 1 Minute schrieb Nobbyaushb: Dann müsstest du - wie schon geschrieben - für jeden externen eine eigene ABP erstellen - m.E. wenig Zielführend. Der Rest wurde aus meiner Sicht hinreichend erläutert. Genau, für jeden externen eine eigene ABP zu erstellen macht auch in meinen Augen wenig sinn. Es sollte dennoch machbar sein, ggf. über ein anderen Weg, dass sich die externen nicht gegenseitig sehen. Vorzugsweise natürlich mit einem überschaubaren Aufwand Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 18. Oktober 2018 Melden Teilen Geschrieben 18. Oktober 2018 7 minutes ago, Nobbyaushb said: Dann müsstest du - wie schon geschrieben - für jeden externen eine eigene ABP erstellen - m.E. wenig Zielführend. Der Rest wurde aus meiner Sicht hinreichend erläutert. Oder meine Lösung umsetzen. Diese funktioniert und kann ggf. auf die OUs angepasst werden. Zitieren Link zu diesem Kommentar
Bubblegum 0 Geschrieben 18. Oktober 2018 Autor Melden Teilen Geschrieben 18. Oktober 2018 @Dukel Wenn ich mir deine Umsetzung betrachte, machst du zwar eine separierst du durch das extention Attribute. Wie lässt sich aber dann lösen, dass du: a. kein Zugriff zum Durchsuchen von Kontakten haben von z.B anderen Freelancern hast b. keinerlei Kontakte angezeigt werden Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 18. Oktober 2018 Melden Teilen Geschrieben 18. Oktober 2018 Ja ich seperiere durch das Extended Attribute, geht aber auch mit anderen Wegen (OU). Wichtig ist bei mir, dass diese Attribut beiden Gästen (bei dir Freelancer) nicht gesetzt ist, nur bei den "normalen" Benutzern. Bei mir ist dann das Adressbuch der Gäste / Freelancer leer. Zitieren Link zu diesem Kommentar
Bubblegum 0 Geschrieben 18. Oktober 2018 Autor Melden Teilen Geschrieben 18. Oktober 2018 @Dukel: Ok, gehen wir mal das Schritt für Schritt durch: Im ersten Abschnitt "Personen" sind die normalen Benutzer der Organisation. Als Unterscheidungsattribut setzt du da P01. Im zweiten Abschnitt "Gäste" sind die Gästenutzer der Organisation. Als Unterscheidungsattribut setzt du da G01. Die Policy für Personen lautet "ABP_Personen01" und für Gäste "ABP_Gaeste01". Jetzt lege ich im AD einen User an "Freelancer1" innerhalb der OU "externalUser". Diesem User wird eine Mailbox zugeteilt und die Policy "ABP_Gaeste01" im Exchange zugewiesen. Wo ist der Schritt, dass dieser User nun in seinem Adressbuch nach keinen anderen Freelancer suchen kann bzw. das Adressbuch leer bleibt und sich keiner der User gegenseitig sieht? Das heißt, wenn man dann weiterdenkt bei der Erstellung von weiteren User, z.B: Freelancer2, Freelancer3 etc.. Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 18. Oktober 2018 Melden Teilen Geschrieben 18. Oktober 2018 Genau. Alle Mitarbeiter bekommen das Attribut P01 zugewiesen und die Policy ABP_Personen01 zugewiesen. Daher sind alle Mitarbeiter im Adressebuch Personen01_Personen (und in der Policy / GAL) und sehen alle Mitarbeiter. Hier kann man auch die OU nutzen statt dem Attribut. Bei den Freelancern wird das Attribut nicht (!) gesetzt aber die Policy ABP_Gäste01 zugewiesen und daher landet auch keiner in diesem Adressbuch / Policy / GAL und die Freelancer sehen ein leeres Adressbuch (ganz ohne geht es nicht). Zitieren Link zu diesem Kommentar
Bubblegum 0 Geschrieben 18. Oktober 2018 Autor Melden Teilen Geschrieben 18. Oktober 2018 Das heißt, solange der AD-Account vom Freelancer das Attribut z.B "G01" nicht gesetzt ist, lässt sich zwar das Gästeadressbuch zuweisen per Policy, aber wird niemals angezeigt. Der Abschnitt "Personen" bei Dir würde bei mir - mehr oder weniger - wegfallen, da bereits eine GAL und OAB besteht. Verstehe ich das so richtig? Was müsste ich bei der OU statt der Setzunfgdes Attributes beachten? Dein Abschnitt wo du das Gästeadressbuch erstellst, würde ich ganz normal so machen, nur würde ich statt dem Attribut in irgendeiner Form die OU ins Spiel bringen müssen. Oder wäre es eleganter einfach bei der bestehenden GAL / OAB, wo derzeit die normalen Benutzer nutzen das extension Attribut nach zu setzen? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.