Wie blendet man korrekt User aus der GAL aus?

Nuce · 20. Februar

Guten Morgen,

bei uns in der IT betreiben wir ein On-Prem Exchange 2019 Cluster mit 850 Usern. Bisher haben wir immer User, welche das Unternehmen verlassen haben, für 1 Jahr deaktiviert und aus den Adressbüchern ausgeblendet, falls diese evtl. wieder zurück kommen. Für die ersten 0-12 Wochen des Ausscheidens können die Vorgesetzten sich bei uns eine Weiterleitung der Mails buchen und danach wird diese wieder abgeschaltet.

Für das ausblenden haben wir immer die Funktion im ECP genutzt:

Bei uns hatte dieses Prinzip aber immer bestens funktioniert. Jetzt wurde uns von einem externen Dienstleister gesagt, dass dies so eigentlich nicht gemacht wird und zu Problemen im Exchange führt. Besser wäre es separate Adressbücher in einer höheren Ebene anzulegen und die User darein zu verschieben, damit diese dem restlichen Unternehmen nicht mehr angezeigt werden und halt zwingend nicht mehr "Aus Adresslisten ausblenden" im ECP zu nutzen.

Stimmt das? Zu welchen Problemen könnte das führen? Ich weiß nur, falls wir mal in die Cloud gehen sollten, dass durch das deakt. des Users dann das Postfach Geschichte ist aber aktuell sollte es ja so funktionieren, wofür hätte MS sonst die Funktion dort zur Verfügung gestellt.

Oder gibt es hier noch einen ganz anderen Ansatz?

Rechtherzlichen Dank im Voraus für eure Erfahrungen und Schwarmwissen

NorbertFe · 20. Februar

vor 4 Minuten schrieb Nuce:

externen Dienstleister gesagt, dass dies so eigentlich nicht gemacht wird und zu Problemen im Exchange führt.

Hat er die "Probleme" auch irgendwie erläutert? Ich seh da jetzt nur begrenzt Probleme, aber es kann ja sein, dass ich nicht über diese Probleme bisher gestolpert bin.

vor 5 Minuten schrieb Nuce:

falls wir mal in die Cloud gehen sollten, dass durch das deakt. des Users dann das Postfach Geschichte ist

Nö, warum sollte es? solange der user eine entsprechende Lizenz zugewiesen hat, oder man das Postfach in eine shared mailbox umwandelt ist da gar nix "Geschichte", wenn man das Konto deaktiviert.

Nobbyaushb · 20. Februar

Ich schließe mich dem anderen Norbert an - was soll das für Probleme geben?

Ich finde euer Vorgehen sogar sehr gut!

Der DL soll sich bitte mal dazu äußern, was denn daran schlecht ist...

Tipp aus einer Firma die unter KRITIS / NIS2 fällt - da werden auch nach der angegebenen Zeit (1 Jahr ist prima) die Anwender nicht gelöscht sondern in eine OU namens Alumni verschoben

(auf diese OU wirken keine GPO oder ähnliches)

So ist man immer in der geschlossenen Nachweis-Kette (10 Jahre Aufbewahrungs-Pflicht und so...)

:-)

bearbeitet 20. Februar von Nobbyaushb

Nuce · 20. Februar

vor einer Stunde schrieb NorbertFe:

Hat er die "Probleme" auch irgendwie erläutert? Ich seh da jetzt nur begrenzt Probleme, aber es kann ja sein, dass ich nicht über diese Probleme bisher gestolpert bin.

Nö, warum sollte es? solange der user eine entsprechende Lizenz zugewiesen hat, oder man das Postfach in eine shared mailbox umwandelt ist da gar nix "Geschichte", wenn man das Konto deaktiviert.

Nein der DL hatte uns bei der Migration ins Cluster & von 16 auf 19 unterstützt und uns dies nur so mitgeteilt, als das Ausblenden aufgefallen war.

Wie im ersten Beitrag geschrieben hieß es nur, dass dies halt unschön ist und zu Problemen im Exchange führen kann und dies halt über die Adressbücher besser gelöst wird.

Wir hatten uns bisher auf diese Aussage verlassen, der DL wollte auch die Adressbücher entsprechend auch umbauen und ist selbst immer auf Probleme in den Ansichten gestoßen und hat es bisher in einem Testbereich nicht richtig hin bekommen.

Da uns unser altes Vorgehen bisher immer als plausibel und korrekt vorkam und ich bei Google auch nichts zu dem Thema finden konnte, wo es hieß "Ja bloß nicht den Haken bei Ausblenden setzen", wollte ich jetzt halt hier mal horchen, ob es wirklich zu Problemen führen kann und wie es sonst in der restl. Welt gehandhabt wird. (aber so wie ich hier jetzt schon aus den Antworten heraus lese, haben wir dann doch ein gutes Vorgehen gehabt.) Denn dem gegenüber steht bei uns nur die Aussage ohne Begründung. Dann können wir das ja auch in Zukunft weiterhin so handhaben, so wie wir es immer gemacht haben. :-)

Vielen Dank für die schnelle Antwort! Welche "begrenzten Probleme" siehst du denn?

######

Bei der anderen Aussage, hatte ich mich auf das Suchergebnis hier im Board gehängt:

Da gab es im letzten Beitrag eine Aussage von dir, dass User aus dem Sync-Scope fallen, wenn sie in der AD deakt. werden und man einen Abgleich mit der Cloud hat.

bearbeitet 20. Februar von Nuce

Nobbyaushb · 20. Februar

vor 4 Minuten schrieb Nuce:

Da gab es im letzten Beitrag eine Aussage von dir, dass User aus dem Sync-Scope fallen, wenn sie in der AD deakt. werden und man einen Abgleich mit der Cloud hat.

Kann ja nicht sein, man synct ja auch eigentlich nicht das gesamte AD sondern auf OU Ebene

Sonst würden ja shared Mailboxen auch nicht gesynct, denn das sind disabled User

:-)

Nuce · 20. Februar

vor 28 Minuten schrieb Nobbyaushb:

Kann ja nicht sein, man synct ja auch eigentlich nicht das gesamte AD sondern auf OU Ebene

Sonst würden ja shared Mailboxen auch nicht gesynct, denn das sind disabled User

Auch dir danke für die schnelle Reaktion. Das klingt ja auch super, dann haben wir ja bisher alles richtig gemacht und freut mich.

Ja wir haben auch eine OU ohne GPOs für ausgeschiedene MA. Da packen wir die deaktivierten und ausgeblendeten User auch rein, nachdem wir die Mitgliedschaften etc. auch noch entfernt haben, aber halt nur für ein Jahr. Bisher hat da keiner eine längere Aufbewahrungszeit gefordert. Aber im Full-Backup über die Jahre sind die User ja auch bis 10 Jahre zur Not vorhanden und Widerherstellbar, daher ist das in den Audits wohl auch kein Thema.

Vielen Dank!

>>> Sorry, nee ich meinte NorbertFE. Beim Speichern der Antwort für deine Antwort kam vom Forum, dass die Antworten zusammengefügt werden und dann sah es so komisch aus. Habe es jetzt wieder separiert. :lool:

bearbeitet 20. Februar von Nuce

mwiederkehr · 20. Februar

Die Probleme, die Dein Dienstleister wohl meint, liegen Jahre zurück. Bei Outlook 2010 konnte man kein Konto einrichten, wenn der Benutzer nicht in der Adressliste war und es gab Probleme mit dem Antworten an Benutzer, die nicht in der Adressliste waren (da intern die X.500-Adresse verwendet wurde und diese nicht geprüft werden konnte).

Mit den Adressbuchrichtlinien, die mit Exchange 2010 SP2 eingeführt wurden, konnte man das umgehen. Anstatt einen Benutzer zu verstecken, hat man ihm eine andere Richtlinie zugewiesen, sodass er sich selbst immer im Adressbuch gesehen hat.

Ich bin die letzten Jahre aber nie mehr auf ein solches Problem gestossen. Zudem müssen in Deinem Fall die versteckten Benutzer kein Outlook einrichten.

Nobbyaushb · 20. Februar

vor 4 Stunden schrieb Nuce:

Auch dir danke für die schnelle Reaktion. Das klingt ja auch super, dann haben wir ja bisher alles richtig gemacht und freut mich.

Ja wir haben auch eine OU ohne GPOs für ausgeschiedene MA. Da packen wir die deaktivierten und ausgeblendeten User auch rein, nachdem wir die Mitgliedschaften etc. auch noch entfernt haben, aber halt nur für ein Jahr. Bisher hat da keiner eine längere Aufbewahrungszeit gefordert. Aber im Full-Backup über die Jahre sind die User ja auch bis 10 Jahre zur Not vorhanden und Widerherstellbar, ....

Wie gesagt, das davon ab wer euch ggf. mal prüft und welche gesetzlichen Vorschriften bei euch greifen KRITIS / NIS2 hatte ich ja schon genannt

Für mich (als jemand der regelmäßig solche Audits begleitet...) liest sich das erst mal vorbildlich! :thumb1:

Und siehe einen Post vor diesem - das meinte ggf. euer DL - dann ist der aber nicht auf Stand... :grins2:

:-)

Nuce · 21. Februar

vor 23 Stunden schrieb mwiederkehr:

Die Probleme, die Dein Dienstleister wohl meint, liegen Jahre zurück. Bei Outlook 2010 konnte man kein Konto einrichten, wenn der Benutzer nicht in der Adressliste war und es gab Probleme mit dem Antworten an Benutzer, die nicht in der Adressliste waren (da intern die X.500-Adresse verwendet wurde und diese nicht geprüft werden konnte).

Mit den Adressbuchrichtlinien, die mit Exchange 2010 SP2 eingeführt wurden, konnte man das umgehen. Anstatt einen Benutzer zu verstecken, hat man ihm eine andere Richtlinie zugewiesen, sodass er sich selbst immer im Adressbuch gesehen hat.

Ich bin die letzten Jahre aber nie mehr auf ein solches Problem gestossen. Zudem müssen in Deinem Fall die versteckten Benutzer kein Outlook einrichten.

Vielen dank für die Antwort @mwiederkehr! Das klingt sehr plausibel. Ja dann wird der DL wohl in dem Punkt wohl noch etwas veraltet vorgehen und wir wurden zu unrecht verunsichert. :thumb1:

vor 21 Stunden schrieb Nobbyaushb:

Wie gesagt, das davon ab wer euch ggf. mal prüft und welche gesetzlichen Vorschriften bei euch greifen KRITIS / NIS2 hatte ich ja schon genannt

Für mich (als jemand der regelmäßig solche Audits begleitet...) liest sich das erst mal vorbildlich!

Und siehe einen Post vor diesem - das meinte ggf. euer DL - dann ist der aber nicht auf Stand...

Ja vielen Dank nochmal @Nobbyaushb! Das klingt doch schön, da machen wir hier doch mal was vorbildlich und können uns jetzt mal gegenseitig auf die Schultern hauen. :-) :smile2:

Anmelden

Wie blendet man korrekt User aus der GAL aus?

Empfohlene Beiträge

Nuce 1

Link zu diesem Kommentar

NorbertFe 1.804

Link zu diesem Kommentar

Nobbyaushb 1.359

Link zu diesem Kommentar

Nuce 1

Link zu diesem Kommentar

Nobbyaushb 1.359

Link zu diesem Kommentar

Nuce 1

Link zu diesem Kommentar

mwiederkehr 351

Link zu diesem Kommentar

Nobbyaushb 1.359

Link zu diesem Kommentar

Nuce 1

Link zu diesem Kommentar

Schreibe einen Kommentar

Menu

Aktivitäten