MattesP 10 Geschrieben 15. März 2010 Melden Teilen Geschrieben 15. März 2010 (bearbeitet) Hallo Zusammen, ich möchte die Verwaltung einer OU an einen User delegieren. Wenn ich diesem User nun "Full Control" auf die OU gebe, kann er dann auch Mailboxen anlegen und löschen oder sind dazu weitere Rechte auf dem Exchange Server nötig? Gruß, Mattes bearbeitet 15. März 2010 von MattesP Zitieren Link zu diesem Kommentar
NorbertFe 1.829 Geschrieben 15. März 2010 Melden Teilen Geschrieben 15. März 2010 Hallo Zusammen, ich möchte die Verwaltung einer OU an einen User delegieren. Wenn ich diesem User nun "Full Control" auf die OU gebe, kann er dann auch Mailboxen anlegen und löschen oder sind dazu weitere Rechte auf dem Exchange Server nötig? Gruß, Mattes Nein kann er nicht. Je nach Exchangeversion sind weitere Rechte notwendig. Bye Norbert Zitieren Link zu diesem Kommentar
MattesP 10 Geschrieben 16. März 2010 Autor Melden Teilen Geschrieben 16. März 2010 Hi Norbert, ich habe einen Exchange 2003 vor mir. Die Delegation der OU hat funktioniert, Userkonten können angelegt werden. Wenn der Dialog zur Erstellung einer Mailbox hochkommt, kann ich keinen Postfachspeicher auswählen und daher nicht auf weiter klicken. Wenn ich das richtig gesehen habe, kann ich im ESM eine administrative Gruppe ebenso berechtigen / delegieren wie eine OU, nur gibt es hier lediglich drei Stufen: Exchange Admin view only Exchange Admin Exchange full admin Der Exchange Admin kann mir eigentlich schon zuviel. Ich möchte lediglich, das der Admin der OU für die User, die er in seiner OU anlegt auch Mailboxen erstellen und löschen kann, mehr nicht. Was ist denn hier der richtige Ansatz? Gruß, Mattes Bei Bedarf bitte den Thread ins Exchangeforum verschieben. Zitieren Link zu diesem Kommentar
NorbertFe 1.829 Geschrieben 16. März 2010 Melden Teilen Geschrieben 16. März 2010 nur gibt es hier lediglich drei Stufen: Exchange Admin view only Exchange Admin Exchange full admin Der Exchange Admin kann mir eigentlich schon zuviel. Ich möchte lediglich, das der Admin der OU für die User, die er in seiner OU anlegt auch Mailboxen erstellen und löschen kann, mehr nicht. Was ist denn hier der richtige Ansatz? Man liest die entsprechenden Whitepaper. ;) Implementing a Split Permissions Model Solltest du wirklich lesen! Mailbox-Enabling User Objects To mailbox-enable a user or inetOrgPerson object, the Exchange administrator must apply the Exchange delegated role, Exchange View-Only Administrator (or higher), on the target administrative group. Bye Norbert Zitieren Link zu diesem Kommentar
MattesP 10 Geschrieben 17. März 2010 Autor Melden Teilen Geschrieben 17. März 2010 Hi Norbert, vielen Dank! Ich hatte mich informiert, habe es aber nicht wirklich verstanden. Wenn ich View-Only delegiere, muss ich für mein Verständnis noch verschiedene Attribute manuell berechtigen (und das sind eine Menge). Daher habe ich jetzt Exchange Administrator delegiert. Das funktioniert, aber soviel wäre eigentlich nicht nötig gewesen. Manuell da noch was zu berechtigen traue ich mir so ohne Weiteres nicht zu. Gruß, Mattes Zitieren Link zu diesem Kommentar
NorbertFe 1.829 Geschrieben 17. März 2010 Melden Teilen Geschrieben 17. März 2010 Hi Norbert, vielen Dank! Ich hatte mich informiert, habe es aber nicht wirklich verstanden. Wenn ich View-Only delegiere, muss ich für mein Verständnis noch verschiedene Attribute manuell berechtigen (und das sind eine Menge). Nein mußt du nicht, da du ja FULL Control auf der OU delegiert hast. ;) Warum auch immer, da das eigentlich viel zu viel für das ist, was du erreichen willst. Mir scheint, dir ist das Prinzip noch nicht ganz eingängig. ;) Daher habe ich jetzt Exchange Administrator delegiert. Naja ist ja dein Exchangeserver der kaputt gehen kann. ;) Bye Norbert Zitieren Link zu diesem Kommentar
MattesP 10 Geschrieben 17. März 2010 Autor Melden Teilen Geschrieben 17. März 2010 ...jetzt verwirrst Du mich! Meine erste Frage: ich möchte die Verwaltung einer OU an einen User delegieren. Wenn ich diesem User nun "Full Control" auf die OU gebe, kann er dann auch Mailboxen anlegen und löschen oder sind dazu weitere Rechte auf dem Exchange Server nötig? Hast Du beantwortet mit: Nein kann er nicht. Je nach Exchangeversion sind weitere Rechte notwendig. Das konnte ich so nachvollziehen. Jetzt ist nur die Frage was das Minimum auf dem Exchange an Rechten ist, damit derjenige der die OU komplett verwaltet, in dieser seiner OU auch Mailboxen anlegen und löschen kann? Gruß, Mattes Zitieren Link zu diesem Kommentar
NorbertFe 1.829 Geschrieben 17. März 2010 Melden Teilen Geschrieben 17. März 2010 ...jetzt verwirrst Du mich! Meine erste Frage: Hast Du beantwortet mit: Das konnte ich so nachvollziehen. Jetzt ist nur die Frage was das Minimum auf dem Exchange an Rechten ist, damit derjenige der die OU komplett verwaltet, in dieser seiner OU auch Mailboxen anlegen und löschen kann? Gruß, Mattes Ich dachte ich sagte: Lies dir die Whitepaper durch. Dann wären deine Fragen alle schon beantwortet. Wenn du Full Control auf die OU vergibst, kann der "delegierte Admin" trotzdem keine Mailboxen anlegen/löschen usw., denn dazu fehlt ihm im Exchange das entsprechende Rechte (minimal Exchange Admin - view only). Dafür hat der "delegierte Admin" aber Full Controll auf die OU, was für "Mailbox erstellen" einfach mal mit Kanonen auf Spatzen geschossen ist. Und was die minimalen Rechte für die einzelnen Exchange Aufgaben sind, steht in den geposteten Links. Lesen mußt du schon selbst. Bye Norbert Zitieren Link zu diesem Kommentar
MattesP 10 Geschrieben 17. März 2010 Autor Melden Teilen Geschrieben 17. März 2010 Hi Norbert, ... derjenige soll ja Full Controll über die OU haben! Und auch Mailboxen in der OU anlegen können. Wenn dazu View only als Delegation in Exchange reicht: Prima, das beantwortet meine Frage. Die Whitepaper habe ich gelesen und daraus aber eben entnommen, dass ich bei View Only eben bestimmte Attrbute noch manuell berechtigen muß, wie auch hier beschrieben: Gruppenrichtlinien - Übersicht, FAQ und Tutorials Das sieht dann so aus: C:\ dsacls "OU=test,DC=domain,DC=de" /I:S /G "\personalabteilung:WP;autoReplyMessage;user" "\personalabteilung:WP;adminDisplayName;user" "\personalabteilung:WP;dLMemDefault;user" "\personalabteilung:WP;homeMDB;user" "\personalabteilung:WP;homeMTA;user" "\personalabteilung:WP;legacyExchangeDN;user" "\personalabteilung:WP;mail;user" "\personalabteilung:WP;mailNickname;user" "\personalabteilung:WP;mAPIRecipient;user" "\personalabteilung:WP;mDBUseDefaults;user" "\personalabteilung:WP;msExchADCGlobalNames;user" "\personalabteilung:WP;msExchControllingZone;user" "\personalabteilung:WP;msExchFBURL;user" "\personalabteilung:WP;msExchHideFromAddressLists;user" "\personalabteilung:WP;msExchHomeServerName;user" "\personalabteilung:WP;msExchMailboxGuid;user" "\personalabteilung:WP;msExchMailboxSecurityDescriptor;user" "\personalabteilung:WP;msExchPoliciesExcluded;user" "\personalabteilung:WP;msExchPoliciesIncluded;user" "\personalabteilung:WP;msExchRecipLimit;user" "\personalabteilung:WP;msExchResourceGUID;user" "\personalabteilung:WP;msExchUserAccountControl;user" "\personalabteilung:WP;proxyAddresses;user" "\personalabteilung:WP;quotaNotificationStyle;user" "\personalabteilung:WP;quotaNotificationSchedule;user" "\personalabteilung:WP;showInAddressBook;user" "\personalabteilung:WP;targetAddress;user" "\personalabteilung:WP;textEncodedORAddress;user" "\personalabteilung:WP;displayName;user" Wenn lesen mit verstehen einhergehen würde, dann bräuchte ich hier nicht nachzuhaken! Trotzdem noch mal Vielen Dank für die Unterstützung! Mattes Zitieren Link zu diesem Kommentar
NorbertFe 1.829 Geschrieben 17. März 2010 Melden Teilen Geschrieben 17. März 2010 Hi Norbert, ... derjenige soll ja Full Controll über die OU haben! Und auch Mailboxen in der OU anlegen können. Wenn dazu View only als Delegation in Exchange reicht: Prima, das beantwortet meine Frage. Die Whitepaper habe ich gelesen und daraus aber eben entnommen, dass ich bei View Only eben bestimmte Attrbute noch manuell berechtigen muß, wie auch hier beschrieben: Grmpf, aber nur wenn du nicht Full Control vergeben hast. Dann sind die Attribute doch schon berechtigt! BTW. Du mußt mir mein HowTo nicht zitieren. ;) Bye Norbert Zitieren Link zu diesem Kommentar
MattesP 10 Geschrieben 18. März 2010 Autor Melden Teilen Geschrieben 18. März 2010 ahhh, ... so langsam... Danke. Zitieren Link zu diesem Kommentar
NorbertFe 1.829 Geschrieben 18. März 2010 Melden Teilen Geschrieben 18. März 2010 Ja, LESEN. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.