Jump to content

Zugriff auf öffentliches Adressbuch verhindern


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Bislang stört mich die Generierung der GAL und OAB. Schlussendlich soll nicht jeder Nutzer oder eine bestimmte Usergruppe ein verfügbares Adressbuch haben, sondern einfach nicht auf das interne Adressbuch zugreifen können.

 

Wenn es nicht anders machbar ist, wie erreiche ich zumindest, dass der Zugriff so limitiert wird, dass weder eine Durchsuchung im neuen Adressbuch, noch Anzeige dessen möglich ist.

So dass, sich die neuen User nicht gegenzeitig sehen.

 

 

Link zu diesem Kommentar

Moin,

 

die einfache Antwort ist: Exchange ist einfach nicht für so ein Szenario entworfen worden. Die längeren Antworten hast du hier schon bekommen.

 

Beachte an der Stelle auch, dass Exchange und das AD seit Exchange 2010 (oder 2007? Kann auch sein) getrennte Wege gehen. Solange es beim OWA-Szenario bleibt, können Address Book Policies ausreichen. Wenn aber die einzuschränkenden User auch im internen Netzwerk arbeiten und dann Zugriff auf das AD bekommen, müsste man dort die Sichtbarkeit der AD-Objekte mit Berechtigungen separat einschränken. Auch hier bewegt man sich dann in einem nicht supporteten Bereich, sobald man die Standardberechtigungen manipuliert (was man in dem Szenario tun müsste).

 

Gruß, Nils

 

Link zu diesem Kommentar

@NilsK Du hast es richtig erfasst. Es geht ebenfalls um User, welche einen AD Nutzer erhalten und als auch eine Mailbox.

Es wäre grundsätzlich zu überlegen, ob man vielleicht das Design für Freelancer, wo im Unternehmen Mailboxen benötigen, anpasst, so dass ausschließlich der Mailboxzugriff auf OWA möglich wäre.

 

@Dukel Kannst Du dein dargestellten Lösungsweg hier präsentieren, so dass man hier vielleicht bewerten kann, ob das für den Fall anwendbar ist?

Link zu diesem Kommentar
## Personen
#AddressLists
New-AddressList -Name Personen01_Mailverteiler -DisplayName "Alle Mailverteiler" -RecipientFilter {((((RecipientTypeDetails -eq 'MailUniversalSecurityGroup') -or (RecipientTypeDetails -eq 'MailUniversalDistributionGroup'))) -and (ExtensionCustomAttribute1 -eq 'P01'))}
New-AddressList -Name Personen01_Kontakte -DisplayName "Alle Kontakte" -RecipientFilter {((RecipientTypeDetails -eq 'MailContact') -and (ExtensionCustomAttribute1 -eq 'P01'))}
New-AddressList -Name Personen01_Personen -DisplayName "Alle Personen" -RecipientFilter {((RecipientTypeDetails -eq 'UserMailbox') -and (ExtensionCustomAttribute1 -eq 'P01'))}
#RoomList
New-AddressList -Name Personen01_Raeume -DisplayName "Alle Räume" -RecipientFilter {((RecipientTypeDetails -eq 'RoomMailbox') -and (ExtensionCustomAttribute1 -eq 'P01'))}
#GlobalAddressList
New-GlobalAddressList -Name Personen01 -RecipientFilter {ExtensionCustomAttribute1 -eq 'P01'}
#OfflineAddressBook
New-OfflineAddressBook -Name OAB_Personen01 -AddressLists Personen01
#Name
New-AddressBookPolicy -Name ABP_Personen01 -GlobalAddressList Personen01 -OfflineAddressBook OAB_Personen01 -RoomList Personen01_Raeume -AddressLists Personen01_Mailverteiler,Personen01_Kontakte,Personen01_Personen

## Gäste
#AddressLists
New-AddressList -Name Gaeste01_Mailverteiler -DisplayName "Alle Mailverteiler" -RecipientFilter {((((RecipientTypeDetails -eq 'MailUniversalSecurityGroup') -or (RecipientTypeDetails -eq 'MailUniversalDistributionGroup'))) -and (ExtensionCustomAttribute1 -eq 'G01'))}
New-AddressList -Name Gaeste01_Kontakte -DisplayName "Alle Kontakte" -RecipientFilter {((RecipientTypeDetails -eq 'MailContact') -and (ExtensionCustomAttribute1 -eq 'G01'))}
New-AddressList -Name Gaeste01_Personen -DisplayName "Alle Personen" -RecipientFilter {((RecipientTypeDetails -eq 'UserMailbox') -and (ExtensionCustomAttribute1 -eq 'G01'))}
#RoomList
New-AddressList -Name Gaeste01_Raeume -DisplayName "Alle Räume" -RecipientFilter {((RecipientTypeDetails -eq 'RoomMailbox') -and (ExtensionCustomAttribute1 -eq 'G01'))}
#GlobalAddressList
New-GlobalAddressList -Name Gaeste01 -RecipientFilter {ExtensionCustomAttribute1 -eq 'G01'}
#OfflineAddressBook
New-OfflineAddressBook -Name OAB_Gaeste01 -AddressLists Gaeste01
#Name
New-AddressBookPolicy -Name ABP_Gaeste01 -GlobalAddressList Gaeste01 -OfflineAddressBook OAB_Gaeste01 -RoomList Gaeste01_Raeume -AddressLists Gaeste01_Mailverteiler,Gaeste01_Kontakte,Gaeste01_Personen 

Die Unterscheidung zwischen Gästen und normalen Personen wurde über das ExtensionCustomAttribute1 gemacht. Bei Gästen ist dieses Attribut leer!

Link zu diesem Kommentar

Bei OWA bin ich nicht ganz sicher, aber zumindest für den Zugriff mit Outlook müssen alle Benutzer Zugriff auf ein Adressbuch haben und in diesem auch vorhanden sein. Sonst kommt schon beim Einrichten des Kontos die Meldung "der Name kann nicht aufgelöst werden".

 

Wie schon erwähnt wurde, sind Address Book Policies das richtige Mittel zur Separierung von Benutzern. Macht man auch so, wenn man Hosted Exchange für verschiedene Kunden auf dem gleichen Server bereitstellt (Suchbegriff: "Multi Tenancy"). Bei Dir ist dann einfach jeder Benutzer ein eigener Kunde.

 

Du kannst die User zum Beispiel per OU aufteilen. Beispiel für die Adresslisten:

New-GlobalAddressList -Name "XY – GAL" -IncludedRecipients MailboxUsers -RecipientContainer "domain.de/Freelancer/XY"

New-AddressList -Name "XY" -RecipientContainer "domain.de/Freelancer/XY"

New-AddressList -Name "XY – Räume" -RecipientFilter "(RecipientDisplayType -eq ‘ConferenceRoomMailbox’)" -RecipientContainer "domain.de/Freelancer/XY"

New-OfflineAddressBook -Name "XY" -AddressLists "XY – GAL"

New-AddressBookPolicy -Name "XY" -AddressLists "XY" -GlobalAddressList "XY – GAL" -OfflineAddressBox "XY" -RoomList "XY – Räume"

Dann dem Benutzer zuweisen mit:

Set-Mailbox -Identity benutzer@domain.de -AddressBookPolicy "XY"

 

Link zu diesem Kommentar
9 minutes ago, mwiederkehr said:

Wie schon erwähnt wurde, sind Address Book Policies das richtige Mittel zur Separierung von Benutzern. Macht man auch so, wenn man Hosted Exchange für verschiedene Kunden auf dem gleichen Server bereitstellt (Suchbegriff: "Multi Tenancy"). Bei Dir ist dann einfach jeder Benutzer ein eigener Kunde.

Das ist aber sehr aufwändig, wenn jeder Freelancer ein eigener Kunde wird. Außerdem gibt es meines Wissens Grenzen bei der Anzahl der GALs / Adressbook Policys.

Link zu diesem Kommentar

Grundsätzlich ist die Aufteilung in einer OU kein schlechter Ansatz. Diese Aufteilung liegt bei mir schon vor.

 

Beispiel: Domäne/externalUser

 

Und das man im Grunde für alle User der OU "external User" dann die Policy anwendet, dass diese in ihre GAL / OAB Zugriff haben.

 

Der offene Punkt wo ich noch sehe: Sogar wenn die external User OU einer bestimmten GAL zugeordnet sind, wie erreiche ich im Anschluss daran, dass diese:

 

a. kein Zugriff zum Durchsuchen von Kontakten haben von z.B anderen Freelancern

b. keinerlei Kontakte angezeigt werden

Link zu diesem Kommentar
vor 1 Minute schrieb Nobbyaushb:

Dann müsstest du - wie schon geschrieben - für jeden externen eine eigene ABP erstellen - m.E. wenig Zielführend.

 

Der Rest wurde aus meiner Sicht hinreichend erläutert.

Genau, für jeden externen eine eigene ABP zu erstellen macht auch in meinen Augen wenig sinn.

 

Es sollte dennoch machbar sein, ggf. über ein anderen Weg, dass sich die externen nicht gegenseitig sehen.

Vorzugsweise natürlich mit einem überschaubaren Aufwand :-)

Link zu diesem Kommentar

@Dukel: Ok, gehen wir mal das Schritt für Schritt durch:

 

Im ersten Abschnitt "Personen" sind die normalen Benutzer der Organisation. Als Unterscheidungsattribut setzt du da P01.

 

Im zweiten Abschnitt "Gäste" sind die Gästenutzer der Organisation. Als Unterscheidungsattribut setzt du da G01.

 

Die Policy für Personen lautet "ABP_Personen01" und für Gäste "ABP_Gaeste01".

 

Jetzt lege ich im AD einen User an "Freelancer1" innerhalb der OU "externalUser". Diesem User wird eine Mailbox zugeteilt und die Policy "ABP_Gaeste01" im Exchange zugewiesen.

 

Wo ist der Schritt, dass dieser User nun in seinem Adressbuch nach keinen anderen Freelancer suchen kann bzw. das Adressbuch leer bleibt und sich keiner der User gegenseitig sieht?

 

Das heißt, wenn man dann weiterdenkt bei der Erstellung von weiteren User, z.B: Freelancer2, Freelancer3 etc..

Link zu diesem Kommentar

Genau. Alle Mitarbeiter bekommen das Attribut P01 zugewiesen und die Policy ABP_Personen01 zugewiesen. Daher sind alle Mitarbeiter im Adressebuch Personen01_Personen (und in der Policy / GAL) und sehen alle Mitarbeiter.

Hier kann man auch die OU nutzen statt dem Attribut.

 

Bei den Freelancern wird das Attribut nicht (!) gesetzt aber die Policy ABP_Gäste01 zugewiesen und daher landet auch keiner in diesem Adressbuch / Policy / GAL und die Freelancer sehen ein leeres Adressbuch (ganz ohne geht es nicht).

Link zu diesem Kommentar

Das heißt, solange der AD-Account vom Freelancer das Attribut z.B "G01" nicht gesetzt ist, lässt sich zwar das Gästeadressbuch zuweisen per Policy, aber wird niemals angezeigt.

 

Der Abschnitt "Personen" bei Dir würde bei mir - mehr oder weniger - wegfallen, da bereits eine GAL und OAB besteht.

 

Verstehe ich das so richtig?

 

Was müsste ich bei der OU  statt der Setzunfgdes Attributes beachten?

 

Dein Abschnitt wo du das Gästeadressbuch erstellst, würde ich ganz normal so machen, nur würde ich statt dem Attribut in irgendeiner Form die OU ins Spiel bringen müssen.

 

Oder wäre es eleganter einfach bei der bestehenden GAL / OAB, wo derzeit die normalen Benutzer nutzen das extension Attribut nach zu setzen?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...