Jump to content

Active Directory Leserechte für Domain User entfernen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin,

 

sei dir bewusst, dass du dich damit schnell außerhalb der supporteten Konfiguration bewegst.

 

Ich hab sowas mal für eine Hochschule durchgespielt. Nur so als Orientierung: Das war ein Projekt mit 30 Manntagen und am Ende war nur eine Labor-Umgebung fertig. Und es funktionierte dort auch nur, weil KEIN Exchange im Einsatz war - ab Exchange 2010 kümmert sich Exchange nämlich nicht mehr, was an Zugriffsberechtigungen im AD konfiguriert ist.

 

[ice:2010 AD-Delegation – die Folien und Skripts | faq-o-matic.net]
http://www.faq-o-matic.net/2010/08/14/ice2010-ad-delegation-die-folien-und-skripts/

 

Gruß, Nils

Link zu diesem Kommentar

Moin,

 

nein, Exchange 2010 hat keine Probleme damit, jedenfalls nicht pauschal. Aber umgekehrt: Exchange 2010 hält sich selbst nicht an die AD-Zugriffsrechte. Ein User, der im AD "nichts" sehen darf, ist in der Exchange-Adressliste usw. nicht eingeschränkt. Das liegt daran, dass Exchange mit einem Proxykonto aufs AD zugreift und einen separaten Mechanismus zur Steuerung verwendet. Wenn man also die Möglichkeiten des Users einschränken muss, muss man es (mindestens) zweimal tun - einmal im AD, einmal in Exchange.

 

Gruß, Nils

Link zu diesem Kommentar

Grundsätzlich ist die Konfiguration eines "locked-down Active Directory" mit entfernten "Authenticated Users" von Microsoft unterstützt. Microsoft referenziert dies z.B. in der Dokumentation zu Lync Server 2013.

 

Nils' Hinweis auf Exchange Server 2010 gilt es in Betrachtung zu ziehen. U.a. können Standardbenutzer in der Standardkonfiguration tatsächlich Verteiler- in Sicherheitsgruppen konvertieren. Exchange übernimmt diese Aufgabe freundlicherweise im erhöhten Kontext und sorgt dafür, dass sich die Admins vielleicht plötzlich damit auseinandersetzen müssen, dass ihre Benutzer in zu vielen Sicherheitsgruppen sind.

 

Es hat sich für Admins auch in hochsicheren Umgebungen bewährt, möglichst nahe am Standard zu arbeiten. Wenn es kritische Objekte in AD gibt, die Du vor Deinen Benutzern verbergen willst, kannst Du auch eine versteckte OU-Teilstruktur erstellen und die Objekte darin platzieren.

 

Ebenfalls zu bedenken ist die Option "Restore defaults" in den "Advanced Security Settings" von OUs und Domänen. Diese Option stellt ohne weitere Nachfrage die standardmässigen ACL wieder her, und all die liebevoll gepflegten zusätzlichen Einträge sind weg (inkl. Berechtigungen für Exchange) resp. die ggf. entfernten "Authenticated Users" wieder da. Wenn Du AD also hoch sicher machen möchtest, gibt es weit mehr anzufassen, wie Nils schon angemerkt hast ("Restricted Groups" fallen mir u.a. ein). Und es kann Dir niemand garantieren, dass Dir die Änderungen nicht irgendwann auf die Füsse fallen, weil Microsoft in seiner Road Map nicht Deine kundenspezifischen Anpassungen berücksichtigt hat. :D

Link zu diesem Kommentar

Moin,

 

ja, im AD kannst du Berechtigungen auch auf Attributebene verwalten. Aber sei dir bewusst, dass du damit die Komplexität drastisch erhöhst. Umfangreiches Testen und genaue Dokumentation sind unabdingbar.

 

Mit dem Support verhält es sich grob gesagt so: Nur wenige Szenarien sind explizit "unsupported". Microsoft wird aber die meisten Dinge, die man so konfigurieren kann, niemals getestet haben. Daher kann es dafür dann keinen definierten Support geben.

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...