Exchange Ressourcen-Gesamtstruktur: Zugriff bei deaktiviertem Benutzer

[lukin 10]

Hallo,

 

um einer anderen Gesamtstruktur die Benutzung der Exchange Organisation unserer Gesamtstruktur zu ermöglichen, habe ich nun eine ausgehende Gesamtstrukturvertrauensstellung erstellt, so dass sich Benutzer der anderen Gesamtstruktur in unserer Gesamtstruktur authentifizieren können.

 

Anschließend habe ich die Prozedur wie in KB Artikel 278888 befolgt, um dem Benutzer in der anderen Gesamtstruktur Zugriff auf eine in unserer Gesamtstruktur befindliche Mailbox zu ermöglichen. Dabei führt man folgende Schritte durch:

 

[...]

12. Right-click the user account, and then click Properties.

13. Click the Security tab, and then click Add.

14. In the Type names separated by semicolons or choose from list box, type the Windows NT 4.0 user account that you want to own the mailbox (or the Windows 2000 user account in another forest that you want to own the mailbox), and then click OK.

15. In the User Properties dialog box, click the user account that you added in step 14.

16. In the Permissions list, click to select the Allow check box next to the Send As permission.

17. Click the Exchange Advanced tab, and then click Mailbox Rights.

18. Click Add, click the user account that you added in step 14, and then click OK.

19. In the Permissions list, click to select the Allow check boxes next to Read Permissions, Full Mailbox Access, and Associated External Account.

20. Click OK.

[...]

 

Soweit, so gut. Wenn ich nun aber von der anderen Gesamtstruktur aus auf eine Mailbox zugreifen möchte, fordert mich Outlook immer noch zur Authentifizierung des Mailboxbesitzers in unserer Gesamtstruktur auf. Das ist zwar an sich kein Drama, da man das Kennwort speichern kann und somit auch Zugriff auf Exchange erhält. Trotzdem, normal kann das eigentlich nicht sein, da der Benutzer in der anderen Gesamtstruktur ja zuvor entsprechende Rechte auf die Mailbox bekommen hat.

 

Wenn ich übrigens den Benutzer in unserer Gesamtstruktur, also den Besitzer der Mailbox, so wie im KB-Artikel beschrieben deaktiviere, bekomme ich logischerweise überhaupt keinen Zugriff auf die Mailbox. Also muss da noch irgendwo ein Fehler drin sein - ich weiß aber momentan nicht mehr, woran es noch liegen kann. Hat jemand eine Idee?

 

Danke,

[lukin 10]

Ich habe mittlerweile alleine rausgefunden, warum es nicht funktioniert

hat. Und zwar musste bei der Vertrauensstellung die "Gesamtstrukturweite

Authentifizierung" aktivieren. Vorher hatte ich die "Ausgewaehlte

Authentifizierung aktiviert". So, OK, es funktioniert nun. Aber ich

verstehe es nicht. Denn soweit ich weiss, bewirkt die

"Gesamtstrukturweite Authentifizierung" ja nur, dass die in der

vertrauten Domaene bzw. Gesamtstruktur als authentifizierte Benutzer

automatisch der Gruppe "Jeder" der vertrauenden Gesamtstruktur

angehoert. Ja, OK, aber was hat das mit dem Zugriff auf Exchange zutun?

Schliesslich habe ich die Rechte auf die Mailbox ja explizit gegeben,

die Gruppe "Jeder" hat damit doch nichts zutun?!

 

Vielleicht kann mir das ja jemand beantworten.

 

Danke,

Michael

[lukin 10]

Hallo,

 

für diejenigen, die das gleiche Problem haben und danach mal suchen, habe ich hier die Lösung:

 

Daniel Melanchthon [MSFT] wrote:

> Gross, Michael schrieb:

>> ich habe noch mal eine Frage. Wenn ich mit dem Benutzerkonto der

>> anderen Gesamtstruktur auf die Mailbox zugreife, kann ich keine

>> Mailboxen anderer Benutzer oeffnen.

>

> Hast Du das Trägerkonto mittlerweile deaktiviert?

>

>> Das ist auch logisch, denn in Outlook kann man

>> seine Ordner ja nicht fuer Benutzer aus anderen Gesamtstrukturen

>> freigeben. Der Zugriff auf Mailboxen anderer Benutzer klappt also

>> nur, wenn man die Standardberechtigung aendert.

>

> Das vermutest Du nur. Die Rechte vergibst Du an den MAPI-User, nicht

> an die SID des Windows-Users. Erst b eim Zugriff auf die Resource

> wird der MAPI-User auf die SID aufgelöst. Und nur, wenn das

> Trägerkonto in der Exchange-Domäne deaktiviert ist, wird die SID des

> zugeordneten Users aus der nicht-Exchange-Domäne aufgelöst. Solange

> das Trägerkonto aktiviert ist, wird dessen SID aufgelöst und der

> Zugriff verweigert, weil es ja niicht dieser User ist. Daher

>

> Wenn Du im ESM einmal an das MAPI-Konto des Trägerpostfaches explizit

> Rechte auf einiem öffentlichen Ordner einträgst, kannst Du Dir das

> sehr schön selbst ansehen. Wenn Du die Clientrechte dann mal mit

> SHIFT gedrückt öffnest, siehst Du nicht die MAPI-User, sondern die

> aufgelösten Windows-User. Je nachdem, ob Du das Trägerkonto

> aktivierst oder deaktivierst, wirst Du dort sehen, welcher

> Windows-User für den MAPI-User aufgelöst wird.

 

Hallo Daniel,

 

vielen Dank fuer deine Antwort. In der Tat lag es daran, dass der

Benutzer nicht deaktiviert war. Und ueber den von dir beschriebenen Weg

kann ich das nun auch nachvollziehen.

 

Allerdings hat es nicht sofort funktioniert: Nachdem ich den Benutzer

deaktiviert hatte, musste ich in den Outlook-Eigenschaften des

freizugebenden Ordners den Benutzer noch mal neu hinzufuegen.

Unmittelbar nach dem Deaktivieren stand dort naemlich

NT-Autoritaet\Benutzer, also der deaktivierte Benutzer. Wenn ich das nun

richtig verstanden habe, wurde nach dem erneuten hinzufuegen der MAPI

User dann korrekt mit dem Benutzer aus der anderen Gesamtstruktur

verknuepft. Demnach wird nun auch nicht mehr NT-Autoritaet\Benutzer,

sondern der korrekte Name angezeigt. Und nun funktioniert es ja auch.

 

PS: Zum ueberpruefen der zugeordneten Clienttrechte muss man nicht

SHIFT, sondern STRG druecken. Nur fuer diejenigen, die mal ein

aehnliches Problem haben und diesen Beitrag lesen.

 

Danke,

Michael

 

BTW, wenn ich irgendwas falsches gesagt habe, bitte korrigieren! Danke.