Jump to content

OWA: Administrator von der Anmeldung ausschließen


de.le
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin.

 

Wie kann ich verhindern, dass zur Anmeldung am OWA der Domain-Admin-Account verwendet wird? Im Normalfall ist es möglich, dass jemand ein Postfach über direkten Link (https://example.com/exchange/anderes_postfach) adressiert und mit dem Domain-Administrator authentifiziert. Der Admin soll aber weiterhin berechtigt auf die Postfächer bleiben.

 

Meine erste Idee war es in der entsprechenden ISA-Regel den Admin zu den ausgeschlossenen Benutzern aufzunehmen, doch leider funktionierte anschließend das Active-Sync nicht mehr. What's wrong?

 

Umgebung: Windows Server 2003, Exchange 2003 und ISA.

 

Grüße

de.le

Link zu diesem Kommentar
Wenn Active Sync bei dir über die selbe ISA Regel läuft kann das ja auch nicht mehr funktionieren

Das Funktioniert sehr wohl zusammen. Es sind lediglich mehrere interne Pfade in der Regel notwendig, der Server ist aber der Selbe.

Wobei sich mir die Frage stellt, warum ein Domänenadministrator ein Handy haben sollte was synct

Das ist nicht die Frage, sondern MUSS ein Administrator sich überhaupt am OWA anmelden können! Da der Domain-Admin auf jedes Postfach berechtigt ist, kann auch demnach mit seiner Authentfizierung auf jedes Postfach über OWA zugreiffen. Genauso gut könnte es ein Backupuser sein, der auf alle Postfächer berechtigt ist (jetzt bitte nicht mit Backupkonzept kommen ;) ), irgendwie kannt ich doch unterbinden, dass bestimmte Benutzer sich am OWA authentifizieren dürfen.

 

Nein, das ist nicht der Normalfall

Ja, das ist richtig. Es wurde das Outlook Web Access Web Administration installiert.

Link zu diesem Kommentar
Man kann in den Exchange Features des Benutzerkontos definieren, ob OWA für den Benutzer aktiviert ist oder nicht...

Danke, das ist richtig. D.h. aber nur, dass das Postfach des Benutzers per OWA geöffnet werden kann oder nicht. Ich kann aber einen administrativen Benutzer (ohne Postfach) nicht daran hindern sich an der Stelle des Benutzer zu authentifizieren und somit auf das Postfach zu öffnen.

Link zu diesem Kommentar
Das Funktioniert sehr wohl zusammen. Es sind lediglich mehrere interne Pfade in der Regel notwendig, der Server ist aber der Selbe.

 

Grmpf wenn du es in einer Regel mit mehreren Pfaden definierst geht es eben nicht, dass du einzelne Pfade deaktivierst. Irgendwie logisch, oder? ;)

 

 

Das ist nicht die Frage, sondern MUSS ein Administrator sich überhaupt am OWA anmelden können! Da der Domain-Admin auf jedes Postfach berechtigt ist, kann auch demnach mit seiner Authentfizierung auf jedes Postfach über OWA zugreiffen.

 

Wie schon geschrieben ist das nicht per Default so.

 

Genauso gut könnte es ein Backupuser sein, der auf alle Postfächer berechtigt ist (jetzt bitte nicht mit Backupkonzept kommen ;) ), irgendwie kannt ich doch unterbinden, dass bestimmte Benutzer sich am OWA authentifizieren dürfen.

 

Ja schrieb ich doch schon. Mehrere Regeln für OWA/Active Sync. Dann kannst du OWA für bestimmte Konten am ISA Deaktivieren. Notwendig ist aber, dass du die FBA vom ISA übernehmen läßt.

 

Bye

Norbert

Link zu diesem Kommentar

Ja, das ist richtig. Es wurde das Outlook Web Access Web Administration installiert.

mir wäre neu dass, das so tiefgreifende rechteänderungen durchführt...

 

Danke, das ist richtig. D.h. aber nur, dass das Postfach des Benutzers per OWA geöffnet werden kann oder nicht. Ich kann aber einen administrativen Benutzer (ohne Postfach) nicht daran hindern sich an der Stelle des Benutzer zu authentifizieren und somit auf das Postfach zu öffnen.

mir fällt auf anhieb auch nur ein die rechte auf eure postfachspeicher wieder auf die defaultwerte zu setzen...

 

alternativ übern isa + explizite zulassungsregeln für owa und activesync aber ist sichergestellt dass alle owa verbindungen übern isa kommen?

 

€dith

oder einfach lesen was über mir steht

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...