TheUnholyOne 10 Geschrieben 30. Mai 2008 Melden Teilen Geschrieben 30. Mai 2008 Hallo Leute, ich habe gerade festgestellt, dass die Berechtigungen auf dem Ex2k3 (Enterprise Vault + BESAdmin konfiguriert) nicht mehr i.O. sind: Der Administrator + Mitglieder der Gruppen Domain-Admins können alle Postfächer öffnen. Das soll natürlich NICHT so sein. Ich habe einen Sicherungs-User, der den Zugriff hat. Habe dabei auch m.E. den adminSDHolder berücksichtigt, was die Gruppenmitgliedschaft des Sicherungs-Users angeht. Beim letzten Test (Test-user angelegt und mit Admin versucht zu öffnen) war alles, wie es sein sollte. Heute nun nicht mehr. Ich vermute mal, dass ich da irgendwo Mist gemacht habe (alle anderen Vermutungen möchte ich lieber nicht verfolgen). In der Technet habe ich mir die Standard-Sicherheitseinstellungen für alle Konten / Gruppen im adminSDHolder angesehen und bin der Meinung, dass alles i.O. ist. Nun weiß ich nicht, wo ich da noch schauen soll und hoffe, dass mir jemand auf die Sprünge helfen kann. Gruß TuO Zitieren Link zu diesem Kommentar
NorbertFe 1.807 Geschrieben 30. Mai 2008 Melden Teilen Geschrieben 30. Mai 2008 ich habe gerade festgestellt, dass die Berechtigungen auf dem Ex2k3 (Enterprise Vault + BESAdmin konfiguriert) nicht mehr i.O. sind: Der Administrator + Mitglieder der Gruppen Domain-Admins können alle Postfächer öffnen. Das soll natürlich NICHT so sein. Na dann hat wohl die Gruppe de Domain-Admins auf Store Ebene den Haken gesetzt Receive-as (und evtl. Send-as) oder auf Org Ebene wurden diese Haken entfernt. Viel mehr Möglichkeiten gibts eigentlich nicht. ;) Bye Norbert Zitieren Link zu diesem Kommentar
TheUnholyOne 10 Geschrieben 30. Mai 2008 Autor Melden Teilen Geschrieben 30. Mai 2008 Hi Norbert. Die Domain-Admins und der Admin selbst bekommen "Recieve As" und "Send As" verweigert von der obersten Ebene. Das ist so wohl auch richtig/standard. Trotzdem kann z.B. der Administrator alle Postfächer öffnen. Normalerweise sorgt der adminSDHolder doch auch dafür, dass die Admins keinen Zugriff haben. Das tut er aber nicht. Was meinst Du mit "auf Organisationsebene wurde dieser Haken entfernt"? Ist es nicht so, dass -wenn diese Haken gesetzt sind- der Zugriff nicht möglich ist und Einschränkungen vor Befugnissen gehen? Danke und Gruß TuO Zitieren Link zu diesem Kommentar
NorbertFe 1.807 Geschrieben 30. Mai 2008 Melden Teilen Geschrieben 30. Mai 2008 Hi Norbert. Die Domain-Admins und der Admin selbst bekommen "Recieve As" und "Send As" verweigert von der obersten Ebene. Das ist so wohl auch richtig/standard. Richtig. Trotzdem kann z.B. der Administrator alle Postfächer öffnen. Hast du geprüft, ob ihm auf Store Ebene der Zugriff wieder erlaubt wurde? Das hat dann nämlich Vorrang. Normalerweise sorgt der adminSDHolder doch auch dafür, dass die Admins keinen Zugriff haben. Das tut er aber nicht. Nö, der adminSDHolder hat mit den Exchangepostfächer genau NICHTS zu tun. Ausser vielleicht das Send-As Recht für BES usw. Was meinst Du mit "auf Organisationsebene wurde dieser Haken entfernt"? Ist es nicht so, dass -wenn diese Haken gesetzt sind- der Zugriff nicht möglich ist und Einschränkungen vor Befugnissen gehen?[/Quote] Nein. Ein explizites Allow geht vor ein vererbtes Deny. Deswegen sollst du ja auch auf Store-Ebene nachschauen. Bye Norbert Zitieren Link zu diesem Kommentar
TheUnholyOne 10 Geschrieben 30. Mai 2008 Autor Melden Teilen Geschrieben 30. Mai 2008 Danke für die schnelle Unterstützung! Also im "Mailbox Store" ist sowohl für den Administrator als auch für die Gruppe Domain-Admins "Receive As" und "Send As" zugelassen/verweigert (vererbt). Auf der Ebene "First Storage Group" hat der Administrator ebenfalls geerbte Rechte, die Gruppe der Domain-Admins ist hier neu eingetragen. HMmm, ist das normal? Da bin ich mir überhaupt nicht sicher. Eher ein wenig verwirrt gerade. Nochmal zum adminSDHolder: Hmm, ok. Ich bin immer davon ausgegangen, dass der auch die Rechte auf dem Exchange (halt alle Rechte für eine Gruppe oder einen Benutzer) zurücksetzt und man darum auch z.B. Extra-Backupuser anlegen soll (was ja auch sonst sinnig ist). Ein explizites Allow geht vor ein vererbtes Deny *klatsch* logo ^^ Aber wenn ich mich da nicht grob verhaue, ist das auch i.O. so wie anfangs geschrieben, denn dort ist nichts geändert, wird alles vererbt?! Vielen Dank und Gruß TuO Zitieren Link zu diesem Kommentar
NorbertFe 1.807 Geschrieben 30. Mai 2008 Melden Teilen Geschrieben 30. Mai 2008 Auf der Ebene "First Storage Group" hat der Administrator ebenfalls geerbte Rechte, die Gruppe der Domain-Admins ist hier neu eingetragen. HMmm, ist das normal? Da bin ich mir überhaupt nicht sicher. Eher ein wenig verwirrt gerade. Nein ist es nicht. Und genau deswegen weil es dort eingetragen ist, können deine Dom-Admins jetzt die Postfächer öffnen. Nochmal zum adminSDHolder: Hmm, ok. Ich bin immer davon ausgegangen, dass der auch die Rechte auf dem Exchange (halt alle Rechte für eine Gruppe oder einen Benutzer) zurücksetzt und man darum auch z.B. Extra-Backupuser anlegen soll (was ja auch sonst sinnig ist). Nein. Du hast das Prinzip des adminSDHolders noch nicht ganz verstanden würde ich sagen. Der ist dazu da, Administrative Konten zu schützen. Nicht deine Exchangeberechtigungen zu korrigieren. ;) Bye Norbert Zitieren Link zu diesem Kommentar
TheUnholyOne 10 Geschrieben 30. Mai 2008 Autor Melden Teilen Geschrieben 30. Mai 2008 Herzlichen Dank für die Hilfe, Norbert Leider habe ich gerade einen mittelprächtigen Fehler begangen: Ich habe also die Berechtigungen für Domain-Admins gelöscht. Die Usergroup selber ist aber nicht verschwunden, weil wieder etwas vererbt wurde. Da dachte ich mir, ich teste das mal über verweigern und habe mal flugs der Gruppe Domain-Admins alle Rechte verweigert (statt nur Lesen, was ich eigentlich wollte). "Kein Thema", dachte ich, " über das System (cmd -> at) kommste ran". Die Exchange-MMC bekomme ich auch geöffnet, habe auch den Reiter Sicherheit unter System bekommen, kann aber das Desaster nicht rückgängig machen. Wenn ich den Haken bei Verweigern rausnehme, kommt "Zugriff verweigert, ID-Nr. 80070005". Hmmm, kommt davon, wenn man schnell ins Wochenende verschwinden möchte :( Das ist erstmal verschoben. Ich bin da für jeden Tipp dankbar, wie ich erstmal wieder den selbst angerichteten Quatsch rückgängig machen kann. Achso: Das ursprüngliche Ziel ist damit aber erreicht, der Preis ist mir so nur etwas zu hoch^^ Grüße TuO Zitieren Link zu diesem Kommentar
TheUnholyOne 10 Geschrieben 2. Juni 2008 Autor Melden Teilen Geschrieben 2. Juni 2008 Hi Leute, habs gelöst: Ich hatte noch einen User für Archivierung, der über volle Rechte über den Exchange verfügt. Mit dem habe ich mich angemeldet und die Domain-Admins gerade gebogen. Alternativ würde es wohl auch mit einem Mitglied der Enterprise-Admins gehen. Was mich nur interessieren würde: Was, wenn ich diesen User / die Enterprise-Admins nicht habe? Gruß TuO Zitieren Link zu diesem Kommentar
NorbertFe 1.807 Geschrieben 2. Juni 2008 Melden Teilen Geschrieben 2. Juni 2008 Hi Leute, Was mich nur interessieren würde: Was, wenn ich diesen User / die Enterprise-Admins nicht habe? Dann hast du hoffentlich ein Backup ;) Bye Norbert Zitieren Link zu diesem Kommentar
TheUnholyOne 10 Geschrieben 3. Juni 2008 Autor Melden Teilen Geschrieben 3. Juni 2008 Das Backup ist vorhanden. Ja. Dem entnehme ich, dass es kein kleines Script oder DOS-Tool gibt, mit dem man sich die Rechte zurückholen kann?! Das ist dann doch etwas zuviel Sicherheit ^^ Aber in diesem Bereich werde ich mal ein wenig rumtessten. Z.B. ist es ja gut, dass Exchange 'normal' weiterläuft (man kann nur keine User anlegen), wenn Domain-Admins auf Deny all stehen. Wenn man es dann noch damit hinbekommen hat, dass auch ein Administrator keine Postfächer mehr einsehen kann / sich Rechte nehmen kann, wäre das 'ne interessante Möglichkeit, um sicherzustellen, dass kein unkontrollierter Zugriff auf die Postfächer besteht. (Das teste ich aber lieber in 'ner Testumgebung, War genug Spannung für mich *g*). Und über adminSDHolder muss ich auch noch einiges nachholen. Besten Dank noch einmal für die Hilfe @ Norbert. CU TuO Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.