Microsoft Exchange Server 2010 – Das Handbuch

" } } $BodyText = $BodyText.Replace("@{","") $BodyText = $BodyText.Replace("}","'n") $MailMessage = New-Object System.Net.Mail.Mailmessage $MailMessage.From = '[email protected]' $MailMessage.To.Add('[email protected]') $MailMessage.Subject = "Exchange 2010 Database Sizes" $MailMessage.IsBodyHtml = $True $MailMessage.Body = $BodyText $SmtpClient = New-object System.Net.Mail.SmtpClient $SmtpClient.Host = 'exserver1.contoso.com' $SmtpClient.Send($MailMessage)

Mit derselben Technik können Sie auch Skripts schreiben, um Nachrichten zu erstellen und zu senden, die Berichte über verschiedenste Aspekte des Systems geben (wobei Sie nicht auf Exchange beschränkt sind, da immer mehr Komponenten über PowerShell zugänglich sind) oder sonstige Ordnungsfunktionen durchführen. Beispielsweise können Sie den stolzen Besitzern neuer Postfächer eine Nachricht senden, um sie im E-Mail-System willkommen zu heißen und Sie über die Umgebung zu informieren, beispielsweise darüber, wo Sie weitere Informationen finden, Probleme melden, Programme herunterladen, interne Websites aufrufen kann usw. Ein solches Skript müsste neue Postfächer in einer Schleife aufspüren, indem es das Erstellungsdatum überprüft, und dann mit ähnlichen Befehlen wie im vorstehenden Code eine Nachricht zusammenstellen. Alternativ können Sie auch die Möglichkeiten von Cmdlet-Erweiterungs-Agents nutzen (siehe http://technet.microsoft.com/de-de/ library/dd335067.aspx) und ihren eigenen Code hinzufügen, sodass beim Aufruf eines Cmdlets zusätzliche Aktionen durchgeführt erden. Beispielsweise können Sie eine Erweiterung für das Cmdlet New-Mailbox erstellen, sodass nach dem Anlegen eines neuen Postfachs automatisch eine Nachricht zu ihm gesandt wird.

157

Die ExchangeVerwaltungsshell

Hilfreicher Code für die Exchange-Verwaltungsshell

Kapitel 3

Die Exchange-Verwaltungsshell

PowerShell im ausführlichen Modus Normalerweise führt die Exchange-Verwaltungsshell alles aus, was Sie von ihr verlangen, ohne Ihnen einen Hinweis auf die Verarbeitung zu geben, die dabei im Hintergrund abläuft. Wenn Sie z.B. die Anweisung geben, ein neues Postfach zu erstellen, dann wird entweder das Postfach erstellt oder es tritt ein Fehler auf, der die Ausführung des Befehls abbricht. Wenn das Problem beim Benutzer liegt, z.B. ein Syntaxfehler oder der Versuch, etwas Sinnloses zu tun, z.B. ein Postfach in einer Datenbank zu erstellen, die es gar nicht gibt, dann können Sie es einfach beheben und einen erneuten Versuch wagen. Manchmal aber müssen Sie genau nachvollziehen, was die Exchange-Verwaltungsshell tut, um einem Problem auf die Spur zu kommen. Vielleicht brauchen Sie Informationen für den Microsoft-Support, damit die Mitarbeiter dort herausfinden können, was in Ihrer Exchange-Bereitstellung schiefläuft, vielleicht aber wollen Sie einfach nur genau wissen, was passiert, wenn Sie einen Befehl ausführen. In jedem Fall können Sie bei einem Befehl den Parameter -Verbose angeben, damit PowerShell Informationen darüber ausgibt, was genau bei der Verarbeitung geschieht. Abbildung 3.14 zeigt einen Teil der Ausgabe, wenn das Cmdlet New-MailboxDatabase eine neue Postfachdatenbank erstellt. Hieran können Sie ablesen, dass die Exchange-Verwaltungsshell den Kontext überprüft, in dem sie ausgeführt wird, einen globalen Katalogserver sucht, die Autorisierung über die rollenbasierte Zugriffssteuerung prüft und nachschaut, ob die Postfachdatenbank bereits existiert. Abbildg. 3.14

Ausführliche Ausgabe in PowerShell

Festlegen von Sprachwerten Es gibt viele Cmdlets in der Exchange-Verwaltungsshell, in der Sie übersetzte oder lokalisierte Werte für Zeichenketten verwenden können. Beispielsweise können Sie beim Erstellen von E-Mail-Infos Text für verschiedene Sprachen angeben. Das Gleiche gilt auch für Nachrichtenklassifizierungen, Aufbewahrungstags usw. Die Frage lautet jedoch, wie Exchange entscheidet, ob ein lokalisierter Wert angezeigt wird oder nicht. Im Allgemeinen gilt die im Folgenden geschilderte Vorgehensweise. Jedem Postfach sind ein oder mehrere Sprachwerte zugewiesen. Wie dies geschieht, erfahren Sie in Kapitel 6. Welche Sprachen einem Postfach zugeordnet sind, können Sie mit folgendem Befehl herausfinden: Get-Mailbox –Identity <mailbox> | Select Languages

158

Ausführungsrichtlinien

Die Sprachen, die das Postfach unterstützt (oder besser gesagt, die der Benutzer des Postfachs spricht), werden im Format des internationalen Codes für Sprachen angegeben. Dabei steht z.B. DE-DE für das in Deutschland gesprochene Deutsch, DE-AT für österreichisches und DE-CH für schweizerisches Deutsch. Der erste Schritt besteht darin, zu ermitteln, welche Sprachen dem Postfach zugeordnet sind. Anschließend sieht Exchange nach, ob es lokalisierte Werte in einer der betreffenden Sprachen gibt, und wenn dies der Fall ist, wird dem Client dieser lokalisierte Wert zur Verfügung gestellt. Zuerst wird nach einer genauen Übereinstimmung zwischen Sprache und Land (z.B. DE-AT) gesucht, und wenn das nicht zu einem Ergebnis führt, nach einer Übereinstimmung nur mit der Sprache (DE). Sind einem Postfach mehrere Sprachen zugeordnet (z.B. DE-DE und DE-CH), nimmt Exchange die erste Übereinstimmung in der Reihenfolge, in der die Sprachen aufgeführt sind. Gibt es keine Übereinstimmungen, wird der Standardwert verwendet, bei dem es sich gewöhnlich um die Sprache handelt, die zur Installation des Servers genommen wurde. Sowohl OWA als auch Outlook 2010 unterstützen lokalisierte Werte für Funktionen wie E-Mail-Infos. Bei älteren Versionen oder anderen Clients muss das nicht der Fall sein.

Ausführungsrichtlinien Die Exchange-Verwaltungsshell ist sehr leistungsfähig, und mit einigen wenigen Cmdlets haben Sie schon eine große Kontrolle über viele Objekte in Exchange. Das wirft die Frage auf, wie Sie die Möglichkeiten der Benutzer einschränken, diese Shellbefehle einzusetzen. Eine erste Schutzmaßnahme bietet die rollenbasierte Zugriffssteuerung. Wie Sie bereits wissen, haben die Benutzer nur Zugriff auf die Cmdlets und Parameter, die in ihrer jeweiligen Rolle verfügbar sind. Aber auch wenn Sie vertrauenswürdigen Benutzern die Rollen zuweisen, die sie für ihre Arbeit brauchen, möchten Sie nicht, dass sie aus dem Internet heruntergeladene oder aus anderen Quellen stammende Skripts ausführen. Zusätzlichen Schutz bieten Ausführungsrichtlinien, die die Bedingungen festlegen, unter denen PowerShell Dateien zur Ausführung lädt. Vier Richtlinie stehen zur Verfügung: Restricted, AllSigned, RemoteSigned und Unrestricted. Mit dem Cmdlet Set-ExecutionPolicy legen Sie fest, welche Richtlinie auf einem Server gilt. Der Standard ist RemoteSigned, was Sie mithilfe von Get-ExecutionPolicy überprüfen können. In diesem Modus erlaubt die Exchange-Verwaltungsshell die Ausführung aller lokal erstellten Skripts. Die Cmdlets in dem Skript müssen dabei natürlich dem Benutzer, der es aufruft, über seine Rolle zur Verfügung stehen. Tabelle 3.2 führt die möglichen Ausführungsrichtlinien und ihre Auswirkungen auf die Sicherheit auf. Wenn Sie versuchen, ein Skript auszuführen, das nicht den Richtlinien gehorcht, meldet PowerShell, dass das Skript nicht geladen werden kann. Um Skripts zu signieren, verwenden Sie das Cmdlet SetAuthenticodeSignature, aber dazu müssen Sie zunächst ein gültiges Zertifikat erwerben. Dieses Zertifikat können Sie selbst generieren oder von einem kommerziellen Anbieter wie VeriSign beziehen. Weitere Informationen darüber, wie Sie Zertifikate erstellen und auf Skripts anwenden, finden Sie unter http://technet.microsoft.com/de-de/library/bb125017.aspx.

159

Die ExchangeVerwaltungsshell

Welche Sprachen werden unterstützt?

Kapitel 3 Tabelle 3.2

Die Exchange-Verwaltungsshell

PowerShell-Ausführungsrichtlinien Ausführungsrichtlinie

Bedeutung

Restricted

Es können keine Skripts ausgeführt werden, nicht einmal solche, die von einem vertrauenswürdigen Herausgeber signiert sind.

AllSigned

Die Exchange-Verwaltungsshell führt alle Skripts aus, die von einem vertrauenswürdigen Herausgeber digital signiert sind.

RemoteSigned

Die Exchange-Verwaltungsshell führt alle lokal erstellen Skripts aus. Nicht signierte Skripts, deren Ursprung außerhalb des Systems liegt (die also z.B. aus dem Internet heruntergeladen wurden), können nicht ausgeführt werden.

Unrestricted

Die Exchange-Verwaltungsshell führt alle Skripts aus. Dieser Modus sollte nur für Testumgebungen verwendet werden.

VORSICHT Offensichtlich ist es ein katastrophaler Fehler, einen Exchange Server-Computer mit der Ausführungsrichtlinie Unrestricted zu betreiben. Sofern Sie keinen sehr guten Grund dafür haben, sollten Sie nicht von der Standardeinstellung abweichen. Um zu einer anderen Richtlinie zu wechseln, verwenden Sie in Exchange Server 2010 das Cmdlet Set-ExecutionPolicy: Set-ExecutionPolicy –ExecutionPolicy Unrestricted

Der Übergang zu einer anderen Richtlinie tritt unmittelbar in Kraft. Testen Sie alle Änderungen, die Sie vornehmen wollen, bevor Sie sie in der Produktion einführen, da dadurch möglicherweise Skripts funktionsunfähig werden können, auf die andere Anwendungen angewiesen sind. Die Ausführungsrichtlinien gelten jeweils für den Server, auf dem sie eingerichtet sind, allerdings wird diese Einstellung in der Systemregistrierung gespeichert, sodass es möglich ist, sie über eine Gruppenrichtlinie auf sämtliche Server der Organisation zu übertragen. Dazu müssen Sie eine Gruppenrichtlinie aufstellen, die den Wert von ExecutionPolicy auf den gewünschten Wert setzt. Den zuständigen Registrierungsschlüssel finden Sie unter: HKLM\Software\Microsoft\PowerShell\1\ShellIds\Microsoft\PowerShell

Da die Einstellung für die Ausführungsrichtlinie in der Systemregistrierung abgelegt wird, verweigert Windows jeden Versuch, den Wert zu ändern, wenn Ihr Konto nicht über das Recht zur Bearbeitung der Registrierung verfügt.

Test-Cmdlets In Exchange Server 2010 finden Sie eine Reihe von Test-Cmdlets, mit denen Sie verschiedene Aspekte des Systems auf ihre Funktionsfähigkeit überprüfen können. Eingeführt wurden diese Cmdlets schon in Exchange Server 2007, doch wurden sie aktualisiert, um auch die Neuerungen von Exchange Server 2010 zu berücksichtigen. Beispielsweise beschwert sich Test-SystemHealth nicht mehr, wenn die Umlaufprotokollierung aktiviert ist, da diese Funktion in Exchange Server 2010 ganz andere Auswirkungen hat, vor allem, wenn es von Datenbanken mehrere Kopien gibt. Diese Cmdlets müssen Sie nur dann ausführen, wenn Sie den Verdacht haben, dass ein Server nicht die erwartete Leistung zeigt, oder wenn es Hinweise auf Probleme gibt, z.B. Beschwerden der Benutzer über die lange Antwortzeiten bei der Verwendung eines Onlineclients. Einige dieser Cmdlets, z.B. Test-MailFlow, werden auch von Microsoft Systems Center Operations Manager bei der Überwachung von Exchange Server-Computern eingesetzt. Wie bei vielen anderen Cmdlets können Sie auch hier den Parameter -Verbose hinzufügen, um mehr Einzelheiten darüber zu sehen, was bei der Verarbeitung des Befehls geschieht. 160

Test-Cmdlets

Das Cmdlet Test-SystemHealth dient dazu, die Konfiguration eines Exchange Server-Computers zu überprüfen. In einem ersten Schritt sieht es auf der Website von Microsoft nach, ob es irgendwelche Aktualisierungen der Konfigurationsdaten und -einstellungen gibt, die berücksichtigt werden müssen. Anschließend untersucht der Befehl die Systemeinstellungen, um offensichtliche Fehler oder Abweichungen von dem zu fanden, was nach Meinung von Microsoft die geeigneten Einstellungen für einen Exchange Server-Computer in der Produktion sind. Zu einem großen Teil sind das die Einstellungen, die Exchange Best Practice Analyzer vorschlägt. Den Befehl, dessen Ausführung Sie in Abbildung 3.15 sehen, können Sie wie folgt interaktiv aufrufen: Test-SystemHealth Abbildg. 3.15

Ausführen von Test-SystemHealth

Standardmäßig werden die Anmeldeinformationen des Kontos, unter dem Sie den Befehl ausführen, auch zum Zugriff auf Exchange verwendet. Wenn Sie Anmeldeinformationen ausdrücklich angeben wollen, können Sie sie im Parameter -ExchangeCredentials übergeben. Außerdem ist es möglich, im Parameter ADCredentials ein anderes Active Directory-Konto für die Anmeldung am Server anzugeben. In beiden Fällen können Sie die erforderlichen Anmeldeinformationen mit Get-Credential abrufen. Wenn das Cmdlet Test-SystemHealth mögliche Probleme feststellt, macht es nähere Angaben dazu. Abbildung 3.15 zeigt die Ausgabe dieses Befehls auf einem Server mit mehreren Rollen, der auf VMware ausgeführt wird. Die angezeigten Probleme sind nicht besonders ernst, erfordern aber, dass sich ein Administrator darum kümmert, damit sie nicht dazu führen, dass die verschiedenen Serverfunktionen nicht mehr richtig funktionieren. Wenn Test-SystemHealth viele Probleme aufdeckt, kann es sehr umständlich sein, die Einzelheiten auf dem Bildschirm zu lesen. In einem solchen Fall können Sie jedoch auch wie folgt den Namen einer Ausgabedatei angeben: Test-SystemHealth –OutFileLocation 'C:\Temp\Test-SystemHealth.log'

Dabei werden eine Übersichtsdatei im Textformat mit Angaben über die durchgeführten Tests und eine XML-Datei mit sehr viel mehr Einzelheiten über die Überprüfungen und deren Ergebnisse erstellt. Anhand dieser Dateien können Sie Probleme im System aufspüren. Bis jetzt ist mir noch kein Grund dafür untergekommen, die Ausgabe zu unterdrücken, da die Supportmitarbeiter genau solche Daten benötigen, um Probleme zu lösen.

161

Die ExchangeVerwaltungsshell

Test-SystemHealth

Kapitel 3

Die Exchange-Verwaltungsshell

Test-ServiceHealth Das Cmdlet Test-ServiceHealth ermittelt, ob alle Windows-Dienste, von denen Exchange abhängig ist, verfügbar sind. Diese Überprüfung wird für jede auf dem Server installierte Rolle durchgeführt. Die Ausgabe sieht wie folgt aus: Test-ServiceHealth Role : Mailbox Server Role RequiredServicesRunning : True ServicesRunning : {IISAdmin, MSExchangeADTopology, MSExchangeIS, MSExchangeMailboxAssistants, MSExchangeMailSubmission, MSExchangeRepl, MSExchangeRPC, MSExchangeSA, MSExchangeSearch, MSExchangeServiceHost, MSExchangeThrottling, MSExchangeTransportLogSearch, W3Svc, WinRM} ServicesNotRunning : {} Role : Client Access Server Role RequiredServicesRunning : True ServicesRunning : {IISAdmin, MSExchangeAB, MSExchangeADTopology, MSExchangeFBA, MSExchangeFDS, MSExchangeMailboxReplication, MSExchangeProtectedServiceHost, MSExchangeRPC, MSExchangeServiceHost, W3Svc, WinRM} ServicesNotRunning : {} Role : Hub Transport Server Role RequiredServicesRunning : True ServicesRunning : {IISAdmin, MSExchangeADTopology, MSExchangeEdgeSync, MSExchangeServiceHost, MSExchangeTransport, MSExchangeTransportLogSearch, W3Svc, WinRM} ServicesNotRunning : {}

Test-MAPIConnectivity Das Cmdlet Test-MAPIConnectivity überprüft, ob MAPI-Clients (Messaging Application Programming Interface) Kontakt mit einer Datenbank aufnehmen können. Dazu meldet es sich an einem Postfach in der Datenbank an und versucht, eine Liste der Elemente im Posteingang abzurufen. Ist kein Postfach angegeben, verwendet das Cmdlet das Systempostfach in der Zieldatenbank. Der folgende Befehl stellt einen Kontakt zu meinem Postfach her. In der Ausgabe wird die Wartezeit (oder Latenz, daher Latency) in »Ticks« angegeben. In diesem Fall betrug sie elf Millisekunden. Wenn ein Verbindungsversuch nicht innerhalb von zehn Sekunden zu einer Antwort führt, bricht Exchange ihn ab. Bei Bedarf können Sie dieses Zeitlimit ändern, aber wenn nach zehn Sekunden noch keine Antwort eintrifft, ist das ein sicheres Zeichen dafür, dass ein Server unter einer enormen Belastung steht. Test-MAPIConnectivity –Identity '[email protected]' RunspaceId Server Database Mailbox Result Latency

162

: : : : : :

8795186d-ef1e-4f19-a4aa-f8d8d9967e9f London-EX1 VIP Data Redmond, Tony Success 00:00:00.0114335

Error Identity IsValid

: : : True

Wenn Sie den Parameter -MonitoringContext hinzufügen und auf $True setzen, erhalten Sie auch Informationen über einschlägige Systemereignisse und Leistungsindikatoren des Systemmonitors, die sonst nicht angezeigt werden. Administratoren können Test-MAPIConnectivity einsetzen, um zu überprüfen, ob ein Server ordnungsgemäß funktioniert und innerhalb annehmbarer Zeiträume auf Benutzeranforderungen reagiert. Mit dem folgenden Onlineskript können Sie die Erreichbarkeit aller Datenbanken auf einem Server testen und sich die Wartezeit auf die Verbindung in Millisekunden anzeigen lassen. Test-MAPIConnectivity –Server 'ExServer1' | % {Write-Host "Database:" $_.Server "\" $_.Database "Result:" $_.Result "Milliseconds:" $_.Latency.Milliseconds $_.Error}

Test-ReplicationHealth Das Cmdlet Test-ReplicationHealth wurde in Exchange Server 2007 SP1 eingeführt, um das korrekte Funktionieren der fortlaufenden Clusterreplikation und der fortlaufenden Standbyreplikation zu prüfen. In Exchange Server 2010 wurde dieser Befehl erweitert, sodass Sie mit ihm jetzt sämtliche Gesichtspunkte der Protokollreplikation innerhalb einer Datenbankverfügbarkeitsgruppe testen können. Wenn Sie den Befehl ausführen, geben Sie einen Postfachserver an, der Mitglied einer Datenbankverfügbarkeitsgruppe ist: Test-ReplicationHealth –id ExServer1 Server -------ExServer1 ExServer1 ExServer1 ExServer1 ExServer1 ExServer1 ExServer1 ExServer1 ExServer1 ExServer1 ExServer1 ExServer1 ExServer1 ExServer1 ExServer1

Check -------ClusterService ReplayService ActiveManager TasksRpcListener TcpListener DagMembersUp ClusterNetwork QuorumGroup FileShareQuorum DBCopySuspended DBCopyFailed DBInitializing DBDisconnected DBLogCopyKeepingUp DBLogReplayKeepingUp

Result -------Passed Passed Passed Passed Passed Passed Passed Passed Passed Passed Passed Passed Passed Passed Passed

Error -------

163

Die ExchangeVerwaltungsshell

Test-Cmdlets

Kapitel 3

Die Exchange-Verwaltungsshell

Test-ExchangeSearch Das Cmdlet Test-ExchangeSearch überprüft, ob die Inhaltsindizierung und die Suche ordnungsgemäß funktionieren. Bei diesem Test können Sie die Postfachdatenbank oder das Postfach angeben, das Sie überprüfen möchten. Exchange erstellt einige einfache Elemente in der Zieldatenbank, schaut nach, ob sie indiziert wurden, und räumt dann wieder auf, indem es die Testdaten entfernt. Elemente wie PDFs oder andere Sonderformate, die zur Indizierung einen IFilter benötigen, werden nicht überprüft. Um die Suchfunktion in einer Postfachdatenbank zu überprüfen, verwenden Sie den Befehl wie folgt, wobei als Zielpostfach das Systempostfach in der betreffenden Datenbank genommen wird: Test-ExchangeSearch –MailboxDatabase 'VIP Data'

Der Test eines bestimmten Postfachs läuft wie folgt ab: Test-ExchangeSearch –Identity '[email protected]' Database ----------DB2

Server ------ExServer2

Mailbox --------DSimpson

ResultFound ------------True

SearchTime -----------2

Error -------

Test-OWAConnectivity Das Cmdlet Test-OWAConnectivity prüft, ob Zugriff auf die Anwendung OWA besteht. Diesen Test können Sie allgemein für einen Clientzugriffsserver durchführen oder für einen bestimmten URL. Um zu überprüfen, ob für alle von OWA auf einem Clientzugriffsserver verwendeten virtuellen Verzeichnisse eine Verbindung möglich ist, gehen Sie folgendermaßen vor: Test-OWAConnectivity –ClientAccessServer ExServer4 ClientAccessServer MailboxServer URL Scenario Result Latency (ms) Error ------------------ ------------- ----------- ------- ----------ExServer4.contoso. ExServer4. https://ExServer4. Logon Success 112.66

Um dagegen zu prüfen, ob für einen bestimmten URL Verbindung besteht (gewöhnlich für den URL, der für den Zugriff auf OWA verwendet wird), ändern wir den Befehl wie folgt ab. Wir übergeben die Anmeldeinformationen des Benutzerpostfachs, das für den Test verwendet werden soll. Dieses Postfach muss sich auf einem Postfachserver im selben Active Directory-Standort befinden wie der Clientzugriffsserver. Außerdem geben wir an, dass bei diesem Test alle SSL-Zertifikate ohne nähere Untersuchung akzeptiert werden sollen. Das kann notwendig sein, wenn Sie die OWA-Verbindung überprüfen, nachdem Sie einen neuen Clientzugriffsserver eingerichtet haben. Wenn Sie später die erforderlichen Zertifikate installiert haben, können Sie deren korrektes Funktionieren überprüfen, indem Sie auf den Parameter -TrustAnySSLCertificate verzichten. Test-OWAConnectivity –URL https://ExServer2.contoso.com/owa -MailboxCredential (Get-Credential contoso\TRedmond) -TrustAnySSLCertificate

164

Test-Cmdlets

Das Cmdlet Test-ECPConnectivity ist neu in Exchange Server 2010. Es prüft, ob über einen angegebenen Clientzugriffsserver eine Verbindung zur Exchange-Systemsteuerung (Exchange Control Panel, ECP) möglich ist. Dabei erfolgen eine Testanmeldung am Systempostfach und anschließend ein Aufruf des Exchange-Webdienstes, um sicherzustellen, dass die Exchange-Systemsteuerung korrekt funktioniert. Das Ergebnis wird als Erfolg oder Fehler gemeldet, wobei zusätzlich die Wartezeit des Aufrufs angegeben wird. Eine lange Wartezeit, wie Sie im folgenden Beispiel angezeigt wird, ist immer ein Anlass zur Sorge, es sei denn, es handelt sich um den ersten Versuch, nach dem Starten des Servers auf die Exchange-Systemsteuerung zuzugreifen. In diesem Fall kann es sein, dass die Anwendung erst innerhalb der Internetinformationsdienste »warmlaufen« muss. Führen Sie den Test dann mehrmals durch und sehen Sie nach, ob sich die Wartezeit beim Zugriff auf die Exchange-Systemsteuerung verkürzt. Wenn nicht, müssen Sie nachforschen, ob der Server und die Anwendung normal funktionieren, indem Sie sich als Benutzer an der Exchange-Systemsteuerung anmelden. Test-ECPConnectivity –Identity ExServer1 CasServer --------ExServer1 ExServer1

LocalSite ---------Dublin Dublin

Scenario ---------Logon WebServiceCall

Result -------Success Success

Latency(MS) ----------237.70 0.00

Error -----

Test-MRSHealth Das Cmdlet Test-MRSHealth wurde in Exchange Server 2010 neu eingeführt und überprüft, ob der Postfachreplikationsdienst (Mailbox Replication Service, MRS) auf einem Clientzugriffsserver korrekt funktioniert. Getestet werden drei Aspekte, nämlich ob der Dienst überhaupt läuft, ob er auf einen RPC-Ping reagiert und ob er nach Verschiebeanforderungen in Warteschlangen Ausschau hält. In dem folgenden Beispiel prüfen wir, ob der Postfachreplikationsdienst auf dem Server ExServer2 läuft. Die Ergebnisse zeigen, dass alles in Ordnung ist. Test-MRSHealth –Identity ExServer2 Check : ServiceCheck Passed : True Message : Der Postfachreplikationsdienst wird ausgeführt. Identity : ExServer2 IsValid : True Check : RPCPingCheck Passed : True Message : Der Postfachreplikationsdienst reagiert auf RPC-Ping. Serverversion: 14.0.682.0 caps:01. Identity : ExServer2 IsValid : True

165

Die ExchangeVerwaltungsshell

Test-ECPConnectivity

Kapitel 3

Die Exchange-Verwaltungsshell

Check : QueueScanCheck Passed : True Message : Der Postfachreplikationsdienst untersucht MDB-Warteschlangen auf Aufträge. Alter des letzten Suchvorgangs: 00:08:49.1792211. Identity : ExServer2 IsValid : True

Testen der POP3- und IMAP4-Anbindung Die Cmdlets Test-POP3Connectivity und Test-IMAP4Connectivity überprüfen, ob die Dienste für POP3 und IMAP4 normal ausgeführt werden und ob ein Postfach Nachrichten erstellen und über diese Protokolle senden kann. Der grundlegende Befehl, um mit den Anmeldeinformationen eines Benutzerkontos eine Überprüfung auf einem bestimmten Clientzugriffsserver durchzuführen, lautet folgendermaßen: Test-IMAP4Connectivity –ClientAccessServer ExServer1 –MailboxCredential (Get-Credential Contoso\TRedmond) CasServer --------ExServer1

LocalSite ---------Dublin

Scenario ----------Test IMAP4 C...

Result -------Success

Latency(MS) ----------385.62

Error -------

Um zu überprüfen, ob auch für POP3-Verbindungen alles in Ordnung ist, verwenden Sie TestPOP3Connectivity mit der identischen Syntax.

Testen der E-Mail-Übermittlung Das Cmdlet Test-MailFlow prüft, ob das Absenden, der Transport und die Zustellung von E-Mails reibungslos funktionieren. Bei diesem Test können Sie vom System erstellte Nachrichten von einem Postfachserver an einen anderen, an eine bestimmte Postfachdatenbank oder an eine Remoteadresse senden lassen. Die Testnachrichten enthalten die Anforderung einer Übermittlungsbestätigung, sodass Exchange eine Möglichkeit hat, um die komplette Zustellzeit zu bestimmen. Bei einem erfolgreichen Test wird in der Ausgabe die Gesamtdauer der gesamten Operation in Sekunden angegeben. Um ganz allgemein die Zustellung von Nachrichten von einem Postfachserver zu überprüfen, melden Sie sich an dem Server an und geben einfach Test-MailfFlow ein. Exchange nimmt dann Verbindung mit dem Systempostfach in den Datenbanken auf dem Server auf und versucht darüber Nachrichten zu senden. Eine bessere Methode besteht darin, Exchange die verfügbaren Postfachserver finden und als Ziele für den Test verwenden zu lassen. Dazu gehen Sie folgendermaßen vor: Test-MailFlow –AutoDiscoverTargetMailboxServer TestMailflowResult MessageLatencyTime IsRemoteTest

166

: Success : 00:00:02.4773026 : True

Test-Cmdlets

Wenn Sie Probleme mit einem bestimmten Server haben, können Sie ihn als Zielserver angeben:

Bei diesem Test können Sie auch noch präziser vorgehen und überprüfen, ob die E-Mail-Übermittlung und -Zustellung in einer bestimmten Postfachdatenbank richtig funktionieren: Test-MailFlow –TargetDatabase 'VIP Mailboxes'

Bei den bis jetzt vorgestellten Befehlen gingen Testnachrichten nur zwischen den Systempostfächern in den überprüften Datenbanken hin und her. Sie können jedoch auch die E-Mail-Zustellung zu einer Remoteadresse prüfen. Geben Sie dazu in Exchange eine SMTP-Adresse an, an die dann eine Testnachricht wie die in Abbildung 3.16 gesendet wird. Test-MailFlow –TargetEmailAddress '[email protected]' Abbildg. 3.16

Eine vom Cmdlet Test-MailFlow gesendete Testnachricht

Es kann vorkommen, dass Exchange Tests in Remotedomänen als Fehlschlag meldet, wenn die erfolgreiche Zustellung der Nachricht nicht bestätigt werden kann. Das wiederum kann daran liegen, dass der Remoteserver zu lange braucht, um eine Übermittlungsbestätigung zu senden, oder dass das externe E-Mail-Sytem solche Bestätigungen überhaupt nicht liefert. Wenn Sie dagegen eine lokale SMTP-Adresse als Zielpostfach angeben, werden Sie höchstwahrscheinlich eine Erfolgsmeldung bekommen, da die gesamte Verarbeitung innerhalb derselben Exchange-Organisation stattfindet. Sollte der Test innerhalb der Organisation fehlschlagen, ist das ein Zeichen dafür, dass in Ihrem Transportsystem ein sehr ernstes Problem vorliegt. Die Einstellung, die festlegt, bei welcher Wartezeit ein Test als »Erfolg« und bei welcher als »Fehlschlag« gewertet wird, können Sie im Parameter -ErrorLatency ändern. Für lokale Tests beträgt die Standardeinstellung 15 Sekunden, für Remotetests 180. Wichtig ist auch der Parameter -ExecutionTimeOut, der angibt, wie lange Exchange insgesamt wartet, bevor der Test abgebrochen wird. Die Standardeinstellung beträgt 240 Sekunden, aber es ist möglich, dass ein Remoteserver länger braucht, um zu antworten.

167

Die ExchangeVerwaltungsshell

Test-Mailflow –TargetMailboxServer 'ExServer1'

Kapitel 3

Die Exchange-Verwaltungsshell

Welche Einschränkungsmöglichkeiten haben wir? Wenn Sie sich nicht daran stören, in einer Befehlszeilenumgebung zu arbeiten, ist die Exchange-Verwaltungsshell ein hervorragendes Werkzeug, um Verwaltungsaufgaben in Exchange zu erledigen. Falls es keine Möglichkeiten gäbe, diesen Zugriff zu beschränken, könnte jemand in der Exchange-Verwaltungsshell gewaltigen Schaden an der Exchange-Organisation ausrichten, indem er beispielsweise mit einer einzigen Codezeile sämtliche Postfächer in einer Datenbank entfernt. Offensichtlich dürfen nur die Personen, die die Organisation in ihrem gesamten Umfang bearbeiten müssen, in der Lage sein, solche drastischen Maßnahmen durchzuführen. Traditionell werden solche Einschränkungen über Berechtigungen und Rechte gesteuert. Exchange Server 2010 verfolgt jedoch einen anderen Ansatz, nämlich die rollenbasierte Zugriffssteuerung. Alle Administratoren müssen solide Grundkenntnisse darin mitbringen, und das ist auch der Punkt, um den wir uns als Nächstes kümmern werden.

168

Rollenbasierte Zugriffssteuerung

Kapitel 4

Rollenbasierte Zugriffssteuerung

In diesem Kapitel: Grundlagen der rollenbasierten Zugriffssteuerung

171

Rollen

174

Bereiche

177

Rollengruppen

179

Rollenzuweisung

182

Zuweisungsrichtlinien

189

Verbesserungen bei der rollenbasierten Zugriffssteuerung in Service Pack 1

191

Rollen in der Exchange-Systemsteuerung

200

Zurechtfinden in der rollenbasierten Zugriffssteuerung

200

Andere Verwaltungswerkzeuge

201

169

Kapitel 4

Rollenbasierte Zugriffssteuerung

Vom technischen Standpunkt aus gesehen ist die Einführung von Datenbankverfügbarkeitsgruppen die bemerkenswerteste Neuerung in Exchange Server 2010, doch die am weitesten reichenden Auswirkungen auf alle Teile des Produkts hat das neue Berechtigungsmodell auf der Grundlage der rollenbasierten Zugriffssteuerung. Von allen neuen Elementen ist es daher gerade diese neue Form der Zugriffssteuerung, die Administratoren unbedingt beherrschen müssen. Im Großen und Ganzen geht es bei der rollenbasierten Zugriffssteuerung darum, den Zugriff auf Systeme und Daten so zu beschränken, dass Administratoren und Benutzer jeweils nur die Möglichkeiten haben, die sie zur Erledigung ihrer Aufgaben brauchen. Mit anderen Worten, sie bekommen nur Zugriff auf die Informationen, die sie wirklich benötigen, und nicht auf einen Haufen Daten, die sie nichts angehen. Die rollenbasierte Zugriffssteuerung ist kein neues Prinzip, und sie wurde auch schon in anderen Betriebssystemen und Anwendungen wie HP-UX, Linux, Oracle, SAP R/3 usw. implementiert. In früheren Versionen von Exchange wurden Windows-Zugriffsssteuerungslisten (Access Control Lists, ACLs) herangezogen, um den Benutzern und Administratoren die erforderlichen Berechtigungen für ihre Aufgaben zu gewähren. Zugriffssteuerungslisten sind eine wirkungsvolle Möglichkeit, um Berechtigungen in gut strukturierten Umgebungen zu verwalten, die sich nicht so leicht ändern. Windows selbst und viele der Anwendungen, die unter diesem Betriebssystem ausgeführt werden, fallen in diese Kategorie. Exchange ist jedoch viel dynamischer und umfasst in sehr großen Bereitstellungen Hunderttausende von Objekten. In einer solchen dynamischen Umgebung mit so vielen Objekten die Zugriffssteuerungslisten immer auf dem neuesten Stand zu halten, ist eine echte Herausforderung. Die Erfahrung in der Praxis hat gezeigt, dass Änderungen an Zugriffssteuerungslisten häufig falsch vorgenommen werden, dass die Listen selbst schwer verständlich und daher auch schwer zu korrigieren sind, wenn etwas schiefgeht. Außerdem kann es bei Softwareaktualisierungen und Patches zu Störungen kommen. Ein weiteres Problem besteht darin, dass sich das herkömmliche Modell, in dem Berechtigungen für Objekte erstellt, aktualisiert und festgelegt werden, häufig nicht so gut in die aufgabenorientierte Umgebung einer Anwendung wie Exchange übertragen lässt. Dort muss sich das Berechtigungsmodell auch für Situationen eignen, in denen z.B. das Supportpersonal das Kennwort eines Benutzers zurücksetzen können muss, ohne aber gleichzeitig in der Lage zu sein, andere Einstellungen des Benutzerkontos zu ändern. Die rollenbasierte Zugriffssteuerung bietet präzise Steuerungsmöglichkeiten, wie sie für solche Situationen erforderlich sind. Es kann zwar durchaus sein, dass Probleme auftreten, wenn sich Administratoren in die rollenbasierte Zugriffssteuerung einarbeiten und von dem früheren Berechtigungsmodell zum neuen wechseln, doch bei Microsoft ist man der Ansicht, dass die Einführung des neuen Modells in Exchange auf lange Sicht die Verwaltung vereinfacht. Außerdem sollte die rollenbasierte Zugriffssteuerung die Arbeit für Administratoren enorm erleichtert, da sie nicht mehr täglich mit Zugriffssteuerungslisten hantieren müssen. Stattdessen weisen Administratoren den Benutzern die Fähigkeiten, die sie zur Erfüllung ihrer Aufgaben benötigen, dadurch zu, dass sie die Benutzer zu Rollengruppen hinzufügen. Die erforderliche Pflege der Zugriffssteuerungslisten erledigt die rollenbasierte Zugriffssteuerung im Hintergrund. Den Einfluss, den die rollenbasierte Zugriffssteuerung auf alle Teile von Exchange Server 2010 ausübt, kann man unmöglich übersehen. Es bedarf eines 300-Seiten-Buches, um alle Aspekte dieses neuen Modells ausführlich zu beschreiben. In diesem Kapitel versuche ich daher gar nicht erst, das Thema umfassend zu behandeln, sondern stelle die Grundlagen vor, sodass Sie mit der Arbeit beginnen können. Darüber hinaus ermuntere ich Sie dazu, nachzuforschen, wie Sie die rollenbasierte Zugriffssteuerung am besten einsetzen können, um sich die Verwaltung Ihrer Organisation zu erleichtern.

170

Grundlagen der rollenbasierten Zugriffssteuerung In Erklärungen von Microsoft über die rollenbasierte Zugriffssteuerung in Exchange Server 2010 wird häufig ein Dreieck gezeigt, um die Beziehungen zwischen Rollen, Rollengruppen, Bereichen und Zuweisungen darzustellen (siehe Abbildung 4.1). Abbildg. 4.1

Das Dreieck der rollenbasierten Zugriffssteuerung

Bereich (die Objekte, die eine Rolle bearbeiten kann)

Rollenzuweisung (die Verbindung zwischen allen anderen Komponenten)

Rolle (was getan werden kann)

Rollengruppe (wer etwas tun kann)

Die Hauptelemente der in Exchange Server 2010 implementierten rollenbasierten Zugriffssteuerung sind: 쐍 Verwaltungsrolle Eine Zusammenstellung von Rolleneinträgen, die bestimmen, welche Cmdlets und Parameter ein Benutzer ausführen darf. 쐍 Verwaltungsrollengruppe Ein Behälter für mehrere Verwaltungsrollen, die zusammengenommen einem Benutzer erlauben, eine Rolle auszuüben, z.B. die Empfängerverwaltung. Exchange Server 2010 enthält einen Standardsatz von Verwaltungsrollengruppen, doch können Sie auch eigene Gruppen für Situationen definieren, die durch die Standardgruppen nicht abgedeckt werden. 쐍 Verwaltungsrollenzuweisung Die Möglichkeit, eine Verwaltungsrolle einem einzelnen Benutzer oder den Mitgliedern einer Rollengruppe (universelle Sicherheitsgruppe) zuzuweisen. 쐍 Verwaltungsrollen-Zuweisungsrichtlinien Verwaltungsrollengruppen sind vor allem dazu gedacht, Administratoren die Gelegenheit zu geben, Aufgaben wie die Empfängerverwaltung durchzuführen. Die Möglichkeiten der Benutzer, mit persönlichen Daten umzugehen, wird durch Rollenzuweisungsrichtlinien gesteuert. Im Lieferzustand bringt Exchange Server 2010 eine Standardrollenzuweisungsrichtlinie mit, die festlegt, wie Benutzer die Informationen in ihren Profilen (Telefonnummern, Anzeigename usw.) und die Mitgliedschaft in Verteilergruppen ändern können. Wenn ein Postfach erstellt oder auf Exchange Server 2010 verschoben wird, so wird den Benutzern automatisch die Standardrollenzuweisungsrichtlinie zugewiesen, sofern nicht ausdrücklich eine andere Richtlinie in Kraft gesetzt wird. Für ein Postfach kann immer nur eine Zuweisungsrichtlinie auf einmal gelten. 171

Rollenbasierte Zugriffssteuerung

Grundlagen der rollenbasierten Zugriffssteuerung

Kapitel 4

Rollenbasierte Zugriffssteuerung

쐍 Verwaltungsrollenbereich Die Menge der Objekte, mit der eine Verwaltungsrolle arbeiten kann. Eine Rolle wie Organization Management hat als Bereich die komplette Organisation, da ein Benutzer mit dieser Rolle sämtliche Objekte in der gesamten Organisation bearbeiten können muss. Andere Rollen dagegen sind auch einen kleineren Bereich wie z.B. eine Organisationseinheit in Active Directory beschränkt, um eine Feinsteuerung der Verwaltungsmöglichkeiten zu erlauben, z.B. die Einschränkung auf die Postfächer einer bestimmten Region. 쐍 Verwaltungsrolleneinträge Die Einträge gewähren den Zugriff auf bestimmte Cmdlets, um einen Benutzer in die Lage zu versetzen, genau umrissene Aufgaben zu erledigen. Beispielsweise erlaubt der Zugriff auf das Cmdlet New-Mailbox einem Benutzer, neue Postfächer zu erstellen. Es ist auch möglich, Rolleneinträge auf bestimmte Parameter eines Cmdlets zu beschränken. Eine andere Möglichkeit, um sich eine Vorstellung von der rollenbasierten Zugriffssteuerung zu verschaffen, besteht darin, sie aus dem Blickwinkel der Aufgaben zu betrachten, die ein Administrator oder Endbenutzer in Exchange erfüllen muss. Um die Rechte zuzuweisen, die diese beiden Personengruppen für ihre Arbeit benötigen, werden bei der rollenbasierten Zugriffssteuerung folgende zwei Methoden angewendet: 쐍 Administratoren und andere besondere Benutzer, die betriebliche Aufgaben an Exchange ServerComputern durchführen müssen, erhalten die dazu erforderlichen Rechte über die Mitgliedschaft in den passenden Rollengruppen, wobei jede Rollengruppe aus einer Anzahl von Rollen besteht. Um einem Administrator die Berechtigung für irgendeine Tätigkeit zu gewähren, müssen Sie ihm einfach nur die passende Verwaltungsrolle zuweisen, indem Sie ihn in die entsprechende Rollengruppe aufnehmen. HINWEIS Die Rollengruppe Organization Management hat die umfassendsten Berechtigungen, da darin praktisch alle anderen in Exchange verfügbaren Rollen enthalten sind (mit wenigen Ausnahmen). 쐍 Benutzer müssen nicht in Rollengruppen aufgenommen werden, um mit Exchange umgehen zu können, da der Zugriff auf ihre Daten (Postfächer und Postfacheinstellungen) über die Standardrollenzuweisungsrichtlinie gesteuert wird. Das ist ein langer und komplizierter Name für »Standardeinstellungen«. Bevor wir uns im Einzelnen ansehen, was Rollen, Zueisungen und Richtlinien bedeuten, gebe ich Ihnen in Tabelle 4.1 eine Grundlage für das Folgende. In dieser Tabelle sind verschiedene Aufgaben, die unterschiedliche Mitarbeiter in einer Exchange-Organisation erledigen müssen, zusammen mit der Rollengruppe aufgeführt, die den Zugriff auf die jeweils erforderlichen Berechtigungen gewährt. Tabelle 4.1

172

Erforderliche Rollengruppen für verschiedene Aufgaben Aufgabe

Erforderliche Rollengruppe

Bemerkungen

Ich möchte der allmächtige Manager der gesamten Exchange-Organisation sein.

Organization Management

Manche Rollen müssen ausdrücklich delegiert werden, bevor selbst Mitglieder der Gruppe Organization Management eine Aufgabe ausführen können. Da beste Beispiel dafür ist die Rolle Mailbox ImportExport, die ausdrücklich einem Konto zugeordnet werden muss, damit der betreffende Benutzer Zugriff auf die Cmdlets für den Import und Export von Postfächern bekommt.

Grundlagen der rollenbasierten Zugriffssteuerung

Erforderliche Rollengruppen für verschiedene Aufgaben (Fortsetzung) Aufgabe

Erforderliche Rollengruppe

Bemerkungen

Ich möchte alle Objekte in der Exchange-Situation einsehen können, muss aber nichts bearbeiten.

View-Only Organization Management

Inhaber dieser Rolle können Einzelheiten über Konfigurationsobjekte (Server, Connectors usw.) und Empfänger in der gesamten Organisation einsehen.

Ich möchte Postfächer und Verteilergruppen bearbeiten.

Recipient Management

Mitglieder dieser Rollengruppe können jegliche E-Mail-aktivierten Objekte (außer öffentliche Ordner) erstellen, bearbeiten und löschen.

Ich möchte den Benutzern helfen, die Einstellungen ihrer Postfächer zu pflegen.

Help Desk

Die Rollengruppe Help Desk enthält die Rollen User Options und View-Only Recipients. In einigen Unternehmen kann diese Zusammenstellung die Effektivität des Supportpersonals einschränken, weshalb die Möglichkeit besteht, Rollengruppen zu bearbeiten und ihnen weitere Rollen hinzuzufügen, um die Möglichkeiten der Gruppenmitglieder zu erweitern.

Ich möchte die Konfigurationseinstellungen des Exchange Server-Computers verwalten.

Server Management

Mitglieder dieser Rollengruppe sind nicht in der Lage, auch Empfängerobjekte zu verwalten, es sei denn, sie sind gleichzeitig Mitglieder der Rollengruppe Recipient Management. Es ist möglich, Änderungen vorzunehmen und die Verwaltungsmöglichkeiten der Mitglieder dieser Rollengruppe auf einzelne Server oder Datenbanken zu beschränken.

Ich möchte Discoverysuchen durchführen und Beweissicherung durchführen können.

Discovery Management

Diese Rollengruppe erlaubt den Mitgliedern auch die Verwaltung der Vorgänge, mit denen Postfächer aus rechtlichen Gründen eingefroren werden.

Ich muss öffentliche Ordner verwalten können.

Public Folder Management

Mitglieder dieser Gruppe können die Verwaltungskonsole für öffentliche Ordner verwenden (die über die Toolbox der Exchange-Verwaltungskonsole zugänglich ist), um öffentliche Ordner zu verwalten.

Ich muss verschiedene Aspekte der Aufbewahrung von Daten in der Organisation verwalten können.

Records Management

Diese Rollengruppe erlaubt ihren Mitgliedern, die Administratorüberwachung, die Nachrichtenverfolgung, Journale, Aufbewahrungsrichtlinien und -tags, Nachrichtenklassifikationen und Transportregeln zu verwalten.

Ich muss die Unified-Messaging-Server verwalten und Objekte wie Wählpläne erstellen können.

UM Management

Diese Rollengruppe erlaubt Administratoren, die Anwendung Exchange Unified Messaging zu verwalten (falls sie in der Organisation bereitgestellt ist).

Nachdem Sie nun eine gewisse Vorstellung davon haben, wie sich die rollenbasierte Zugriffssteuerung auf die Arbeit von Administratoren auswirkt, und Sie die formalen Definitionen der verschiedenen Begriffe kennen, mit denen wir es zu tun bekommen, sehen wir uns an, was diese verschiedenen Elemente in der Praxis bedeuten.

173

Rollenbasierte Zugriffssteuerung

Tabelle 4.1

Kapitel 4

Rollenbasierte Zugriffssteuerung

Rollen Exchange Server 2010 SP1 enthält 69 integrierte Rollen für den Großteil der Aufgaben, die Administratoren und Benutzer in Exchange-Organisationen durchführen müssen. Die meisten davon sind für administrative Aufgaben da, z.B. für die Pflege von Adresslisten und die Verwaltung öffentlicher Ordner, doch gibt es auch einige wenige Rollen (die alle mit My beginnen), mit denen Benutzern Rechte zur Verwaltung ihrer Postfacheinstellungen und anderer Optionen eingeräumt werden. Um sich eine vollständige Liste der Rollen anzeigen zu lassen, verwenden Sie folgenden Befehl: Get-ManagementRole

Im Grunde genommen besteht eine Rolle aus den Cmdlets und Parametern, die Exchange den Inhabern der Rolle zu verwenden erlaubt. Beispielsweise umfasst die Rolle Message Tracking sechs Cmdlets, die Sie brauchen, um Nachrichtenverfolgungsprotokolle durchsuchen zu können. Das können Sie sich wie folgt anzeigen lassen: Get-ManagementRoleEntry 'Message Tracking\*' Name ------Set-ADServerSettings

Role ----Message Tracking

Get-Recipient

Message Tracking

New-OrganizationRelationship

Message Tracking

Write-AdminAuditLog

Message Tracking

Get-MessageTrackingReport

Message Tracking

Get-Mailbox

Message Tracking

Search-MessageTrackingReport Set-OrganizationRelationship Get-MessageTrackingLog

Message Tracking Message Tracking Message Tracking

Get-ExchangeServer

Message Tracking

Get-DomainController

Message Tracking

Parameters --------------{ConfigurationDomainController, Confirm, Debug,. {Anr, BookmarkDisplayName, Credential, Debug, {DeliveryReportEnabled, DomainNames, Name} {Comment, Confirm, Debug, DomainController, {BypassDelegateChecking, Debug, DetailLevel, {Anr, Arbitration, Archive, Credential, Database, {BypassDelegateChecking, Confirm, Debug, {DeliveryReportEnabled, Identity} {Debug, DomainController, End, ErrorAction, {Debug, Domain, DomainController, ErrorAction, {Credential, Debug, DomainName, ErrorAction,

Die Erläuterungen über die Beziehung zwischen der Exchange-Verwaltungsshell und der rollenbasierten Zugriffssteuerung in Kapitel 3, »Die Exchange-Verwaltungsshell«, sollten deutlich gemacht haben, wie Cmdlets für Benutzer zugänglich gemacht und während der Initialisierung in die Verwaltungsshell geladen werden. Wenn ein Benutzer durch die Mitgliedschaft in einer Rollengruppe z.B. die Rolle Message Tracking innehat, lädt die Shell die zugehörigen elf Cmdlets und die verfügbaren Parameter, damit sie in der Sitzung zur Verfügung stehen (bei Exchange Server 2010 ohne SP1 sehen Sie nur sechs Cmdlets).

174

Die Bezeichnungen der Rolleneinträge bestehen aus dem Namen der Rollengruppe und des Cmdlets. Wenn Sie wie im vorstehenden Beispiel in dem Befehl Get-ManagementRoleEntry ein Sternchen als Jokerzeichen verwenden, weisen Sie Exchange an, alle Cmdlets auszugeben, die der Rollengruppe zugewiesen sind. Um Informationen über ein bestimmtes Cmdlet zu erhalten, z.B. die zulässigen Parameter, müssen Sie den Namen des Cmdlets angeben: Get-ManagementRoleEntry 'Move Mailboxes\Get-Recipient' | Format-List

Mit Get-ManagementRole können Sie ermitteln, welchen Rollen ein bestimmtes Cmdlet zugewiesen ist. Um beispielsweise alle Rollen aufzulisten, die mit Set-Mailbox Postfacheinstellungen ändern können, geben Sie Folgendes ein: Get-ManagementRole -cmdlet 'Set-Mailbox'

Begrenzen des Zugriffs durch Rollenzuweisungsrichtlinien Mit Rollenzuweisungen beschränken Sie den Zugriff präzise bis auf einzelne Parameter eines Cmdlets. Damit können Benutzer daran gehindert werden, bestimmte Datenelemente zu ändern. Beispielsweise erlaubt die standardmäßige Rollenzuweisungsrichtlinie den Benutzern, über die Exchange-Systemsteuerung ihre Kontaktinformationen zu ändern, aber nicht ihren Anzeigenamen. Um herauszufinden, welche Rollenzuweisung hierfür verantwortlich ist, können Sie z.B. nach den Zuweisungen, die die Nutzung des Cmdlets Set-User zur Änderung der Mobiltelefonnummer steuern (eines der Datenelemente, die die Benutzer gemäßt der Standardrollenzuweisungsrichtlinie ändern dürfen): Get-ManagementRole -Cmdlet Set-User -CmdletParametersMobilePhone| Get-ManagementRoleAssignment -GetEffectiveUsers -Delegating $False | Where-Object {$_.Effectiveusername -ne "All Group Members"} | Format-Table Role, RoleAssigneeName, EffectiveUserName

Sehen wir uns diesen Code genauer an. Im Einzelnen geschieht dabei Folgendes: 쐍 Er sucht nach allen Rollen, die den Zugriff auf die Eigenschaft MobilePhone über Set-User erlauben. 쐍 Er letiet diese Rollen an Get-ManagementRoleAssignment weiter, um eine Liste der Benutzer zurückzugeben, denen der Zugriff über eine Rollenzuweisung delegiert wurde. (Wenn Sie den Parameter -Delegating auf $True setzen, erhalten Sie eine Liste aller Benutzer, die den Zugriff an andere delegieren können.) 쐍 Er filtert die Liste, um »All Group Members« zu entfernen, da wir nur einzelne Benutzer sehen möchten. 쐍 Er gibt die Rolle, den Namen der Rolle und den Namen des Benutzers aus. Die Ausgabe sieht wie folgt aus: Role ---Mail Recipients Mail Recipients Mail Recipients

RoleAssigneeName ---------------Organization Management Organization Management Help Desk Level 2 Support

EffectiveUserName ----------Administrator Halstead, Dean Ruth, Andy

175

Rollenbasierte Zugriffssteuerung

Rollen

Kapitel 4

Rollenbasierte Zugriffssteuerung

Mail Recipients Mail Recipients Mail Recipients User Options User Options MyContactInformation

EMEA Help Desk EMEA Help Desk APJ Help Desk Organization Management Organization Management Default Role Assignment Policy

Pelton, David Smith, John Akers, Kim Administrator Redmond, Tony All Policy Assignees

VORSICHT Zurzeit ist es mit der rollenbasierten Zugriffssteuerung nur möglich, die Verwendung von Cmdlets einzuschränken, die Daten schreiben (also mit New- oder Set- beginnen). Einschränkungen für Get-Cmdlets, mit denen die Benutzer die Eigenschaften von Objekten abrufen, lassen sich dagegen nicht festlegen. Das bedeutet, dass Benutzer, die Einschränkungen unterliegen, dennoch alle Daten über ein Objekt lesen können, auch wenn sie nicht alle oder gar keine seiner Attribute ändern dürfen. Insidertipp: Beschränken des Zugriffs auf Remove-Mailbox

In manchen Organisationen sieht man es nicht gern, wenn Exchange-Administratoren in der Lage sind, ein Postfach und das zugrunde liegende Active Directory-Konto mit dem Befehl Postfach entfernen in der Exchange-Verwaltungskonsole oder mit dem Cmdlet Remove-Mailbox in der Verwaltungsshell zu entfernen. Manchmal gilt das Gleiche auch für Remove-MailContact, aber die größte Sorge bereitet die Möglichkeit, ein Benutzerkonto aus Active Directory entfernen zu können. Da es in Exchange nicht möglich ist, einen Rolleneintrag aus den vorgefertigten Rollen zu entfernen, können Sie dieses Problem nicht einfach dadurch lösen, dass Sie Remove-Mailbox aus der Rolle herausnehmen. Stattdessen müssen Sie dafür sorgen, dass niemand außer Organisationsadministratoren Zugang zur Rolle Mail Recipient Creation hat, da nur diese Rolle die Verwendung von Remove-Mailbox erlaubt. Mit dem folgenden Code können Sie überprüfen, wem der Zugriff auf Mail Recipient Creation delegiert wurde, damit Sie diese Delegierung wieder rückgängig machen können: Get-ManagementRoleAssignment -Role "Mail Recipient Creation" –Delegating $False | Remove-ManagementRoleAssignment

Erstellen von Rollen für bestimmte Aufgaben Es ist durchaus möglich, dass Sie in Ihrer Umgebung eine neue Rolle für bestimmte Aufgaben benötigen. Wenn Sie eine neue Rolle erstellen, müssen Sie folgende Regeln beachten: 쐍 Benutzerdefinierte Rollen müssen als untergeordnete Rollen einer der integrierten Rollen erstellt werden. Es ist nicht möglich, sie auf der Grundlage einer anderen benutzerdefinierten Rolle zu erstellen. 쐍 Eine untergeordnete Rolle kann nicht mehr Rechte umfassen als ihre übergeordnete Rolle. 쐍 Unter den Cmdlets in einer Rolle muss es zu jedem Set- und Remove- ein entsprechendes GetCmdlet geben. Die Rolle MyProfileInformation, die Benutzern erlaubt, ihre persönlichen Kontaktdaten in der Exchange-Systemsteuerung zu ändern, enthält z.B. Einträge für das Cmdlet Get-Mailbox, mit dem die aktuellen Daten abgerufen werden können, sowie Set-Mailbox und Set-User, mit denen sie sich ändern lassen. Wenn Sie sich die Rolleneinträge für Set-Mailbox und Set-User im Einzelnen anschauen, sehen Sie, dass die Verwendung der Parameter auf eine Auswahl von Eigenschaften wie Anzeigename, Vorname usw. eingeschränkt ist.

176

Nehmen wir als Beispiel an, dass unser Supportpersonal in der Lage sein soll, die persönlichen Angaben zu Empfängern zu ändern, da wir nicht wünschen, dass die Benutzer dies in der Exchange-Systemsteuerung selbst tun. Als Erstes müssen wir uns überlegen, welche integrierte Rolle wir als Vorlage nehmen. Zur Auswahl stehen MyProfileInformation und Mail Recipients, da beide den Zugriff auf die Benutzereigenschaften erlauben. In diesem Beispiel leiten wir unsere selbst gestaltete Rolle von Mail Recipients ab: New-ManagementRole –Name 'Help Desk User Updates' –Parent 'Mail Recipients'

Die integrierte Rolle Mail Recipients umfasst eine sehr große Anzahl von Cmdlets, die wir den Inhabern der neuen Rolle nicht zur Verfügung stellen wollen, weshalb wir alle Cmdlets bis auf Get-Mailbox entfernen. Es ist einfacher, anschließend die wenigen Cmdlets, die wir benötigen, wieder hinzuzufügen, als die Rolle in ihrem Urzustand zu bearbeiten. Get-ManagementRoleEntry –Identity 'Help Desk User Updates\*' | Where {$_.Name –ne 'Get-Mailbox'} | Remove-ManagementRoleEntry –Confirm:$False

Jetzt können wir der neuen Rolle die gewünschten Cmdlets hinzufügen und dabei die Parameter angeben, die wir dafür jeweils erlauben. Das Supportpersonal soll mehrere verschiedene Benutzereinstellungen ändern können, weshalb wir insgesamt den Zugriff auf sechs Cmdlets erlauben müssen (fünf zusätzlich zu dem einen, das wir noch in der Rolle belassen haben). Manchmal müssen Sie auch ein bisschen herumprobieren, bis Sie ganz genau bestimmt haben, welche Cmdlets notwendig sind. Add-ManagementRoleEntry 'Help Desk User Updates\Set-Mailbox' –Parameters Identity, DisplayName, SimpleDisplayName Add-ManagementRoleEntry 'Help Desk User Updates\Get-User' Add-ManagementRoleEntry 'Help Desk User Updates\Set-User' –Parameters Identity, FirstName, LastName, Initials, Office, Phone, MobilePhone, Department, Manager Add-ManagementRoleEntry 'Help Desk User Updates\Get-CASMailbox' Add-ManagementRoleEntry 'Help Desk User Updates\Set-CASMailbox' –Parameters Identity, IMAPEnabled, OWAEnabled, OWAMailboxPolicy

Mit dem folgenden Befehl können wir jetzt prüfen, ob die selbst erstellte Rolle HelpDesk User Updates die richtigen Cmdlets und Parameter umfasst: Get-ManagementRoleEntry 'Help Desk User Updates\*' | Format-List

Wenn die Überprüfung zu unserer Zufriedenheit ausfällt, können wir die neue Rolle jetzt den betreffenden Benutzern zuweisen.

Bereiche Alle Rollen haben einen Bereich, über den Exchange bestimmt, auf welche Objekte die Rolleninhaber zugreifen können. Den Bereich einer Rolle können Sie so ganz präzise einstellen, von den Objekten in einer einzelnen Organisationseinheit über eine Gruppe bestimmter Benutzer zu dem gesamten Inhalt des Exchange-Konfigurationscontainers. Mit Bereichen können Sie Benutzer auch auf die Verwaltung eines bestimmten Servers oder einer Gruppe von Servern einschränken. Exchange Server 2010 SP1 definiert einen neuen Bereich, mit dem auch die Einschränkung des Zugriffs auf eine bestimmte Datenbank möglich ist. Mehr darüber erfahren Sie im Abschnitt »Verbesserungen bei der rollenbasierten Zugriffssteuerung in Service Pack 1« weiter hinten in diesem Kapitel. 177

Rollenbasierte Zugriffssteuerung

Bereiche

Kapitel 4

Rollenbasierte Zugriffssteuerung

Im folgenden Beispiel sehen wir uns den Bereich der Rolle Move Mailboxes an, die es ermöglicht, Postfächer von einer Datenbank zur anderen zu verschieben: Get-ManagementRole 'Move Mailboxes' | Format-List *Scope* ImplicitRecipientReadScope ImplicitRecipientWriteScope ImplicitConfigReadScope ImplicitConfigWriteScope

: : : :

Organization Organization OrganizationConfig OrganizationConfig

Am wichtigsten davon sind die impliziten Schreibbereiche (Implicit...WriteScope), da sie die Objekte beschreiben, die die in der Rolle enthaltenen Cmdlets ändern können. Da wir beim Verschieben von Postfächern in der Lage sein müssen, das Postfach auf der neuen Position zu ändern, umfasst der Empfängerschreibbereich die gesamte Organisation. Wie Sie außerdem sehen, hat die Rolle die Fähigkeit, Informationen in der Organisationskonfiguration zu lesen, damit wir als Ziel für den Verschiebevorgang jede beliebige Datenbank in der Organisation auswählen können. Wenn Sie eine neue Rolle erstellen, muss sie einer vorhandenen Rolle untergeordnet sein. Dabei erbt sie automatisch den Bereich der übergeordneten Rolle, sofern Sie keinen anderen festlegen. Wie dies geschieht, sehen wir uns in Kapitel 5, »Exchange-Verwaltungskonsole und Exchange-Systemsteuerung«, genauer an. Dort besprechen wir, wie Sie eine neue Rolle erstellen, mit der Benutzer ihre eigenen Verteilergruppen ändern können, ohne dabei gleichzeitig die Fähigkeit zu erlangen, neue Gruppen anzulegen. Sie können neue Bereiche zusammen mit neuen Gruppen erstellen, doch ist es eine bessere Technik, einen Bereich einfach zu definieren, sodass er für mehrere Rollen zur Verfügung steht. Dazu gibt es in Exchange das Cmdlet New-ManagementScope. Durch Bereiche können Sie Rollen auf einzelne Server, Organisationseinheiten oder die Mitglieder einer Verteilergruppe einschränken. Mit dem folgenden Befehl erstellen Sie beispielsweise einen neuen Bereich, der die Verteilergruppe Company Officers umschließt. Für einen solchen Zweck können Sie sogar auf eine dynamische Verteilergruppe zurückgreifen. New-ManagementScope –Name 'Company Officers' –RecipientRestrictionFilter {MemberOfGroup –eq "cn=Company Officers,ou=Exchange Users,dc=contoso,dc=com"} Get-ManagementScope 'Company Officers' RecipientFilter

: MemberOfGroup -eq 'CN=Company Officers,OU=Exchange Users,Dc=contoso,dc=com' ScopeRestrictionType : RecipientScope Exclusive : False ExchangeVersion : 0.10 (14.0.100.0) Name : Company Officers DistinguishedName : CN=Company Officers,CN=Scopes,CN=RBAC,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=com Identity : Company Officers ObjectClass : {top, msExchScope}

Sobald Sie einen Bereich erstellt haben, können Sie ihn mit -CustomConfigWriteScope (für Bereiche, die Server und Datenbanken umfassen) und -CustomRecipientWriteScope (für Bereiche auf der Grundlage bestimmter Empfänger) zuweisen.

178

Rollengruppen Rollen können einzeln oder als Gruppe zugewiesen werden. Zwar bieten Rollen die Möglichkeit zur präzisen Steuerung der verschiedenen Aufgaben für einen typischen Exchange-Administrator, doch wäre es viel zu aufwändig, Aufgaben mithilfe von einzelnen Rollen zu erlauben. Rollengruppen bieten eine bequeme Möglichkeit, um die erforderlichen Rollen für allgemeiner gefasste Aufgaben wie »Postfachsuche« zusammenzufassen, anstatt die elf einzelnen Rollen zuzuweisen, die dafür ansonsten erforderlich wären. Es ist sehr viel einfacher, die Zuweisung einer einzelnen Rollengruppe zu verwalten als die von elf verschiedenen Rollen, und außerdem sinkt die Gefahr von Fehlern und Sicherheitsproblemen, wenn sich Administratoren für die rollenbasierte Zugriffssteuerung auf Rollengruppen verlassen. Den Benutzern weisen Sie dadurch Rollen zu, dass Sie sie zu Mitgliedern einer Rollengruppe machen. Eine Rollengruppe beschreibt allgemeinere Aufgaben, die bestimmte Arten von Administratoren durchführen sollen. Wer im Support arbeitet, muss z.B. in der Lage sein, Informationen über Empfänger einzusehen und zu ändern, aber wahrscheinlich soll er nicht an Sendeconnectors und Transportregeln herumpfuschen dürfen. Die für den Support definierte Rollengruppe umfasst alle Rollen (und damit den Zugriff auf alle Cmdlets), die für die Arbeit in dieser Rolle erforderlich sind – aber keine weiteren. Rollengruppen gehören zu den Grundlagen der rollenbasierten Zugriffssteuerung in Exchange Server 2010. Wenn Sie sich die vorgefertigten Rollengruppen (und die von Ihnen erstellen) ansehen möchten, geben Sie folgenden Befehl ein: Get-RoleGroup

Hinter den Kulissen wird jede Rollengruppe durch eine universelle Sicherheitsgruppe in der Active Directory-Organisationseinheit Microsoft Exchange Security Groups dargestellt (siehe Abbildung 4.2). Diese Gruppen sind gekennzeichnet, sodass Exchange weiß, dass sie für die rollenbasierte Zugriffssteuerung verwendet werden. Wenn es nötig ist, werden bei der Installation eines ersten Exchange Server 2010-Computers in einer Organisation die vorhandenen Zugriffssteuerungslisten von Exchange Server 2007 in eine Rollengruppe kopiert, die dann die Verwaltung verbliebener Computer mit der alten Version übernehmen kann. Abbildg. 4.2

Die universellen Sicherheitsgruppen für die rollenbasierte Zugriffssteuerung

179

Rollenbasierte Zugriffssteuerung

Rollengruppen

Kapitel 4

Rollenbasierte Zugriffssteuerung

Der Hauptunterschied zwischen den universellen Sicherheitsgruppen für die rollenbasierte Zugriffssteuerung und anderen universellen Sicherheitsgruppen besteht darin, dass Sie die Rollengruppen (und damit standardmäßig auch die zugrunde liegenden Sicherheitsgruppen) in der Exchange-Verwaltungskonsole, -Verwaltungsshell und -Systemsteuerung verwalten können. Die in Abbildung 4.2 gezeigte universelle Sicherheitsgruppe Super Help Desk Users gehört nicht zu denen, die bei der Installation von Exchange Server 2010 für die rollenbasierte Zugriffssteuerung angelegt werden. In Ihrer Exchange-Umgebung werden Sie sie nicht sehen, da Exchange sie bei mir erstellt hat, nachdem ich eine neue Rollengruppe für meine Organisation angelegt habe. Das zeigt, dass es eine 1:1-Beziehung zwischen Rollengruppen und universellen Sicherheitsgruppen gibt. Insidertipp: Delegieren von nicht standardmäßig zugewiesenen Rollen

Benutzer in der Rollengruppe Organization Management haben nicht nur die Zugriff auf die große Mehrheit der in einer Organisation definierten Rollen, sondern auch die Möglichkeit, die Rollen zu delegieren, die sie standardmäßig nicht innehaben. Ein gutes Beispiel für eine Rolle, die die Mitglieder der Gruppe Organization Management nicht haben, die ihnen aber delegiert werden kann, ist Mailbox Import Export. Dafür, dass diese Rolle den Mitgliedern von Organization Management nicht zugewiesen ist, gibt es einen einfachen Grund: Der Inhalt von Benutzerpostfächern sollte gegen unnötigen Zugriff geschützt sein. Daher müssen Sie einen bewussten Schritt ausführen, um Zugriff auf die Postfächer zu gewähren, bevor Sie in der Lage sind, die Cmdlets zum Importieren und Exportieren von Postfachdaten auszuführen. Den Rollen liegen zwar universelle Sicherheitsgruppen zugrunde, doch ist es ein Irrtum zu glauben, Sie könnten einfach in der Konsole Active Directory-Benutzer und -Computer Benutzerkonten zu den Sicherheitsgruppen hinzufügen, um Rollen zuzuweisen. Hinter den Kulissen merkt sich Exchange, welche Rollen zugewiesen wurden, und einen Benutzer zu einer universellen Sicherheitsgruppe hinzuzufügen, reicht dazu nicht aus, sondern kann zu unvorhersehbaren Ergebnissen führen. Die Rollen Organization Management und Delegated Setup nehmen einen Sonderstatus ein, da ihnen neben den Exchange-Berechtigungen auch Active Directory-Zugriffssteuerungslisten zugewiesen sind, um Aufgaben wie die Installation von Servern durchführen zu können. Die überwiegende Mehrzahl der Aufgaben, die Benutzer mit Rollen zur Verwaltung der verschiedenen Aspekte von Exchange durchführen, unterliegt der rollenbasierten Zugriffssteuerung, sodass dafür keine Zugriffssteuerungslisten zugewiesen werden müssen. In Kapitel 3 erfahren Sie mehr darüber, wie die rollenbasierte Zugriffssteuerung einschränkt, welche Cmdlets einem Benutzer in einer Sitzung der Exchange-Verwaltungsshell zur Verfügung stehen. Weitere Informationen

Informationen über die standardmäßigen Rollengruppen und Rollenzuweisungen in Exchange Server 2010 finden Sie auf http://technet.microsoft.com/de-de/library/dd638077.aspx. Rollengruppen und -zuweisungen werden sich mit der Zeit ändern, wenn Microsoft die rollenbasierte Zugriffssteuerung durch Service Packs und neue Versionen von Exchange ändert. Jede Rollengruppe umfasst eine Reihe verschiedener administrativer Rollen, die eine Feinsteuerung für die Zuweisung von Aufgaben erlauben. Die Namen der Rollengruppen beschreiben die Aufgaben, die die jeweiligen Mitglieder durchführen können. Für Exchange Server 2010 hat sich Microsoft das Ziel gestellt, einen Satz von Rollengruppen bereitzustellen, die für die Bedürfnisse der meisten Kunden

180

ausreichen, aber wenn dieser Satz für Ihre Umgebung nicht ideal geeignet ist, können Sie eine Rollengruppe auch ändern (indem Sie z.B. einzelne Aufgaben herausnehmen oder hinzufügen) oder eine ganz neue Rollengruppe erstellen. Um zu dem Beispiel der Rolle Help Desk zurückzukehren: Vielleicht wünschen Sie sich, dass das Supportpersonal Einsicht in die Nachrichtenwarteschlangen nehmen kann, um eine Nachrichtenverfolgung durchzuführen. In diesem Fall können Sie der Gruppe Help Desk die Rollen Transport Queue und Message Tracking hinzufügen. Es ist auch möglich, Benutzern oder Gruppen eine bestimmte Rolle zuzuweisen, ohne sie in eine Rollengruppe aufzunehmen. Wie bereits erwähnt, rät Microsoft jedoch von einer solchen Vorgehensweise ab, da dies zu einer solchen Vervielfachung der Rollenzuweisungen führt, dass sie sich nur noch schwer überwachen und verwalten lassen. Insidertipp: Delegierung in Exchange Server 2007

Der Wechsel von dem in Exchange Server 2007 verwendeten Modell für die delegierte Verwaltung zur rollenbasierten Zugriffssteuerung in Exchange Server 2010 bringt es mit sich, dass Sie die Delegierungen überprüfen müssen, die in einer Organisation für Exchange Server 2007 in Kraft waren. Das ist notwendig, damit Benutzer, denen eine gewisse Form des Zugriffs gewährt worden war (z.B. Administratoren mit reiner Leseberechtigung), in die richtigen Rollengruppen aufgenommen werden, sodass sie so weiterarbeiten können wie vor der Bereitstellung von Exchange Server 2010. Beachten Sie, dass es das Cmdlet Get-ExchangeAdministrator, mit dem Sie in Exchange Server 2007 Einblick in die Zuweisungen von Exchange-Administratoren nehmen konnten, in Exchange Server 2010 nicht mehr gibt.

Erstellen einer neuen Rollengruppe Da wir jetzt die Beziehungen zwischen Rollen, Rollengruppen und Zuweisungen kennen, ist es an der Zeit, uns einen Eindruck davon zu machen, wie wir eine neue Rollengruppe erstellen können und was dabei geschieht. Als Erstes sollten wir uns dabei immer überlegen, ob wir die neue Rollengruppe wirklich benötigen. Das allgemeine Vorgehen läuft wie folgt ab: 1. Schreiben Sie auf, was für eine neue Rollengruppe Sie benötigen und warum keine der mitgelie-

ferten für diesen Zweck ausreicht. Es ist immer besser, eine der Standardrollengruppen zu verwenden, da die Einführung neuer Rollengruppen die Verwaltung der Organisation komplizierter macht. 2. Erstellen Sie die neue Rollengruppe mit dem Cmdlet New-RoleGroup und weisen Sie ihr die Rollen zu, die sie umfassen soll. 3. Nehmen Sie Benutzer in die neue Rollengruppe auf. In vielen Unternehmen gibt es eine Abteilung für den internen Support, die Zugriff auf bestimmte Funktionen benötigt, um ihre Aufgaben erledigen zu können. In dem folgenden Beispiel erstellen wir eine neue Rollengruppe mit den erforderlichen Rollen für die Supportaufgaben der Ebene 2. New-RoleGroup 'Help Desk Level 2' –Roles 'Message Tracking', 'Mail Recipients', 'Move Mailboxes' –Members '[email protected]', '[email protected]' –ManagedBy '[email protected]', '[email protected]' –Description 'This group is used by Level 2 support personnel'

181

Rollenbasierte Zugriffssteuerung

Rollengruppen

Kapitel 4

Rollenbasierte Zugriffssteuerung

Wenn Sie eine neue Rollengruppe erstellen, müssen Sie ihr mindestens eine Rolle zuweisen. Falls Sie keinen Bereich angeben, übernimmt die Rollengruppe den Standardbereich der darin enthaltenen Rollen, der gewöhnlich die ganze Organisation umfasst. Wie bereits erwähnt erstellt Exchange zusammen mit der neuen Rollengruppe auch eine universelle Sicherheitsgruppe in der Active Directory-Organisationseinheit Microsoft Exchange Security Groups. Die im Parameter -ManagedBy angegebenen Benutzer dürfen die Gruppe verwalten, sind aber nicht selbst Mitglieder der Gruppe und füllen auch nicht die darin enthaltenen Rollen aus. Benutzer, die Sie nicht gleich beim Erstellen der Rollengruppe darin aufnehmen, können Sie später mit Add-RoleGroupMember hinzufügen. Zum Entfernen von Benutzern aus der Gruppe dient Remove-RoleGroupMember. Die Benutzer, die Sie zu Mitgliedern der Rollengruppe machen, werden automatisch auch in die zugehörige Sicherheitsgruppe aufgenommen. Add-RoleGroupMember –Identity 'Help Desk Level 2' –Member 'Tony Redmond' Remove-RoleGroupMember –Identity 'Help Desk Level 2' –Member 'Tony Redmond'

In dem zuvor gezeigten Beispiel erstellt Exchange außerdem drei Rollenzuweisungen für die drei im Cmdlet New-RoleGroup angegebenen Rollen. Dabei wird die Namenskonvention Rollenname-Rollengruppenname verwendet, sodass sich Rollenzuweisungen wie Mail Recipients-Help Desk Level 2 ergeben. Die drei Rollenzuweisungen können Sie sich wie folgt mithilfe von Get-ManagementRoleAssignment ansehen: Get-ManagementRoleAssignment –RoleAssignee "Help Desk Level 2"

Rollenzuweisung Wir haben jetzt Folgendes definiert: einen Bereich, der angibt, auf welche Objekte eine Rolle Zugriff hat; eine Rolle, die festlegt, welche Cmdlets und Parameter ihren Inhabern zur Verfügung stehen; und Rollengruppen, die uns dabei helfen, zu bestimmen, wer was tun darf. Rollenzuweisungen bilden nun den »Klebstoff«, der die rollenbasierte Zugriffssteuerung zusammenhält, denn sie verknüpfen die Rollen und ihre Bereiche mit den Benutzern und Gruppen. Um zu sehen, welche Rollenzuweisungen in Ihrer Organisation bereits vorhanden sind, geben Sie Folgendes ein: Get-ManagementRoleAssignment

Exchange Server 2010 SP1 enthält 176 Rollenzuweisungen. Geordnet sind sie nach dem Namen der Rollengruppe, sodass Sie z.B. jeweils alle Rollen in der Gruppe Organization Management zusammen finden, alle Rollen in Hygiene Management, in Discovery Management, in Move Mailboxes usw. Da Organization Management die umfassendste und funktionsreichste Gruppe ist, enthält sie natürlich auch die meisten Rollenzuweisungen. Am unteren Ende der Liste stehen die Rollen in der Standardrollenzuweisung, die von Exchange beim Erstellen eines Postfachs automatisch dem Benutzer zugeteilt wird. Zu diesen Zuweisungen gehören MyBaseOptions und MyContactInformation, die erforderlich sind, damit ein Benutzer seine eigenen persönlichen Angaben in der Exchange-Systemsteuerung bearbeiten kann. Ganz am Ende der Liste stehen benutzerdefinierte Rollenzuweisungen. Rollenzuweisungen sind nach dem Schema Rolle-Rollengruppe benannt, was zu Namen wie Message Tracking-Records Management oder Transport Queues-Organization Management führt. Wenn Sie sich eine bestimmte Rollenzuweisung genauer ansehen möchten, übergeben Sie ihren Namen im Cmdlet Get-ManagementRoleAssignment:

182

Rollenzuweisung

User AssignmentMethod Identity EffectiveUserName AssignmentChain RoleAssigneeType RoleAssignee Role RoleAssignmentDelegationType CustomRecipientWriteScope CustomConfigWriteScope RecipientReadScope ConfigReadScope RecipientWriteScope ConfigWriteScope Enabled RoleAssigneeName IsValid ExchangeVersion Name

: contoso.com/Microsoft Exchange Security Groups/Server Management : Direct : Exchange Servers-Server Management : All Group Members : : RoleGroup : contoso.com/Microsoft Exchange Security Groups/Server Management : Exchange Servers : Regular : : : Organization : OrganizationConfig : Organization : OrganizationConfig : True : Server Management : True : 0.11 (14.0.550.0) : Exchange Servers-Server Management

Die rollenbasierte Zugriffssteuerung geht nach einem anderen Prinzip vor als die herkömmlichen Sicherheitsberechtigungen, bei denen das Betriebssystem jeweils diejenige mit den stärksten Einschränkungen verwendete. Hier dagegen werden die Benutzer mit den kombinierten Möglichkeiten aller Rollen versehen, denen sie zugewiesen sind, sodass sie alle von den Rollen abgedeckten Aufgaben ausführen können. Überlegen Sie, was passiert, wenn Sie ein Konto zu einem Domänenadministrator machen: Das Konto erhält in der Domäne schlagartig enorme Befugnisse. Die Möglichkeiten eines solchen Kontos unterscheiden sich sehr stark von denen »normaler« Benutzerkonten. Was aber passiert, wenn Sie ein Konto zu einer Rollengruppe hinzufügen? Es erhält die Möglichkeit, die in den Rollen dieser Gruppe festgelegten Cmdlets auszuführen. Wenn Sie das Konto weiteren Rollengruppen hinzufügen, bekommt er nach und nach Zugriff auf weitere Cmdlets, bis es schließlich auf dem Niveau der Gruppe Organization Management ankommt – die im Grunde genommen ein Behälter für fast alle in Exchange verfügbaren Rollen ist. Sie sehen also, dass die Rollen aufeinander aufbauen, um ein sehr flexibles Grundgerüst dafür zu bilden, dass alle Benutzer die ihnen zugewiesenen Aufgaben erledigen können. Es gibt zwar keinen Mechanismus, um jemanden aktiv daran zu hindern, etwas Bestimmtes zu tun, doch trotzdem bilden die aufeinander aufbauenden Rollenzuweisungen eine präziser zu steuernde Sicherheitsmaßnahme als die früheren Autorisierungsverfahren auf der Grundlage von Exchange-Zugriffssteuerungslisten.

183

Rollenbasierte Zugriffssteuerung

Get-ManagementRoleAssignment –Identity 'Exchange Servers-Server Management' | Format-List

Kapitel 4

Rollenbasierte Zugriffssteuerung

Insidertipp: Steuern der Rollenzuweisung

Mit jeder Rollenzuweisung erhält ein Benutzer die Autorisierung zur Verwendung bestimmter Cmdlets und Parameter. Welche Cmdlets und Parameter er insgesamt nutzen darf, wird durch die Gesamtheit der Rollen bestimmt, die er innehat. Da Benutzer mit jeder Rollenzuweisung auf mehr Cmdlets zurückgreifen dürfen, sollten Sie immer nur genau die Rollen zuweisen, die Sie ihnen auch wirklich gewähren möchten, da Sie ansonsten Gefahr laufen, dass die Benutzer gewisse Cmdlets und Parameter nur deshalb ausführen dürfen, weil Sie ihnen eine Rolle erteilt haben, die sie eigentlich gar nicht brauchen. Wie wir bereits gesehen haben, können Sie Rollen auch maßschneidern, indem Sie ihnen einzelne Cmdlets hinzufügen oder entziehen. Es ist auch möglich, eine Rollengruppe nach den eigenen Bedürfnissen anzupassen, indem Sie Rollenzuweisungen hinzufügen oder herausnehmen, um den Mitgliedern der Gruppe mehr oder weniger Funktionen zur Verfügung zu stellen.

Bestimmte Bereiche für Rollengruppen Wie wir bereits gesehen haben, besteht in Exchange die Möglichkeit, einer Rollengruppe einen Bereich zuzuweisen. Dadurch schränken Sie die Möglichkeiten der Gruppenmitglieder zur Verwaltung von Objekten auf den festgelegten Bereich ein. Meistens wird als Bereich eine Organisationseinheit in Active Directory festgelegt, sodass die Benutzer mit einer Rolle dieses Bereichs nur auf die Objekte in dieser Organisationseinheit zugreifen können. Um einen Bereich festzulegen, haben Sie drei Möglichkeiten: 쐍 RecipientOrganizationalUnitScope Mit diesem Parameter geben Sie ausdrücklich eine Organisationseinheit in Active Directory an. 쐍 CustomRecipientWriteScope Erstellen Sie mit New-ManagementScope einen Verwaltungsbereich und geben Sie dabei mit diesem Parameter eine Organisationseinheit in Active Directory an. Dies ist die zu bevorzugende Vorgehensweise, wenn Sie den Bereich mehrfach verwenden möchten. Dadurch können Sie dem Bereich auch einen für Menschen bequemer lesbaren Namen geben, der leichter verständlich ist als der Name der Organisationseinheit. 쐍 Datenbankname In Exchange Server 2010 SP1 können Sie beim Erstellen eines neuen Bereichs auch den Namen einer Datenbank angeben. Nehmen wir einmal an, eine große Organisation verfügt über eine verteilte Supportabteilung mit einzelnen Teams in den verschiedenen Regionen, die jeweils den Benutzern vor Ort helfen sollen. Wahrscheinlich wollen Sie nicht, dass das amerikanische Supportpersonal die Benutzer in Europa verwaltet und umgekehrt. In diesem Fall können Sie zwei verschiedene Rollengruppen für den amerikanischen und den europäischen Support erstellen und mit den entsprechenden Bereichen versehen, sodass die Mitglieder jeweils nur Zugriff auf die Benutzer haben, für die sie auch wirklich zuständig sind. Fehlerbehebung: Es ist nicht möglich, einer bestehenden Rollengruppe mit Set-RoleGroup einen Bereich hinzuzufügen

Mit dem Cmdlet Set-RoleGroup können Sie einer Gruppe nicht im Nachhinein einen Bereich hinzufügen. Wenn Sie einer bereits vorhandenen Gruppe nachträglich einen Bereich zuweisen müssen, rufen Sie mit Get-ManagementRoleAssignment die Einzelheiten über sämtliche Rollenzuweisungen dieser Gruppe ab und leiten diese Informationen an Set-ManagementRoleAssignment weiter, um für die einzelnen Zuweisungen neue Bereiche anzugeben. Betrachten Sie dazu das folgende Beispiel:

184

Fehlerbehebung: Es ist nicht möglich, einer bestehenden Rollengruppe mit Set-RoleGroup einen Bereich hinzuzufügen Get-ManagementRoleAssignment –RoleAssignee 'Help Desk Level 2' | Set-ManagementRoleAssignment –RecipientOrganizationalUnitScope 'contoso.com/Exchange Users'

Im folgenden Beispiel erstellen wir eine neue Rollengruppe, deren Bereich auf die Verwaltung aller europäischen Postfächer der Organisation eingeschränkt ist. New-RoleGroup 'European Help Desk' –Roles 'Message Tracking', 'Mail Recipients', 'Move Mailboxes' –Members '[email protected]', '[email protected]' –ManagedBy '[email protected]', '[email protected]' –Description 'This group is used to manage European mailboxes' –RecipientOrganizationalUnitScope 'contoso.com/EMEA Mailboxes'

Alternativ können wir auch zuvor einen Verwaltungsbereich definieren, der die betreffende Organisationseinheit umfasst, und ihn dann im Cmdlet New-RoleGroup angeben. New-ManagementScope –Name 'European Mailboxes' –RecipientRoot 'contoso.com/Exchange Mailboxes/EMEA' –RecipientRestrictionFilter {RecipientType –eq "UserMailbox} New-RoleGroup 'European Help Desk' –Roles 'Message Tracking', 'Mail Recipients', 'Move Mailboxes' –Members '[email protected]', '[email protected]' –ManagedBy '[email protected]', '[email protected]' –Description 'This group is used t to manage European mailboxes' –CustomRecipientWriteScope 'European Mailboxes'

Weitere Informationen

Informationen darüber, wie Sie datenbankweite Bereiche definieren und einsetzen, finden Sie im Abschnitt »Datenbankweite Bereiche« weiter hinten in diesem Kapitel.

Besondere Rollen Zu den Rollen in der Rollengruppe Organization Management gehören auch die fünf folgenden Sonderrollen, die delegiert werden müssen, bevor sie verwendet werden können: 쐍 ApplicationImpersonation Dies ist eine Sonderrolle, die hauptsächlich für Dienstkonten gedacht ist, damit diese in der Lage sind, zur Erledigung bestimmter Aufgaben die Identität eines Benutzers anzunehmen. 쐍 Mailbox Import Export Diese Rolle erlaubt einem Benutzer, Daten in Postfächer zu importieren oder daraus zu exportieren. 쐍 Mailbox Search Diese Rolle erlaubt einem Benutzer, den Postfachinhalt zu durchsuchen. Sie ist der Rollengruppe Discovery Management zugewiesen, die aber standardmäßig leer ist und erst mit Mitgliedern versehen werden muss, bevor solche Suchvorgänge durchgeführt werden können. 쐍 Support diagnostics Diese Rolle gewährt den Zugriff auf Diagnose-Cmdlets wie Test-ReplicationHealth, die dazu gedacht sind, dass Supportmitarbeiter von Microsoft oder anderen Stellen Diagnoseinformationen von einem Exchange Server-Computer oder einer Organisation abrufen können. Diese Rolle ist standardmäßig keinem Benutzer zugewiesen.

185

Rollenbasierte Zugriffssteuerung

Rollenzuweisung

Kapitel 4

Rollenbasierte Zugriffssteuerung

쐍 Unscoped role management Diese Rolle ermöglicht es, Rollen ohne Bereich zu erstellen und zu verwalten. Solche Rollen werden dazu verwendet, um auf benutzerdefinierte Skripts und Cmdlets zuzugreifen. Die Rolle ist standardmäßig keinem Benutzer zugewiesen, kann aber von den Mitgliedern der Rollengruppe Organization Management Benutzern delegiert werden. Dass in dieser Liste die Rolle enthalten ist, die Benutzern den Import und Export von Postfachdaten erlaubt, mag Sie vielleicht überraschen. Das ist jedoch durchaus gerechtfertigt, wenn Sie daran denken, dass diese Fähigkeit nur ausdrücklich bestimmten Einzelpersonen zugewiesen sollte, die sie auch wirklich benötigen. Schließlich wollen Sie auf keinen Fall, dass irgendein Benutzer versehentlich die Möglichkeit bekommt, die Daten im Postfach eines anderen Benutzers zu exportieren. Wenn ein solcher Zugriff tatsächlich erforderlich ist, können Sie diese Rolle einem Benutzer wie folgt zuweisen: New-ManagementRoleAssignment –Role 'Mailbox Import Export' –User 'Darren.Parker@ contoso.com'

Es ist meistens bequemer, die Rolle einer Sicherheitsgruppe zuzuweisen, da die Verwaltung von Gruppenmitgliedschaften gewöhnlich leichter ist als die Rollenzuweisungen zu einzelnen Benutzern. Dabei müssen Sie eine universelle Sicherheitsgruppe verwenden und keine universelle oder dynamische Verteilergruppe. New-ManagementRoleAssignment –Role 'Mailbox Import Export' –SecurityGroup 'Mailbox Import-Export Team'

Nachdem die Rolle zugewiesen ist, können ihre Inhaber die Option Postfach exportieren in der Exchange-Verwaltungskonsole und die Cmdlets Export-Mailbox und Import-Mailbox (Exchange Server 2010) bzw. New-MailboxImportRequest und New-MailboxExportRequest (Exchange Server 2010 SP1) in der Exchange-Verwaltungsshell verwenden. In der SP1-Version der Exchange-Verwaltungskonsole werden Ihnen keine Optionen für den Import und Export von Postfächern angeboten, da Microsoft keine Zeit mehr gehabt hat, den Konsolen-Assistenten für diese Aktionen auf die Verwendung der in SP1 eingeführten neuen Cmdlets umzuschreiben. Benutzer, denen die Rollen zugewiesen worden sind, müssen die Exchange-Verwaltungskonsole bzw. -shell neu starten, um eine Aktualisierung der Daten für die rollenbasierte Zugriffssteuerung zu erzwingen, sodass die neue Zuweisung in Kraft tritt. Weitere Informationen

In Kapitel 14, »Nachrichtenhygiene«, finden Sie weitere Informationen über die in SP1 neu eingeführten Cmdlets für den Import und Export von Postfächern.

Rollen ohne Bereiche Wenn Sie maßgeschneiderte Rollen für Verwaltungszwecke erstellen möchten, sind Rollen ohne Bereich ein wichtiges Thema. Ich nehme an, dass die Bereitstellungsteams diesem Gebiet zu Anfang nur wenig Aufmerksamkeit schenken, wenn sie noch damit kämpfen, die rollenbasierte Zugriffssteuerung in einem Unternehmen überhaupt erst umzusetzen. Doch wenn sich die Administratoren mit der Zeit an diese neue Form der Zugriffssteuerung gewöhnen, ist es sehr wahrscheinlich, dass die Möglichkeit, nach eigenem Gusto gestaltete Rollen zu erstellen und zuzuweisen, sie fasziniert.

186

Die Grundidee hinter benutzerdefinierten Rollen ohne Bereich besteht darin, einen Mechanismus bereitzustellen, mit dem Administratoren Rollengruppen, einzelnen Benutzern und universellen Sicherheitsgruppen Zugriff auf Nicht-Exchange-Cmdlets und Windows PowerShell-Skripts gewähren können. Nehmen wir beispielsweise an, Sie haben einige PowerShell-Skripts geschrieben, mit denen zur Berichterstellung Daten aus Exchange abgerufen werden können. Nun möchten Sie den Mitarbeitern im Support Zugriff auf diese Skripts gewähren, sodass sie die betreffenden Berichte erstellen können. Ein weiterer Grund, um eine benutzerdefinierte Rolle zu erstellen, besteht darin, dass Sie Zugriff auf eine Fähigkeit erteilen möchten, die zur Erledigung einer bestimmten Arbeit notwendig ist, ohne gleichzeitig auch den Zugriff auf eine bestimmte Rolle oder ein Cmdlet zu gewähren. So kann es beispielsweise sein, dass Sie den Supportmitarbeitern zwar erlauben möchten, Postfächer zu erstellen, dies aber nur in einer bestimmten Organisationseinheit, nach einer strukturierten Namenskonvention und nach einer bestimmten Anweisung für die Einrichtung der Postfacheinstellungen. Das können Sie erreichen, indem Sie ein Skript mit der gesamten Geschäftslogik schreiben, die zum Erstellen der Postfächer nötig ist, und den betreffenden Benutzern Zugriff auf dieses Skript geben. Die Supportmitarbeiter, die die benutzerdefinierte Rolle innehaben, können das Skript ausführen, das Cmdlet New-Mailbox aber in keiner anderen Weise verwenden. Als Erstes müssen Sie die Fähigkeit, Rollen ohne Bereiche zu erstellen, einem Konto delegieren. Diese Fähigkeit wird nicht standardmäßig erteilt, nicht einmal Konten in der Rollengruppe Organization Management. Allerdings können die Konten in dieser Gruppe die Rolle Unscoped Role Management sich selbst und anderen Konten mit dem Cmdlet New-ManagementRoleAssignment delegieren. Der folgende Befehl weist die Rolle einer universellen Sicherheitsgruppe namens Exchange Admins zu, die es natürlich geben muss, bevor Sie versuchen, sie mit einer Rolle zu verknüpfen: New-ManagementRoleAssignment –Role 'Unscoped Role Management' –SecurityGroup 'Exchange Admins'

Wenn das Konto, das Sie verwenden, Mitglied der Gruppe Exchange Admins ist, können Sie jetzt Verwaltungsrollen der obersten Ebene ohne Bereich erstellen. Denken Sie daran, dass Sie Ihre Sitzung der Exchange-Verwaltungsshell aktualisieren müssen, nachdem Ihnen die Rolle Unscoped Role Management zugewiesen wurde, damit die rollenbasierte Zugriffssteuerung Ihnen den Parameter -UnscopedTopLevel für das Cmdlet New-ManagementRole zur Verfügung stellen kann. Wenn Sie dies nicht tun, meldet die Shell einen Fehler, wenn Sie das Cmdlet ausführen und dabei den Parameter -UnscopedTopLevel zu übergeben versuchen. New-ManagementRole –Name 'Exchange Admin Scripts' –UnscopedTopLevel Name -------Exchange Admin Scripts

RoleType -------UnScoped

Die Verwaltungsrolle ist leer und muss jetzt mit Angaben über die Skripts versehen werden, die Sie den Inhabern der Rolle zur Verfügung stellen möchten. Die Skripts müssen Sie auf jedem Server in das Standardverzeichnis für Remoteskripts kopieren (\Program Files\Microsoft\Exchange Server\V14\RemoteScripts\). Dadurch, dass die Skripts hier platziert werden und nicht im standardmäßigen Skriptverzeichnis, führen Sie eine deutliche Trennung zwischen den lokal und den über das Netzwerk auszuführenden Skripts herbei. Anschließend können Sie für jedes Skript einen Rolleneintrag hinzufügen: Add-ManagementRoleEntry 'Exchange Admin Scripts\DBReportMail.PS1' –Type Script –UnscopedTopLevel

187

Rollenbasierte Zugriffssteuerung

Rollenzuweisung

Kapitel 4

Rollenbasierte Zugriffssteuerung

Dieser Befehl verknüpft das Skript DBReportMail.ps1 mit der benutzerdefinierten Rolle, sodass die Inhaber der Rolle es ausführen können. Die Rolle wiederum weisen wir den Benutzern, die das Skript brauchen, auf die übliche Weise zu: New-ManagementRoleAssignment –Role 'Exchange Admin Scripts' –User 'Help Desk'

Nach dieser Zuweisung können die Benutzer das Skript das nächste Mal ausführen, wenn Sie sich an der Exchange-Verwaltungsshell anmelden.

Zu welchen Rollengruppen gehöre ich? Eine einfache Frage, die Administratoren häufig stellen, lautet, zu welchen Rollengruppen sie selbst – oder jemand anders – zugewiesen sind. Die Angaben über die Zuweisungen finden sich in den Mitgliedschaftsinformationen der einzelnen Rollengruppen, weshalb Sie dort nachforschen müssen, um zu bestimmen, über welche Rollen ein Benutzer verfügt. In dem folgenden Beispiel führen wir das Cmdlet Get-RoleGroup aus und leiten die Ausgabe an Where-Object weiter, um nach Einträgen in den Mitgliederlisten einer Rollengruppe zu suchen, die eine Teilübereinstimmung mit dem Benutzernamen »Redmond« aufweisen. Get-RoleGroup | Where-Object {$_.Members –Like '*Redmond*'} | Format-List Name, Members Name : Organization Management Members : {contoso.com/Exchange Users/Redmond, Eoin P, contoso.com/Exchange Users/ Redmond,Tony, contoso.com/Users/Administrator} Name : Discovery Management Members : {contoso.com/Exchange Users/Redmond, Tony, contoso.com/Users/Administrator}

Die Ausgabe zeigt, dass unter den Mitgliedern der Rollengruppen Organization Management und Discovery Management eine Teilübereinstimmung mit »Redmond« gefunden wurde. Anschließend können wir die zurückgegebenen Mitgliedschaftsinformationen genauer untersuchen, um die Benutzer zu finden, für die wir uns interessieren. Wenn Sie jedoch nur sehen wollen, welche Benutzer Inhaber einer bestimmten Rolle sind, ist GetManagementRoleAssignment das richtige Cmdlet. In dem folgenden Beispiel rufen wir die Liste der Benutzer ab, denen die Rolle Mailbox Import Export zugewiesen ist: Get-ManagementRoleAssignment –Role 'Mailbox Import Export' | Format-Table Role AssigneeName, RoleAssignmentDelegationType, RoleAssigneeType RoleAssigneeName ---------------Organization Management Administrator

RoleAssignmentDelegation ----------------------DelegatingOrgWide Regular

TypeRoleAssigneeType ------------------RoleGroup User

Hier werden zwei verschiedene Arten von Zuweisungen angezeigt: 쐍 Mitglieder der Rollengruppe Organization Management dürfen den Zugriff auf die Rolle Mailbox Import Export delegieren, haben selbst aber nicht die Berechtigungen eines regulären Inhabers dieser Rolle.

188

쐍 Das Administratorkonto ist regulärer Rolleninhaber, und zwar aufgrund einer ausdrücklichen Zuweisung. Da das Administratorkonto gewöhnlich Mitglied der Rollengruppe Organization Management ist, können sich Administratoren selbst die Rolle Mailbox Import Export zuweisen. Das Cmdlet Get-ManagementRoleAssignment ist sehr nützlich, um herauszufinden, wer was mit einem Objekt anstellen kann. Nehmen wir beispielsweise an, Sie möchten herausfinden, wer Schreibzugriff auf verschiedene Objekte hat: 쐍 Auf ein bestimmtes Benutzerpostfach: Get-ManagementRoleAssignment –WritableRecipient "Akers, Kim" –GetEffectiveUsers

쐍 Auf ein Serverobjekt: Get-ManagementRoleAssignment –WritableServer 'ExServer1' -GetEffectiveUsers

쐍 Auf eine Postfachdatenbank oder eine Datenbank für öffentliche Ordner: Get-ManagementRoleAssignment –WritableDatabase 'DB1'

Wenn Sie den Parameter -GetEffectiveUsers angeben, werden alle Benutzer zurückgegeben, die das Objekt indirekt durch die Mitgliedschaft in Rollengruppen und universellen Sicherheitsgruppen bearbeiten können. Ohne diesen Parameter werden nur die Rollengruppen, Benutzer und universellen Sicherheitsgruppen angezeigt, denen die Rolle direkt zugewiesen ist.

Zuweisungsrichtlinien Bis jetzt haben wir uns nur die direkte Zuweisung von Rollen zu Rollengruppen angesehen, bei der die Benutzer durch ihre Mitgliedschaft in der Gruppe die Berechtigungen erhalten, um Verwaltungsvorgänge wie die Anzeige von Transportwarteschlangen oder die Durchführung von Discoverysuchvorgängen zu erledigen. Jedes System zur rollenbasierten Zugriffssteuerung braucht jedoch auch eine Standardrichtlinie, um den Benutzern einen Satz von grundlegenden Funktionen zur Verfügung zu stellen. In Exchange Server 2010 gibt es Rollenzuweisungsrichtlinien, mit denen den Benutzern bestimmte Tätigkeiten erlaubt werden können, die in früheren Versionen nur für Administratoren zur Verfügung standen. Wenn ein neues Postfach erstellt wird, erhält es automatisch die standardmäßige Rollenzuweisungsrichtlinie (Default Role Assignment Policy), die eine Reihe von Rollen eigens für Endbenutzer umfasst. Tabelle 4.2 führt die Rollen auf, die von dieser Standardrichtlinie abgedeckt werden. HINWEIS Endbenutzerrollen unterscheiden sich von Verwaltungsrollen darin, dass sie sich nur auf die für die Endbenutzer relevanten Daten auswirken, z.B. auf persönliche Angaben oder Informationen über die Verteilergruppen, zu denen sie gehören. Verwaltungsrollen haben dagegen einen weit umfassenderen Bereich und betreffen auch die Daten anderer Benutzer sowie andere Komponenten von Exchange. Jedes Postfach kann nur jeweils eine einzige Rollenzuweisungsrichtlinie haben, allerdings können Sie verschiedenen Postfächern oder Gruppen von Postfächern auch unterschiedliche Richtlinien zuteilen. Mit dem folgenden Befehl können Sie erkennen, welche Rollen die Standardrollenzuweisungsrichtlinie umfasst: Get-ManagementRoleAssignment -RoleAssignee 'Default Role Assignment Policy' 189

Rollenbasierte Zugriffssteuerung

Zuweisungsrichtlinien

Kapitel 4

Rollenbasierte Zugriffssteuerung

Wenn Sie prüfen wollen, welche Rollen einem bestimmten Benutzer über eine Richtlinie zugeteilt werden, können Sie statt des Richtliniennamens den Namen dieser Person angeben: Get-ManagementRoleAssignment -RoleAssignee 'Akers, Kim' Tabelle 4.2

Benutzerrollen in der Standardrollenzuweisungsrichtlinie Rolle

Verwendung

Standardmäßig aktiviert

MyBaseOptions

Grundlegende Option, um den Benutzern den Zugriff auf die Exchange-Systemsteuerung zu erlauben

Ja

MyContactInformation

Ermöglicht den Endbenutzern, ihre Telefon- und Kontaktinformationen zu ändern.

Ja

MyProfileInformation

Ermöglicht den Endbenutzern, ihren Vornamen, Nachnamen, die Initialen und den Anzeigenamen zu ändern.

Nein

MyVoiceMail

Erlaubt den Endbenutzern, ihre Voicemailoptionen (z.B. Begrüßungen) zu verwalten.

Nein

MyTextMessaging

Erlaubt den Endbenutzern, ihre Optionen für Textnachrichten zu verwalten.

Nein

MyDistributionGroupMembership

Erlaubt den Endbenutzern, ihre Mitgliedschaft in Verteilergruppen zu verwalten (Gruppen anzeigen, Gruppen verlassen, neuen Gruppen beitreten).

Ja

MyDistributionGroups

Erlaubt den Endbenutzern, neue Gruppen zu erstellen und deren Mitgliedschaften zu verwalten.

Nein

Sie können jede einzelne dieser Rollen aus der Standardzuweisungsrichtlinie entfernen, sodass die entsprechenden Funktionen für die Benutzer in der Exchange-Systemsteuerung nicht mehr verfügbar sind, beispielsweise die Optionen für Textnachrichten: Remove-ManagementRoleAssignment 'MyTextMessaging-Default Role Assignment Policy'

Wie wir auf den kommenden Seiten bei der Besprechung der Exchange-Systemsteuerung noch sehen werden, können Administratoren die Standardzuweisungsrichtlinie auch so ändern, dass den Benutzern weitere Optionen zur Verfügung stehen. Darüber hinaus ist es auch möglich, eine eigene Rollenzuweisungsrichtlinie zu erstellen und auf ausgewählte Benutzer anzuwenden, sodass diese Zugriff auf andere Funktionen haben als »Standard«-Benutzer. Um eine neue Rollenzuweisungsrichtlinie anzulegen und zum Standard zu machen, gehen Sie folgendermaßen vor: Set-RoleAssignmentPolicy 'New End-User Default Role Assignment Policy' –IsDefault

Rollenzuweisungsrichtlinien weisen Sie beim Erstellen oder Aktivieren von Postfächern mit NewMailbox bzw. Enable-Mailbox zu. Bei einem bestehenden Postfach können Sie mit Set-Mailbox die Richtlinie wechseln. Diese Zuweisungen nehmen Sie ausdrücklich vor, während die Zuweisung der Standardrichtlinie stillschweigend erfolgt. Eine ausdrückliche Zuweisung hat immer Vorrang vor einer stillschweigenden. Um einem Postfach ausdrücklich eine Richtlinie zuzuweisen, gehen Sie wie folgt vor: Set-Mailbox –Identity 'David Jones' –RoleAssignmentPolicy 'VIP Users'

190

Manchmal ist es erforderlich, eine Richtlinie auf eine bestimmte Gruppe von Benutzern anzuwenden. Nehmen wir beispielsweise an, dass Sie in einer einzigen Niederlassung versuchsweise Unified Messaging einführen möchten. Die Benutzer in dieser Filiale sollen in der Lage sein, ihre Voicemaileinstellungen in der Exchange-Systemsteuerung zu ändern. Da die Voicemailoptionen in der Standardrichtlinie nicht aktiviert sind, erstellen Sie eine neue Richtlinie, weisen darin die Voicemailoptionen zu (und alle anderen Rollen, die die Benutzer benötigen, z.B. um ihre Kontakt- und sonstigen persönlichen Informationen in der Exchange-Systemsteuerung zu ändern) und aktivieren die Richtlinie dann für die Postfächer in der gewünschten Niederlassung. Dazu verwenden Sie die folgenden Befehle: New-RoleAssignmentPolicy –Name 'VoiceMail Pilot Users' New-ManagementRoleAssignment –Role 'MyBaseOptions' –Policy 'VoiceMail Pilot Users' New-ManagementRoleAssignment –Role 'MyVoiceMail' –Policy 'VoiceMail Pilot Users' New-ManagementRoleAssignment –Role 'MyProfileInformation' –Policy 'VoiceMail Pilot Users' New-ManagementRoleAssignment –Role 'MyContactInformation' –Policy 'VoiceMail Pilot Users' Get-Mailbox –Filter {Office –eq 'Chicago'} | Set-Mailbox –RoleAssignmentPolicy 'VoiceMail Pilot Users'

Wenn sich die Benutzer das nächste Mal an der Exchange-Systemsteuerung anmelden, gilt für sie die neue Rollenzuweisungsrichtlinie.

Verbesserungen bei der rollenbasierten Zugriffssteuerung in Service Pack 1 Da der Übergang von dem älteren Berechtigungsmodell zur rollenbasierten Zugriffssteuerung in Exchange Server 2010 einen grundlegenden Wechsel darstellt, dürfte es nicht überraschen, dass Microsoft noch einige Verbesserungsmöglichkeiten gefunden hat, die in Exchange Server 2010 SP1 nachgeliefert wurden. Dabei wurde die Benutzeroberfläche zur Verwaltung der rollenbasierten Zugriffssteuerung in der Exchange-Systemsteuerung vollständig überholt. Änderungen an den Funktionen traten in vier Kategorien auf: 1. Datenbankweite Bereiche 2. Unterstützung für geteilte Active Directory-Berechtigungen 3. Bereitstellung einer Reihe von Berichten zur rollenbasierten Zugriffsssteuerung im Exchange Best

Practices Analyzer 4. Validierungsregeln für die rollenbasierte Zugriffssteuerung

Die radikale Umgestaltung der Benutzeroberfläche in der Exchange-Systemsteuerung, die jetzt einen umfassenderen Zugriff auf Rollen, Rollengruppen und Rollenzuweisungen bietet, können Sie auch als eine fünfte Kategorie von Verbesserungen ansehen. In den folgenden Abschnitten sehen wir uns diese Gebiete nacheinander an.

191

Rollenbasierte Zugriffssteuerung

Verbesserungen bei der rollenbasierten Zugriffssteuerung in Service Pack 1

Kapitel 4

Rollenbasierte Zugriffssteuerung

Verwalten von Rollengruppen in der ExchangeSystemsteuerung Alles, was wir bisher über die Verwaltung von Rollen, Rollengruppen und Rollenzuweisungen in der Exchange-Verwaltungsshell gesagt haben, gilt auch noch in Exchange Server 2010 SP1. Jetzt allerdings können wir die täglichen Aufgaben zur Verwaltung der rollenbasierten Zugriffssteuerung auch in der Exchange-Systemsteuerung durchführen. Um Ihnen die neue Oberfläche vorzuführen, sehen wir uns an, wie sich damit verschiedene häufig auftretende Aufgaben lösen lassen. Als erste Aufgabe betrachten wir die Erweiterung der Rollengruppe Help Desk, sodass deren Mitglieder die ActiveSync-Richtlinien verwalten können. In der der SP1-Version der Exchange-Systemsteuerung besteht Zugriff auf diese Richtlinien. Als Erstes müssen wir wissen, welche Rollen den Zugriff auf die Cmdlets für die Bearbeitung der ActiveSync-Richtlinien erlauben. Eine solche Richtlinie wird mit dem Cmdlet New-ActiveSyncMailboxPolicy erstellt, weshalb wir auf dem folgenden Wege die Rollen finden können, die solche Tätigkeiten zulassen: Get-ManagementRole –Cmdlet 'New-ActiveSyncMailboxPolicy' Name ------Recipient Policies

RoleType -------RecipientPolicies

Die Ausgabe zeigt, dass wir der Rollengruppe Help Desk die Rolle Recipient Policies zuweisen müssen, damit ihre Mitglieder ActiveSync-Richtlinien bearbeiten können. Als Nächstes öffnen wir die Exchange-Systemsteuerung mit einem Konto, das Mitglied der Rollengruppe Organisation Management ist, und wechseln im Abschnitt Benutzer und Gruppen zur Registerkarte Administratorrollen (siehe Abbildung 4.3). An der Beschreibung der Rollengruppe Help Desk können wir ablesen, dass ihr standardmäßig zwei Rollen zugewiesen sind, nämlich User Options und View-Only Recipients. Damit können die Mitglieder der Gruppe Help Desk Empfänger einsehen und Postfacheinstellungen ändern. Klicken Sie auf Details, um sich die derzeitigen Eigenschaften der Rollengruppe Help Desk anzusehen. Weiter unten in dem daraufhin angezeigten Dialogfeld kommen Sie zum Abschnitt Rollen, in dem die beiden zurzeit in der Gruppe vorhandenen Rollen aufgeführt werden. Klicken Sie auf Hinzufügen, um sich den Satz der möglichen Rollen anzeigen zu lassen, die Sie der Rollengruppe hinzufügen können (siehe Abbildung 4.4). In dieser Liste werden alle Rolle aufgeführt, die Exchange kennen, allerdings bieten einige davon auch Zugriff auf Funktionen, die in der Exchange-Systemsteuerung gar nicht zur Verfügung stehen. Beispielsweise ermöglicht die Rolle Database Availability Groups Administratoren, die Server und Datenbanken einer Datenbankverfügbarkeitsgruppe zu verwalten, was aber nur in der Exchange-Verwaltungskonsole oder -Verwaltungsshell möglich ist, nicht aber in der Exchange-Systemsteuerung, die keine Oberfläche dafür aufweist. Das Gleiche gilt auch für Rollen wie Edge Subscriptions, Email Address Policies und Mailbox Import Export. Natürlich können Sie auch diese Rollen einer Rollengruppe hinzufügen, allerdings müssen Sie dabei daran denken, dass die Benutzer die durch diese Rollen erlaubten Cmdlets nur in der Verwaltungskonsole und der Verwaltungsshell nutzen können.

192

Verbesserungen bei der rollenbasierten Zugriffssteuerung in Service Pack 1

Anzeigen von Rollengruppen in der SP1-Version der Exchange-Systemsteuerung

Abbildg. 4.4

Hinzufügen einer Rolle zu einer Rollengruppe

Rollenbasierte Zugriffssteuerung

Abbildg. 4.3

193

Kapitel 4

Rollenbasierte Zugriffssteuerung

Um die Aufgabe zu Ende zu führen, führen Sie einen Bildlauf nach unten durch, bis Sie die Rolle Recipient Policies finden. Klicken Sie darauf, um sie zu markieren, und klicken Sie anschließend auf Hinzufügen und dann auf OK, um das Dialogfeld zu schließen und zu den Eigenschaften der Rollengruppe Help Desk zurückzukehren. In der Liste der enthaltenen Rollen sollte jetzt auch Recipient Policies aufgeführt sein. Klicken Sie auf Speichern, um die Definition der Rollengruppe zu aktualisieren, und kehren Sie zur Exchange-Systemsteuerung zurück. Alle Benutzer, die Mitglieder der Rollengruppe Help Desk sind, können das nächste Mal, wenn Sie die Exchange-Systemsteuerung starten, auf ActiveSyncRichtlinien zugreifen. Bestehende Rollengruppen lassen sich jetzt in der Exchange-Systemsteuerung auf sehr einfache Weise erweitern. Als nächstes Beispiel wollen wir eine neue Rollengruppe für das Supportpersonal der Ebene 2 in einem bestimmten Wirtschaftsraum erstellen (in diesem Beispiel für die als EMEA [Europa, Middle East, Africa] zusammengefassten Gebiete Europa, Naher Osten und Afrika). Die IT-Manager in diesem Bereich haben entschieden, dass ihre erfahrensten Supportmitarbeiter in der Lage sein sollen, ein breiteres Spektrum an Verwaltungsaufgaben durchzufügen, u.a. auch Postfachsuchvorgänge und die Aktualisierung von Postfachinformationen. Dazu wird eine neue Rollengruppe benötigt, denn wir müssen die Fähigkeiten der Mitglieder dieser Gruppe auf die Bearbeitung von Objekten in einer bestimmten Organisationseinheit beschränken. Dazu müssen wir den Bereich der Rollengruppe, der standardmäßig die gesamte Organisation umfasst, auf die Organisationseinheit einschränken. Um unser Ziel zu erreichen, haben wir zwei Möglichkeiten. Wir können eine Rollengruppe von Grund auf neu erstellen oder aber eine vorhandene auswählen, die bereits viele der Merkmale der gewünschten Gruppe aufweist, und diese als Grundlage für unsere neue Gruppe kopieren. Wenn Sie schon damit vertraut sind, welche Funktionen durch welche in Exchange vorhandenen Rollen verfügbar gemacht werden, möchten Sie die neue Rollengruppe wahrscheinlich lieber ohne Vorlage erstellen. Anderenfalls ist es sicher am besten, eine vorhandene Gruppe, deren Berechtigungen denen der gewünschten neuen Rollengruppe möglichst nahe kommen, zu kopieren. Dazu markieren Sie sie im Abschnitt Rollengruppen der Exchange-Systemsteuerung und klicken auf Kopieren. Anschließend geben Sie der Kopie einen neuen Namen, der ihren Zweck angibt. Welche Methode Sie auch immer wählen, so gelangen Sie doch schließlich an den Punkt, an dem Sie wie in Abbildung 4.5 gezeigt die Eigenschaften der neuen Rollengruppe bearbeiten müssen. Neben den Rollen, die der Gruppe zugewiesen werden, ist das Wichtigste hier der Schreibbereich, der auf contoso.com/EMEA gesetzt ist. Mit anderen Worten, die Mitglieder dieser Rollengruppe können zwar Informationen über Objekte einsehen, die auch anderswo in Active Directory gespeichert sind, doch erstellen und ändern können sie Objekte nur in der Organisationseinheit EMEA. Da es in der Exchange-Systemsteuerung nicht möglich ist, neue Postfächer anzulegen, können die Mitglieder dieser Rollengruppe nur die Eigenschaften vorhandener Postfächer in der Organisationseinheit EMEA ändern. Außerdem sind sie in der Lage, neue Gruppen zu erstellen, aber nur, wenn deren Standardspeicherort die Organisationseinheit EMEA ist. Weitere Informationen

In Kapitel 5 erfahren Sie, wie Sie einen Standardspeicherort für Gruppen festlegen. Nachdem Sie eine Rollengruppe mit allen erforderlichen Rollen versehen haben, können Sie Mitglieder hinzufügen. Sobald Sie auf Speichern klicken, werden die neue Rollengruppe und die zugrunde liegende Sicherheitsgruppe erstellt und den Benutzern zugewiesen, die Sie als Mitglieder festgelegt haben.

194

Verbesserungen bei der rollenbasierten Zugriffssteuerung in Service Pack 1

Erstellen einer neuen Rollengruppe in der Exchange-Systemsteuerung

Rollenbasierte Zugriffssteuerung

Abbildg. 4.5

Datenbankweite Bereiche In Exchange Server 2010 können Sie Bereiche erstellen, um den Verwaltungszugriff auf bestimmte Empfänger und Server zu beschränken. Es zeigte sich jedoch, dass diese zwei Arten von Bereichen für die Bedürfnisse vieler Kunden nicht ausreichten, weshalb in SP1 als dritte Möglichkeit hinzukam, Datenbanken oder Gruppen von Datenbanken als Bereiche festzulegen. HINWEIS Nur Server mit SP1 (oder höher) berücksichtigen datenbankweite Bereiche. Wenn Sie daher solche Bereiche verwenden möchten, können Sie das nur tun, nachdem Sie alle Ihre Postfachserver auf SP1 aktualisiert haben. Um einen datenbankweiten Bereich zu erstellen, definieren Sie einen neuen Verwaltungsbereich auf der Grundlage einer Datenbankliste oder eines Datenbankfilters. Eine Datenbankliste enthält die durch Kommata getrennten Namen der einzelnen Datenbanken, die Sie in den Bereich einschließen möchten, und eignet sich zur Definition, wenn Sie den Verwaltungszugriff auf einen festen Satz von Datenbanken einschränken möchten, der sich wahrscheinlich nur selten ändert. Mit dem folgenden Befehl erstellen Sie z.B. einen Bereich, der den Zugriff auf die beiden angegebenen Datenbanken einschränkt: New-ManagementScope –Name 'CEO Databases' –DatabaseList 'CEO-Database1, CEO-StaffDatabase'

195

Kapitel 4

Rollenbasierte Zugriffssteuerung

Ein Datenbankfilter legt eine Bedingung fest, die Exchange bei der Ermittlung der gewünschten Datenbanken heranzieht. Diese Vorgehensweise eignet sich vor allem dann, wenn sich der Umfang des Bereichs an einen schwankenden Satz von Datenbanken anpassen können muss. Voraussetzung dafür ist natürlich, dass Sie einen Filter erstellen können, der stets die richtigen Datenbanken bezeichnet. In dem folgenden Beispiel setzen wir einen Filter ein, der alle Datenbanken mit dem Präfix DUB auswählt: New-ManagementScope –Name 'Dublin Databases' –DatabaseRestrictionFilter {Name –Like 'DUB-*'}

Wenn Sie einen datenbankweiten Bereich erstellen, gewähren Sie den Zugriff auf Cmdlets zur Bearbeitung von Datenbanken, z.B. Set-MailboxDatabaseCopy. Beachten Sie dabei, dass sich manche Operationen sowohl mit einem datenbank- als auch mit einem serverweiten Bereich steuern lassen, während andere eine bestimmte Art von Bereich voraussetzen. Mit einem datenbankweiten Bereich können Sie beispielsweise die Fähigkeit, Postfächer mit New-Mailbox anzulegen und mit Move-Mailbox zu verschieben, auf eine Zieldatenbank einschränken. Ein serverweiter Bereich ist hier sinnlos, da die Postfachdatenbanken nicht an bestimmte Server gebunden sind. Insidertipp: Filtern nach anderen Eigenschaften als dem Datenbanknamen

Meistens werden zur Filterung die Namen von Datenbanken herangezogen, es ist aber auch möglich, nach anderen Eigenschaften zu filtern, z.B. nach der Datenbankbeschreibung. Für Filter, die nicht auf dem Datenbanknamen beruhen (sondern z.B. auf Eigenschaften wie der Beschreibung oder dem definierten Namen), ist es erforderlich, die betreffenden Eigenschaften diszipliniert zu pflegen, da der Bereich sonst nicht die gewünschten Datenbanken umschließt. Datenbankweite Bereiche funktionieren nur auf Servern mit Exchange Server 2010 SP1 oder höher. Im Abschnitt »Grundlagen von Verwaltungsrollenbereichfiltern« der Exchange-Hilfe finden Sie eine vollständige Liste aller Eigenschaften, die Sie in Datenbankfilter aufnehmen können.

Umsetzen eines Modells mit geteilten Berechtigungen Der Zugriff auf Active Directory-Objekte erfolgt mithilfe von Cmdlets, die den Admistratoren und Benutzern über ihre jeweiligen Rollengruppen zur verfügbar gemacht werden. Damit Exchange selbst aber diesen Zugriff bereitstellen kann, werden zwei sehr wichtige Sicherheitsgruppen eingesetzt: 쐍 Die Gruppe Exchange Trusted Subsystem erlaubt Exchange-Diensten und -Cmdlets, Objekte zu bearbeiten, die sich im ausschließlichen Besitz von Exchange befinden, z.B. Server, Connectors und besondere Eigenschaften eigens für E-Mail-aktivierte Objekte. 쐍 Die Gruppe Exchange Windows Permissions erlaubt Exchange-Diensten und -Cmdlets, Objekte zu bearbeiten, die häufig der Steuerung durch Active Directory-Administratoren unterliegen, z.B. Benutzer- und Gruppenobjekte. Bei der standardmäßigen Exchange-Installation wird Exchange Trusted Subsystem zu einem Mitglied der Gruppe Exchange Windows Permissions gemacht, damit die Dienste und Cmdlets von Exchange Vollzugriffe auf sämtliche Inhalte von Active Directory haben. In vielen Unternehmen stellt die

196

Zusammenlegung der Verwaltungsberechtigungen für Exchange und Windows in einem Sicherheitsmodell, nach dem Administratoren sowohl Exchange als auch Active Directory steuern können, kein Problem dar, vor allem wenn ohnehin nicht deutlich zwischen diesen beiden Verwaltungsbereichen unterschieden wird. Es gibt jedoch Unternehmen, die diese beiden Gruppen von Administratoren klar voneinander trennen. Die Bedürfnisse solcher Firmen kann die normale Implementierung der rollenbasierten Zugriffssteuerung in Exchange Server 2010 nicht erfüllen. Auch in Exchange Server 2010 SP1 bleibt das Modell der gemeinsamen Verwaltung der Standard. Eine deutliche Trennung zwischen Exchange und Windows müssen Sie ausdrücklich einrichten. Bei Bedarf können Sie eines von zwei verschiedenen Modellen mit geteilten Berechtigungen einsetzen, wobei das eine auf Active Directory-Berechtigungen basiert und das andere auf der rollenbasierten Zugriffssteuerung. Das Modell der geteilten Active Directory-Berechtigungen weist die strengeren Einschränkungen auf, da hierbei die Fähigkeit zur Bearbeitung von Sicherheitsprinzipalen komplett aus Exchange entfernt wird. Das zweite Modell für geteilte Berechtigungen ist zu bevorzugen. Dabei schränken Sie die Berechtigungen zum Erstellen und Bearbeiten von Sicherheitsprinzipalen (z.B. Benutzerkonten) mithilfe der rollenbasierten Zugriffssteuerung auf wenige Konten ein, die Sie zu Mitgliedern einer entsprechenden Rollengruppe machen. Außerdem ermöglicht das Modell für geteilte Berechtigungen auf der Grundlage der rollenbasierten Zugriffssteuerung den Exchange-Administratoren, in Active Directory mit Exchange-spezifischen Objekten wie Verteilergruppen zu arbeiten. Wenn Sie das Modell der geteilten Active Directory-Berechtigungen nutzen möchten, müssen Sie die entsprechende Option beim Ausführen des Setupprogramms zur Installation der Exchange Server 2010-Organisation auswählen. Das können Sie sowohl in der grafischen Benutzeroberfläche von Setup tun (siehe Abbildung 4.6) als auch beim Ausführen von Setup.com zur Vorbereitung von Active Directory auf Exchange. Starten Sie dazu Setup.com mit den folgenden Parametern an einer Befehlszeile mit erhöhten Berechtigungen: C:> Setup /PrepareAD /ActiveDirectorySplitPermissions:True

Es ist möglich, zum normalen Berechtigungsmodell zurückzukehren, indem Sie Setup erneut ausführen, um die Änderungen an den Gruppen und Rollenzuweisungen rückgängig zu machen. Dazu verwenden Sie folgenden Befehl: C:> Setup /PrepareAD /ActiveDirectorySplitPermissions:False

Hinter den Kulissen wird die Trennung dadurch vollzogen, dass die Gruppe Exchange Trusted Subsystem aus der Gruppe Exchange Windows Permissions herausgenommen wird. Da alle Exchange Server-Computer Mitglieder von Exchange Trusted Subsystem sind, führt das dazu, dass die Exchange Server-Computer keine Active Directory-Objekte mehr bearbeiten können. Änderungen an solchen Objekten sind dann nur möglich, wenn Code (z.B. ein Cmdlet) von einem Konto mit ausreichenden WindowsBerechtigungen zur Aktualisierung von Active Directory ausgeführt wird. Des Weiteren werden die Rollenzuweisungen geändert, sodass Exchange-Administratoren nicht mehr die Möglichkeit haben, bestimme Tätigkeiten durchzuführen, z.B. neue E-Mail-aktivierte Konten anzulegen.

197

Rollenbasierte Zugriffssteuerung

Verbesserungen bei der rollenbasierten Zugriffssteuerung in Service Pack 1

Kapitel 4 Abbildg. 4.6

Rollenbasierte Zugriffssteuerung

Die Setupoption zum Anwenden des Modells geteilter Active Directory-Berechtigungen auf Exchange

Um das Modell geteilter Berechtigungen auf der Grundlage der rollenbasierten Zugriffssteuerung einzurichten, müssen Sie in Setup keine Änderungen vornehmen. Stattdessen erstellen Sie eine neue Rollengruppe mit den Konten, die Sicherheitsprinzipale bearbeiten dürfen, und weisen die Rollen zum Erstellen von Empfängern und Sicherheitsgruppen und zur Verwaltung von Mitgliedschaften zu. Die Mitglieder dieser neuen Rollengruppe sind in der Regel die Active Directory-Administratoren. Außerdem fügen Sie noch die Möglichkeit zum Delegierung von Rollenzuweisungen hinzu, damit die Mitglieder der neuen Gruppe ihre Rollen auch auf andere Benutzer übertragen können. Anschließend entfernen Sie die bisherigen Rollenzuweisungen, die Benutzer in die Lage versetzen, z.B. neue Postfächer zu erstellen, sodass nur noch die Mitglieder der neuen Gruppe solche Tätigkeiten durchführen können. Insidertipp: Eine Testorganisation als Ausgangspunkt

In der Exchange-Dokumentation finden Sie alle notwendigen Informationen, um ein Modell geteilter Berechtigungen entweder auf der Grundlage von Active Directory-Berechtigungen oder der rollenbasierten Zugriffssteuerung aufzubauen. Unter anderem erfahren Sie auch, wie Sie eine Organisation mit der RTM-Version von Exchange Server 2010 bei der Bereitstellung von SP1 auf das ausgewählte Modell umstellen können. Wie alle anderen Vorgänge, die mit Berechtigungen zu tun haben, erfordert auch dieser sorgfältige Planung und Tests. In einem ersten Schritt müssen Sie das Modell daher in einer Testorganisation ausprobieren, um herauszufinden, ob es tatsächlich Ihre Bedürfnisse befriedigt. Außerdem gebietet es der gesunde Menschenverstand, sich vor jeglichen Änderungen an der Organisation mit den Active Directory-Administratoren zusammenzusetzen, um das optimale Berechtigungsmodell für die Sicherheits-, Betriebs- und Geschäftsbedürfnisse zu bestimmen. Drittens müssen Sie sicherstellen, dass die Änderungen, die Sie an den Berechtigungen vornehmen, keine Störungen in anderen Anwendungen hervorrufen, die mit Exchange in Beziehung stehen, z.B. Systeme zur Kontenbereitstellung und zur Identitätsverwaltung.

198

Berichte zur rollenbasierten Zugriffssteuerung in Exchange Best Practices Analyzer Inzwischen sollten Sie von der Wichtigkeit der rollenbasierten Zugriffssteuerung für Exchange überzeugt sein. Weil sie so wichtig ist, wäre es gut, ihren Zustand in der Organisation auch in Exchange Best Practices Analyzer (ExBPA) analysieren und einen Bericht über die Probleme ausgeben zu können, die noch gelöst werden müssen. Vielleicht fragen Sie sich, wieso eine Analyse der rollenbasierten Zugriffssteuerung in Exchange Best Practices Analyzer vor Version SP1 nicht möglich war. Die Antwort ist einfach: Es gab noch nicht genügend Erfahrungswerte aus der Praxis, die Belege für empfehlenswerte Vorgehensweisen oder mögliche Probleme lieferten, und daher war es nicht möglich, Regeln für ExBPA zu erstellen, um Probleme aufzuspüren und Empfehlungen auszusprechen. ExBPA meldet unter anderem folgende Probleme: 쐍 Fehlende Container für die rollenbasierte Zugriffssteuerung (ein sehr grundlegendes Problem) 쐍 Fehlende vorgefertigte Rollentypen und Rollentypen (möglicherweise wurden sie von einem Administrator gelöscht, der mit den Cmdlets zur rollenbasierten Zugriffssteuerung herumgespielt hat) 쐍 Mehrere Standardrollenzuweisungsrichtlinien Für Probleme wie die folgenden werden Warnungen ausgegeben: 쐍 Für eine bestimmte Rollengruppe gibt es keine Zuweisung. 쐍 Die Rollengruppe Organization Management ist leer. (Wer verwaltet die Organisation?) 쐍 Es gibt keine Standardrollenzuweisungsrichtlinie. (Ohne sie können die Benutzer nicht auf die Exchange-Systemsteuerung zugreifen.) 쐍 In der Standardrollenzuweisungsrichtlinie fehlt die Rolle MyBaseOptions. (Die Benutzer können ihre Postfacheinstellungen nicht ändern.) 쐍 Einige Postfächer verfügen nicht über die Standardrollenzuweisungsrichtlinie. (Die betroffenen Benutzer können ihre Postfacheinstellungen nicht ändern.) 쐍 Es gibt einen exklusiven Bereich ohne Rollenzuweisungen. (Das kann Probleme beim Datenzugriff verursachen.) Das sind die häufigsten Probleme, die bei der rollenbasierten Zugriffssteuerung auftreten, weshalb diese Liste einen guten Ausgangspunkt für Verbesserungen darstellt. Mit zunehmenden Erfahrungen beim Einsatz der rollenbasierten Zugriffssteuerung in Produktionsumgebungen kommen wahrscheinlich noch andere Probleme ans Licht, die in zukünftige ExBPA-Berichte aufgenommen werden.

Validierungsregeln für die rollenbasierte Zugriffssteuerung Die Validierungsregeln hat Microsoft vor allem für die eigene Online-Hostingumgebung aufgestellt. Im Grunde genommen handelt es sich um datengesteuerte Regeln, die von Microsoft festgelegt wurden, nicht geändert werden können und genau vorschreiben, wie sich die rollenbasierte Zugriffssteuerung unter ganz bestimmten Umständen zu Verhalten hat. Das beste Beispiel für ihre Anwendung in der Enterprise Edition von Exchange ist die Steuerung des Zugriffs auf Ressourcenpostfächer über die Exchange-Systemsteuerung. Wenn Sie das Postfach für einen Konferenzraum öffnen, möchten Sie seinen Kalender einsehen und vielleicht Terminüberschneidungen lösen, aber in der Benutzeroberfläche

199

Rollenbasierte Zugriffssteuerung

Verbesserungen bei der rollenbasierten Zugriffssteuerung in Service Pack 1

Kapitel 4

Rollenbasierte Zugriffssteuerung

der Exchange-Systemsteuerung gibt es außerdem eine Reihe von Elementen, die für ein Raumpostfach keinen Sinn haben. Beispielsweise möchten Sie wahrscheinlich keine ActiveSync-Daten verwalten, da in dem Raumpostfach keine mobilen Geräte verwendet werden. Die Validierungsregeln, die in Exchange Server 2010 SP1 ausgeführt werden, entfernen daher einige der Oberflächenelemente für »normale« Postfächer. Die meisten Administratoren werden sich nicht einmal bewusst machen, dass es diese Validierungsregeln gibt, und sich auch nicht weiter darum kümmern, dass Microsoft sie in dem Produkt implementiert hat. Es ist jedoch gut zu wessen, was dafür sorgt, dass sich die Benutzeroberfläche an verschiedene Postfachtypen anpasst. Damit ist jetzt ein weiteres großes Mysterium unserer Zeit entschleiert.

Rollen in der Exchange-Systemsteuerung Neben einem Link in der Toolbox, der zur Exchange-Systemsteuerung führt, weist die Exchange-Verwaltungskonsole keine Benutzeroberfläche für den Umgang mit Rollen, Rollengruppen, -zuweisungen und -richtlinien auf. Alle Aspekte der rollenbasierten Zugriffssteuerung, die mit Endbenutzern (und deren Rollen) zu tun haben, werden in der Exchange-Systemsteuerung abgewickelt, und für alle anderen müssen Sie auf die Exchange-Verwaltungsshell zurückgreifen. Der Grund dafür mag daran liegen, dass Microsoft die Exchange-Verwaltungskonsole als Werkzeug für häufig vorkommende Routineaufgaben ansieht, wohingegen die Definitionen von Rollen oder Rollengruppen wahrscheinlich nicht sehr häufig geändert werden müssen. Wenn sich der Entwurf von Microsoft bewährt, wird in den meisten Bereitstellungen einfach der Standardsatz von Definitionen akzeptiert und niemals geändert. In der Exchange-Systemsteuerung von Exchange Server 2010 können Administratoren Rollen zu Benutzern zuweisen und die Standardrollenzuweisungsrichtlinie anpassen.

Zurechtfinden in der rollenbasierten Zugriffssteuerung Die Arbeitsweise eines Administrators in einer kleinen Exchange-Umgebung wird sich durch die rollenbasierte Zugriffssteuerung wahrscheinlich kaum ändern. Wenn Sie gewohnt sind, sich mit dem Administratorkonto anzumelden, um alle möglichen Aufgaben durchzuführen, können Sie das nach wie vor tun, denn dieses Administratorkonto ist standardmäßig Mitglied der Rollengruppe Organization Management und hat daher den vollständigen Lese- und Schreibzugriff auf sämtliche Objekte in der Exchange-Organisation, ebenso wie es in Active Directory praktisch alles tun kann. Die Konsequenzen und die Nützlichkeit der rollenbasierten Zugriffssteuerung zeigen sich mehr in großen Umgebungen, in denen häufig eine präzisere Steuerung für Administratorrollen erforderlich ist. Insidertipp: Ein guter Ratschlag

Sie können zwar bis ins Extreme genau festlegen, was jemand tun darf, doch Microsoft gibt den guten Ratschlag, auf besondere Rollenzuweisungen zu einzelnen Benutzern zu verzichten, da die Sicherheitsumgebung dadurch zu kompliziert wird und sich vor allem angesichts der Personalfluktuation nur schwer verwalten lässt.

200

Wenn Sie damit anfangen, die Exchange-Implementierung der rollenbasierten Zugriffssteuerung zu verwenden, kann es kompliziert sein, sich in den Beziehungen zwischen Rollen, Rollengruppen, Rollenzuweisungen, Bereichen und Benutzern zurechtzufinden. Am besten ist es, sich Zeit zu nehmen und damit vertraut zu machen, wie die einzelnen Komponenten zusammenspielen, bevor Sie Änderungen an den Standardzuweisungen vornehmen oder ihre eigenen Rollengruppen und Zuweisungen nach dem Bedarf in Ihrer Organisation hinzufügen. Lernen Sie auf einem Testserver die rollenbasierte Zugriffssteuerung kennen. Probieren Sie einige der Befehle aus, die wir in diesem Abschnitt vorgestellt haben, um sich mit den Prinzipien und ihrer Umsetzung in Exchange Server 2010 vertraut zu machen. Mit der Zeit wird das Bild klar werden.

Andere Verwaltungswerkzeuge Exchange schmückt sich auch noch mit anderen Verwaltungswerkzeugen, mit denen Administratoren viel Zeit verbringen werden. Es ist daher wichtig, dass wir uns nicht nur mit dem neuen rollenbasierten Autorisierungsmodell vertraut machen, das jetzt den Zugriff der Administratoren auf die verschiedenen Teile des Produkts bestimmt, sondern auch mit der Exchange-Verwaltungskonsole und der Exchange-Systemsteuerung. Als Nächstes sehen wir uns daher die Exchange-Verwaltungskonsole und die vielen Möglichkeiten an, die sie für die Benutzerverwaltung bietet.

201

Rollenbasierte Zugriffssteuerung

Andere Verwaltungswerkzeuge

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Kapitel 5

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

In diesem Kapitel: Die Exchange-Verwaltungskonsole

205

Freigaberichtlinien

226

Zertifikatverwaltung

229

Die Exchange-Systemsteuerung

234

Grundlegende Aufgaben für Benutzer in der Exchange-Systemsteuerung

237

Administratoraufgaben in der Exchange-Systemsteuerung

247

Gruppenverwaltung in der Exchange-Systemsteuerung

257

Diagnosemöglichkeiten für Exchange Server-Computer

270

Was wird verwaltet?

272

203

Kapitel 5

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

Es ist alles andere als sinnvoll, ein E-Mail-System zu unterhalten, wenn niemand darüber kommunizieren kann. Um das möglich zu machen, müssen Sie zunächst die Werkzeuge kennenlernen, mit denen Sie die verschiedenen Objekte des Systems verwalten können. Microsoft wurde früher nicht ganz zu Unrecht dafür kritisiert, dass sich Exchange nur schwer verwalten ließ, was größtenteils daran lag, dass zur Aktivierung oder Verwaltung einzelner Funktonen schlecht dokumentierte und altertümliche Registrierungseinstellungen verwendet werden mussten. Außerdem haben viele Kunden nach Verwaltungsmöglichkeiten für verschiedene Arten von Administratoren gefragt – vom lokalen Administrator, der nur bestimmte Aufgaben auf einem einzigen Server ausführt, über das interne Supportpersonal bis zum Organisationsadministrator. Wenn Sie in Exchange Server 2003 oder 2007 jemandem die Möglichkeit geben wollten, Benutzereigenschaften zu ändern, z.B. Angaben über den Arbeitsplatz, dann mussten Sie ihm Zugriff auf die komplette Verwaltungskonsole geben. Abgesehen davon war es kompliziert, Berechtigungen für die Arbeit mit Exchange zu gewähren und zu verwalten. Das war gefährlich, denn dadurch konnte es vorkommen, dass unerfahrene Benutzer versehentlich wichtige Daten änderten. Es gab auch keine Möglichkeit, in den Verwaltungswerkzeugen die Vorgänge auf einem Exchange Server-Computer zu überwachen. Das Verwaltungsmodell, das den früheren Versionen von Exchange zugrunde lag, führte dazu, dass die Administratoren viel zu viel Zeit für banale Aufgaben aufwenden mussten, damit die ExchangeOrganisation funktionsfähig blieb, statt sich um produktivere Dinge zu kümmern. Neben der Investition in den PowerShell-Remotezugriff und die dramatische Vermehrung der Cmdlets, die in der Exchange-Verwaltungsshell zur Verfügung stehen, hat Microsoft in Exchange Server 2010 einen dreifachen Ansatz zur Verwaltung eingeführt: 1. Die Exchange-Verwaltungskonsole ist für hauptberufliche Administratoren gedacht, die Zugriff

auf die ganze Palette der Möglichkeiten benötigen, um sämtliche Aspekte einer Organisation zu bearbeiten. Das Konzept und die Umsetzung der Verwaltungskonsole für Exchange sollte jedem vertraut sein, der jemals versucht hat, einen Exchange Server-Computer zu unterhalten. 2. In Microsoft Exchange Server 2010 wurde mit der Exchange-Systemsteuerung eine neue webgestützte Komponente für Personen eingeführt, die im Rahmen ihrer Haupttätigkeit auch hin und wieder Exchange-Verwaltungsaufgaben wahrnehmen müssen und daher nur Zugriff auf bestimmte Objekte benötigen. Beispielsweise trifft das auf das Supportpersonal zu, das sich um die Pflege von Benutzerkonten kümmert. Die Exchange-Systemsteuerung ist eng mit der rollenbasierten Zugriffssteuerung und dem neuen Zugriffsmodell verknüpft, das wir im Abschnitt »Automatisch generierte PowerShell-Befehle« weiter hinten in diesem Kapitel besprechen. Der große Vorteil des rollenbasierten Ansatzes besteht darin, das sich die Autorisierung an den Aufgaben orientiert, die die Benutzer durchführen, und nicht an den zugrunde liegenden Active Directory-Objekten, auf die sich die Aufgaben beziehen. Es ist einfacher, ein Verständnis für solche Rollen zu entwickeln und Einzelpersonen die richtigen Rollen zuzuweisen, als sich mit komplizierten Active Directory-Berechtigungen herumschlagen zu müssen. 3. Um Einstellungen zu ändern, die keinerlei Auswirkungen auf den Systembetrieb oder die Leistung haben, sollten sich die Benutzer nicht an den Administrator oder das Supportpersonal wenden müssen. In Exchange Server 2010 stehen über OWA (Outlook Web App) jetzt weit mehr durch die Benutzer einstellbare Optionen zur »Selbstbedienung« zur Verfügung als früher. Beispielsweise können die Benutzer jetzt selbst Verteilergruppen beitreten oder sich daraus entfernen, sofern dies in den Gruppeneigenschaften zugelassen ist. In diesem Kapitel sehen wir uns die Änderungen an, die an der Exchange-Verwaltungskonsole in Exchange Server 2010 vorgenommen worden sind, und beschäftigen uns mit der Exchange-Systemsteuerung, bevor wir uns im nächsten Kapitel um die verschiedenen Arten von Postfächern und Gruppen kümmern. 204

Die Exchange-Verwaltungskonsole In Exchange gab es schon immer eine Verwaltungskonsole. Die erste Generation enthielt das Programm ADMIN, die zweite den Exchange-System-Manager, und in Exchange Server 2007 wurde die Exchange-Verwaltungskonsole eingeführt. Sowohl der Exchange-System-Manager als auch die Exchange-Verwaltungskonsole sind MMC-Snap-Ins (Microsoft Management Console). Für andere Elemente seiner grafischen Oberfläche, z.B. die vielen Assistenten zum Erstellen und Konfigurieren von Objekten, nutzt die Exchange-Verwaltungskonsole ausführlich Microsoft .NET Windows Forms.

Änderungen an der Konsole in Exchange Server 2010 Für Administratoren, die an Exchange Server 2007 gewöhnt sind, stellt die Version der Exchange-Verwaltungskonsole in Exchange Server 2010 (siehe Abbildung 5.1) im Großen und Ganzen vertrautes Terrain dar. Sie ist anders aufgebaut als der Exchange-System-Manager von Exchange Server 2003, aber unmittelbar verständlich, da die verschiedenen Objekte, die in einer Exchange-Organisation verwaltet werden müssen, logisch aufgeteilt sind. Manchmal müssen Sie überlegen, wo eine bestimmte Einstellung untergebracht sein könnte, aber im Allgemeinen lassen sich die verschiedenen Elemente schnell finden. Abbildg. 5.1

Die Verwaltungskonsole von Exchange Server 2010

205

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Die Exchange-Verwaltungskonsole

Kapitel 5

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

Die Informationen über eine Exchange-Konsole sind von oben nach unten in die folgenden Hauptbereiche gegliedert: 쐍 Organisationskonfiguration Hier haben Administratoren Zugriff auf Einstellungen, die die ganze Organisation betreffen. Beispielsweise richten Sie hier E-Mail-Adressrichtlinien ein und erstellen neue E-Mail-Adressen für Empfänger oder neue Transportregeln für sämtliche ausgehenden Nachrichten. Außerdem ist dies die Stelle, an der Sie Datenbankverfügbarkeitsgruppen (und die zugehörigen Datenbankkopien) verwalten. 쐍 Serverkonfiguration Hier können Administratoren die Konfiguration von Postfach-, Clientzugriffs- und Hub-Transport-Servern bearbeiten, z.B. die von Exchange verwendeten Zertifikate. Wenn in Ihrer Organisation Unified Messaging verwendet wird, erfolgt hier auch die Konfiguration der UM-Server. Beispielsweise richten Sie in diesem Abschnitt die Sende- und Empfangsconnectors von Hub-Transport-Servern ein und legen fest, wie die Dateien für das Outlook-Offlineadressbuch durch die Clientzugriffsserver verteilt werden. 쐍 Empfängerkonfiguration Hier können Administratoren mit allen Arten von E-Mail-aktivierten Empfängern arbeiten: Postfächer (auch verknüpfte, Raum- und Gerätepostfächer) und Kontakte (einschließlich E-Mail-Benutzer). In diesem Abschnitt der Verwaltungskonsole erstellen Sie auch Verschiebeanforderungen. Das ist die neue Methode, um Postfächer innerhalb einer ExchangeOrganisation oder von einer Exchange-Organisation zu einer anderen zu verschieben. 쐍 Toolbox Wie in Exchange Server 2007 bietet dieser Abschnitt der Verwaltungskonsole Zugriff auf verschiedene Hilfsprogramme von Microsoft, die außerhalb der Konsole ausgeführt werden. Den Inhalt dieses Werkzeugkastens beschreiben wir ausführlicher in Kapitel 15, »Die ExchangeToolbox«. 쐍 Postfach Vollständige Gesamtstruktur Die Aufnahme von Exchange-Gesamtstrukturen in die Exchange-Verwaltungskonsole ermöglicht es, bis zu zehn Exchange-Organisationen von einer Stelle aus zu verwalten. Eine Exchange-Gesamtstruktur ist nichts anderes als eine Exchange-Organisation, die zu einer Active Directory-Gesamtstruktur gehört, wobei eine Active Directoy-Gesamtstruktur immer nur eine Exchange-Gesamtstruktur beherbergen kann. Dank dieser Änderung können Sie in der Exchange-Verwaltungskonsole gleichzeitig sowohl Objekte einer lokalen Exchange-Organisation als auch einer Organisation in einer Hostingumgebung bearbeiten. In Exchange Server 2010 verfügt die Verwaltungskonsole unter anderem über die folgenden bemerkenswerten Neuerungen: 쐍 Die Funktion zur Organisationsintegrität bietet Administratoren eine Momentaufnahme der entscheidenden Daten (Postfächer, Server usw.) über die Organisation. 쐍 Es ist möglich, ein Protokoll der während einer Konsolensitzung ausgeführten PowerShellBefehle zu erstellen und zur späteren Durchsicht zu exportieren. 쐍 Befehle können für eine ausgewählte Gruppe von Objekten ausgeführt werden, es ist also nicht mehr nötig, die Objekte einzeln zu markieren und zu ändern. 쐍 Die Diagnoseebene für Exchange-Komponenten kann in der Konsole festgelegt werden. In Exchange Server 2007 mussten Sie dazu auf die Verwaltungsshell zurückgreifen. 쐍 Es gibt Benutzeroberflächen für neue Funktonen wie Datenbankverfügbarkeitsgruppen und die Verbindungsprüfung in der Toolbox. 쐍 Die Benutzeroberfläche zum Erstellen und Verwalten von Speichergruppen wurde entfernt. 쐍 Links zu Ressourcen aus der Exchange-Community helfen Administratoren, externe Hilfe und Informationen über das Produkt zu finden.

206

쐍 Es gibt noch verschiedene weitere Aktualisierungen und Verbesserungen (und einige Korrekturen von Fehlern). Beispielsweise können Sie beim Erstellen eines neuen Postfachs einen Benutzerprinzipalnamen (User Principal Name, UPN) aus den in der Active Directory-Gesamtstruktur bekannten UPN-Suffixen zuweisen. TIPP

Mit Get-UserPrincipalNameSuffix können Sie feststellen, welche Suffixe vorhanden

sind. Insidertipp: Hinter den Kulissen

Hinter den Kulissen sind an der Exchange-Verwaltungskonsole die folgenden beiden wichtigen Änderungen vorgenommen worden: 쐍 Erstens stützt sich die Exchange-Verwaltungsshell wie alle anderen Verwaltungskomponenten auf den PowerShell-Remotezugriff und muss daher beim Start Verbindung mit einem Exchange Server 2010-Computer aufnehmen. Wenn die Konsole keine PowerShell-Remotesitzung aufbauen kann, ist sie auch nicht in der Lage, Active Directory zu erreichen, um Exchange-Konfigurationsdaten abzurufen. 쐍 Zweitens gründen sich alle Berechtigungen in Exchange jetzt auf die rollenbasierte Zugriffssteuerung. Die Exchange-Verwaltungskonsole prüft, zu welchen Rollen der Benutzer gehört, der die sie gestartet hat, und zeigt dann nur die für diese Rollen zulässigen Optionen an. Diese Neuerungen sind jedoch mit einer Leistungseinbuße erkauft worden, weshalb die Version der Verwaltungskonsole in Exchange Server 2010 nicht so schnell startet wie ihr Gegenstück in Exchange Server 2007. Da sämtliche Daten durch eine PowerShell-Remotesitzung geschleust werden müssen, verlangsamt das auch häufig die Aktualisierung des Bildschirms oder der Datenabruf, wie die entsprechende Meldung in der linken unteren Ecke des Konsolenfensters anzeigt. In SP1 hat Microsoft die Startgeschwindigkeit der Exchange-Verwaltungskonsole durch Vorabladen von PowerShell, optimierte Verwendung der rollenbasierten Zugriffssteuerung und neue Cmdlets wie Get-OrganizationHealth zur Beschleunigung des Abrufs von Active Directory-Daten erhöht, aber die Leistung ist immer noch geringer als in Exchange Server 2007. Die Exchange-Verwaltungskonsole enthält jetzt auch eine interessante neue Funktion, mit der Administratoren E-Mails an Benutzer senden können. Bevor Sie sie nutzen können, müssen Sie auf dem Computer, auf dem die Verwaltungskonsole ausgeführt wird, jedoch einen E-Mail-Client einrichten. Auf einer Arbeitsstation ist das wahrscheinlich kein Problem, aber auf einem Server ist es möglicherweise nicht akzeptabel. Wie alle anderen Bestandteile von Exchange ist auch die Verwaltunskonsole mehrsprachig und zeigt ihre Oberfläche in der Sprache an, die in Windows für das ausführende Konto ausgewählt wurde. Bevor Sie eine bestimmte Sprache auswählen können, müssen Sie jedoch das entsprechende Exchange-Sprachpaket auf dem Computer installieren. Steht die ausgewählte Sprache nicht zur Verfügung, wird Exchange standardmäßig in Englisch angezeigt. In mehrsprachigen Umgebungen sollten Sie auf allen für die Verwaltung genutzten Arbeitsstationen und Servern denselben Satz von Sprachen installieren. Die meisten Unternehmen installieren in einer solchen Situation einfach das gesamte Exchange-Sprachpaket, um Zugriff auf alle möglichen Sprachen zu haben. Dafür ist ein wenig mehr an Speicherplatz erforderlich, doch abgesehen davon wird der Server dadurch nicht zusätzlich belastet. Die Sprachpakete enthalten lokalisierte Zeichenketten, die nur bei Bedarf verwendet werden.

207

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Die Exchange-Verwaltungskonsole

Kapitel 5

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

Ein veränderter Ansatz gegenüber Exchange Server 2003 Wenn Sie von Exchange Server 2003 auf Exchange Server 2010 aktualisierten, können Sie einen großen Unterschied in der Art und Weise erkennen, in der Exchange mit Active Directory-Objekten umgeht. E-Mail-aktivierte Empfänger sind Active Directory-Objekte und werden in Active DirectoryBenutzer und -Computer angezeigt, und in Exchange Server 2003 waren Sie es gewohnt, Empfänger über diese Konsole zu verwalten. In Exchange Server 2003 mussten Sie ständig zwischen den beiden Verwaltungsprogrammen wechseln: Empfängereigenschaften haben Sie in Active Directory-Benutzer und -Computer festgelegt und geändert, während die Verwaltung Exchange-spezifischer Objekte wie Server und Connectors über den Exchange-Server-Manager erfolgte. Natürlich konnte auch der Exchange-Server-Manager auf die in Active Directory-Benutzer und -Computer erstellten Objekte zugreifen (sonst wären Sie niemals in der Lage gewesen, Postfächer zu verwalten), aber diese Beziehung war eher sekundär und außerdem nur zum Lesen geeignet. Mit der Ersetzung des Exchange-Server-Managers in Exchange Server 2007 hat Microsoft eine grundlegende Änderung vorgenommen, um sämtliche Funktionen, die die Exchange-Verwaltungskonsole zur vollständigen Verwaltung E-Mail-aktivierter Empfänger benötigt, an einer Stelle zusammenzuführen. Die PowerShell-Cmdlets, die den Verwaltungskonsolen von Exchange Server 2007 und 2010 zugrunde liegen, enthalten sämtlichen Code, der zur Bearbeiten der Active Directory-Objekte erforderlich ist, und die Exchange-Administratoren verfügen über die notwendigen Berechtigungen zur Aktualisierung von Active Directory. Da Sie jetzt alles von einer Konsole aus erledigen können, bietet Exchange eine klarere und einfachere Verwaltungsumgebung. Die Administratoren müssen nicht mehr von einer Konsole zur anderen wechseln, um ihre Arbeit zu erledigen. Ein anderer Vorteil besteht darin, dass jetzt sauber zwischen Administratoren für Active Directory und für Exchange unterschieden werden kann. In kleinen Organisationen werden beide Aufgaben häufig von denselben Personen ausgeführt, aber eine solche Trennung der Verwaltungsverantwortung ist in umfangreichen Umgebungen sehr wichtig. Dieser neue Ansatz bedeutet, dass Exchange keinen Add-In-Code für Active Directory-Benutzer und -Computer mehr installiert, sodass Sie von dort aus nicht mehr in der Lage sind, Benutzer, Kontakte und Gruppen für E-Mail zu aktivieren und neue Postfächer zu erstellen. Zwar können Sie in Active Directory-Benutzer und -Computer weiterhin Gruppen erstellen, aber sie dort nicht für E-Mail aktivieren. Außerdem ist es nicht möglich, von dieser Konsole aus dynamische Verteilergruppen zu erstellen. Die Exchange-Objekte werden jedoch weiterhin in Active Directory-Benutzer und -Computer angezeigt, und Sie können dort die allgemeinen Active Directory-Eigenschaften ändern, nicht aber die Exchange-spezifischen. TIPP Um sich die Trennung zwischen den beiden Konsolen deutlich zu machen, denken Sie daran, dass alle über das Cmdlet Set-User zugänglichen Eigenschaften in Active DirectoryBenutzer und -Computer verwaltet werden können, alle über die Cmdlets für Exchange-Empfänger wie Set-Mailbox und Set-DistributionGroup zugänglichen dagegen in der Exchange-Verwaltungskonsole. Abbildung 5.2 zeigt ein gutes Beispiel für die Trennung der Verantwortungsbereiche in der Praxis. Active Directory-Benutzer und -Computer kann eine Liste aller Empfänger in einer Organisationseinheit anzeigen, sodass Sie die Kontakte, Verteilergruppen und Benutzer sehen können. Zu den Verteilergruppen gehören sowohl E-Mail-aktivierte Verteiler- und Sicherheitsgruppen als auch »abfragebasierte Verteilergruppen«, wie dynamische Verteilergruppen in Active Directory genannt werden (so 208

hießen diese Gruppen auch in Exchange, als sie in Exchange Server 2003 eingeführt wurden). Diese Objekte sind zwar sichtbar, aber Sie haben keinen Zugriff auf ihre Eigenschaften. Die Exchangebezüglichen Informationen, die früher aufgrund des von Exchange in der Konsole installierten AddIn-Codes in Active Directory-Benutzer und -Computer verfügbar waren, werden jetzt nicht mehr bereitgestellt. Abbildg. 5.2

Dynamische Verteilergruppen in Active Directory-Benutzer und -Computer

Verwalten von Exchange Server 2010- und Exchange Server 2007-Objekten Wie in Kapitel 2, »Installation von Microsoft Exchange Server 2010«, gesagt, versieht Exchange Objekte wie Postfächer und Connectors mit einer Versionsnummer, anhand derer die Verwaltungswerkzeuge erkennen können, ob Sie ein Objekt bearbeiten können oder nicht. Zur Verwaltung eines Objekts sollten Sie immer noch die Konsole der Version verwenden, mit der Sie es erstellt haben. Falls sie nicht mehr zur Verfügung steht, können Sie im Allgemeinen die neueste Version der Verwaltungskonsole nehmen, da sie wahrscheinlich rückwärtskompatibel mit den älteren Versionen ist. Eine Vorwärtskompatibilität für Objekte, die sich von einer Version zur anderen radikal ändern können, ist in Software nur sehr selten anzutreffen. Es gibt jedoch einige Ausnahmen von dieser allgemeinen Richtlinie, denn einige Änderungen sind zu gravierend, um rückwärtskompatiblen Code zu erstellen: 쐍 Postfachdatenbanken von Exchange Server 2007 können Sie zwar in der Verwaltungskonsole von Exchange Server 2010 anzeigen, aber nicht verwalten, da Exchange Server 2010 keinerlei Kenntnisse über die Speichergruppen hat, an die die Datenbanken der früheren Version gebunden waren. 쐍 Mit der Verwaltungskonsole von Exchange Server 2010 können Sie Exchange Server 2007-Postfächer nicht für Unified Messaging aktivieren oder deaktivieren. Auch die Verwaltung von mobilen Geräten, die mit Postfächern auf Exchange Server 2007-Computern synchronisiert werden, ist nicht möglich. Das liegt an den Änderungen, die in Exchange Server 2010 an Unified Messaging und ActiveSync vorgenommen wurden. 209

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Die Exchange-Verwaltungskonsole

Kapitel 5

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

쐍 Die Warteschlangenanzeige von Exchange Server 2010 kann keine Verbindung zu einem HubTransport-Server mit Exchange Server 2007 aufnehmen, um Informationen über Nachrichten in dessen Warteschlangen abzurufen. 쐍 Aufgrund der veränderten Struktur und der stark erweiterten Möglichkeiten können Exchange Server 2010-Transportregeln nur in der Verwaltungskonsole dieser Version angezeigt werden. 쐍 Postfachserver mit Exchange Server 2010 weisen ganz andere Eigenschaften auf als ihre Vorgänger, denn einerseits müssen sie jetzt auch in Datenbankverfügbarkeitsgruppen eingesetzt werden können, während andererseits einige veraltete Eigenschaften (z.B. für Speichergruppen) entfernt wurden. Daher können Postfachserver mit Exchange Server 2007 und 2010 jeweils nur über ihre eigene Version der Verwaltungskonsole bearbeitet werden. 쐍 Auch wenn die Daten ähnlich erscheinen mögen, können Sie von Exchange Server 2010 aus keine Nachrichtenverfolgung für Exchange Server 2007 durchführen und umgekehrt. Stattdessen müssen Sie die Nachrichtenverfolgung erst auf den Servern einer Version durchführen und dann ggf. zu denen der anderen wechseln, um den Vorgang abzuschließen. Bei der Verwendung der Verwaltungskonsole von Exchange Server 2010 für ältere Objekte können noch weitere kleinere Unstimmigkeiten auftreten. Im Zweifelsfall sollten Sie die Version des Verwaltungswerkzeugs einsetzen, mit dem Sie das betreffende Objekt erstellt haben.

Starten der Exchange-Verwaltungskonsole Wie die Exchange-Verwaltungsshell basiert auch die Verwaltungskonsole von Exchange Server 2010 auf dem PowerShell-Remotezugriff und der rollenbasierten Zugriffssteuerung. Wenn die Konsole startet, nimmt sie Kontakt mit einem Server auf, um eine PowerShell-Remotesitzung zu initialisieren. Gewöhnlich wählt sie dabei den Computer aus, auf dem sie ausgeführt wird, sofern darauf auch Exchange Server 2010 läuft, allerdings können Sie auch einen anderen Server auswählen, indem Sie auf den Stammknoten der lokalen Exchange-Organisation rechtsklicken, um die Eigenschaften aufzurufen. Dort können Sie erkennen, mit welchem Server die Konsole zurzeit verbunden ist, und können sich zwischen der automatischen Verbindung mit einem Server oder der manuellen Auswahl eines bestimmten Servers entscheiden (siehe Abbildung 5.3). Nachdem die Verwaltungskonsole eine PowerShell-Remotesitzung eingerichtet hat, ruft sie die Daten ab, mit denen sie ihre Benutzeroberfläche füllt. Das können Sie daran erkennen, dass unten links in der Konsole die Meldung Aktualisieren: wird ausgeführt eingeblendet wird. Während der Initialisierung führt die Verwaltungskonsole die Cmdlets aus, die Informationen über die Organisation, die Server usw. abrufen (und die nach den Rollen des Kontos, unter dem die Konsole läuft, zugelassen sind), und füllt so seinen Cache mit wichtigen Daten über die Exchange-Organisation. Wenn der Benutzer später die einzelnen Knoten öffnet, führt die Konsole noch weitere Cmdlets aus, um Informationen über die betreffenden Objekte zu gewinnen. Wenn der Benutzer beispielsweise unter Serverkonfiguration auf Clientzugriff klickt, führt die Konsole Cmdlets wie Get-OWAVirtualDirectory, Get-OABVirtualDiretory und Get-ActiveSyncVirtualDirectory aus. Bewegt er sich zum Abschnitt Empfängerkonfiguration, wird der folgende Befehl gegeben, um Angaben über alle E-Mail-aktivierten Empfänger einzuholen. Die Anzahl der aus Active Directory abzurufenden Objekte ist beschränkt, die Objekte werden aber noch sortiert. Get-Recipient -PropertySet ConsoleLargeSet -ResultSize '500' -SortBy DisplayName -RecipientType 'DynamicDistributionGroup', 'UserMailbox','MailContact', 'MailUser','MailUniversalDistributionGroup','MailUniversalSecurityGroup', 'MailNonUniversalGroup' 210

Die Exchange-Verwaltungskonsole

Auswählen eines Servers für die Exchange-Verwaltungskonsole

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Abbildg. 5.3

Wenn die Verwaltungskonsole nicht auf den Server zugreifen kann

Es kann vorkommen, dass die Exchange-Verwaltungskonsole nicht in der Lage ist, auf einen Server zuzugreifen, um Daten abzurufen. Wie wir wissen, sind für den PowerShell-Remotezugriff komplizierte Verbindungen erforderlich, bevor Befehle erfolgreich ausgeführt werden können. Daran sind das Netzwerk, die Windows-Remoteverwaltung, die Internetinformationsdienste (IIS) und Active Directory beteiligt. Wenn es dabei zu Störungen kommt, kann die Exchange-Verwaltungskonsole keine Daten anzeigen. Außerdem ist es möglich, dass Verzögerungen von mehreren Minuten auftreten, in denen die Konsole nicht reagiert. Das geschieht häufiger in Organisationen mit Exchange Server-Computern älterer Versionen. In diesem Fall sehen Sie Fehlermeldungen der folgenden Art: Der Task konnte keine Verbindung mit IIS auf dem Server 'cas1.contoso.com' herstellen. Stellen Sie sicher, dass der Server vorhanden und von diesem Computer aus erreichbar ist: Der RPC-Server ist nicht verfügbar. Der Befehl 'Get-OwaVirtualDirectory' wurde ausgeführt.

Microsoft ist über dieses Problem informiert und arbeitet daran. Zum Initialisierungsvorgang gehört es auch, die RBAC-Rollenzuweisungen für den Benutzer abzurufen. Um die Exchange-Verwaltungskonsole nutzen zu können, sollte ein Benutzer über eine Verwaltungsrolle verfügen, da seine Möglichkeiten in der Konsole sonst stark eingeschränkt sind. Die Verwaltungskonsole greift auf die RBAC-Metadaten zu, die sie in ihrem Cache aufbewahrt, um dem Benutzer die Optionen anzuzeigen, die für ihn verfügbar sind. Hat ein Benutzer beispielsweise die Rolle View-Only Management, kann er keine Änderungen an den Objekten vornehmen. In der Verwaltungskonsole werden dadurch Felder grau angezeigt. Außerdem ist jedes unerreichbare Feld durch ein kleines, gelbes Schlosssymbol gekennzeichnet (siehe Abbildung 5.4). 211

Kapitel 5 Abbildg. 5.4

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

Eingeschränkter Zugriff auf die Exchange-Verwaltungskonsole

Es ist sinnvoll, eine maßgeschneiderte Benutzeroberfläche auf der Grundlage der jeweiligen Rolle eines Benutzers zusammenzustellen, um ihm den Ärger zu ersparen, wenn er versucht, eine Aufgabe auszuführen, für die er nicht die erforderlichen Berechtigungen hat. Selbst solche angepassten Konsolen werfen jedoch Fragen auf. So kann es vorkommen, dass die Benutzer sich fragen, wieso ihre Version der Konsole anders aussieht als die eines Kollegen (oder von dem abweicht, was sie in Büchern oder online gelesen haben). Nachdem die RBAC-Daten bei der Initialisierung der Konsole geladen wurden, bleiben sie jedoch statisch. Wenn eine Änderung an der Rolle des Benutzers vorgenommen wird, spiegelt sich dies in der Konsole erst dann wieder, wenn sie erneut geladen wird und die veränderten RBAC-Informationen aus Active Directory in ihren Cache lädt.

Zugriff der Konsole auf die Exchange-Daten Die Exchange-Verwaltungskonsole ist vollständig auf Active Directory angewiesen. Während einer Sitzung liest und schreibt sie Daten über Objekte, die sie aus dem Container der Microsoft ExchangeOrganisation im Konfigurationsnamenskontext abruft. Andere Daten stammen aus Postfachdatenbanken und den Datenbanken für öffentliche Ordner, aber die Quelle der meisten Informationen, die in der Konsole angezeigt werden, ist Active Directory. Die in Active Directory enthaltenen Informationen sind statisch und spiegeln keine Änderungen in Echtzeit wieder, denn das würde zu ständigen Replikationsanforderungen führen, um mit den Statusänderungen für Exchange-Objekte Schritt zu halten. Selbst wenn Active Directory mit der Replikation nachkommen könnte, würde diese übermäßige Aktivität das Netzwerk überfluten und produktivere Tätigkeiten behindern. Die Abhängigkeit von Active Directory ist der Grund dafür, dass die

212

Exchange-Verwaltungsshell manchmal flüchtige Daten ausgibt, die Sie in der Konsole niemals zu sehen bekommen. Beispielsweise können Sie sich mit dem Cmdlet Get-MoveRequestStatus ansehen, bis zu welchem Prozentsatz der Verschiebevorgang für ein Postfach abgeschlossen und wie hoch die augenblickliche Rate der Datenübertragung zwischen Quell- und Zielserver ist – Einzelheiten, die Sie in der Konsole niemals zu Gesicht bekommen. In der Exchange-Verwaltungskonsole wird der Status einer Verschiebeanforderung vom Start über »wird ausgeführt« bis zum Abschluss angezeigt, aber nur, wenn Sie die Anzeige aktualisieren. Insidertipp: Abrufen der neuesten Informationen

Da Ihnen die Exchange-Verwaltungskonsole im Grunde genommen nur eine statische Momentaufnahme der Objekte zeigt, die Sie sich ansehen, sollten Sie vor jeder Änderung die Anzeige aktualisieren, um sicherzugehen, dass sie auch die jüngsten Informationen haben und keine veralteten Daten. Wenn Sie beispielsweise die Anzeige der Postfächer aktualisieren, werden auch neu hinzugefügte Postfächer sichtbar, und geänderte Postfächer – die etwa auf einen anderen Server verschoben wurden oder die ein Archiv erhalten haben – werden mit ihrem neuen Status dargestellt. Ein weiteres Beispiel dafür, wie ärgerlich die Abhängigkeit von Active Directory sein kann, ist die Tatsache, dass die Exchange-Verwaltungskonsole bei der Auflistung der Postfächer nicht anzeigt, wie viel Speicherplatz sie jeweils einnehmen. Im Gegensatz zu den anderen Postfacheigenschaften, die dargestellt werden, wird der Speicherbedarf nicht in Active Directory vorgehalten. Um diese Angabe anzuzeigen, müsste die Exchange-Verwaltungskonsole den Informationsspeicherdienst aufrufen, um die Speicherdaten für die einzelnen Postfächer zu ermitteln. In einer kleinen Installation, in der sich alle Postfächer in derselben Datenbank befinden, mag dieser Zusatzaufwand akzeptabel sein, aber versuchen Sie sich einmal die Auswirkungen auf die Leistung auszumalen, wenn Daten über 30 Postfächer abgerufen werden müssen, die in 15 verschiedenen Datenbanken auf zehn Servern verteilt sind. Die Exchange-Verwaltungskonsole zeigt an, wie viel Speicher ein einzelnes Postfach zurzeit einnimmt, wenn Sie sich dessen Eigenschaften ansehen (siehe Abbildung 5.5). Gewöhnlich tritt eine kurze, aber merkliche Verzögerung auf, während diese Angabe abgerufen wird, da das zugrunde liegende Cmdlet Get-Mailbox auf die Active Directory-Informationen eines Domänencontrollers in der Domäne des Benutzers zugreifen muss, um sicherzustellen, dass die Informationen auf dem neuesten Stand sind. Der Umweg über einen bestimmten Domänencontroller verhindert, dass veraltete Informationen von einem globalen Katalogserver abgerufen werden. Außerdem verwendet die Konsole das Cmdlet GetMailboxStatistics, um Informationen vom Informationsspeicher abzurufen. Insgesamt werden also die beiden folgenden Befehle eingesetzt: Get-Mailbox –Identity 'Akers, Kim' –ReadFromDomainController Get-MailboxStatistics –Identity 'Akers, Kim'

In Abbildung 5.5 können Sie auch eine Änderung erkennen, die in Exchange Server 2010 SP1 vorgenommen wurde: Postfach und persönliche Archive eines Benutzers können jetzt in zwei verschiedenen Datenbanken untergebracht werden. HINWEIS Unter Umständen können Sie in den Postfacheigenschaften erkennen, dass die letzte Anmeldung von einem Konto aus geschah, das sich nicht im Besitz des Postfachs befindet. Das kann vorkommen, wenn sich ein anderer Benutzer mithilfe delegierter Berechtigungen daran angemeldet hat.

213

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Die Exchange-Verwaltungskonsole

Kapitel 5 Abbildg. 5.5

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

Postfacheigenschaften mit dem zurzeit genutzten Speicherplatz

Zwei wichtige Einstellungen bestimmen, wie die Exchange-Verwaltungskonsole Daten anzeigt. Die erste betrifft den Domänencontroller, von dem die Konsole die Konfigurationsdaten liest. Während der Initialisierung wird automatisch ein Domänencontroller des aktuellen Standorts ausgewählt, doch können Sie die Konsole anweisen, einen anderen Controller zu verwenden. Dazu rechtsklicken Sie auf den Knoten Organisationskonfiguration, klicken auf die Option Konfigurationsdomänencontroller ändern (siehe Abbildung 5.6) und wählen dann den gewünschten Domänencontroller aus. Abbildg. 5.6

214

Auswählen eines Konfigurationsdomänencontrollers für die Exchange-Verwaltungskonsole

Natürlich können Sie die Active Directory-Konfiguration auch mit Get-ExchangeServer abrufen (der Parameter Status ist erforderlich, damit die Verwaltungsshell diese Information von Active Directory abfragt) und den bevorzugten Domänencontroller mit Set-ExchangeServer auswählen: Get-ExchangeServer –Identity 'ExServer1' –Status Set-ExchangeServer –Identity 'ExServer1' -DomainController 'dc1.contoso.com'

Die zweite Einstellung legt fest, wie viele Objekte die Verwaltungskonsole im Ergebnisbereich höchstens anzeigt. Aus Leistungsgründen ist die Anzahl der von Active Directory abgerufenen Daten auf 1000 Objekte beschränkt. In kleinen Installationen kann dieser Wert wahrscheinlich so bleiben, denn selbst damit sollte es möglich sein, in der Konsole alles anzuzeigen, was es in der Organisation zu sehen gibt. Bei größeren Installationen sieht die Situation jedoch anders aus, da es dort vorkommen kann, dass Sie mehr als 1000 Objekte anzeigen lassen möchten. Wenn Sie beispielsweise 10.000 Postfächer auf einem Postfachserver unterhalten, stellt die Begrenzung auf 1000 Objekte schon eine Einschränkung dar. Um diese Einstellung zu ändern, wählen Sie im Aktionsbereich (dem Bereich am rechten Rand der Konsole, in dem mögliche Optionen für das markierte Objekt angezeigt werden) Die Anzahl der maximal anzuzeigenden Objekte ändern aus und geben den gewünschten Wert an (siehe Abbildung 5.7). Auch der Empfängerbereich wirkt sich auf die Anzeige der Daten in der Konsole aus. Diese Einstellung bestimmt die Größe des »Netzes«, das in Active Directory ausgeworfen wird, um Empfängerinformationen für die Anzeige in der Konsole abzurufen. Standardmäßig werden alle Exchange-Objekte in der Gesamtstruktur dargestellt. In sehr großen Organisationen ist es jedoch unmöglich, sich sämtliche Empfänger in der Gesamtstruktur anzusehen. Unter anderem wird dadurch die Maximalzahl der Objekte überschritten, und der Abruf einer solchen Menge würde darüber hinaus zu lange dauern. Daher können Sie einen Filter festlegen, indem Sie die Konsole anweisen, nur die Benutzer einer bestimmten Organisationseinheit anzuzeigen. Je nach Ihrer Active Directory-Struktur kann das eine sehr wirkungsvolle Methode sein, um sich auf die Benutzer in einer bestimmen Niederlassung, einem Land oder einer Region zu konzentrieren. Wenn Sie sämtliche E-Mail-aktivierten Objekte in einer einzigen Organisationseinheit unterbringen, hilft Ihnen dieser Filter natürlich auch nicht weiter, sodass Sie doch nur wieder sämtliche Empfänger abrufen. Das unterstreicht, wie wichtig es ist, sich vor Beginn der Bereitstellung genau zu überlegen, wie Sie E-Mail-aktivierte Objekte in Active Directory speichern möchten. Abbildg. 5.7

Ändern der Maximalzahl von angezeigten Objekten in der Echange-Verwaltungskonsole

215

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Die Exchange-Verwaltungskonsole

Kapitel 5

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

Ändern der Spalten in der Konsole Wie in jeder MMC können Sie auch hier mit der Option Spalten hinzufügen/entfernen des Menüs Ansicht die Spalten ändern, die beim Zugriff auf die verschiedenen Arten von Objekten angezeigt werden. Abbildung 5.8 zeigt, wie Sie dabei vorgehen. Ausgangspunkt sind die Standardspalten Anzeigename, Alias, Organisationseinheit, Empfängertypdetails und Primäre SMTP-Adresse. Sofern Sie die Anzeige der Verwaltungskonsole nicht auf einem sehr großen Bildschirm maximieren, können Sie gewöhnlich nur die ersten drei dieser Spalten sehen, aber wenn genügend Platz vorhanden ist, zeigt die Konsole alle an. HINWEIS Häufig interessiert sich ein Administrator auch dafür, in welcher Datenbank sich ein Postfach befindet, weshalb wir die Spalte Datenbank zu der Liste hinzugefügt und an dritter Stelle angeordnet haben. Manche Administratoren bevorzugen noch andere Arrangements, z.B. die Anzeige der Spalte Abteilung, sodass Sie auf deren Spaltenkopf klicken und die Postfächer nach Abteilungen ordnen können. Sie können eine Sortierung nach jeder beliebigen Spalte vornehmen, indem Sie auf deren Spaltenkopf klicken. Je nachdem, ob Sie mit der Organisations-, der Server- oder der Empfängerkonfiguration arbeiten, zeigt die Verwaltungskonsole unterschiedliche Arten von Objekten an, weshalb auch jeweils verschiedene Spalten zu sehen wind. Wenn Sie sich z.B. in der Organisationskonfiguration befinden und sich Einzelheiten über die Postfachserver ansehen, stehen Spalten zur Anzeige der Eigenschaften von Postfachservern zur Verfügung. Abbildg. 5.8

Auswählen von Spalten zur Anzeige in der Exchange-Verwaltungskonsole

Automatisch generierte PowerShell-Befehle Jedes Mal, wenn ein Assistent der Exchange-Verwaltungskonsole einen Befehl ausführt, zeigt er – wie in Exchange Server 2007 – den zugrunde liegenden PowerShell-Code an, den Sie dann mit (Strg)+ (C) kopieren können, um ihn später wiederzuverwenden. Auf diese Weise lernen Administratoren die Exchange-Verwaltungsshell zu nutzen und die Exchange-Cmdlets zu beherrschen, um selbst Skripts zur Automatisierung häufig vorkommender Verwaltungsaufgaben zu schreiben. 216

Microsoft hat diese Möglichkeit in Exchange Server 2010 erweitert und die Befehlsprotokollierung der Exchange-Verwaltungsshell auch auf andere Stellen ausgedehnt, an denen Befehle ausgeführt werden, z.B. die Änderung der Eigenschaften eines Objekts. In Abbildung 5.9 wird ein Postfach zur Bearbeitung markiert. Sobald Sie ein Feld ändern, zeigt die Konsole in der linken unteren Ecke des Eigenschaftendialogfelds für das Postfach ein kleines Shellsymbol an. Wenn Sie darauf klicken, sehen Sie den Code, den die Konsole ausführt, um die Änderung vorzunehmen. In diesem Code können Sie erkennen, dass Exchange den kanonischen Namen (Domäne und Konto) des Postfachs als Identitätsparameter bevorzugt. Der kanonische Name ist der definierte Name des Objekts in Active Directory und garantiert eindeutig, weshalb Exchange ihn vermutlich verwendet. Die meisten Administratoren verwenden beim Schreiben von Code für die Verwaltungsshell den Alias, den Anzeigenamen oder die SMTP-Adresse zur Bezeichnung von Postfächern, da diese Namen gewöhnlich schneller einzugeben und leichter erkennbar sind. Abbildg. 5.9

Anzeigen des PowerShell-Codes zur Bearbeitung eines Postfachobjekts

Diese Möglichkeit können Sie noch mit einer anderen neuen Funktion der Verwaltungskonsole von Exchange Server 2010 kombinieren, nämlich der Bearbeitung mehrerer Objekte oder Massenbearbeitung. In der früheren Version der Konsole konnten Sie immer nur ein Objekt markieren und bearbeiten, wohingegen Massenbearbeitungen (z.B. um die Postanschrift sämtlicher Benutzer zu ändern, da Ihre Firma in ein anderes Bürogebäude umgezogen ist) nur in der Verwaltungsshell möglich waren. Das war zwar auch eine schöne Gelegenheit, um seine Fähigkeiten im Schreiben von Skripts einzuüben, aber eine nervtötende Angelegenheit. Abbildung 5.10 veranschaulicht dies. Wir markieren in der Exchange-Verwaltungskonsole drei Postfächer und klicken dann im Aktionsbereich auf Eigenschaften. Die Konsole zeigt das übliche Eigenschaftendialogfeld für Postfächer an, füllt die bearbeitbaren Felder aber mit <current values> aus, um anzuzeigen, dass diese Felder in den einzelnen markierten Objekten möglicherweise unterschiedliche Werte haben. Jetzt können Sie neue Werte eingeben und auf das Shellsymbol klicken, um sich den 217

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Die Exchange-Verwaltungskonsole

Kapitel 5

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

Code anzusehen. Auch in diesem Beispiel lernen wir wieder etwas darüber, wie die Verwaltungsshell hinter den Kulissen funktioniert, denn hier können wir erkennen, wie eine Liste von Eingabewerten zur Verarbeitung durch die Shell angegeben wird (jedes Postfach wird mit seinem kanonischen Namen bezeichnet). Außerdem sehen wir, dass wir das Cmdlet Set-User verwenden müssen und nicht Set-Mailbox, um die Adress- und Telefoneigenschaften zu ändern, denn dies sind die Eigenschaften des Active Directory-Benutzerobjekts und nicht die des Postfachs. Wenn wir uns die geänderten Eigenschaften ansehen wollen, um zu überprüfen, dass sie korrekt übernommen wurden, müssen wir daher auch Get-User verwenden statt Get-Mailbox. Abbildg. 5.10

Anzeigen des PowerShell-Codes für die Massenbearbeitung von Postfächern

Nachdem Sie auf OK geklickt haben, um fortzufahren, weist die Konsole Sie darauf hin, dass die Änderungen auf mehrere Objekte angewendet werden. Diese zusätzliche Warnung soll Administratoren daran hindern, Fehler zu begehen, und zeigt an, wie viele Objekte geändert werden. Vielleicht haben Sie ja versehentlich 3000 Objekte markiert, die Sie in Wirklichkeit gar nicht alle ändern wollen!

Verwenden von Befehlsprotokollen der Verwaltungsshell Die Verwaltungskonsole kann auch die Einzelheiten sämtlicher Shellbefehle erfassen, die während einer Sitzung ausgeführt werden. Das ist für viele Zwecke sehr nützlich, z.B. um die Administratorbefehle auf sensiblen Systemen zu überwachen und um einen vollständigen Bericht an Microsoft oder eine andere Supportorganisation zu senden, in dem alle zur Reproduktion eines Problems erforderlichen Befehle enthalten sind. Anhand der in dem Protokoll erfassten Informationen können Sie auch ablesen, wie Exchange-Cmdlets funktionieren und korrekt formatierte Werte als Parameter zu übergeben sind. Die Erfassung der Befehle im Shellprotokoll ist standardmäßig aktiviert. 218

Um sich die Einträge im Befehlsprotokoll anzusehen, klicken Sie im Menü Ansicht auf Befehlsprotokoll der Exchange-Verwaltungsshell anzeigen. Die Konsole blendet dann ein weiteres Fenster ein, in dem alle aufgezeichneten Befehle zu sehen sind (siehe Abbildung 5.11). Hier könne Sie die Protokollierung ein- und ausschalten , die Inhalte des Protokolls in eine kommagetrennte Textdatei schreiben, ein vorhandenes Protokoll löschen usw. Abbildg. 5.11

Anzeigen der Einträge im Befehlsprotokoll der Verwaltungsshell

Abbildung 5.11 zeigt, wie die Protokollierung der Shellbefehle erfolgt. Die Angaben über die ShellCmdlets und Parameter werden im Hintergrund erfasst. Das Befehlsprotokoll bietet einen interessanten Einblick in die Abläufe der Verwaltungskonsole und zeigt, wie eng sie mit der Verwaltungsshell verknüpft ist. Sie können hier eine Menge Fingerzeige dazu finden, wie Sie Shellbefehle formulieren und wie Sie den Cmdlet-Parametern die passenden Werte übergeben. In diesem Fall können wir erkennen, dass die folgenden Schritte ausgeführt wurden: 1. Es werden zwei Postfächer gleichzeitig bearbeitet (der verwendete Befehl ist im unteren Bereich der

Befehlsansicht zu erkennen). Die Exchange-Verwaltungskonsole aktualisiert ihre Ansicht dann mit: Get-Recipient -PropertySet ConsoleLargeSet -ResultSize '1000' -SortBy DisplayName -RecipientType 'UserMailbox' 2. Der Administrator wechselt dann vom Postfachknoten unter Empfängerkonfiguration zu Verteiler-

gruppen, weshalb die Konsole von Active Directory Angaben über die Verteilergruppen abrufen muss. In Exchange Server 2010 SP1 wird hierfür anderer Code verwendet als in der RTM-Version, da die Konsole jetzt das Cmdlet Get-OrganizationalUnit aufruft, was schneller geht als die früher verwendeten Aufrufe. Get-OrganizationalUnit -IncludeContainers -Identity 'contoso.com' –SingleNodeOnly

219

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Die Exchange-Verwaltungskonsole

Kapitel 5

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

3. Der Administrator erstellt eine neue dynamische Verteilergruppe. Dazu legt er auch einen Filter

an, mit dem Exchange die Gruppenmitgliedschaft bestimmt. Mit der Vorschaufunktion sieht sich der Administrator an, ob der bereitgestellte Filter zur korrekten Gruppenmitgliedschaft führt (der Filter wird im Parameter -RecipientPreviewFilter am Ende des Befehls übergeben). Get-Recipient -ResultSize Unlimited -PropertySet ConsoleSmallSet -RecipientTypeDetails RemoteUserMailbox,RemoteRoomMailbox,RemoteEquipmentMailbox, RemoteSharedMailbox,MailUser,UserMailbox,LinkedMailbox,SharedMailbox,LegacyMailbox, RoomMailbox,EquipmentMailbox,PublicFolder,MailContact,MailForestContact, MailUniversalDistributionGroup,MailUniversalSecurityGroup,MailNonUniversalGroup, DynamicDistributionGroup -OrganizationalUnit 'contoso.com/Exchange Users' -RecipientPreviewFilter '(&(st=Berlin) 4. Wenn der Filter korrekt funktioniert, fährt der Administrator fort, um die neue dynamische Ver-

teilergruppe zu erstellen. Bei der Instanzierung verwendet der Filter eine der besonderen bedingten Eigenschaften. Weitere Informationen über dynamische Verteilergruppen erhalten Sie in Kapitel 6, »Verwalten von E-Mail-aktivierten Empfängern«. New-DynamicDistributionGroup -Name 'German Users' -RecipientContainer 'contoso.com/ Exchange Users' -IncludedRecipients 'MailboxUsers' -ConditionalStateOrProvince 'Berlin','Germany' -OrganizationalUnit 'contoso.com/Exchange Users' -Alias 'GermanUsers' 5. Als Nächstes wechselt der Administrator zum Knoten Organisationskonfiguration. Dadurch muss

die Verwaltungskonsole die Anzeige der Daten aktualisieren, was die Ausführung einer Reihe von Cmdlets zum Abrufen von Komponenten auf Organisationsebene erfordert, z.B. Postfachdatenbanken und Datenbanken öffentlicher Ordner (in Exchange Server 2010 befinden sich diese Objekte nicht mehr wie in früheren Versionen auf der Server-, sondern auf der Organisationsebene). 6. Der Administrator wechselt zum Knoten Hub-Transport und ändert die Eigenschaften eines Sendeconnectors. Das erste Cmdlet ruft die Eigenschaften des Connectors ab, sodass sie angezeigt werden können, das zweite ändert die Eigenschaft MaxMessageSize auf 20 MB, und das dritte aktualisiert die Connectorangaben in der Anzeige der Konsole. Beachten Sie, dass im dritten Fall der global eindeutige Bezeichner zur Identifizierung des Connectors verwendet wird, während in den ersten beiden Cmdlets der Anzeigename herangezogen wird. Get-SendConnector -Identity 'To Internet' Set-SendConnector -MaxMessageSize '20 MB (20,971,520 bytes)' -Identity 'To Internet Get-SendConnector -Identity 'ee1a81fc-7427-4191-8677-5a091a2d0a16'

Die neuen Funktionen der Massenbearbeitung und des Befehlsprotokolls eröffnen Administratoren neue Möglichkeiten, um die Exchange-Verwaltungsshell besser zu verstehen und für ihre eigenen Zwecke zu nutzen.

220

Die Exchange-Verwaltungskonsole

Um Namenskonventionen sollten Sie sich schon kümmern, wenn Sie den Plan für die Bereitstellung erarbeiten. In Kapitel 2 sind wir bereits auf Namenskonventionen für Server eingegangen. Es ist wichtig, dass ein Server einen Namen bekommt, der sinnvoll ist und seinen Zweck widerspiegelt, da das für Administratoren die Verwaltung der Organisation erleichtert. Es gibt jedoch noch andere wichtige Objekte, über deren Benennung Sie sich Gedanken machen müssen: 쐍 Benutzerpostfächer Schon seit vielen Jahren bevorzuge ich das Format Nachname, Vorname, da es die Schreibweise in Telefonbüchern nachahmt und man sich in globalen Adresslisten leichter in umfangreichen Benutzergruppen mit demselben Nachnamen (wie Müller oder Smith) zurechtfindet. Diese Konvention eignet sich auch für multinationale Unternehmen, die Vorkehrungen für Nachnamen nicht im europäischen Stil treffen müssen. Um dieses Thema kümmern wir uns eingehender in Kapitel 6. 쐍 Raum- und Gerätepostfächer Bei den meisten Unternehmen tragen die Räume bereits Bezeichnungen, sodass es Sinn hat, diesem bereits vorhandenen System zu folgen. Bei mehreren Gebäuden sollten Sie dem Raumnamen eine Gebäudebezeichnung voranstellen. Den Konferenzraum 2-120 in Gebäude V2 können Sie beispielsweise V2-2-120 nennen. Gewöhnlich sind die Benutzer mit den Gebäudenamen gut vertraut, sodass Sie sich für die Namen der Raumpostfächer ruhig einen solchen für Außenstehende unverständlichen Buchstaben- und Zahlensalat erlauben dürfen. 쐍 Verteilergruppen Im Idealfall sollten allgemeine Verteilergruppen in ihrem Namen den Zweck widerspiegeln (»Exchange 2010-Interessentenliste«), während die Namen der Gruppen für bestimmte Arten der geschäftlichen Kommunikatoin die Geschäftsgruppe und den Zweck angeben sollten (»Finanzabteilung_Planungsgruppe«). Gesunder Menschenverstand und Beratung mit dem Gruppenbesitzer über den Zweck der Gruppe sollten zu einem vernünftigen und leicht verständlichen Gruppennamen führen. 쐍 E-Mail-aktivierte Kontakte Für diese Objekte sollten Sie die gleiche Namenskonvention verwenden wie für Benutzerpostfächer. 쐍 Öffentliche Ordner Folgen Sie hier dem gleichen Ansatz wie für Verteilergruppen. Widerstehen Sie vor allem der Versuchung, rätselhafte Namen zu vergeben. Es ist schon kompliziert genug, sich in einer Hierarchie öffentlicher Ordner zurechtzufinden, ohne dass Sie dem Verständnis der Benutzer noch ein zusätzliches Hindernis in den Weg stellen. 쐍 Datenbankverfügbarkeitsgruppen Diese Objekte sind nur für Administratoren sichtbar, aber es ist dennoch wichtig, Namen zu vergeben, die den Zweck dieser Gruppen anzeigen. 쐍 Datenbanken Anders als in früheren Versionen müssen die Datenbanken in Exchange Server 2010 Namen aufweisen, die innerhalb der gesamten Organisation eindeutig sind. Auch in früheren Versionen erhielten die Datenbanken einen eindeutigen Namen, aber dabei wurde der Name der Speichergruppe mit dem der Datenbank kombiniert. Da es jetzt keine Speichergruppen mehr gibt, müssen Sie jeder Datenbank einen Namen zuweisen, der für sich allein genommen in der Organisation eindeutig ist. Am einfachsten ist es, Namen zu verwenden, die angeben, welche Postfächer in der Datenbank vorhanden sind. Beispielsweise könnte das der Abteilungsname sein, wenn Sie die Postfächer nach Abteilungen gliedern. Manche Unternehmen geben auch die Postfachgröße im Namen an, sodass die Administratoren wissen, wo sie ein neues Postfach eines bestimmten Typs und einer bestimmten Größe unterbringen müssen. Beispielsweise kann UK Sales-1GB die Datenbank für Benutzer bezeichnen, die in der britischen Verkaufsabteilung arbeiten und deren Postfächer 1 GB umfassen. Beschreibende Namen sind sicherlich eine gute Sache, aber es ist immer schwieriger, sich vernünftige Namen dieser Art auszudenken, wenn Sie erst ein-

221

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Namenskonventionen

Kapitel 5

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

mal 20 bis 30 Datenbanken zu verwalten haben. In Kapitel 8, »Exchange auf dem Weg zur Hochverfügbarkeit«, finden Sie eine ausführlichere Erörterung darüber, wie Sie Datenbanken in umfangreichen Umgebungen benennen können. 쐍 Connectors Messagingconnectors sollten Namen tragen, die deutlich ihren Zweck und die Art des darüber übertragenen Datenverkehrs angeben, z.B. »SMTP zu Internet« oder »SMTP zu Lotus Notes«. Insidertipp: Stellen Sie Benennungsrichtlinien nicht nachträglich auf!

Tappen Sie nicht in die Falle, zuerst einen Haufen Objekte zu erstellen und dann rückwirkend eine Benennungsrichtlinie darauf anzuwenden. Es ist furchtbar mühselig, alle Objekte einzeln durchzugehen und umzubenennen. Nehmen Sie sich stattdessen möglichst früh die Zeit dafür, sich für eine Namenskonvention zu entscheiden, und teilen Sie diese Konvention mit einigen Beispielen angereichert allen Administratoren mit, die die Berechtigung dafür haben, Objekte in der Organisation anzulegen.

Organisationsstatusdaten Wenn Sie auf den Stamm der Organisation klicken, zeigt die Exchange-Verwaltungskonsole einige Statistiken über die Organisation an, z.B. die Anzahl der Datenbanken, Benutzer, Server usw. (siehe Abbildung 5.12). Bevor diese Informationen angezeigt werden können, müssen sie erst gesammelt werden. Das ist eine neue Funktion von Exchange Server 2010. Die Datenerfassung rufen Sie auf, indem Sie im Aktionsbereich Organisationsstatusdaten auswählen oder am unteren Rand des Informationsbildschirms auf die Option für den Zugriff auf die neuesten Daten klicken. In beiden Fällen wird ein Assistent gestartet, um Informationen über die Organisation zu erfassen. Abbildg. 5.12

222

Statistiken zum Organisationsstatus in der Exchange-Verwaltungskonsole

Als Erstes liest der Assistent die Konfigurationsdaten aus der Datei ExBPA.StayingInformed.Config.xml. Seit 2006 setzt Microsoft das Programm Exchange Best Practice Analyzer (ExBPA) ein, um Organisationen dabei zu helfen, ihre Infrastruktur mit dem zu vergleichen, was Microsoft an Vorgehensweisen empfiehlt. Grob gesagt, sammelt ExBPA Daten, vergleicht sie anhand eines Satzes von Regeln, um mögliche Probleme aufzuspüren, und gibt dann Empfehlungen für den Umgang mit diesen Problemen aus. Der Assistent zum Erfassen der Organisationsstatusdaten ruft die entsprechenden Informationen nur ab, versucht aber auf keine Weise, sie zu analysieren. Stattdessen speichert Exchange die Daten mit Set-OrganizationConfig in Active Directory. Die Erfassungsphase dauert am längsten, da der Assistent auf Informationen über Server und Datenbanken zugreifen, die Postfächer zählen und dann berechnen muss, für wie viele Postfächer Enterprise-Clientzugriffslizenzen (Client Access Licence, CAL) erforderlich sind. Tabelle 5.1 führt auf, welche Postfachfunktionen von einer Standard-Zugriffslizenz abgedeckt sind und welche eine Enterprise-Lizenz benötigen. Denken Sie daran, dass die Lizenzen additiv sind: Die Enterprise-CAL umfasst auch sämtliche Funktionen, die durch die Standard-CAL lizenziert werden, selbst wenn Sie nach wie vor beide Arten von Lizenzen erwerben müssen. Insidertipp: Haben Sie Geduld: Das Zählen von Postfächern kostet Zeit

Die langwierigste Teilaufgabe dieses Vorgangs ist das Zählen der Postfächer, das in großen Organisationen viele Minuten dauern kann. Das ist ein Beispiel für eine Funktion, die sich schnell und einfach vorführen lässt, in einer Produktionsumgebung aber ewig zu dauern scheint. Wenn der Assistent einige Daten nicht erfassen kann (da z.B. eine Postfachdatenbank nicht bereitgestellt ist), zeigt er dies mit einem Ausrufungszeichen an. Tabelle 5.1

Benötigte Lizenzen für die verschiedenen Funktionen Funktion

Standard-CAL erforderlich

Standard-E-Mail-Funktionen für Outlook, OWA und andere Clients, einschließlich Kalender, Journal, Notizen und Kontakte

X

Erweiterte ActiveSync-Richtlinien für mobile Geräte Journale auf Datenbankbasis

Enterprise-CAL erforderlich

X X

Journale auf selektiver Basis (benutzerweise oder nach anderen Kriterien)

X

Unified Messaging

X

Beibehaltungsrichtlinien (wenn sie mit persönlichen Tags eingerichtet werden)

X

Persönliche Archive

X

Anhalten der Aufbewahrungszeit und Einfrieren von Postfächern aus rechtlichen Gründen

X

Discoverysuchvorgänge über mehrere Postfächer hinweg

X

Informationsschutz, z.B. Verschlüsselung von Journal- und Transportregeln, Outlook-Schutzregeln und Suche nach geschützten Inhalten

X

Verwendung von Forefront Protection 2010 für Exchange zum Schutz gegen Viren und Spam

X

223

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Die Exchange-Verwaltungskonsole

Kapitel 5

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

In Abbildung 5.13 können Sie erkennen, dass die gesammelten Daten als Eigenschaften des Attributs msExchOrgnizationSummary für das Stammobjekt der Exchange-Organisation gespeichert werden. Diese Daten können Sie mit dem Cmdlet Get-OrganizationConfig abrufen, doch da sie in einem Array gespeichert sind, müssen Sie die Werte erst extrahieren, bevor Sie sie verwenden können. Am einfachsten geht das, indem Sie die Werte in einer Variable speichern und dann die Daten abrufen, die Sie benötigen. Jeder der einzelnen Werte ist mit einem bestimmten Offset im Array gespeichert. Um beispielsweise die Anzahl der Standard-CALs zu ermitteln, gehen Sie wie folgt vor: $Config = Get-OrganizationConfig $Cals = $Config.OrganizationSummary[10].Value Abbildg. 5.13

In Active Directory gespeicherte Organisationsdaten

Die Gesamtzahl der Postfächer in der Organisation rufen Sie folgendermaßen ab: $Mbx = $Config.OrganizationSummary[5].Value

Dynamische Verteilerlisten haben den Offset 3, Standardverteilerlisten Offset 4 usw. Denken Sie daran, dass die Organisationsdaten nur unmittelbar nach ihrer Erfassung Gültigkeit haben und sich mit der Zeit ändern können. Daher sollten Sie die Daten aktualisieren, bevor Sie sie als Grundlage für eine Entscheidung heranziehen.

224

Die Exchange-Verwaltungskonsole

Daten sind nur dann gut, wenn sie auch korrekt erfasst wurden. Leider gab es bei der Art und Weise, wie Organisationsstatusdaten gesammelt wurden, in der ursprünglichen Version von Exchange Server 2010 erhebliche Fehler, denn die Berechnung der erforderlichen Enterprise-CALs war mangelhaft. Wie Sie wahrscheinlich wissen, sind Enterprise-CALs additiv, das heißt, Sie zahlen einen Aufschlag zu einer Standard-CAL, um Zugriff auf weitere Exchange-Funktionen wie die Archivierung zu bekommen. Bei der Ermittlung der erforderlichen Enterprise-CALs wird sicherlich einiges richtig gemacht, z.B. werden Discoverysuch-, Raum- und Gerätepostfächer nicht mitgezählt, aber es treten auch Fehler auf. Beispielsweise geht der Ermittlungsvorgang davon aus, dass für jedes Postfach mit der standardmäßigen ActiveSync-Richtlinie eine Enterprise-Clientlizenz erofrderlich wäre. Außerdem wird das Postfach mitgezählt, das zur Installation von Exchange verwendet wird, obwohl es nur zu Verwaltungszwecken dient und lediglich aufgrund des Aufbaus der rollenbasierten Zugriffssteuerung E-Mail-aktiviert ist. Microsoft hat das Problem erkannt und den Code zur Bestimmung der Enterprise-CALs in SP1 geändert. Der Bericht ist jetzt korrekt und versorgt Administratoren mit nützlichen Daten.

Verwalten mehrerer Organisationen In allen vorherigen Exchange-Konsolen konnten Sie nur eine Organisation verwalten. Manche Unternehmen betreiben jedoch mehrere Organisationen in verschiedenen Active Directory-Gesamtstrukturen, wofür es verschiedene Gründe geben kann. Vielleicht möchte das Unternehmen bestimmte Gruppen von Benutzern einer bestimmten Exchange-Version zuordnen, vielleicht möchte es die Trennung zwischen verschiedenen Sicherheitskontexten aufrecht erhalten oder eine ethische Firewall zwischen den verschiedenen Teilen der Firma einrichten, vielleicht hat es aber zusammen mit dem Erwerb anderer Firmen auch verschiedene Exchange-Implementierungen gewonnen. Es ist nicht weiter schwierig, mehrere Exchange-Organisationen (aller Versionen) über die Remotedesktopverbindung zu verwalten. Allerdings wird es noch einfacher, wenn in einer einzigen Konsole Zugriff auf sämtliche Exchange-Organisationen besteht. Der Exchange-Verwaltungskonsole können Sie eine weitere Exchange Server 2010-Organisation (oder eine Exchange-Gesamtstruktur) hinzufügen, indem Sie im linken Bereich auf den Microsoft Exchange-Stamm klicken und im Aktionsbereich Exchange-Gesamtstruktur hinzufügen auswählen. Da Sie Informationen freigeben und administrative Tätigkeiten ausführen, die Objekte in der anderen Exchange-Organisation betreffen, muss eine Active Directory-Vertrauensstellung oder Verbundvertrauensstellung zwischen den beiden Gesamtstrukturen vorhanden sein, bevor Sie die Organisationen verbinden können. Außerdem müssen Sie über ein Konto mit den notwendigen Berechtigungen zur Verwaltung der anderen Exchange-Organisation verfügen (im Idealfall über ein Konto mit der Rolle Organisation Management). Wenn Sie die Kontoinformationen zwischen den Gesamtstrukturen synchronisieren, kann es möglich sein, überall dasselbe Konto zu verwenden. Abbildung 5.14 zeigt diesen Vorgang. Sie werden gebeten, einen Anzeigenamen für die andere Organisation anzugeben (einen Namen, der für Sie sinnvoll ist) und den vollqualifizierten Domänennamen (FQDN) eines Exchange Server-Computers, der PowerShell über das Netzwerk ausführt und im Grunde als Gateway in die Organisation fungiert. Wenn Sie Anmeldung mit Standardanmeldeinformationen aktivieren, verwenden Sie die Anmeldeinformationen des Kontos, mit dem Sie sich angemeldet haben. Wenn nicht, müssen Sie Anmeldeinformationen für ein administratives Konto in der anderen Organisation beibringen.

225

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Nützliche Informationen für Administratoren – wenn Sie SP1 haben

Kapitel 5 Abbildg. 5.14

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

Hinzufügen einer neuen Exchange-Gesamtstruktur zur Exchange-Verwaltungskonsole

Sobald die Verbindung hergestellt ist, werden die Einzelheiten der anderen Organisation in der Exchange-Verwaltungskonsole angezeigt, sodass Sie im Rahmen der Rolle, die Sie in dieser Organisation innehaben, mit den Objekten arbeiten können. Wenn Sie einen reinen Lesezugriff haben, können Sie die Objekte also nur einsehen, aber nicht ändern.

Freigaberichtlinien Freigaberichtlinien sind der Mechanismus, mit dem Exchange Server 2010 steuert, wie die Benutzer Daten organisationsübergreifend freigeben können. In ihrer ersten Implementierung in Exchange Server 2010 ist die Freigabe auf Kalender- und Kontaktinformationen und auf Organisationen beschränkt, zwischen denen eine Verbundvertrauensstellung besteht. Eine solche Vertrauensstellung kann mit dem Cmdlet New-OrganizationRelationship erstellt werden. Für einen Verbund zweier Exchange-Organisation ist die Bereitstellung von Microsoft Federation Gateway erforderlich, das als vertrauenswürdiger Makler zwischen den beiden Organisationen fungiert und sicherstellt, dass Daten auf sichere Weise zwischen ihnen übertragen werden können. Microsoft Federation Gateway gehört zur Serverrolle Active Directory-Verbunddienste, die auf einem Computer mit Windows Server 2008 installiert werden kann. Nachdem das geschehen ist, können Sie mit dem Assistenten für eine neue Verbundvertrauensstellung oder mit New-FederationTrust die nötige Verbindung mit der anderen Organisation herstellen. Ausführliche Anleitungen dazu, wie Sie den Assistenten und das Cmdlet verwenden, finden Sie in der Hilfe zu Exchange Server 2010. Weitere Informationen

Hinweise zur Bereitstellung der Active Directory-Verbunddienste erhalten Sie unter http://technet. microsoft.com/de-de/library/dd727938(WS.10).aspx. 226

In Exchange Server 2010 SP1 können Sie außerdem eine Freigaberichtlinie vorschreiben, die bestimmt, wie Benutzer Kalenderdaten (aber keine Kontakte) für Empfänger im Internet freigeben. Möglicherweise erweitert Microsoft die Freigaberichtlinien in Zukunft, sodass sich damit noch mehr Aspekte der Freigabe steuern lassen. Weitere Informationen über dieses Thema finden Sie in Kapitel 10, »Clients«. Der Zugriff auf Freigaberichtlinien besteht im Abschnitt Postfach des Knotens Organisationskonfiguration der Exchange-Verwaltungskonsole. Exchange stellt eine Standardfreigaberichtlinie zur Verfügung, die jedoch leer ist und vom Administrator mit Einzelheiten über die Organisation gefüllt werden muss, für die die Benutzer Daten freigeben können sollen. Die Standardfreigaberichtlinie ist allen Postfächern zugewiesen. Wenn Sie unterschiedliche Möglichkeiten zur Freigabe wünschen, können Sie in einer Organisation mehrere Freigaberichtlinien erstellen und verschiedenen Gruppen von Postfächern zuweisen. Beispielsweise können Sie die Standardfreigaberichtlinie leer lassen und eine andere erstellen, um die Freigabe für eine oder mehrere andere Organisationen oder für Benutzer im Internet zu ermöglichen, und diese Richtlinie dann den Benutzern zuweisen, die ihre Daten freigeben dürfen. Der Assistent für neue Freigaberichtlinien (siehe Abbildung 5.15) wird aufgerufen, wenn Sie auf Neue Freigaberichtlinie klicken. Die Richtlinie besteht aus dem SMTP-Domänennamen der Organisation, für die Sie Daten freigeben möchten, und einem Paar von Aktionen, die den Grad der Datenfreigabe für diese Domäne festlegen. Welche Möglichkeiten für die Datenfreigabe zur Verfügung stehen, können Sie in Tabelle 5.2 ablesen. Abbildg. 5.15

Assistent für neue Freigaberichtlinien

227

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Freigaberichtlinien

Kapitel 5 Tabelle 5.2

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

Möglichkeiten zur Datenfreigabe in Freigaberichtlinien Freigabe

Einstellungen

Verbundorganisation

Kalenderfreigabe nur mit Frei/Gebucht-Informationen Kalenderfreigabe mit Frei/Gebucht-Informationen sowie Betreff und Speicherort Kalenderfreigabe mit Frei/Gebucht-Informationen sowie Betreff, Speicherort und Nachrichtentext Freigeben von Kontakten Kalenderfreigabe nur mit Frei/Gebucht-Informationen, Freigeben von Kontakten Kalenderfreigabe mit Frei/Gebucht-Informationen sowie Betreff und Speicherort, Freigeben von Kontakten Kalenderfreigabe mit Frei/Gebucht-Informationen sowie Betreff, Speicherort und Nachrichtentext, Freigeben von Kontakten

Internetkalender

Kalenderfreigabe nur mit Frei/Gebucht-Informationen Kalenderfreigabe mit Frei/Gebucht-Informationen sowie Betreff und Speicherort Kalenderfreigabe mit Frei/Gebucht-Informationen sowie Betreff, Speicherort und Nachrichtentext

Machen Sie sich bewusst, dass eine Freigaberichtlinie aus Einträgen für mehrere Domänen zusammengesetzt sein kann, denen jeweils andere Aktionen zugewiesen sein können. Damit können Sie auch eine Freigaberichtlinie erstellen, die wie das Beispiel in Abbildung 5.16 aussieht. Abbildg. 5.16

Einzelheiten einer Freigaberichtlinie mit mehreren Einträgen

Nachdem Sie die Domänen und Aktionen definiert haben, gibt Ihnen der Assistent die Möglichkeit, die Richtlinie ausgewählten Postfächern zuzuweisen. Das müssen Sie zu diesem Zeitpunkt jedoch noch nicht tun, sondern können sie jederzeit einem oder mehreren Postfächern zuweisen. Dazu können Sie wie folgt das Cmdlet Set-Mailbox verwenden: Set-Mailbox –Identity 'Akers, Kim' –SharingPolicy 'Sharing policy for Internet calendars'

228

Zertifikatverwaltung X.509-Zertifikate sind für den Betrieb von Exchange sehr wichtig, da sie die Grundlage der sicheren SSL-Kommunikation (Secure Sockets Layer) zwischen Client und Server bilden. Darunter fällt auch die (mit TLS [Transport Layer Security] gesicherte) SMTP-Übertragung für den Austausch von E-Mails zwischen Servern. Zertifikate werden auch für einen Verbund mehrerer Exchange-Organisationen eingesetzt. Sie bestätigen, dass ihre Inhaber diejenigen sind, die sie zu sein vorgeben, und werden eingesetzt, um sichere Kanäle zur Datenübertragung einzurichten. In Exchange Server 2010 können Sie drei verschiedene Arten von Zertifikaten verwenden: 쐍 Selbst signierte Zertifikate. Sie werden von der Anwendung erstellt, die sie auch zu verwenden wünscht, und sind nicht von einer Zertifizierungsstelle signiert. Da es keinen Zertifikatpfad gibt, in dem eine vertrauenswürdige Zertifizierungsstelle erwähnt wird, müssen andere Anwendungen oder Computer einem solchen Zertifikat nicht zwangsläufig vertrauen. 쐍 Zertifikate, die von einer Windows-Zertifizierungsstelle herausgegeben wurden (von den Windows-Zertifikatdiensten) 쐍 Zertifikate von einem kommerziellen SSL-Anbieter wie Thawte oder VeriSign Tabelle 5.3 gibt einen Überblick über die verschiedenen Protokolle, die Exchange zur Kommunikation verwendet, und zeigt, welche Zertifikate zur Absicherung dieser Verbindungen jeweils erforderlich sind. Wie Sie sehen, sind Drittanbieterzertifikate äußerst nützlich und ein absolutes Muss, um die externe Kommunikation abzusichern. Wenn Sie für die externe Kommunikation einen Reverseproxyserver in einem Umkreisnetzwerk platzieren, sind für die sichere Datenübertragung zwischen diesem Server und Exchange ebenfalls Zertifikate erforderlich. Tabelle 5.3

Protokolle und erforderliche Zertifikate Serverrolle

Protokolle

Erforderlicher Zertifikattyp

Clientzugriff

OWA Exchange-Webdienste Outlook Anywhere ActiveSync POP3 und IMAP4 AutoErmittlung

Drittanbieter (empfohlen) oder Windows-PKI (Public-KeyInfrastruktur). Die Zertifikate müssen den FQDN des Servers und die URLs der Anwendungen enthalten, z.B. von Outlook Anywhere, Outlook Web App oder Office Communications Server.

Postfach

Outlook (MAPI) OWA (HTTPS)

Selbst signiert

Unified Messaging

Keine

Selbst signiert

Hub-Transport

SMTP über TLS

Drittanbieter (empfohlen) oder Windows-PKI. Für die interne Kommunikation zwischen Hub-Transport-Servern reichen selbst signierte Zertifikate aus. Die Zertifikate müssen den FQDN des Servers und den Domänennamen enthalten.

Edge-Transport

SMTP über TLS

Drittanbieter (empfohlen) oder Windows-PKI. Die Zertifikate müssen den FQDN des Servers und den Domänennamen enthalten.

Bei der Installation auf einem Server erstellt Exchange automatisch ein selbst signiertes Zertifikat, damit der Server mit anderen Servern und Clients in der Organisation kommunizieren kann. Diesem Zertifikat vertrauen automatisch jedoch nur andere Exchange Server-Computer in der Organisation. Die selbst signierten, von Exchange erstellten Zertifikate enthalten im Feld für den alternativen

229

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Zertifikatverwaltung

Kapitel 5

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

Antragstellernamen (Subject Alternate Name, SAN) den Namen und den FQDN des Servers und sind fünf Jahre lang gültig. Die größte Vorteile selbst signierter Zertifikate besteht darin, dass sie kostenlos sind. Sicherheitswarnungen: Einschränkungen für selbst signierte Zertifikate

Ein selbst signiertes Zertifikat kann für die gesamte Exchange-Kommunikation innerhalb der Firewall dienen. Auch einige externe Verbindungen sind möglich (OWA und ActiveSync), nachdem das Zertifikat in den Speicher für vertrauenswürdige Stammzertifikate auf dem Clientcomputer kopiert wurde. Auf manchen mobilen Geräten ist das jedoch nicht zulässig, weshalb sie für diese Clients keine selbst signierten Zertifikate verwenden können. Außerdem lassen sich mit solchen Zertifikaten keine Outlook Anywhere-Verbindungen absichern. Outlook 2003 und 2007 akzeptieren »stillschweigend« selbst signierte Zertifikate für die externe Kommunikation und zeigen bei der Verbindung mit einem Exchange Server 2010-Computer daher keine Fehlermeldungen an. Outlook 2010 ist jedoch vorsichtiger und meldet dem Benutzer ein mögliches Problem (siehe Abbildung 5.17). Abbildg. 5.17

Outlook 2010 zeigt ein Problem mit einem selbst signierten Zertifikat an

Aufgrund der Einschränkungen im Funktionsumfang und der langfristig schwierigen Verwaltung werden selbst signierte Zertifikate meistens nur in Testumgebungen sowie in Bereitstellungen verwendet, in denen kein externer Clientzugriff auftritt. Die Windows-Zertifikatdienste stellen eine Infrastruktur für öffentliche Schlüssel (Public Key Infrastructure, PKI) bereit, in der Organisationen ihre eigenen Zertifikate veröffentlichen können. Diese Zertifikate lassen sich leichter verwalten, da Sie in einer vollständigen Windows-PKI die Herausgabe, Erneuerung und Sperrung der Zertifikate steuern können. Bevor die Zertifikate eingesetzt werden können, um sichere Verbindungen zu ermöglichen, müssen sie im Speicher für vertrauenswürdige Stammzertifikate der Computer installiert werden, die nicht zu Active Directory gehören und mit Exchange kommunizieren müssen. Zertifikate der Windows-PKI lassen sich leichter verwalten als selbst signierte Zertifikate und sind ebenfalls kostenlos, weshalb sie für kleine und mittelgroße Umgebungen eine akzeptable Lösung darstellen. An den bisherigen Erörterungen können Sie schon ablesen, dass die beste Lösung für fast alle Umgebungen die Verwendung kommerzieller Zertifikate von einem renommierten, vertrauenswürdigen Drittanbieter ist, der die Verantwortung für die Ausstellung der Zertifikate übernimmt und ihre Gül-

230

tigkeit sicherstellt. Diese Zertifikate sind natürlich teurer, weisen aber den großen Vorteil auf, dass die Zertifizierungsstellenzertifikate des Herausgebers gewöhnlich bereits im Speicher für vertrauenswürdige Stammzertifikate auf den Clientcomputern installiert sind, sodass Sie nicht erst manuell irgendwelche Zertifikate installieren müssen, bevor Sie mit einem Gerät Verbindung aufnehmen können. Die Verwaltungskonsole von Exchange Server 2007 enthielt keine Benutzeroberfläche für den Umgang mit Zertifikaten, weshalb Sie dazu immer auf die Verwaltungsshell zurückgreifen mussten. Sofern Sie mit der Nomenklatur und den Parametern für Zertifikate vertraut waren, stellte das kein Problem dar, doch wenn Sie nicht häufig mit Zertifikaten zu tun hatten, konnte das ziemlich nervtötend sein. In Exchange Server 2010 gibt es nun eine Benutzeroberfläche, in der Sie die Zertifikate auf den Servern einsehen können, und Assistenten, um neue Zertifikate zu erstellen und den Exchange-Diensten (OWA, ActiveSync usw.) zuweisen können. Klicken Sie auf den Knoten Serverkonfiguration und wählen Sie einen Server aus, um zu sehen, welche Zertifikate ihm zugewiesen sind. In dem Beispiel von Abbildung 5.18 erkennen Sie ein selbst signiertes Zertifikat, also eines, das Exchange bei der Serverinstallation automatisch erstellt hat. Abbildg. 5.18

Anzeigen der auf einem Server installierten Zertifikate

Für den Umgang mit Zertifikaten haben Sie die folgenden Möglichkeiten: 쐍 Den Zertifikten Dienste zuweisen Mit dieser Option können Sie einem Zertifikat einen oder mehrere Dienste zuweisen. Der Assistent, den Sie in Abbildung 5.19 sehen, zeigt Ihnen an, welche Dienste das ausgewählte Zertifikat bereits nutzen, und ermöglicht Ihnen, es noch anderen Diensten zuzuweisen. Der einzige Dienst, den Sie in diesem Beispiel noch zuweisen können, ist Unified Messaging. 쐍 Exchange-Zertifikat erneuern Mit dieser Option erneuern Sie ein selbst signiertes Zertifikat um weitere fünf Jahre und weisen es erneut den Diensten zu, die das bestehende Zertifikat bereits nutzen. Clients müssen das erneuerte Zertifikat importieren, damit keine Warnmeldungen über möglicherweise nicht vertrauenswürdige Verbindungen angezeigt werden.

231

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Zertifikatverwaltung

Kapitel 5

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

쐍 Neues Exchange-Zertifikat Damit können Sie eine Anforderung erstellen, die später an eine Zertifizierungsstelle von Windows oder eines kommerziellen Drittanbieters gesendet wird. Das eigentliche Zertifikat erstellt dann anhand der im Assistenten eingegebenen Erfordernisse diese Zertifizierungsstelle. Um es in Exchange einzufügen, verwenden Sie die Option Ausstehende Anforderung abschließen. Dabei geben Sie Exchange den Namen der Zertifikatdatei an, sodass sie importiert werden kann. 쐍 Exchange-Zertifikat importieren Diese Option wird verwendet, wenn ein Unternehmen über allgemeine Zertifikate verfügt, die auch für andere Dienste neben Exchange verwendet werden. Wenn Sie hier den Namen der Zertifikatdatei und den privaten Schlüssel angeben, importiert Exchange das Zertifikat. Abbildg. 5.19

Zuweisen eines Zertifikats zu Diensten

Die Option Neues Exchange-Zertifikat öffnet einen Assistenten (siehe Abbildung 5.20), der die Erfordernisse für das neue Zertifikat zusammenträgt und eine Zertifikatanforderung in Form einer verschlüsselten Datei zur Vorlage bei einer Zertifizierungsstelle erstellt (siehe Abbildung 5.21). Wenn das neue Zertifikat zur Verfügung steht, können Sie es mit der Option Ausstehende Anforderung abschließen in Exchange importieren und den gewünschten Diensten zuweisen. Die Bereitstellung und Verwendung von Zertifikaten zu planen, ist eine komplizierte Aufgabe. Sie müssen sich darüber im Klaren sein, wie Zertifikate erstellt und verwaltet werden, welche Dienste auf Zertifikate angewiesen sind, welche Funktionen die Zertifikate bereitstellen müssen, welche Bedürfnisse andere Anwendungen haben und wie Sie die Ausgaben für kommerzielle Zertifikate dadurch verringern können, dass Sie nur Zertifikate für mehrere Hostnamen erwerben. Bevor Sie irgendetwas bereitstellen, sollten Sie sich mit all diesen Aspekten vertraut machen und genau planen, wie Sie Ihren Bedarf erfüllen können.

232

Zertifikatverwaltung

Festlegen der Erfordernisse mit dem Assistenten für neue Zertifikate

Abbildg. 5.21

Abschließen des Assistenten für neue Zertifikate

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Abbildg. 5.20

233

Kapitel 5

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

Weitere Informationen

Hilfreiche Informationen zu diesen Themen bietet Microsoft auf TechNet. Eine weitere gute Quelle ist das Buch Microsoft Exchange Server 2010 Best Practices von Sigfried Jagott und Joel Stidley (Microsoft Press, 2010).

Die Exchange-Systemsteuerung Die Exchange-Systemsteuerung ist eine browsergestützte Verwaltungsschnittstelle für verschiedene Zwecke: 쐍 Benutzerselbstverwaltung Die vereinfachte Verwaltungsoberfläche macht es möglich, dass auch Benutzer, die keine Kenntnisse und Erfahrungen in Exchange-Verwaltung mitbringen, viele der alltäglichen Aufgaben durchzuführen, die in früheren Exchange-Versionen so zeitraubend für die Administratoren waren. Die Benutzer können jetzt ihre Postfächer an ihre eigenen Bedürfnisse anpassen, ohne einen Administrator bitten zu müssen, ihr Active Directory-Konto oder ihre Postfacheinstellungen in der Exchange-Verwaltungskonsole zu ändern. Diese Möglichkeit allein nimmt Exchange schon viel von seinen Schrecken und Verwaltungskosten. 쐍 Delegierung von Aufgaben an ausgewählte Mitarbeiter In der Exchange-Systemsteuerung sind eine Reihe von Aufgaben möglich, die Sie auf ausgewählte Mitarbeiter übertragen können. Beispielsweise kann das Supportpersonal hier Benutzerkonten und Gruppen pflegen, während die Rechtsabteilung Discoverysuchvorgänge vornehmen und Postfächer einfrieren kann. 쐍 Schnittstelle für besondere Aufgaben Die Exchange-Verwaltungskonsole ist der Ausgangspunkt für eine Menge unterschiedlicher Verwaltungsaufgaben, enthält bietet aber nicht den Zugriff für alle Tätigkeiten, die ein Exchange-Administrator möglicherweise ausführen muss. Die Exchange-Systemsteuerung umfasst auch Benutzeroberflächen für Aufgaben wie die Verwaltung von Rollen und Rollengruppen und den Umgang mit ActiveSync-Geräterichtlinien, für die Sie in der Verwaltungskonsole keine Möglichkeiten haben. 쐍 Multi-Tenant-Verwaltung Angesichts ihrer webgestützten Natur lässt sich die Exchange-Systemsteuerung leichter als Verwaltungswerkzeug für Kunden bereitstellen, die Exchange-Hostingdienste wie Microsoft Business Productivity Online Services (BPOS) nutzen. Zugriff auf die Exchange-Systemsteuerung erhalten Sie über ihr virtuelles Verzeichnis, indem Sie im Browser den URL in der Form https://<Servername>./ecp eingeben, also z.B. https:/ /ExServer1.contoso.com/ecp, wobei ecp für Exchange Control Panel steht, also die Exchange-Systemsteuerung. Ursprünglich war in Exchange Server 2010 ein E-Mail-aktiviertes Konto erforderlich, um die Exchange-Systemsteuerung nutzen zu können. Diese Einschränkung wurde in der SP1-Version entfernt, sodass jetzt auch Administratoren ohne Exchange-Postfach die Exchange-Systemsteuerung öffnen können, indem Sie einfach den URL eingeben. Microsoft schätzt, dass 99% aller Funktionen der Exchange-Systemsteuerung auch für Konten ohne E-Mail-Aktivierung zur Verfügung stehen. Offensichtliche Ausnahmen sind Dinge wie der Empfang einer E-Mail-Benachrichtigung nach dem Abschluss einer Discoverysuche. Benutzer mit E-Mail-aktivierten Konten können über das ECP-Verzeichnis und über OWA auf die Exchange-Systemsteuerung zugreifen (Letzteres über die Schaltfläche Optionen) und von dort aus auch wieder zu OWA umschalten. Alle Optionen, die in Exchange Server 2007 in OWA angezeigt wurden, sind jetzt auch in der Exchange-Systemsteuerung vorhanden.

234

Die Exchange-Systemsteuerung

Wie die Exchange-Verwaltungsshell greift auch die Exchange-Systemsteuerung auf die rollenbasierte Zugriffssteuerung zurück, um den Benutzern nur die Optionen für die Aufgaben anzuzeigen, die auszuführen ihre Rolle erlaubt. Mit anderen Worten, die Exchange-Systemsteuerung passt die Anzeige der möglichen Optionen an die Rolle des Betrachters an. Administratoren in der Rollengruppe Organization Management sehen alle Optionen und können mit Benutzerdaten arbeiten, Benutzer mit der Standardrolle sehen dagegen nur einen Bruchteil der Optionen und haben lediglich Zugriff auf die eigenen Daten. Wenn Sie die für Hostingumgebungen gedachte Version der Exchange-Systemsteuerung verwenden, finden Sie darin eine Benutzeroberfläche, in der Administratoren Transportregeln erstellen können. Es ist sehr ansprechend, Verwaltungsaufgaben erledigen zu können, ohne zuvor entsprechende Software installieren zu müssen, aber in lokalen Bereitstellungen können Sie die Exchange-Systemsteuerung nicht für die Verwaltung von Transportregeln einsetzen. Bei Microsoft geht man davon aus, dass es in Hostingumgebungen einfachere Anforderungen an Dinge wie Transportregeln gibt und die jetzige Version der Exchange-Systemsteuerung zum Konstruieren und Bereitstellen von einfachen Transportregeln ausreicht. Mit dem Transportregelassistenten der Exchange-Verwaltungskonsole können Sie jedoch Regeln aus einer weit umfangreicheren Menge von Prädikaten und Bedingungen erstellen und bearbeiten. Außerdem besteht dabei die Möglichkeit, ein Skript für die automatisierte Bereitstellung über die Exchange-Verwaltungsshell erstellen zu lassen. Daher eignet sich die Exchange-Verwaltungskonsole besser für die Bedürfnisse lokaler Bereitstellungen. Im Laufe der Zeit wird sich Microsoft einen Eindruck von den tatsächlichen täglichen Bedürfnissen von Hostingumgebungen machen können. Möglicherweise wird es dann Änderungen an der Exchange-Systemsteuerung geben, um die darin enthaltenen Verwaltungsmöglichkeiten für Regeln an die der Konsole anzupassen.

Änderungen an der Exchange-Systemsteuerung in Service Pack 1 In Exchange Server 2010 SP1 hat Microsoft die Exchange-Systemsteuerung erheblich verbessert. Neben einer allgemeinen Überarbeitung und einer verbesserten Leistung, die es auch für OWA gab (unter anderem wurde die Breadcrumbnavigation eingeführt, die es den Benutzern ermöglichte, sich an den gewählten Optionen entlang zurückzubewegen), wurde der für Administratoren verfügbare Funktionsumfang stark erweitert. Jetzt können auch folgende Dinge verwaltet werden: 쐍 Journal- und Transportregeln 쐍 ActiveSync-Geräterichtlinien (auch über die Exchange-Verwaltungskonsole zu bearbeiten) und Gerätezugriffsregeln (nur über die Exchange-Systemsteuerung zu verwalten) 쐍 Einfrieren von Postfächern aus rechtlichen Gründen 쐍 Raumpostfächer 쐍 Rollengruppen und Rollenzuweisungen (siehe Kapitel 4, »Rollenbasierte Zugriffssteuerung«) 쐍 Allgemeine Überwachungsberichte 쐍 Gruppennamensrichtlinien 쐍 Konten ohne Exchange-Postfach 쐍 Persönliche Tags zur Kennzeichnung von Elementen für die Aufbewahrung 쐍 Unified-Messaging-Optionen (falls UM bereitgestellt ist) 235

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Sie sehen nur die Aufgaben für Ihre Rolle

Kapitel 5

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

Kleinere Ergänzungen sind u.a. die Möglichkeit, Gruppen in der globalen Adressliste auszublenden und Verteilergruppen in Sicherheitsgruppen umzuwandeln. Die weitere Verwaltung dieser Sicherheitsgruppen erfolgt jedoch wie bei allen anderen. Beachten Sie, dass Verteilergruppen in der Exchange-Systemsteuerung als »öffentliche Gruppen« bezeichnet werden. In Exchange Server 2010 können Sie das Design der Exchange-Systemsteuerung nicht ändern, wie es bei OWA möglich ist. Zu den häufigsten Vorschlägen von Administratoren für neue Optionen gehört die Möglichkeit, das Erscheinungsbild der Seiten durch das Hinzufügen von Firmenlogos oder das Einbetten neuer Optionen anpassen zu können. Möglicherweise wird sich Microsoft in einem zukünftigen Release darum kümmern.

Überblick über die Exchange-Systemsteuerung Die Exchange-Systemsteuerung ist eine ASP.NET-Anwendung, die Sie in jedem Browser öffnen können, der auch die Premiumversion von OWA unterstützt. In anderen Browsern können Sie die Exchange-Systemsteuerung möglicherweise auch ausführen, aber nicht unbedingt alle Aufgaben erledigen. Beispielsweise ist Firefox 3+ auf Windows vollständig geeignet, funktioniert zur Anzeige der Exchange-Systemsteuerung auf einer Linux-Plattform aber nicht so gut. Hinter den Kulissen wird die Exchange-Systemsteuerung als virtuelles IIS-Verzeichnis auf einem Clientzugriffsserver implementiert. Exchange installiert dieses virtuelle Verzeichnis automatisch, wenn Sie einem Server die Clientzugriffsrolle hinzufügen. Wie die Einstellungen für das virtuelle OWA-Verzeichnis werden auch die für die Exchange-Systemsteuerung in Active Directory und der IIS-Metabasis gespeichert und können mit folgenden Cmdlets bearbeitet werden: 쐍 New-ECPVirtualDirectory Wird vom Exchange-Setupprogramm verwendet, um das neue virtuelle IIS-Verzeichnis für die Exchange-Systemsteuerung zu erstellen. Es ist höchst unwahrscheinlich, dass Sie diesen Befehl jemals außerhalb des Setupprogramms verwenden werden. 쐍 Set-ECPVirtualDirectory Legt die Eigenschaften des virtuellen ECP-Verzeichnisses fest, z.B. für die Benutzerauthentifizierung. 쐍 Get-ECPVirtualDirectory Ruft die Werte der Eigenschaften des virtuellen ECP-Verzeichnisses ab. 쐍 Remove-ECPVirtualDirectory Entfernt ein virtuelles ECP-Verzeichnis. 쐍 Test-ECPConnectivity Prüft, ob die Exchange-Systemsteuerung normal funktioniert und von Webclients erreicht werden kann. In der ursprünglichen Version von Exchange Server 2010 mussten Sie sich zur Verbindung mit der Exchange-Systemsteuerung mit einem Konto anmelden, das über ein Postfach auf einem Exchange Server 2010-Computer verfügt. Jedes Konto, mit dem Sie Verwaltungstätigkeiten innerhalb von Exchange durchführen wollten, musste also E-Mail-aktiviert sein, damit Exchange ihm über die rollenbasierte Zugriffssteuerung die erforderlichen Rollen zuweisen konnte. Die Exchange-Systemsteuerung nutzte das OWA-Autorisierungsmodul, das zur Autorisierung von Konten mit Exchange-Postfächern gedacht war. Es gab also irgendeine technische Verbindung zwischen Exchange-Systemsteuerung und OWA. TIPP Die Exchange-Systemsteuerung zeigt immer nur maximal 500 Objekte auf einmal an. Wenn es mehr als 500 Postfächer, Gruppe oder andere Arten von Objekten gibt, müssen Sie das Objekt, mit dem Sie arbeiten wollen, dadurch auswählen, dass Sie einen Teil seines Namens in das Suchfeld eingeben, sodass die Exchange-Systemsteuerung nur die damit übereinstimmenden Elemente anzeigt.

236

Grundlegende Aufgaben für Benutzer in der Exchange-Systemsteuerung Wenn Sie die Exchange-Systemsteuerung öffnen (siehe Abbildung 5.22), können Sie auswählen, was Sie verwalten möchten: Ihr eigenes Konto, einen anderen Benutzer, oder sonstige Elemente der Organisation, auf die Sie laut Ihrer Rolle Zugriff haben. Über die Auswahl Mich kann ein Benutzer die Einstellungen für sein eigenes Postfach einsehen und ändern. Außerdem kann er Gruppen beitreten und verlassen und Informationen über die Gruppen abrufen, in denen er Mitglied ist. Ferner besteht Zugriff auf die Einstellungen für Junk-E-Mail-Filter. Die Auswahl zwischen Mich, Meine Organisation und Anderer Benutzer wird nur Administratoren angezeigt (Benutzern, die irgendeiner Administratorrolle zugewiesen sind). Über den Eintrag Meine Organisation erhalten Sie Zugriff auf Verwaltungsobjekte wie Discoverysuchvorgänge, Transport- und Journalregeln sowie Rollenzuweisungen. Mit Anderer Benutzer können Sie die Einstellungen für die Postfächer anderer Benutzer ändern. Abbildg. 5.22

Auswählen des Verwaltungsbereichs in der Exchange-Systemsteuerung

Über die rollenbasierte Zugriffssteuerung wird festgelegt, welche Optionen die Benutzer sehen, wenn sie die Exchange-Systemsteuerung öffnen. Die Optionen, die Einstellungen für das Postfach eines anderen Benutzers zu bearbeiten, werden beispielsweise nur dann angezeigt, wenn der Benutzer zur Rollengruppe Recipient Management gehört. Daher können Sie festlegen, welche Optionen ein Benutzer zu sehen bekommt, indem Sie seine Rollenzuweisung ändern. Weitere Informationen

Das Exchange-Team hat in seinem Blog auf http://msexchangeteam.com/archive/2010/03/04/ 454148.aspx einen Artikel veröffentlicht, der gut beschreibt, wie die Exchange-Systemsteuerung die rollenbasierte Zugriffssteuerung nutzt. Gehen Sie dazu auf folgende Weise vor: 1. Ermitteln Sie, welche Cmdlets für eine bestimmte Tätigkeit erforderlich sind. Wie wir aus Kapitel 4

wissen, werden die Benutzer zu Rollengruppen zugewiesen, um ihnen die notwendigen Berechtigungen zur Ausführung bestimmter Aktionen zu geben. Die Rollengruppen umfassen Rollen, die bestimmen, welche Cmdlets und Parameter ein Benutzer mit dieser Rolle ausführen darf. Als Erstes suchen Sie daher in der Web.config-Datei im Verzeichnis \Program Files\Microsoft\Exchange Server\ V14\ClientAccess\ecp\Reporting nach dem Eintrag für die Funktion, die uns interessiert. Dort sind die zugehörigen Cmdlets aufgeführt.

237

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Grundlegende Aufgaben für Benutzer in der Exchange-Systemsteuerung

Kapitel 5

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

2. Führen Sie Get-ManagementRole aus, um die Rollen zu finden, die den Zugriff auf das gewünschte

3.

4.

5.

6.

7.

Cmdlet erlauben. Manche Cmdlets sind nur in einer einzigen Rolle zulässig, andere dagegen in mehreren. Führen Sie Get-ManagementRoleAssignment aus, um herauszufinden, welche Rollen den Benutzern zugewiesen sind, deren Zugriff auf die Exchange-Systemsteuerung wir anpassen möchten. Vergleichen Sie die Ausgabe des Cmdlets mit den Rollen, die Sie in Schritt 2 ermittelt haben, um die Rollen und Rollengruppen einander zuordnen zu können. Dazu ist es erforderlich, dass Sie eine Vorstellung von der Funktionsweise von Exchange haben. Wenn es nicht auf Anhieb klappt, können Sie sich nach dem Prinzip von Versuch und Irrtum an das richtige Ergebnis herantasten. Erstellen Sie mit New-ManagementRoleAssignmentPolicy eine neue Rollenzuweisungsrichtlinie als Ersatz für die bestehende Standardrichtlinie. Alle grundlegenden Optionen, die ein Benutzer in der Exchange-Systemsteuerung sieht, werden ihm durch die in der Standardzuweisungsrichtlinie enthaltenen Rollen zur Verfügung gestellt. Entfernen Sie aus der Rollenzuweisungsrichtlinie die Rollen für die Optionen, die die Benutzer in der Exchange-Systemsteuerung nicht sehen sollen, und fügen Sie die Rollen für die gewünschten Optionen hinzu. Damit die Benutzer ihre Kontaktinformationen einsehen und ändern können, müssen Sie beispielsweise die Rolle MyContactInformation aufnehmen. Die Optionen, die Sie entfernen möchten, können sich auch in einer der grundlegenden Rollen befinden. Erstellen Sie mit New-ManagementRole eine Kopie der Rolle und geben Sie die vorhandene Version als deren übergeordnete Rolle an. Jetzt können Sie die neu erstellte Rolle bearbeiten und alle Cmdlets für unerwünschte Optionen daraus entfernen. Anschließend fügen Sie die neue Rolle der in Schritt 4 erstellten Zuweisungsrichtlinie hinzu. Ihnen liegt jetzt eine neue Rollenzuweisungsrichtlinie mit den erforderlichen Rollen vor, um den Benutzern die gewünschten Optionen anzuzeigen, ohne ihnen die zu zeigen, die wir ihnen vorenthalten wollen. Um die Änderungen in Kraft zu setzen, weisen Sie die Rollenzuweisungsrichtlinie mit Set-Mailbox den gewünschten Benutzern zu. Wenn sie das nächste Mal die Exchange-Systemsteuerung öffnen, wird die Oberfläche anhand der neuen Rollen angepasst, sodass nur das zu sehen ist, was der Benutzer auch sehen soll.

Das scheint alles ziemlich kompliziert zu sein, da so viele Schritte durchzuarbeiten sind und Sie sich darüber im Klaren sein müssen, dass Rollen letzten Endes aus einer Liste der Cmdlets bestehen, die für den Zugriff auf bestimmte Funktionen erforderlich sind, und dass Rollen für Endbenutzer über eine Richtlinie zugewiesen werden. Die Exchange-Systemsteuerung in Exchange Server 2010 SP1 macht alles sehr viel einfacher, da Sie hier die gesamte Arbeit in der Browseroberfläche vornehmen können, ohne auf die Verwaltungsshell zurückgreifen zu müssen. Allerdings ist es gut, die Prinzipien zu verstehen und zu wissen, was hinter den Kulissen vor sich geht. Die meisten Benutzer werden über die Optionsauswahl von OWA auf die Exchange-Systemsteuerung zugreifen. Abbildung 5.23 zeigt die grundlegende Ansicht, die Benutzer ohne besondere Berechtigungen erhalten. Darin können sie nur ihre persönlichen Postfacheinstellungen wie z.B. die Telefonnummer ändern.

238

Grundlegende Aufgaben für Benutzer in der Exchange-Systemsteuerung

Grundlegende Ansicht der Exchange-Systemsteuerung für Benutzer

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Abbildg. 5.23

Auf den einzelnen Bildschirmen werden die verschiedenen Optionen angezeigt, die die Benutzer bearbeiten können, z.B. die zum Erstellen einer automatischen Signatur (siehe Abbildung 5.24). Die anderen Optionen auf diesem Bildschirm betreffen das Leseverhalten, das Format für neue Nachrichten (der Standard ist HTML) und die Schriftart für den Nachrichtentext. Außerdem können Sie auswählen, ob in Nachrichtenheadern die Von- und BCC-Header angezeigt werden sollen. Das Von-Feld ist nützlich, wenn Sie Nachrichten für andere Benutzer verfassen. Allerdings können Sie Nachrichten nicht mit dem S/MIME-Steuerelement von OWA verschlüsseln, wenn dieses Feld im Nachrichtenheader angezeigt wird. Neben dem Bildschirm E-Mail stehen in der Rubrik Einstellungen noch die folgenden zur Verfügung: 쐍 Rechtschreibung Hier haben Sie die Wahl, neue Nachrichten vor dem Senden einer Rechtschreibprüfung zu unterziehen und können außerdem festlegen, dass Wörter in Großbuchstaben und Wörter mit Ziffern dabei ignoriert werden. Wählen Sie außerdem aus, welches Wörterbuch (also welche Sprache) OWA für die Rechtschreibprüfung verwenden soll. 쐍 Kalender Legen Sie die Tage und Stunden der Arbeitswoche fest und geben Sie an, welche automatische Verarbeitung Exchange an Ihrem Kalender vornehmen soll (beispielsweise können Sie automatisch neue Besprechungsanforderungen im Kalender platzieren lassen). Es gibt hier auch die nützliche Option Hilfe bei der Behandlung von Problemen beim Kalender, über die ein Benutzer seine Kalenderprotokolle an Microsoft senden kann, um Hilfestellung zu erhalten. In diesem Abschnitt richten die Benutzer auch ihre SMS-Einstellungen ein.

239

Kapitel 5

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

쐍 Allgemein Hier entscheiden Sie, ob die Empfängerangaben in neuen Nachrichten anhand der globalen Adressliste oder anhand Ihrer Kontakte aufgelöst werden sollen. Außerdem können Sie hier eine OWA-Version für sehbehinderte Benutzer auswählen. 쐍 Regional Wählen Sie Sprache sowie das Datums- und Uhrzeitformat für das Postfach aus. Dabei können Sie nur aus den installierten Sprachen auf dem Clientzugriffsserver auswählen, mit dem die Exchange-Systemsteuerung verbunden ist. 쐍 Kennwort

Hier legen Sie ein neues Kennwort für Ihr Windows-Konto fest.

쐍 S/MIME Hier können Sie das S/MIME-Steuerelement herunterladen, mit dem OWA ausgehende Nachrichten verschlüsselt und digital signiert. Abbildg. 5.24

Verfügbare Postfacheinstellungen in der Exchange-Systemsteuerung

Viele dieser Benutzereinstellungen waren in früheren Versionen in OWA verfügbar. Wenn Sie in OWA 2010 die Anzeige der Optionen auswählen, wird die Browsersitzung zu einer angepassten Version der Exchange-Systemsteuerung umgeleitet, die nur die Benutzeroptionen anzeigt.

240

Grundlegende Aufgaben für Benutzer in der Exchange-Systemsteuerung

Regeln sind ein Thema für sich. Ein Satz von Regeln gehört zu Exchange und wird auch dort verwaltet, der andere Satz gehört zu Outlook. Die Regelfunktion von Outlook erweckt den Anschein, als ob sie die von Exchange anschließt, da der Regel-Editor von Outlook schon immer überlegen und mit einem größeren Funktionsumfang gesegnet war als die Version, die bei Exchange für die Verwendung in OWA mitgeliefert wurde. Die Überlegenheit betrifft aber in Wirklichkeit nur die Benutzeroberfläche für die Regeln. Hinter den Kulissen führt Exchange den Großteil der Verarbeitung für eingehende Elemente durch und lässt Outlook nur noch die Schritte tun, die auf dem Client ausgeführt werden müssen. Insidertipp: Getrennte Regelfunktionen

Es gibt gute Gründe dafür, dass Exchange seine eigene Regelfunktion umfasst, denn ansonsten würde Benutzern, die einen anderen Client als Outlook verwenden, keine Regelverarbeitung zur Verfügung stehen. Allerdings wirkt es uneinheitlich und ist auch nicht gerade wirtschaftlich, zwei Regelsätze nebeneinander zu betreiben. Exchange kann keine Regel bearbeiten, die sich im Besitz von Outlook befindet, und umgekehrt, und versucht daher, die beiden Regelsätze zu synchronisieren. Eine weitere Quelle der Irritation kann der Unterschied bei der Anwendung clientseitiger und serverseitiger Regeln sein. Die Verwendung einer clientseitigen Regel deutet stillschweigend an, dass eine Aktion erforderlich ist, die nur auf dem Client ausgeführt werden kann, wohingegen serverseitige Regeln unabhängig von jedem Clienteingriff auf dem Server ausgeführt werden können. Das Ergebnis der serverseitigen Regelverarbeitung gilt für alle Clients und für alle Elemente, die zunächst die serverseitige Verarbeitung durchlaufen müssen, bevor sie von clientseitigen Regeln verarbeitet werden. Ein Beispiel für die serverseitige Verarbeitung ist die Beseitigung von JunkE-Mail. Exchange bereinigt den E-Mail-Datenstrom und entfernt Spam, bevor die Nachrichten an Clients weitergeleitet werden. Eine clientseitige Regel ist dagegen z.B. eine, die überprüft, ob irgendeine eingehende Nachricht das Wort »wichtig« im Betreff aufweist, und diese E-Mail dann in einen besonderen Ordner verschiebt. Ein weiteres Beispiel ist eine Regel, die eine Benachrichtigung ausgibt, wenn eine Nachricht von einem bestimmten Benutzer eintrifft. Meine Lieblingsregel ist diejenige, die den Versand aller ausgehenden Nachrichten (bis auf die mit Wichtigkeit Hoch) um zwei Minuten verzögert, sodass der Absender noch die Gelegenheit hat, rettend einzugreifen, wenn eine Nachricht falsch adressiert ist, nicht über den richtigen Anhang verfügt oder in einer Aufwallung der Gefühle verfasst wurde und daher einige unpassende Wörter enthält. Solche Regeln können nicht auf dem Server ausgeführt, sondern müssen von Outlook verarbeitet werden. Exchange und Outlook verarbeiten die Nachrichten anhand aller anwendbaren Regeln. Dabei nimmt Exchange die gesamte Regelverarbeitung vor, die auf dem Server möglich ist. Ist anschließend noch eine clientseitige Verarbeitung erforderlich, legt Exchange im Ordner Deferred Actions eine besondere Nachricht an. Diese »Nachricht über verzögerte Aktionen« (Deferred Action Message, DAM) teilt Outlook mit, dass der Abschluss der Verarbeitung noch aussteht. Outlook liest die DAMs, sobald Exchange sie erstellt, und führt die entsprechenden Aktionen aus. Wenn Outlook offline war und sich während dieser Zeit DAMs angesammelt haben, werden sie bei der nächsten Initialisierung des Clients aufgelöst. Von diesen Aktivitäten bekommen Sie nie etwas zu sehen, da der Ordner und die Nachrichten in jeglicher Clientansicht verborgen sind. Lediglich mit einem Debuggingwerkzeug wie MFCMAPI können Sie sie sichtbarmachen.

241

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Posteingangsregeln

Kapitel 5

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

In früheren Versionen von Exchange haben die Benutzer Regeln in Outlook und OWA verwaltet. Das ist in Exchange Server 2010 nach wie vor der Fall. Die große Neuerung besteht darin, dass sie ihre serverseitigen Regeln jetzt in der Exchange-Systemsteuerung erstellen, ändern und löschen können. Auch Administratoren können Regeln für Benutzer in der Exchange-Systemsteuerung und -Verwaltungskonsole verwalten. Früher hatten Administratoren keinerlei Zugriff auf Benutzerregeln, sodass die Benutzer selbst dafür verantwortlich waren. Der Zugriff über die Exchange-Systemsteuerung erfolgt über die Registerkarte Posteingangsregeln des Abschnitts E-Mail organisieren. Hier werden alle serverseitigen Regeln angezeigt, die zurzeit als ausgeblendete Elemente im Postfachstamm gespeichert sind (siehe Abbildung 5.25). Auf die von Outlook ausgeführten clientseitigen Regeln haben Administratoren jedoch nach wie vor keinen Zugriff. Bei der Auswahl von Bedingungen für eine neue Regel bietet die Exchange-Systemsteuerung ebenso wie der Regelassistent von Outlook ausreichende Möglichkeiten. Um eine Regel aufzustellen, müssen Sie sich über vier grundlegende Aspekte im Klaren sein: Nach welchen Kriterien muss der Server in neuen Nachrichten Ausschau halten, um zu bestimmen, ob eine Regel darauf angewendet werden soll? Welche Maßnahme soll getroffen werden? Gibt es irgendwelche Ausnahmen von der Regel? Soll Exchange die Verarbeitung anderer Regeln aussetzen, nachdem eine bestimmte Regel ausgeführt wurde? In der Exchange-Systemsteuerung können Sie die Regeln nach Prioritäten anordnen. Damit lässt sich auf einfache Weise festlegen, welche Regel die wichtigste ist und in welcher Reihenfolge die anderen verarbeitet werden sollen. Abbildg. 5.25

242

Anzeigen von Postfachregeln

Es gibt zwar einige Benutzer, die eine Reihe verzwickter und komplizierter Regeln aufstellen, um ihren Posteingang ausführlich zu gliedern, doch die große Mehrheit ist mit wenigen einfachen Regeln zufrieden, die Nachrichten je nach Absender oder Thema in verschiedene Ordner verschiebt. Ein anderes einfaches Kriterium für eine solche Sortierung ist etwa die Frage, ob eine E-Mail direkt oder als Kopie (CC) an den Benutzer gegangen ist. Benutzer, die besonders ausgefeilte Regeln erstellen möchten, sind mit den Möglichkeiten von Outlook wahrscheinlich besser bedient, aber für die grundlegenden Regeln, die die Mehrheit der Benutzer verwendet, bietet sich auch die Exchange-Systemsteuerung als geeignetes Werkzeug an. Wie Sie in Abbildung 5.26 sehen, teilt die Exchange-Systemsteuerung die Regeldefinition in drei Hauptabschnitte auf. In Dropdownlisten finden Sie die verfügbaren Bedingungen für die einzelnen Abschnitte, und mit der Postfach- und Gruppenauswahl können Sie bei Bedarf Namen angeben. Die Regel in diesem Beispiel ist sehr einfach gehalten: Alle Nachrichten, die im Betreff oder im Text ein bestimmtes Wort enthalten, sollen in einen festgelegten Ordner verschoben werden, es sei denn, es kommt auch das Wort »Fehlschlag« vor. Außerdem wird verlangt, keine weitere Verarbeitung mehr auf die Nachricht anzuwenden, was auch nur logisch ist, denn sobald die E-Mail durch diese Regel in den richtigen Ordner verschoben worden ist, gibt es nichts, was wir dort mit einer anderen Regel noch ausrichten wollten. Abbildg. 5.26

Erstellen einer neuen Posteingangsregel

Hinter den Kulissen sind Regeln jedoch weit komplizierter, als dieses einfache Beispiel ahnen lässt. Einen Eindruck davon können Sie bekommen, wenn Sie sich die vielen Parameter der Cmdlets NewInboxRule und Set-InboxRule ansehen, die steuern, welche Kriterien und Aktionen festgelegt werden.

243

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Grundlegende Aufgaben für Benutzer in der Exchange-Systemsteuerung

Kapitel 5

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

Nehmen wir als Beispiel eine völlig triviale Regel, die in Betreff und Nachrichtentext nach dem Wort »Hello« sucht, den Status auf »Gelesen« setzt und die weitere Verarbeitung abbricht. Der Code dafür sieht wie folgt aus: New-InboxRule 'Stop Hello spam' –Mailbox '[email protected]' –BodyContainsWords 'Hello' –SubjectContainsWords 'Hello' –StopProcessingRules $True –MarkAsRead $True

Sicherheit geht vor: Einschränkungen für Administratoren

Administratoren können für Benutzer zwar einfache Regeln wie die vorstehende einrichten, aber keine Regeln erstellen, die Elemente von einem Ordner in einen anderen verschieben, nicht einmal innerhalb eines Postfachs. Schließlich sollten Administratoren nicht einmal wissen, welche Ordner es in einem Benutzerpostfach gibt. Daher wäre es inkonsequent und außerdem eine potenzielle Sicherheitslücke, wenn sie für einen Benutzer eine Regel erstellen könnten, durch die Elemente verschoben werden, und das womöglich noch ohne Wissen des Benutzers. Stellen Sie sich nur einmal vor, ein Administrator könnte eine Regel für das Postfach eines Geschäftsführers erstellen, die alle neuen Nachrichten mit einem bestimmten Schlüsselbegriff in einen Ordner des Administratorpostfachs verschiebt! Um eine Regel für Ihr Postfach zu erstellen, die Nachrichten nach dem Eintreffen in einen bestimmten Ordner verschiebt, können Sie natürlich auch die Exchange-Verwaltungsshell verwenden. Die folgende Regel sucht beispielsweise nach Nachrichten, die an eine bestimmte Gruppe gesendet wurden (identifiziert anhand ihrer SMTP-Adresse), und verschiebt sie in einen Order. Die Angabe dieses Ordners erfolgt in einem Schema, das die Eindeutigkeit garantiert, allerdings nicht gerade die Einfachheit der Anwendung. Mit Get-MailboxFolder -Recurse | Format-List Name, Identity können Sie sich eine Liste der Ordner in Ihrem Postfach ansehen. New-InboxRule -Name "Exchange Discussion Group messages" -SentTo '[email protected]' -MoveToFolder "contoso.com/Users/Akers, Kim:\Inbox\Exchange Discussions"

Die zuletzt hinzugefügte Spitze wandert automatisch an die Spitze der Prioritätsreihenfolge. Mit GetInboxRule können Sie Angaben über die Regeln für ein bestimmtes Postfach abrufen. Die Regeln werden dabei in der Reihenfolge der Priorität aufgeführt. Get-InboxRule –Mailbox '[email protected]' | Format-List

Wie bereits erwähnt, unterhalten Exchange und Outlook jeweils einen eigenen Satz von Regeln für ein Benutzerpostfach. Wenn Sie über die Exchange-Systemsteuerung oder -Verwaltungsshell eine Posteingangsregel zu ändern versuchen, warnt Exchange Sie vor möglichen Problemen, denn wenn Sie fortfahren, löscht Exchange alle Outlook-spezifischen Regeln, speichert also nur diejenigen, die es selbst kennt (also diejenigen, die in der Exchange-Systemsteuerung angezeigt werden). Bei Microsoft ist man sich darüber im Klaren, dass diese Situation inakzeptabel ist, und man hat Besserung in zukünftigen Versionen gelobt. In der Zwischenzeit sollten Sie für die Arbeit mit Posteingangsregeln stets denselben Client verwenden, da jeder Versuch einer Regelverwaltung mit verschiedenen Werkzeugen zu einem Desaster führen kann.

244

Grundlegende Aufgaben für Benutzer in der Exchange-Systemsteuerung

Häufig müssen sich Administratoren von Benutzern anhören, dass eine gesendete E-Mail niemals zugestellt worden ist. Es kann hin und wieder durchaus vorkommen, dass Exchange aufgrund irgendwelcher Probleme versagt und Nachrichten nicht ausliefert, aber in den meisten Fällen liegt der Grund für eine fehlende Zustellung einfach in einem Benutzerfehler. Meistens sind die E-Mails dann nicht richtig adressiert gewesen (an die falsche Person gesendet), wurden in eine Warteschlange gestellt, um sie zu einem späteren Zeitpunkt zu senden, oder nur im Entwurfsordner gespeichert und nicht abgeschickt. Es ist zwar schön für einen Administrator, wenn er schließlich die Ursache des Problems herausfindet, aber das kann auch viel Zeit kosten. Über Übermittlungsberichte (siehe Abbildung 5.27) können die Benutzer Exchange selbst abfragen, um zu ermitteln, was mit einer gesendeten Nachricht geschehen ist. Dabei suchen die Benutzer selbst oder ein Administrator nach einer bestimmten Nachricht und lassen einen umfassenden Bericht erstellen, der genau erklärt, was vorgefallen ist. Abbildg. 5.27

Zusammenstellen eines Suchvorgangs für einen Übermittlungsbericht

Benutzer können Übermittlungsberichte (an einigen Stellen der Oberfläche auch als Zustellungsberichte bezeichnet) für die von ihnen selbst gesendeten Nachrichten erstellen lassen, sofern sie einen der folgenden Clients verwenden: 쐍 OWA Der Zugriff auf die Option Übermittlungsberichte erfolgt, indem Sie eine Nachricht markieren, mit der rechten Maustaste darauf klicken und dann Übermittlungsbericht öffnen auswählen. 쐍 Outlook 2010

Der Zugriff auf die Übermittlungsberichte erfolgt im Backstage-Bereich.

쐍 Exchange-Systemsteuerung verfügbar.

Hier sind Übermittlungsberichte im Abschnitt E-Mail organisieren

245

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Übermittlungsberichte

Kapitel 5

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

Wenn die Benutzer einen anderen Client verwenden, muss der Administrator für sie einen Übermittlungsbericht erstellen. Um mit der Suche zu beginnen, klicken Sie auf Übermittlungsberichte und geben die Grundparameter für die Suche an: 쐍 Legen Sie fest, ob nach Nachrichten gesucht werden soll, die der Benutzer empfangen hat, oder nach solchen, die er gesendet hat. 쐍 Geben Sie als Suchbegriff die Wörter an, die in der Betreffzeile vorkommen sollen. Die Exchange-Systemsteuerung führt die Suche durch und zeigt alle Nachrichten, die die Bedingungen erfüllen, im Ergebnisbereich unterhalb der Suchkriterien an (siehe Abbildung 5.28). Um Einzelheiten zu sehen, wählen Sie eine der Nachrichten aus (siehe Abbildung 5.29). Abbildg. 5.28

Suchergebnisse für einen Übermittlungsbericht

Abbildg. 5.29

Anzeige der Einzelheiten eines Übermittlungsberichts

246

Wenn ein Benutzer einer Nachricht nachspürt, ist er mit einem Clientzugriffsserver verbunden und daher nicht auf die Übermittlungsinformationen auf dem Server beschränkt, auf sich sein Postfach zurzeit befindet. Er kann selbst dann einen Übermittlungsbericht für eine Nachricht erstellen, wenn das Postfach zu einer anderen Datenbank auf dem anderen Server verschoben wurde oder wenn die Datenbank auf einem anderen Server der Verfügbarkeitsgruppe bereitgestellt wurde.

Administratoraufgaben in der Exchange-Systemsteuerung Wenn ein Benutzer durch die Mitgliedschaft in einer Rollengruppe einige zusätzliche Verwaltungsmöglichkeiten gewonnen hat, sieht er beim Start der Exchange-Systemsteuerung zusätzliche Optionen für die durch die Rollengruppe erlaubten Cmdlets und Parameter. Abbildung 5.30 zeigt die Oberfläche, die eine Benutzerin in der Rollengruppe Recipient Management sieht. Neben den Optionen für die Bearbeitung der persönlichen Einstellungen für das eigene Postfach stehen ihr auch Möglichkeiten zur Verwaltung der Organisation zur Verfügung, die ihr den Zugriff auf weitere Objekte gestatten. Abbildg. 5.30

Benutzeroberfläche der Exchange-Systemsteuerung mit zusätzlichen Optionen aufgrund der Mitgliedschaft in einer Rollengruppe

Mitglieder der Rollengruppe Recipient Management dürfen mit Postfächern, Gruppen und Kontakten arbeiten. Dabei können sie neue Gruppen und Kontakte erstellen, aber keine neuen Postfächer, sondern können nur die Eigenschaften der bereits vorhandenen bearbeiten. Der Grund dafür ist, dass beim Erstellen eines neuen Postfachs meistens auch ein Active Directory-Konto angelegt werden 247

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Administratoraufgaben in der Exchange-Systemsteuerung

Kapitel 5

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

muss. Microsoft hatte nicht mehr genügend Zeit, um bei der Entwicklung die vielen verschiedenen Aspekte auszuarbeiten, die beim Erstellen neuer Konten zu beachten sind, z.B. die Auswahl der Organisationseinheit, delegierte Verwaltung usw. In den ersten Builds von Exchange Server 2010 war es auch in der Exchange-Systemsteuerung möglich, Postfächer zu erstellen, aber diese Funktion wurde wieder entfernt, als sich die damit einhergehenden Probleme zeigten. Zurzeit können Sie neue Postfächer nur in der Exchange-Verwaltungskonsole oder -Verwaltungsshell anlegen, aber es sollte nicht überraschen, wenn diese Funktion in einer kommenden Version der Exchange-Systemsteuerung wieder auftaucht. Insidertipp: Wer verwendet die Exchange-Systemsteuerung?

Die Exchange-Systemsteuerung ist für Verwaltungsmitarbeiter gedacht, die nicht alle Interna der Exchange-Organisation in der Vielschichtigkeit angezeigt bekommen müssen, wie sie manchmal in der Exchange-Verwaltungskonsole zu sehen sind. Daher überrascht es nicht, dass erfahrene Administratoren die Exchange-Systemsteuerung nur selten nutzen. Es gibt zwar Optionen für Rollen und Übermittlungsberichte, die nicht in der Verwaltungskonsole zu finden sind, sodass die Administratoren dafür auf die Exchange-Systemsteuerung zurückgreifen müssen (oder die Verwaltungsshell). Für Angestellte wie etwa Supportmitarbeiter, die nicht unbedingt viel Erfahrung in der Exchange-Verwaltung haben müssen, bedeutet es jedoch eine große Erleichterung, dass sie für Aufgaben wie die Änderung von Gruppeneigenschaften, z.B. für die Nachrichtengenehmigung, nicht mehr die Verwaltungskonsole oder die Verwaltungsshell heranziehen müssen. Wie bereits erwähnt, ist es in der Exchange-Systemsteuerung aufgrund der komplizierten Natur der zugrunde liegenden OPATH-Filter jedoch nicht möglich, dynamische Verteilergruppen zu erstellen oder zu pflegen.

Übermittlungsberichte von Administratoren Benutzer können selbst Übermittlungsberichte erstellen, brauchen dazu aber manchmal Hilfe. Möglicherweise wissen sie nicht einmal, dass es so etwas gibt und dass sie sich selbst darum kümmern können, weshalb sie sich mit Hilferufen an den Support wenden: »Ich habe jemandem in einem anderen Unternehmen eine Nachricht zu einem wichtigen Vertrag geschickt, und jetzt muss ich unbedingt wissen, warum diese E-Mail nie angekommen ist!« Der Support kann dem Benutzer erklären, wie er seine eigenen Suchvorgänge durchführen kann, aber manchmal ist es einfacher, das für ihn zu erledigen. Administratoren können für andere Benutzer Übermittlungsberichte erstellen, wenn sie zu einer der folgenden drei Rollengruppen gehören: 쐍 Organization Management 쐍 Recipient Management 쐍 Records Management Sie können einzelnen Benutzern und Gruppen die Möglichkeiten zum Erstellen von Übermittlungsberichten für andere gewähren, indem Sie ihnen die Rolle Message Tracking zuweisen. Mit dem folgenden Befehl weisen Sie diese Rolle beispielsweise der Sicherheitsgruppe Central Help Desk zu. Jeder Benutzer, der Mitglied dieser Gruppe ist, kann Übermittlungsberichte für andere Benutzer erstellen, sofern er über eine andere Rolle oder Rollengruppe wie etwa View-only Organization auch die erforderlichen Rechte hat, um Informationen über diese anderen Benutzer einzusehen. New-ManagementRoleAssignment "Message Tracking and Delivery Reports" –Role "Message Tracking" –SecurityGroup 'Central Help Desk' 248

Bevor Sie beginnen, sollten Sie wissen, woher die Daten stammen, die in einem Übermittlungsbericht angezeigt werden. Exchange unterhält mehrere Nachrichtenverfolgungsprotokolle und spürt darin der Weitervermittlung der E-Mails vom Verlassen des Postfachs über den Informationsspeicher, den HubTransport-Server usw. nach, bis die Nachricht Exchange über einen Connector verlässt oder an die Empfängerpostfächer ausgeliefert wird. Solche Protokolle gibt es schon seit vielen Exchange-Versionen und dienten den Administratoren dazu, Nachrichten zu verfolgen und das E-Mail-Aufkommen sowie die Verwendungsmuster zu analysieren. In Exchange Server 2010 wurde die Nutzungsmöglichkeit dieser Daten noch erweitert, sodass die Benutzer nun der Weitervermittlung ihrer eigenen Nachrichten in den Übermittlungsberichten nachspüren können. Administratoren haben nach wie vor die Möglichkeit, die Nachrichtenverfolgungsprotokolle im Verfolgungsprotokoll-Explorer einzusehen, der sich in der Toolbox der Exchange-Verwaltungskonsole befindet, und für manche Zwecke wie die Datenverkehrsanalyse und die Fehlersuche ist das auch der geeignete Weg. Eine vollständige Beschreibung des Verfolgungsprotokoll-Explorers und der zugrunde liegenden Cmdlets finden Sie in Kapitel 15. Übermittlungsberichte sind vor allem deshalb nützlich, weil Administratoren die Aufgabe, Einzelheiten über das Voranschreiten einer Nachricht zu ermitteln, an andere delegieren und die Ergebnisse dann an die Person senden kann, die eine Bestätigung der ordnungsgemäßen Verarbeitung angefordert hat. Eine solche Bestätigung umfasst jedoch nur den Bereich, über den Exchange Bericht erstatten kann, ist also auf die Grenzen der Organisation beschränkt, da Exchange nichts über das weitere Schicksal einer Nachricht herausfinden kann, nachdem sie in ein fremdes E-Mail-System oder sogar ein anderes Exchange-System mit einer früheren Version übergegangen ist. Obwohl Exchange die Nachrichtenverfolgungsprotokolle vieler Wochen aufbewahren kann, decken Übermittlungsberichte nur die letzten zwei Wochen ab, da Exchange die besonderen Indizes für die Suchvorgänge nur so lange beibehält. Fehlerbehebung: Für ein verschobenes Postfach ist kein Übermittlungsbericht verfügbar

Da Nachrichtenverfolgungsprotokolle jeweils für einen bestimmten Server unterhalten werden, treten nach dem Verschieben eines Postfachs von einem Server auf den anderen Probleme beim Erstellen von Übermittlungsberichten auf. Für Nachrichten, die nach dem Verschiebevorgang gesendet oder empfangen wurden, können Übermittlungsberichte erstellt werden, da sich die Verfolgungsprotokolle mit den entsprechenden Informationen auf demselben Server befinden. Wenn Sie jedoch versuchen, einen Übermittlungsbericht für eine Nachricht anzufordern, die vorher gesendet oder empfangen wurde, werden Sie keinen Erfolg haben, da die dazu benötigten Daten fehlen. Mit zwei Konfigurationseinstellungen können Sie steuern, welche Daten in Übermittlungsberichte aufgenommen werden. Die Betreffprotokollierung bestimmt, ob Sie bei der Suche den Nachrichtenbetreff sehen können. Natürlich ist es sehr viel einfacher, eine bestimmte Nachricht zu finden, wenn Sie den Betreff kennen und in den Suchergebnissen auch vorfinden. Die Betreffzeilen von Nachrichten werden auf Postfach- und Hub-Transport-Servern protokolliert. Wenn Sie die Erfassung dieser Daten unterbinden möchten, müssen Sie dies mit den Cmdlets Set-MailboxServer und Set-TransportServer tun. Die Einstellung gilt jedoch nur jeweils für einen einzigen Server. Wenn Sie sie für alle Server in der Organisation vornehmen möchten, müssen Sie zunächst die Liste sämtlicher Postfachoder Hub-Transport-Server abrufen und dann als Eingabe für das entsprechende Cmdlet verwenden, wie das folgende Beispiel zeigt: Get-TransportServer |Set-TransportServer –MessageTrackingLogSubjectLoggingEnabled $False

249

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Administratoraufgaben in der Exchange-Systemsteuerung

Kapitel 5

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

Insidertipp: Vertrauliche Informationen und die Protokollierung der Betreffzeile

In manchen Unternehmen wird die Betreffprotokollierung aus Gründen des Datenschutzes deaktiviert, da Administratoren sonst Informationen sehen könnten, die der Absender lieber nicht weitergeben wollte. Stellen Sie sich vor, ein Administrator nimmt im Postfach des Generaldirektors eine Suche vor, um einen Übermittlungsbericht zu erstellen, und stößt dabei auf eine Nachricht an den Finanzdirektor mit der Betreffzeile »Fusion mit Fabrikam AG«. Damit hat er wahrscheinlich etwas aufgespürt, von dem er nichts wissen sollte. Durch die Deaktivierung der Betreffprotokollierung werden Administratoren sicherlich daran gehindert, in Übermittlungsberichten und bei der Nachrichtenverfolgung über vertrauliche Informationen zu stolpern, aber dadurch wird es auch sehr viel schwieriger, Nachrichten in einem Bericht zu finden. Unter dem Strich ist es wahrscheinlich am besten, die Betreffprotokollierung eingeschaltet zu lassen und darauf zu vertrauen, dass sich die Administratoren der Konsequenzen bewusst sind, wenn sie ohne Autorisierung nach vertraulichen Informationen schnüffeln. Die Lesestatusverfolgung bestimmt, ob der Wechsel des Nachrichtenstatus von »ungelesen« zu »gelesen« angezeigt wird. Clients ändern den Status, wenn ein Benutzer eine neue Nachricht öffnet oder wenn sie eine bestimmte Zeit lang im Vorschaubereich angezeigt wurde (wie lange, kann auf dem Client festgelegt werden). In Exchange Server 2010 ist die Lesestatusverfolgung standardmäßig ausgeschaltet. Wenn Sie den Status im Bericht sehen wollen, müssen Sie diese Funktion wie folgt aktivieren: Set-OrganizationConfig –ReadTrackingEnabled $True

Die Lesestatusverfolgung wird organisationsweit eingerichtet. Wenn Sie diese Funktion aktivieren, verfolgt Exchange daher den Lesestatus in sämtlichen Postfächern der Organisation nach. Für bestimmte Benutzer wie Geschäftsführer oder Personen in besonderen Vertrauensstellungen ist das jedoch nicht unbedingt geeignet, weshalb Sie diese Funktion für ausgewählte Benutzer auch wieder ausschalten können: Set-Mailbox –Identity 'Samantha Smith' –MessageTrackingReadStatusEnable $False

Einfache Benutzer können nur nach dem Verbleib der Nachrichten suchen, die sie selbst gesendet haben, während Administratoren ein Postfach auswählen können, das durchsucht werden soll. Die Suchvorgänge zum Erstellen von Übermittlungsberichten werden im Abschnitt E-Mail organisieren auf der Registerkarte Übermittlungsberichte vorgenommen. Außerdem können die Benutzer in OWA einen Übermittlungsbericht für eine ausgewählte Nachricht anzeigen lassen, indem sie im Ordner Gesendete Elemente bzw. Posteingang mit der rechten Maustaste auf die gewünschte Nachricht klicken und Übermittlungsbericht öffnen auswählen. Bei empfangenen E-Mails können sie auch auf die im Header angezeigte Schaltfläche Aktionen klicken und die Aktion dort auswählen. Von Benutzern erstellte Übermittlungsberichte für eingehende Nachrichten zeigen nur Informationen an, die die Zustellung zum eigenen Postfach betreffen. Beispielsweise kann ein Benutzer darin ablesen, ob eine Gruppe erweitert wurde, um die Nachricht an sein Postfach zu adressieren, oder ob sie nach der Auslieferung an sein Postfach noch mit einer Regel verarbeitet wurde. Nicht sichtbar sind dagegen alle Aspekte, die mit der Zustellung der Nachricht zu anderen Empfängern zu tun haben. Um auch Übermittlungsberichte für Nachrichten an andere Benutzer erstellen zu können, müssen Sie als Verwaltungsbereich Meine Organisation auswählen und zum Abschnitt E-Mail-Steuerelement wechseln. Dort können Sie auf der Registerkarte Übermittlungsberichte die Suchkriterien eingeben.

250

Als Erstes müssen Sie dabei das Postfach angeben, das durchsucht werden soll, gefolgt von den Nachrichtenempfängern (für ausgehende Nachrichten) oder den Personen, die E-Mails an das Postfach gesendet haben. Außerdem müssen Sie die Wörter vermerken, die im Betreff vorkommen sollen. Ging die Nachricht an einen externen Empfänger oder wurde sie von einem externen Absender empfangen, geben Sie dessen SMTP-Adresse ein. Es ist nicht unbedingt erforderlich, Suchbegriffe für die Betreffzeile einzugeben, doch wird das die Geschwindigkeit des Suchvorgangs steigern und auch die Ergebnisse verbessern. Wenn Sie die Suche ausführen, schlägt Exchange in seinen Nachrichtenverfolgungsprotokollen nach und zeigt alle E-Mails an, die mit den Kriterien übereinstimmen (siehe Abbildung 5.31). Abbildg. 5.31

Ergebnisse einer Suche zum Erstellen eines Übermittlungsberichts

Hinter den Kulissen ruft die Exchange-Systemsteuerung das Cmdlet Search-MessageTrackingReport auf und übergibt ihm die vom Benutzer festgelegten Suchparameter. In Kürze werden Sie auch erfahren, wie Sie Suchvorgänge direkt in der Exchange-Verwaltungsshell durchführen. Da die Übermittlungsberichtsuchen von Clientzugriffsservern durchgeführt werden, muss als Erstes der Kontakt mit einem solchen Server am Standort hergestellt werden. Wenn wir an Nachrichten interessiert sind, die von einem bestimmten Postfach gesendet wurden, beginnt der Clientzugriffsserver die Suche auf dem Postfachserver, der zurzeit die Datenbank mit dem entsprechenden Postfach beherbergt. Bei Nachrichten von einem externen Sender beginnt die Suche dagegen auf dem Hub-Transport-Server des Standorts, da dies der erste Eintrittspunkt für die Nachricht ist. Nachdem der Ausgangspunkt für die Suche bestimmt ist, nimmt Exchange Kontakt mit dem Protokollsuchdienst auf dem betreffenden Server auf und fragt ihn anhand der Suchkriterien ab. Wird eine Nachricht gefunden, kann ihr Weg von einem Server zum anderen bis zum Endpunkt verfolgt werden. Das kann entweder die Auslieferung in einem Postfach oder das Verlassen der Organisation über einen Connector sein. Die Clientzugriffsserver fragen dann die Hub-Transport- und Postfachserver ihres Standorts ab, erfassen die Daten und senden sie an den anfordernden Server zurück. Alle während des Suchvorgangs gesammelten Daten werden dann formatiert und dem Benutzer in der Exchange-Systemsteuerung (siehe Abbildung 5.32) oder Exchange-Verwaltungsshell angezeigt. Sie können die Liste der zusammengestellten Übermittlungsberichte durchsuchen und diejenigen auswählen, die Ihnen vielversprechend erscheinen. Wenn Sie auf ein Element der Liste klicken, zeigt die Exchange-Systemsteuerung grundlegende Informationen über die Nachricht an, darunter die komplette Aufstellung sämtlicher Empfänger, die Anzahl der Empfänger und die Anzahl erfolgreicher Zustellvorgänge. Einen vollständigen Bericht über alle bekannten Schritte, die die Nachricht vom Absenden über die Verarbeitung im Transportsystem bis zur endgültigen Auslieferung durchlaufen hat, erhalten Sie, indem Sie auf einen der Empfänger klicken. Der Übermittlungsbericht, den Sie in Abbildung 5.32 sehen, bezieht sich beispielsweise auf eine Nachricht an eine umfangreiche Empfängergruppe mit insgesamt 62 Mitgliedern.

251

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Administratoraufgaben in der Exchange-Systemsteuerung

Kapitel 5

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

TIPP Bei allen Gruppen muss Exchange zuerst die Mitgliedschaft auflösen, bevor eine Nachricht weitergeleitet werden kann. Daher werden in Übermittlungsberichten die Mitgliederlisten aller Gruppen aufgeführt, an die die Nachricht ging, und das gilt auch für dynamische Verteilergruppen. Die Exchange-Systemsteuerung zeigt bis 30 Empfänger auf einmal an. Wenn Sie eine Nachricht also an mehr als 30 Empfänger schicken, müssen Sie die Empfängerliste durchsuchen, um die Person finden, an der Sie interessiert sind, bevor Sie die Einzelheiten des Berichts für dieses Postfach einsehen können. Abbildg. 5.32

Anzeige eines Übermittlungsberichts für eine Nachricht an eine umfangreiche Verteilergruppe

Abbildung 5.33 zeigt, welche Art von Informationen die Supportabteilung gewinnen kann, um Anfragen von Benutzern zu beantworten. In diesem Bericht sehen wir eine Liste der Empfänger einer Nachricht und einen kurzen Überblick über den jeweiligen Zustand der E-Mail. Eine Nachricht wurde innerhalb der Organisation erfolgreich ausgeliefert, die andere jedoch weitergeleitet, da sie an einen externen Empfänger adressiert war. Wenn wir auf den Eintrag für den externen Empfänger klicken, können wir nähere Angaben zu der Übertragung einsehen und bestätigen, dass sie erfolgreich von der eigenen Organisation an die E-Mail-Domäne des Empfängers gesandt wurde. Was anschließend mit der Nachricht geschah, entzieht sich unserer Kenntnis, aber wir können dem Benutzer zumindest versichern, dass von unserer Seite aus alles den richtigen Weg gegangen ist.

252

Administratoraufgaben in der Exchange-Systemsteuerung

Bestätigen der korrekten Weiterleitung einer Nachricht an ihren endgültigen Bestimmungsort

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Abbildg. 5.33

Nachdem Sie sich davon überzeugt haben, dass die Nachricht erfolgreich zugestellt wurde, können Sie auf den in der deutschen Version fälschlicherweise Voicemail aktivieren genannten Link klicken (im Original Email this link, also eigentlich Bericht per E-Mail senden), um eine Kopie an den Benutzer zu schicken, der die Bestätigung der korrekten Auslieferung angefordert hat. Gleichzeitig können Sie das Gefühl der tiefen Befriedigung genießen, da Sie einem Benutzer beweisen konnten, dass das E-Mail-System tatsächlich funktioniert – zumindest in diesem Fall. Durch die Einführung von Übermittlungsberichten in Exchange Server 2010 können Sie jetzt zwei wichtige Fragen klären, die immer wieder von Benutzern gestellt werden: Ist die Nachricht, die ich gesendet habe, wirklich am Ziel angekommen? Warum habe ich eine bestimmte Nachricht nicht erhalten? Wenn Sie ausführlichere Informationen über den Weg gewinnen wollen, den eine Nachricht genommen hat, verwenden Sie den Verfolgungsprotokoll-Explorer aus der Toolbox der Exchange-Verwaltungskonsole (mehr dazu erfahren Sie in Kapitel 15).

253

Kapitel 5

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

Erstellen von Übermittlungsberichten mit der Exchange-Verwaltungsshell Um die Suchvorgänge für Übermittlungsberichte auszuführen, verwendet Exchange hinter den Kulissen das Cmdlet Search-MessageTrackingReport. Um beispielsweise das Postfach von Samantha Smith nach Nachrichten von Tony Redmond zu durchsuchen, wird ein Befehl wie der im Folgenden gezeigte eingesetzt. Anders als bei Protokollsuchen zur Nachrichtenverfolgung können Sie hier keinen Datumsbereich angeben. Suchvorgänge für Übermittlungsberichte umspannen grundsätzlich die vergangenen zwei Wochen. Beachten Sie bei diesem Befehl noch folgende zwei Punkte: Erstens geben Sie mit dem Parameter -ByPassDelegateChecking an, dass Sie nicht Ihr eigenes Postfach durchsuchen. Dabei sind Sie darauf angewiesen, dass Sie die entsprechenden Rollen innehaben, um den Übermittlungsbericht generieren lassen zu können. Zweitens teilen Sie Exchange mit dem Parameter -ResultSize mit, dass Sie alle übereinstimmenden Nachrichten finden möchten. Wenn Sie diesen Parameter weglassen, werden bis zu 1000 Einträge zurückgegeben. Search-MessageTrackingReport –Identity 'Smith, Samantha' –Sender 'Redmond, Tony' –Subject 'Exchange' –ByPassDelegateChecking –ResultSize Unlimited | Select FromDisplayName, Subject, SubmittedDateTime FromDisplayName ---------------------Redmond, Tony Redmond, Tony Redmond, Tony

Subject ---------For you to review (Exchange) Exchange design document Exchange Budget for 2010

SubmittedDateTime -------------------2/10/2010 4:44:48 PM 2/10/2010 11:49:06 AM 2/10/2010 11:15:49 AM

Jeder Benutzer kann einen Suchvorgang in seinem eigenen Postfach durchführen, um einen Übermittlungsbericht zu erstellen. Dazu wird dieselbe Syntax verwendet. Geben Sie den Bezeichner des Postfachs an, lassen Sie aber den Parameter -ByPassDelegateChecking weg. Jede der Nachrichten, die bei der Suche zurückgegeben wird, weist einen eindeutigen Bezeichner in der Eigenschaft MessageTrackingReportId auf. Mithilfe dieses Wertes können Sie die Einzelheiten eines ausgewählten Übermittlungsberichtes abrufen. Das kann etwas kompliziert werden, wenn Sie viele Übermittlungsberichte vorliegen haben. Ganz allgemein gehen Sie aber genauso vor wie im folgenden Beispiel. Dort suchen wir als Erstes nach allen Nachrichten, die ein Benutzer an eine Verteilergruppe gesendet hat. Der dafür erforderliche Befehl sieht dem aus dem vorherigen Beispiel sehr ähnlich, allerdings suchen wir hier nach Nachrichten von einem Postfach an einen bestimmten Empfänger (die SMTP-Adresse der Verteilergruppe): Search-MessageTrackingReport –Identity 'Tony Redmond' –Recipients 'E14InterestList' –ByPassDelegateChecking –ResultSize Unlimited

Exchange ruft alle Übermittlungsberichte ab, die mit den Suchkriterien übereinstimmen. Da wir an Informationen über einen bestimmten Empfänger interessiert sind, müssen wir die Daten über den Empfänger aus sämtlichen Berichten der Liste herausfiltern. Dazu verwenden wir eine ForEachSchleife, die die Ausgabe des Suchvorgangs verarbeitet: ForEach {Get-MessageTrackingLog –Identity $_.MessageTrackingReportId –ByPassDelegateChecking –DetailLevel Verbose –RecipientPathFilter '[email protected]' –ReportTemplate RecipientPath}

254

Dieser Code durchsucht die Übermittlungsberichte auf alle Angaben, die den im Parameter -RecipientPathFilter angegebenen Empfänger betreffen. Auch hier verwenden wir wieder die SMTP-Adresse zur Bezeichnung des Empfängers. Die Ausgabe ist nicht so hübsch wie in der Exchange-Systemsteuerung, aber sie zeigt, was geschehen ist, um die Nachricht zum Empfänger zu bekommen. Weitere Informationen

Weitere Informationen über Übermittlungsberichte finden Sie im Blog der Exchange-Entwicklungsgruppe unter http://mxexchangeteam.com/archive/2010/01/13/453792.aspx. Transport- und Journalregeln

In Exchange Server 2010 SP1 können Sie Transport- und Journalregeln in der Exchange-Systemsteuerung erstellen und bearbeiten. Alle Prädikate, Bedingungen und Ausnahmen für die Regeln, die in der Verwaltungskonsole zur Verfügung stehen, sind auch in der Exchange-Systemsteuerung zugänglich. Manche Benutzer kommen mit der Exchange-Systemsteuerung besser zurecht, und es ist auf jeden Fall ein Vorteil, dass Sie die Exchange-Verwaltungswerkzeuge nicht auf einer Arbeitsstation installieren müssen, nur um Regeln bearbeiten zu können. Das ist vor allem für die Hostingversion von Exchange von Bedeutung, da Administratoren die Regeln für ihre Organisation in einem solchen Umfeld über HTTPS verwalten können. Bei lokalen Bereitstellungen gehe ich davon aus, dass die Transport- und Journalregeln in den meisten Fällen weiterhin in der Verwaltungskonsole bearbeitet werden, weil dies das Werkzeug ist, das schon früher dafür benutzt wurde und weil es besser dokumentiert und den Administratoren, die mit Regeln arbeiten ist, vertrauter ist.

Ausführen der Exchange-Systemsteuerung ohne Exchange-Postfach In Exchange Server 2010 SP1 können Sie auch Konten ohne Exchange-Postfach Zugriff auf die Exchange-Systemsteuerung erteilen. Die Sicherheitsrichtlinien vieler Unternehmen verbieten es, dass Administratoren zur Verwaltung von Computern ihre persönlichen Konten heranziehen (also die Konten, die Sie für den Zugriff auf E-Mails und andere Anwendungen verwenden). Das Ziel besteht darin, in Administratoren ein Bewusstsein dafür zu schaffen, dass sie in Umgebungen mit erhöhten Rechten arbeiten. Sie sollen klar zwischen ihrer Arbeit als Systemadministrator und ihrer Arbeit als normaler Benutzer trennen. In Exchange Server 2010 ist jedes Administratorkonto zwangsweise E-Mail-aktiviert, sodass Unternehmen, die auf die angesprochene Trennung der Aufgabengebiete Wert legen, zwei Konten für Administratoren einrichten müssen, ein normales und eines mit Administratorberechtigungen. In SP1 ist die rollenbasierte Zugriffssteuerung so erweitert worden, dass Administratoren auch nicht E-Mail-aktivierte Konten zu Rollengruppen hinzufügen können. Abbildung 5.34 zeigt, wie das Konto Computeradministrator zum Mitglied einer Rollengruppe gemacht wird. Solche nicht E-Mail-aktivierten Konten können Sie zu einflussreichen Rollengruppen wie Organization Management hinzufügen, aber auch zu eingeschränkteren wie Help Desk.

255

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Administratoraufgaben in der Exchange-Systemsteuerung

Kapitel 5 Abbildg. 5.34

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

Aufnehmen eines nicht E-Mail-aktivierten Kontos in eine Rollengruppe

Um die Exchange-Systemsteuerung zu öffnen, meldet sich der Benutzer wie üblich an und gibt den URL https://<Servername>/ECP ein. Da er kein Postfach hat, wird jeder Versuch, OWA zu nutzen, mit dem höflichen Hinweis beendet, dass Exchange kein Postfach für dieses Konto finden kann. Verwalten der Postfacheinstellungen eines anderen Benutzers

Wenn Sie die Postfacheinstellungen eines anderen Benutzers bearbeiten, zeigt die Exchange-Systemsteuerung oben auf der Seite eine Warnleiste an, die auf diesen Umstand aufmerksam macht. Selbstverständlich sollten Administratoren nur so lange am Postfach eines anderen Benutzers angemeldet sein, wie es notwendig ist, um die jeweiligen Aufgaben zu erledigen. Die Warnleiste ist eine deutliche Erinnerung daran, dass der Administrator anschließend das Fenster schließen muss, um die Verbindung der Exchange-Systemsteuerung zu diesem Postfach wieder zu trennen. Damit ein Administrator das Postfach eines anderen Benutzers öffnen kann, muss ihm der Vollzugriff darauf gewährt worden sein. Weitere Informationen darüber erhalten Sie in Kapitel 6.

256

Gruppenverwaltung in der Exchange-Systemsteuerung Verteilergruppen sind schon seit langer Zeit ein grundlegender Bestandteil von Messagingystemen. In Exchange war es üblich, dass Administratoren Gruppen in der jeweiligen Verwaltungskonsole erstellen und bearbeiten konnten (worunter vor allem auch die Handhabung der Mitgliedschaft zählt), während Benutzer über Clients wie Outlook Zugriff auf die Gruppen haben. Der Umgang mit Gruppen beschränkt sich für Benutzer jedoch meistens darauf, Informationen darüber einzusehen, und nur die wenigsten haben irgendeinen Grund, die Gruppenmitgliedschaft zu bearbeiten. Früher wurde dies hauptsächlich in Outlook erledigt. Solange die Gruppe zur selben Domäne gehört wie das Konto, das sie zu bearbeiten versucht, ist Outlook ein brauchbares Hilfsmittel, aber wenn Outlook in einer Umgebung mit mehreren Domänen keine Verbindung mit einem Domänencontroller aufnehmen kann, der eine beschreibbare Kopie der Gruppe enthält, treten Schwierigkeiten auf. Durch die Verlegung des Codes für Gruppenänderungen vom Postfach- zum Clientzugriffsserver wurde dieses Problem in Exchange Server 2010 gelöst (sofern der betreffende Benutzer nomineller Besitzer der Gruppe ist). Da Outlook von Haus aus kein Werkzeug der Verwaltung von Verzeichnissen ist, haben viele Unternehmen eigene Webportale auf der Grundlage von LDAP angelegt, in denen Benutzer Gruppen erstellen, verwalten und löschen können. Solche Portale gibt es häufig in Umgebungen, in denen mehrere E-Mail-Systeme auf ein gemeinsames Verzeichnis zugreifen. Die Exchange-Systemsteuerung bietet zwei verschiedene Ansichten von Gruppen: Benutzer haben Zugriff auf »öffentliche« Gruppen, die sie entweder selbst besitzen (sie sind also registrierte Verwalter der Gruppe) oder deren Mitglied sie sind. Dagegen können Administratoren Gruppen für die gesamte Organisation erstellen, verwalten und löschen. Neben den unterschiedlichen Bezeichnungen in der Exchange-Systemsteuerung gibt es noch einige feine Unterschiede zwischen den beiden Arten. Eine öffentliche Gruppe ist für Endbenutzer sichtbar, es gibt jedoch in Exchange noch andere Gruppen, die die Benutzer nie zu sehen bekommen: 1. Gruppen, die in den Exchange-Adresslisten als ausgeblendet markiert sind und daher nicht in der

globalen Adressliste erscheinen. Diese Gruppen werden Endbenutzern niemals angezeigt. 2. Dynamische Verteilergruppen. Die Mitgliedschaft in diesen Gruppen wird durch die OPATH-Fil-

ter bestimmt, die das Transportsystem jedes Mal auswertet, wenn eine Nachricht an eine solche Gruppe seine Kategorisierungskomponente durchläuft. Endbenutzer können die OPATH-Bilder weder bearbeiten noch einsehen (und wahrscheinlich wollen sie das auch gar nicht), weshalb es nicht sehr sinnvoll wäre, diese Gruppen in der Exchange-Systemsteuerung anzuzeigen. 3. Raumlisten. Dabei handelt es sich um Verteilergruppen, deren Mitglieder sich ausschließlich aus Raumpostfächern zusammensetzen. Sie werden von Outlook 2010 verwendet, damit die Benutzer beim Planen einer Besprechung leichter einen geeigneten Konferenzraum finden können. Da diese Gruppen jedoch nur internen Zwecken dienen, ist es nicht sinnvoll, sie von Benutzern bearbeiten zu lassen, weshalb sie in der Exchange-Systemsteuerung ausgeblendet sind. Raumlisten werden ausführlicher in Kapitel 6 besprochen. In der Exchange-Systemsteuerung können Administratoren nicht mit sämtlichen Gruppen arbeiten, und es stehen ihnen auch nicht sämtliche Eigenschaften zur Verfügung, die es in Exchange sonst für Gruppen gibt. Teilweise liegt das daran, dass sich die Exchange-Systemsteuerung in Exchange Server 2010 SP1 erst im zweiten Entwicklungsstadium befindet und Microsoft noch nicht so viel Zeit und

257

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Gruppenverwaltung in der Exchange-Systemsteuerung

Kapitel 5

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

Arbeit dafür aufgewendet hat, sie mit einem ebenso reichhaltigen Satz von Möglichkeiten auszustatten wie die Verwaltungskonsole oder -shell. Allerdings ist die Exchange-Systemsteuerung ohnehin nur als Oberfläche für die häufigsten Verwaltungsaufgaben gedacht, sodass sie auch in naher Zukunft nicht die Möglichkeiten bieten wird, die Exchange-Administratoren für ihre kompliziertesten Aufgaben benötigen. Das Thema Verteilergruppen sehen wir uns im nächsten Kapitel ausführlicher an. Dort erfahren Sie, wie Sie sie in der Exchange-Verwaltungskonsole und -shell bearbeiten können.

Definieren eines Standardspeicherorts für Gruppen und einer Gruppenbenennungsrichtlinie Wenn Sie Administratoren und Benutzern beim Erstellen von Gruppen freie Bahn lassen, werden wahrscheinlich alle möglichen Arten von Gruppennamen verwendet. Es ist jedoch wichtig, dass Gruppen über sinnvolle Namen verfügen, über die die Benutzer schnell die richtige Gruppe finden können, an die Sie eine Nachricht senden müssen. Zwecke, für die Gruppen erstellt werden, können wir kaum einschränken – dies reicht von Gruppen, die die Organisationsstruktur widerspiegeln (die Mitglieder einer Abteilung) über die Benutzer einer Ebene (alle leitenden Angestellten) bis hin zu banalen Gemeinsamkeiten, an denen aber reges Interesse besteht (die Betriebsfußballmannschaft). Allerdings können wir dafür sorgen, dass diese Gruppen einer Namenskonvention folgen, sodass die Benutzer sie in der globalen Adressliste logisch geordnet vorfinden. In Exchange Server 2010 SP1 haben Administratoren die Möglichkeiten, zwei wichtige Aspekte der Gruppenerstellung über die Exchange-Systemsteuerung zu beeinflussen: 쐍 Der Active Directory-Speicherort, an dem neue Gruppen erstellt werden 쐍 Die Benennungsrichtlinie, die auf neue Gruppen angewendet wird Wenn Sie eine neue Gruppe in der Exchange-Sytemsteuerung erstellen, wird sie in der Organisationseinheit Users platziert. Dies hat den Vorteil, dass diese Organisationseinheit garantiert vorhanden ist, da es sich um eine der Standardorganisationseinheiten handelt, die bei der Installation von Active Directory erstellt werden. Nur wenige Administratoren löschen Organisationseinheiten ohne guten Grund, aber wenn Sie Users entfernen, dann können Benutzer in der Exchange-Systemsteuerung keine Gruppen mehr erstellen. Für die Exchange-Verwaltungskonsole und die Verwaltungsshell gilt diese Einschränkung nicht, denn dort können Sie selbst angeben, welche Organisationseinheit Sie verwenden möchten. Insidertipp: Festlegen der Organisationseinheit einer neuen Gruppe

Administratoren haben darum gebeten, festlegen zu können, wo neue Gruppen erstellt werden. In Exchange Server 2010 SP1 können Sie den Speicherort für alle Gruppen angeben, die innerhalb der Organisation angelegt werden. Dazu verwenden Sie einen Befehl wie den folgenden: Set-OrganizationConfig -DistributionGroupDefaultOU 'contoso.com/Exchange Groups'

Solange Sie keinen anderen Ort angeben, erstellt Exchange neue Gruppen weiterhin innerhalb der Organisationseinheit Users.

258

Als Speicherort für neue Gruppen können Sie in der Exchange-Systemsteuerung nur eine einzige Organisationseinheit für die gesamte Organisation angeben. Diese Holzhammerlösung mag in kleinen Umgebungen gut funktionieren, bietet aber für große Organisationen, in denen es angebracht wäre, die Gruppen auf mehrere Organisationseinheiten zu verteilen, nicht genug Flexibilität. Tausende von Gruppen in eine einzige Organisationseinheit zu packen ist nicht unbedingt die bestmögliche Vorgehensweise, aber andererseits ist es durchaus verständlich, dass Microsoft diesen Ansatz gewählt hat, denn um den Benutzern zu erlauben, den Speicherort einer neuen Gruppe selbst festzulegen, müsste ihnen die Organisationsstruktur von Active Directory in der Exchange-Sytemsteuerung zugänglich gemacht werden, und das ist etwas, was niemand ernstlich will. Es bleibt Ihnen also nichts anderes übrig, als die Gruppen, die die Benutzer angelegt haben, anschließend in die geeignetste Organisationseinheit zu verschieben. Durch einen solchen Verschiebevorgang werden die Gruppenbesitzer nicht daran gehindert, die Gruppen zu verwalten, und auch die anderen Benutzer können die Gruppen weiterhin in der globalen Adressliste sehen. Keine Benennungsrichtlinie kann ausnahmslos verhindern, dass Benutzer neuen Gruppen dumme oder unpassende Namen geben. Es wäre unvernünftig zu erwarten, dass eine intelligente Richtlinie Gruppennamen analysieren könnte, um ihren Wert zu bestimmen, denn das würde ein hohes Maß an künstlicher Intelligenz und viel Wissen über die Unternehmenskultur erfordern. Was in einem Unternehmen ein alberner Name wäre, ist in einem anderen möglicherweise die Codebezeichnung für ein neues Spitzenprodukt. Die Gruppenbenennungsrichtlinien in der Exchange-Systemsteuerung dienen zu nichts anderem, als dafür zu sorgen, dass neue Gruppen durch passenden Präfixe oder Suffixe in der globalen Adressliste deutlich zu erkennen sind. Diese Richtlinie gilt für die Gruppen, die Benutzer mithilfe der Exchange-Systemsteuerung anlegen, wird aber nicht auf solche angewendet, die Administratoren in der Exchange-Systemsteuerung oder in der Verwaltungskonsole erstellen. In der Verwaltungsshell können Administratoren den Parameter IgnoreNamingPolicy angeben: New-DistributionGroup –Name 'Senior Executives' –Type Security –IgnoreNamingPolicy –SAMAccountName 'SeniorExec' –OrganizationUnit 'contoso.com/Groups'

HINWEIS Eine Gruppenbenennungsrichtlinie gilt für die gesamte Organisation. Sie können keinen feineren Anwendungsbereich auf der Grundlage der Geschäftsstruktur oder von Filtern festlegen. Um eine Gruppenbenennungsrichtlinie für die Organisation festzulegen, öffnen Sie die ExchangeSystemsteuerung, wählen Meine Organisation verwalten, klicken auf Benutzer und Gruppen und dann auf Verteilergruppen. Die Option zum Erstellen der Benennungsrichtlinie finden Sie unter der Gruppenliste. Wenn bereits eine solche Richtlinie definiert ist, werden Einzelheiten dazu hier angezeigt. Klicken Sie auf Bearbeiten, um die Richtlinie zu ändern. Daraufhin sehen Sie den Bildschirm aus Abbildung 5.35, in dem Sie die gewünschten Präfixe und Suffixe für neue Gruppen auswählen und Wörter angeben können, die nicht in Gruppennamen auftreten dürfen. Das können z.B. jegliche ungeeigneten Wörter sein, die beleidigend wirken oder sich aus anderen Gründen nicht für geschäftliche Zwecke eignen. Als Präfix oder Suffix können Sie einen Text angeben oder ein Active Directory-Attribut auswählen oder beide Varianten in beliebiger Reihenfolge kombinieren. Wenn später ein Benutzer eine Gruppe erstellt, wird der Wert eingefügt, den das Attribut im Konto dieses Benutzers aufweist. Weist das Attribut keinen Wert auf, trägt Exchange dafür auch nichts in den Gruppennamen ein.

259

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Gruppenverwaltung in der Exchange-Systemsteuerung

Kapitel 5 Abbildg. 5.35

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

Festlegen einer Gruppenbenennungsrichtlinie für die Organisation

Zur Bezeichnung von Gruppen werden besonders häufig Präfixe verwendet, da dadurch alle Gruppen gesammelt in der globalen Adressliste erscheinen. Die Richtlinie in Abbildung 5.35 verlangt ein Präfix aus drei Teilen: dem Text GRP- gefolgt von einem Active Directory-Attribut, nämlich der Abteilung, und schließlich einem Leerzeichen. Wenn ein Benutzer also als Gruppennamen Benutzer Dublin angibt und sein Abteilungsattribut den Wert Admin aufweist, ergibt sich also der Gruppenname GRP-Admin Benutzer Dublin. Weist das Konto des Benutzers keinen Wert für Abteilung auf, bleibt der Gruppenname GRP- Benutzer Dublin. Wenn Benutzer eine Gruppe erstellt haben, weist die Exchange-Systemsteuerung sie in einem Popupfenster wie dem aus Abbildung 5.36 auf die Auswirkungen der Benennungsrichtlinie hin. Abbildg. 5.36

260

Ein Benutzer wird auf die Auswirkungen der Gruppenbenennungsrichtlinie hingewiesen.

Nachdem Sie die gewünschte Kombination aus Text und Active Directory-Attributen für Ihre Gruppennamen ausgewählt haben, klicken Sie auf Speichern, um die neue Richtlinie in den Organisationseinstellungen zu schreiben. Exchange legt die Gruppenbenennungsrichtlinie in der Eigenschaft DistributionGroupNamingPolicy der Organisationskonfiguration ab. Zugriff auf diese Eigenschaft (im folgenden Listing mit DG... abgekürzt, in der tatsächlichen Ausgabe jedoch als DistributionGroup... genannt) haben Sie mit dem Cmdlet Get-OrganizationConfig: Get-OrganizationConfig | Select Distr* DGDefaultOU -------------------------contoso.com/Exchange Users

DGNameBlockedWordsList ---------------------{Cake, Pizza}

DGNamingPolicy ----------------------------GRP-

TIPP Es ist zwar möglich, die Gruppenbenennungsrichtlinie mit Set-OrganizationConfig zu ändern, aber einfacher und weniger fehleranfällig geht das in der Exchange-Systemsteuerung. Gruppennamen, die aufgrund einer Richtlinie zusammengestellt wurden, sind zumindest in dem Sinne nützlich, dass die Gruppen in der globalen Adressliste gut geordnet sind. Trotzdem muss ein Administrator die Gruppennamen immer noch überprüfen und möglicherweise korrigieren, um ihnen einen gefälligeren Klang zu geben. Wenn Ihre Benutzer jedoch daran gewöhnt sind, mit computergeeigneten, aber nicht unbedingt benutzerfreundlichen Gruppennamen umzugehen, brauchen Sie womöglich nichts mehr zu ändern.

Erstellen neuer Gruppen Das Erstellen von Gruppen läuft in der Exchange-Systemsteuerung ziemlich einfach ab. Abbildung 5.37 zeigt die grundlegenden Elemente einer Gruppe, die gerade mit Mitgliedern gefüllt wird. Dabei können Sie folgende Informationen eingeben: 쐍 Gruppenname (erforderlich) Eine organisationsweite Gruppenbenennungsrichtlinie kann ein Präfix oder Suffix beisteuern, dass das neue Objekt als Gruppe kennzeichnet. Der Name ist beschreibend und sollte deutlich machen, wer die Nachrichten erhält, die an die Gruppe gesendet werden. Gruppennamen müssen eindeutig sein. 쐍 Gruppenalias (erforderlich) Ein Alias zur Bezeichnung der Gruppe. Es wird empfohlen, die Aliase sämtlicher Objekte eindeutig zu halten, allerdings ist es nicht zwingend erforderlich, dass auch Gruppenaliase eindeutig sind. 쐍 Beschreibung Beschreibender Text, der den Zweck der neuen Gruppe angibt. Diese Erläuterungen werden den Benutzern angezeigt, wenn sie sich in der globalen Adressliste die Gruppeneigenschaften ansehen. 쐍 Besitz Eine Liste der Besitzer (mindestens einer), die die Eigenschaften der Gruppe verwalten dürfen, vor allem auch die Mitgliedschaft. Die Exchange-Systemsteuerung fügt den Benutzer, der die Gruppe erstellt hat, automatisch als Besitzer hinzu. 쐍 Mitgliedschaft Eine Liste der E-Mail-aktivierten Objekte, die an die Gruppe gesendete Nachrichten erhalten. Die Verwalter der Gruppe werden als Mitglieder hinzugefügt.

261

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Gruppenverwaltung in der Exchange-Systemsteuerung

Kapitel 5

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

쐍 Mitgliedschaftsgenehmigung Eine Reihe von Eigenschaften, die steuern, einer Gruppe ohne Eingreifen eines Administrators beitreten oder sie verlassen zu können: 왍 Die Eigenschaft MemberJoinRestriction gibt an, wie ein Endbenutzer einer Gruppe beitreten kann. 왍 Die Eigenschaft MemberDepartRestriction gibt an, wie ein Endbenutzer eine Gruppe verlassen kann. Abbildg. 5.37

Erstellen einer neuen Gruppe in der Exchange-Systemsteuerung

HINWEIS Dieselben Werte werden auch verwendet, um Anforderungen zum Beitreten zu einer Gruppe oder zum Verlassen zu steuern: 쐍 Open (Offen) Ein Endbenutzer kann der Gruppe jederzeit beitreten oder sie verlassen, ohne dazu eine besondere Erlaubnis zu benötigen.

쐍 Closed (Geschlossen) Die Mitgliedschaft ist gesteuert, sodass kein Benutzer der Gruppe von sich aus beitreten oder sie selbstständig verlassen kann. Dies muss durch den Administrator erfolgen. 쐍 ApprovalRequired (Besitzergenehmigung) Ein Endbenutzer kann einen Antrag auf Mitgliedschaft in der Gruppe stellen. Diese Anforderung leitet Exchange an die Gruppenverwalter weiter, von denen einer zustimmen muss, um den Benutzer in die Gruppe aufzunehmen.

Nachdem Sie eine Gruppe erstellt haben, können Sie sie in der Exchange-Systemsteuerung oder der Exchange-Verwaltungsshell um erweiterte Elemente wie E-Mail-Infos ergänzen. 262

Erstellen von Sicherheitsgruppen in der ExchangeSystemsteuerung Der Standardtyp für neue Grupen ist eine E-Mail-aktivierte, universelle Verteilergruppe. Wenn Sie eine E-Mail-aktivierte Sicherheitsgruppe benötigen (die einen Sicherheitsprinzipal enthalten darf), müssen Sie dies beim Erstellen der Gruppe angeben (siehe Abbildung 5.38). Dies ist eine in Exchange Server 2010 SP1 neu eingeführte Funktion, und nur Administratoren können Sicherheitsgruppen anlegen (wenn Benutzer, die keine Administratoren sind, Gruppen erstellen, ist dieses Kontrollkästchen deaktiviert). Es ist nicht möglich, dass Benutzer einer Sicherheitsgruppe ohne Eingreifen eines Administrators beitreten oder sie von sich aus verlassen, und diese Einschränkung ist nur logisch. Eine Sicherheitsgruppe ist schließlich ein Sicherheitsprinzipal, der den Zugriff auf eine Ressource beschränken soll. Wenn sich Benutzer unbeaufsichtigt selbst Zugang zu einem solchen Sicherheitsprinzipal gewähren könnten, wäre das eine alles andere als sichere Situation. Abbildg. 5.38

Erstellen einer Sicherheitsgruppe

Da dem Cmdlet Set-DistributionGroup die erforderlichen Fähigkeiten fehlen, können Sie eine einmal erstellte E-Mail-aktivierte Verteilergruppe mit keinem der Verwaltungswerkzeuge von Exchange nachträglich zu einer Sicherheitsgruppe machen. Dies ist nur möglich, indem Sie die Eigenschaften der Gruppe in Active Directory-Benutzer und -Computer ändern.

263

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Gruppenverwaltung in der Exchange-Systemsteuerung

Kapitel 5

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

Benutzer und Gruppen Die vielleicht interessanteste Verwaltungsfunktion, die die Exchange-Systemsteuerung für viele Unternehmen bietet, ist die Tatsache, dass Benutzer darüber erkennen können, welchen Gruppen sie angehören und welche Gruppen es noch gibt, sowie die Möglichkeit, Gruppen selbstständig und ohne Eingreifen eines Administrators beizutreten oder sie zu verlassen. In der Exchange-Systemsteuerung können die Benutzer Folgendes tun: 쐍 Die öffentlichen Gruppen einsehen, zu denen sie gehören 쐍 Die Mitgliedschaft der öffentlichen Gruppen ändern, für die sie als Verwalter registriert sind 쐍 Gruppen in ihrem eigenen Besitz löschen 쐍 Neue Gruppen erstellen 쐍 Offenen Gruppen anderer Besitzer beitreten und sie wieder verlassen Wie alles andere in der Exchange-Systemsteuerung hängt auch die Fähigkeit der Benutzer, die Aufgaben auszuführen, von der standardmäßigen Rollenzuweisungsrichtlinie ab (siehe Abbildung 5.39). Jedes Exchange-Postfach verfügt über eine Rollenzuweisungsrichtlinie, die regelt, welche Cmdlets zur Arbeit mit Objekten wie Gruppen der Benutzer verwenden darf. Zu Anfang weist jedes Postfach nur die Standardrichtlinie auf (Default Role Assignment Policy), aber Sie können nach Bedarf neue Richtlinien erstellen und den Postfächern zuweisen. Abbildg. 5.39

264

Die standardmäßige Rollenzuweisungsrichtlinie

Wenn die Exchange-Systemsteuerung gestartet wird, untersucht sie die dem Postfach zugewiesene Rollenzuweisungsrichtlinie, um herauszufinden, welche Benutzeroberfläche angezeigt werden muss. Abbildung 5.39 zeigt die Rollenzuweisungen in der Standardrichtlinie, die festlegen, was der Benutzer mit Gruppen tun kann. Wie Sie sehen, gehört zu den in dieser Richtlinie erfassten Rollen auch MyDistributionGroupMembership, sodass die Exchange-Systemsteuerung dem Benutzer ermöglicht, ihre eigene Mitgliedschaft in Gruppen einzusehen und zu ändern. Das Kontrollkästchen für MyDistributionGroups ist dagegen nicht aktiviert, weshalb diese Rolle den Benutzern nicht über die Richtlinie zugewiesen wird und die Exchange-Systemsteuerung auch keine Benutzeroberflächenelemente zum Erstellen neuer Gruppen anzeigt. Wenn Benutzer sich den Abschnitt Gruppen der Exchange-Systemsteuerung ansehen, sehen sie aufgrund dieser Richtlinie nur eine Liste von Gruppen mit der Überschrift Öffentliche Gruppen, denen ich zugehöre (siehe Abbildung 5.40). Das sind die Gruppen, in denen der Benutzer Mitglied ist. Gehört er zu sehr vielen Gruppen, kann er über die Funktion Suchgruppen (im Original Search groups, also eigentlich Gruppen suchen) diejenige finden, mit der er arbeiten möchte. Abbildg. 5.40

Anzeige öffentlicher Gruppen in der Exchange-Systemsteuerung

In Abbildung 5.41 sehen Sie, wie die Eigenschaften einer Gruppe in der Exchange-Systemsteuerung angezeigt werden. Die Mitgliedschaft unterliegt der Kontrolle durch den Administrator. Das können Sie daran sehen, dass Beitrittsanfragen automatisch abgelehnt werden. Die Eigenschaft MemberJoin-

265

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Gruppenverwaltung in der Exchange-Systemsteuerung

Kapitel 5

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

Restriction steht also auf Closed. Um diese Eigenschaft und die für das Verlassen der Gruppe zu ändern, können Sie die Eigenschaften der Gruppe in der Verwaltungskonsole ändern (auf der Registerkarte Mitgliedschaftsgenehmigung) oder mithilfe des Cmdlets Set-DistributionGroup: Set-DistributionGroup –Identity 'SharePoint Interest List' –MemberJoinRestriction 'ApprovalRequired' –MemberDepartRestriction 'Open' Abbildg. 5.41

Anzeigen der Gruppeneigenschaften

Das Prinzip selbstwartender Gruppen, die sich auf diese Eigenschaften stützen, wird ausführlicher in Kapitel 6 erläutert.

Zulassen der Gruppenerstellung durch Benutzer Wenn Sie den Benutzern das Erstellen von Gruppen erlauben, indem Sie die Rolle MyDistributionGroups in die Richtlinie Default Role Assignnment Policy aufnehmen, zeigt sich sofort ein Unterschied, wenn Benutzer in der Exchange-Systemsteuerung den Abschnitt Gruppen öffnen. Wie Sie in Abbildung 5.42 sehen, zeigt die Exchange-Systemsteuerung dank der neuen Rolle eine weitere Liste von Gruppen unter der Überschrift Öffentliche Gruppen, die ich besitze an. Dazu gehören auch Steuerelemente, um neue Gruppen anzulegen und die vorhandenen zu ändern. Die in dieser Liste aufgeführten Gruppen sind diejenigen, für die der Benutzer als Verwalter registriert ist. Um herauszufinden, wer der Verwalter einer Gruppe ist, sehen Sie sich deren Eigenschaften in der Exchange-Verwaltungskonsole an oder verwenden das Cmdlet Get-DistributionGroup.

266

Gruppenverwaltung in der Exchange-Systemsteuerung

Darstellung der Exchange-Systemsteuerung nach Zuweisung der Rolle MyDistributionGroups

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Abbildg. 5.42

Mit dem folgenden Beispielcode können wir ermitteln, wer als Verwalter der Gruppe CEO Staff fungiert. Wie das Ergebnis zeigt, sind es zwei Benutzer, und wenn diese beiden Benutzer die ExchangeSystemsteuerung verwenden, sehen sie in der Liste der Gruppen, die sie besitzen, auch CEO Staff. Get-DistributionGroup –Identity 'CEO Staff' | Format-Table ManagedBy ManagedBy --------------{contoso.com/Exchange Users/Redmond, Tony, contoso.com/Exchange Users/CEOSupport Admin}

Wenn Ihnen diese Konstellation nicht behagt, können Sie die Richtlinie wieder ändern und die Fähigkeit zum Erstellen neuer Gruppen daraus entfernen.

Folgen der Gruppenerstellung durch Benutzer Bevor Sie Benutzern das Erstellen von Gruppen erlauben, müssen Sie sich über die Konsequenzen einer solchen Entscheidung klar werden: 쐍 Gewöhnlich erstellen Benutzer neue Gruppen ohne rechte Planung und häufig vor allem auch, ohne zunächst nachzusehen, ob es schon eine vergleichbare Gruppe gibt. Außerdem ist es unwahrscheinlich, dass die Benutzer einer Namenskonvention folgen. Das kann dazu führen, dass schließlich doppelte Gruppen überall über die globale Adressliste verteilt sind. In Exchange Server 2010 SP1 haben Sie die Möglichkeit, eine Benenungsrichtlinie für Gruppen vorzusehen.

267

Kapitel 5

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

쐍 Benutzer werden hin und wieder die Mitgliedschaft einer Gruppe ändern, ansonsten aber nicht viel zur Gruppenverwaltung beitragen. Wenn Benutzer die Organisation verlassen, bleiben verwaiste Gruppen zurück. Das führt zu vielen veralteten und unerwünschten Zombiegruppen, die in der globalen Adressliste verbleiben, bis ein Administrator sie löscht. 쐍 Benutzer können zwar E-Mail-aktivierte universelle Gruppen erstellen, aber keine E-Mail-aktivierten universellen Sicherheitsgruppen. Wenn ein Benutzer so etwas benötigt, kann er zunächst eine normale Gruppe erstellen und dann den Administrator bitten, daraus nachträglich eine Sicherheitsgruppe zu machen. 쐍 Beachten Sie auch den Active Directory-Speicherort für die von Benutzern erstellten Gruppen. Weitere Informationen darüber, wie Sie eine standardmäßige Organisationseinheit für neue Gruppen festlegen, finden Sie im Abschnitt »Definieren eines Standardspeicherorts für Gruppen und einer Gruppenbenennungsrichtlinie« weiter vorn in diesem Kapitel. Je größer die Organisation, umso schwerwiegender werden diese Probleme. Wenn Sie den Benutzern in einer kleinen Organisation erlauben, ihre eigenen Gruppen anzulegen, können Sie sich sehr leicht immer darüber informiert halten, was in der globalen Adressliste vor sich geht. Etwas ganz anderes ist es jedoch, wenn Sie 100.000 Benutzern gestatten, Gruppen selbst zu erstellen, und sie schließlich mit 250.000 zusätzlichen Gruppen in der Adressliste zu kämpfen haben. Die Benutzer werden dann Probleme haben, Empfänger in der Adressliste zu finden, und auch der Download des Offlineadressbuchs dauert länger und länger. Noch schlimmer aber ist die Vorstellung, regelmäßig Zehntausende von unerwünschten oder unbenutzten Gruppen ausmisten zu müssen.

Verwalten, aber nicht erstellen! Die standardmäßige Rollenzuweisungsrichtlinie von Exchange Server 2010 greift nicht fein genug, um Benutzer daran zu hindern, selbst Gruppen zu erstellen, und ihnen gleichzeitig zu erlauben, ihre eigenen Gruppen zu verwalten. Allerdings können Sie eine eigene angepasste Verwaltungsrolle erstellen und zur Standardrichtlinie hinzufügen, um die bisherige Rolle für die Gruppenverwaltung zu ersetzen. Die neue Verwaltungsrolle basiert auf der alten, allerdings entfernen wir daraus die Cmdlets, mit deren Hilfe wir neue Gruppen erstellen können. Was bleibt, sind die Cmdlets, die den Benutzern ermöglichen, vorhandene eigene Gruppen zu ändern. Um eine neue Verwaltungsrolle zu erstellen und in die Standardzuweisungsrichtlinie aufzunehmen, gehen Sie wie folgt vor: 1. Definieren Sie eine neue Verwaltungsrolle auf der Grundlage von MyDistributionGroups. New-ManagementRole –Name MyGroupsMaintain –Parent MyDistributionGroups 2. Entfernen Sie das Cmdlet New-DistributionGroup aus der neuen Verwaltungsrolle. Die anderen

Cmdlets für Verteilergruppen (z.B. Add-DistributionGroupMember, mit dem Sie einen Empfänger zu einer Gruppe hinzufügen) verbleiben in der Rolle. Remove-ManagementRoleEntry MyGroupsMaintain\New-DistributionGroup –Confirm:$False 3. Entfernen Sie die Rolle MyDistributionGroups von der Richtlinie Default Role Assignment Policy.

Der erste Befehl speichert einen Zeiger auf die unerwünschte Rollenzuweisung in einer Variable, der zweite entfernt die Zuweisung aus der Richtlinie. $OldAssignment = Get-ManagementRoleAssignment –RoleAssignee 'Default Role Assignment Policy' –Role 'MyDistributionGroups' Remove-ManagementRoleAssignment $OldAssignment –Confirm:$False 268

Gruppenverwaltung in der Exchange-Systemsteuerung

nimmt sie den Platz von MyDistributionGroups auf, mit dem Unterschied, dass die Benutzer darüber keinen Zugriff auf das Cmdlet New-DistributionGroup haben und somit auch keine neuen Gruppen erstellen können. New-ManagementRoleAssignment –Name 'MyGroupsMaintain-Default Role Assignment Policy' –Role MyGroupsMaintain –Policy 'Default Role Assignment Policy' 5. Abschließend überprüfen wir, ob die neue Rolle in die Standardzuweisungsrichtlinie aufgenom-

men wurde. Wie Sie sehen, ist MyDistributionGroups nicht mehr in der Richtlinie enthalten. Get-ManagementRoleAssignment –RoleAssignee 'Default Role Assignment Policy' | Select Name, Role Name ------MyDistributionGroupMembership-Default Role Assign... MyBaseOptions-Default Role Assignment Policy MyContactInformation-Default Role Assignment Policy MyTextMessaging-Default Role Assignment Policy MyVoiceMail-Default Role Assignment Policy MyProfileInformation-Default Role Assignment Policy MyGroupsMaintain-Default Role Assignment Policy

Role ---MyDistributionGroupMembership MyBaseOptions MyContactInformation MyTextMessaging MyVoiceMail MyProfileInformation MyGroupsMaintain

Nachdem wir uns vergewissert haben, dass die richtigen Rollenzuweisungen in Kraft sind, können wir die Exchange-Systemsteuerung öffnen, um nachzusehen, ob die Änderungen an der Standardzuweisungsrichtlinie auch ihre Auswirkungen zeigen. Abbildung 5.43 zeigt den Zustand, den wir erwarten dürfen. Der Benutzer kann alle Gruppen sehen, die er besitzt, und die Gruppenmitgliedschaft verwalten, Angaben zu Gruppen ändern und sogar Gruppen löschen. Wenn Sie den Bildschirm aber mit dem vor der Richtlinienänderung vergleichen (siehe Abbildung 5.42), wird Ihnen auffallen, dass die Option Neu nicht mehr zur Verfügung steht – der Benutzer kann also keine neuen Gruppen mehr erstellen. Vielleicht möchten Sie auch die Möglichkeit entfernen, Gruppen löschen zu können, um zu verhindern, dass die Benutzer fatale Fehler begehen und Sie die dankenswerte Aufgabe erhalten, eine umfangreiche Verteilergruppe rekonstruieren zu müssen. Entfernen Sie dazu einfach das Cmdlet Remode-DistributionGroup auf die gleiche Weise wie New-DistributionGroup (in Schritt 2 der Anleitung). Weitere Informationen

Wenn Sie nicht selbst an den Mechanismen von Rollen, Zuweisungen und Richtlinien herumbasteln möchten, können Sie auch ein Skript nutzen, das Microsoft veröffentlicht hat und das die Arbeit für Sie übernimmt. Sie finden es im Exchange-Blog auf http://msexchangeteam.com/. Suchen Sie dort nach ManageGroupManagementRole.ps1, laden Sie es herunter und führen Sie es aus, um die notwendigen Anpassungen vorzunehmen.

269

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

4. Nehmen Sie die neue angepasste Verwaltungsrolle in die Standardzuweisungsrichtlinie auf. Dort

Kapitel 5 Abbildg. 5.43

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

Die Auswirkungen einer geänderten Rollenzuweisungsrichtlinie

Diagnosemöglichkeiten für Exchange Server-Computer Es gab schon immer die Möglichkeit, für die verschiedenen Komponenten auf einem Exchange ServerComputer Diagnosemöglichkeiten mit unterschiedlicher Ausführlichkeit einzurichten. Von Exchange Server 4.0 bis Exchange Server 2003 haben Sie dazu in der Verwaltungskonsole die gewünschte Komponente ausgewählt (z.B. MSExchange ActiveSync) und dann den angestrebten Detaillierungsgrad angegeben. Sobald Sie einen neuen Grad auswählen, gibt Exchange beim Schreiben der Ereignisse in das Anwendungsprotokoll entsprechend mehr oder weniger Einzelheiten aus. Dieser Mechanismus funktionierte sehr gut, bis Exchange Server 2007 herauskam und die Administratoren feststellen mussten, dass die neue Verwaltungskonsole dieser Version keine grafische Benutzeroberfläche für Diagnoseeinstellungen mehr aufwies, sodass sie den Detaillierungsgrad über PowerShell einstellen mussten. Um z.B. eine ausführliche Diagnoseprotokollierung mit dem Grad High für Speicher öffentlicher Ordner einzurichten, mussten Sie Folgendes eingeben: Set-EventLogLevel "MSExchangeIS\9001 Public\General" –Level High

Mit Exchange Server 2007 SP2 hat Microsoft das Problem gelöst und der Exchange-Verwaltungskonsole eine Möglichkeit hinzugefügt, um die Diagnoseeinstellungen als Servereigenschaften bearbeiten zu können (siehe Abbildung 5.44). Auch in Exchange Server 2010 bestehen noch beide Möglichkeiten.

270

Diagnosemöglichkeiten für Exchange Server-Computer

Einrichten der Diagnoseprotokollierung auf dem Server

Exchange-Verwaltungskonsole und ExchangeSystemsteuerung

Abbildg. 5.44

Wie Tabelle 5.4 zeigt, gibt es in Exchange fünf Protokolliergrade, die jeweils bestimmen, bis zu welcher Ebene Ereignisse von der Anwendung aufgezeichnet werden. Kritische Ereignisse und solche mit der Ebene 0 werden stets in das Ereignisprotokoll geschrieben, Ereignisse einer höheren Ebene nur dann, wenn der entsprechende Protokolliergrad gewählt ist. Tabelle 5.4

Protokolliergrade in Exchange Server 2010 Protokolliergrad

Beschreibung

Experte

Äußerst ausführlich: Exchange zeichnet praktisch alles auf, was es tut.

Hoch

Sehr ausführlich: Exchange protokolliert alle Ereignisse der Ebenen 5 und geringer.

Medium

Ziemlich ausführlich: Exchange protokolliert alle Ereignisse der Ebenen 3 und geringer.

Niedrig

Mäßig ausführlich: Exchange protokolliert alle Ereignisse der Ebenen 1 und geringer.

Niedrigster

Nur kritische Ereignisse und Fehler der Ebene 0 werden erfasst. Dies ist der Standardprotokolliergrad für alle Exchange-Dienste.

VORSICHT Seien Sie vorsichtig, wenn Sie den Protokollierungsgrad auf Ausführlich oder sogar noch höher setzen. Exchange schreibt dann fröhlich eine Vielzahl von Ereignissen in das Protokoll und stellt Ihnen ungeheure Mengen an Diagnoseinformationen zur Verfügung, doch dabei laufen Sie Gefahr, den Wald vor Bäumen nicht mehr zu sehen, sodass Ihnen wichtige Informationen in dem Wust an Daten entgehen. Haben Sie den Protollierungsgrad erhöht, um einem Problem auf zu Spur zu kommen, sollten Sie ihn nach Abschluss der Fehlerbehebung wieder auf Niedrigster zurücksetzen, um zu verhindern, dass das Anwendungsprotokoll mit einer überbordenden Anzahl von Ereignissen vollgestopft wird.

271

Kapitel 5

Exchange-Verwaltungskonsole und Exchange-Systemsteuerung

Mit Get-EventLogLevel können Sie den Protokolliergrad ermitteln, der zurzeit für einen Server eingestellt ist. Bei diesem Cmdlet können Sie keine Filter angeben. Um zu überprüfen, ob die Grade für alle Komponenten richtig eingestellt sind, ist es am einfachsten, die Ausgabe in eine Textdatei umzuleiten, die sich leichter untersuchen lässt: Get-EventLogLevel –Server ExServer1 > C:\Temp\EventLevels.txt

Was wird verwaltet? Wir haben jetzt alle Exchange-Verwaltungswerkzeuge kennengelernt – die Exchange-Verwaltungsshell, die Exchange-Verwaltungskonsole und die Exchange-Systemsteuerung – und uns auch einige Einzelheiten der Objekte angesehen, die Sie darin verwalten können. Jetzt ist es Zeit, uns um die Objekte zu kümmern, die ein Messagingsystem erst zum Leben erwecken, nämlich die Postfächer.

272

Verwalten von E-Mailaktivierten Empfängern

Kapitel 6

Verwalten von E-Mailaktivierten Empfängern

In diesem Kapitel: Grundlegende Überlegungen

274

Namenskonventionen für Postfächer

275

Erstellen von neuen Postfächern

277

Entfernen und Deaktivieren von Postfächern

302

E-Mail-Adressrichtlinien

307

Discoverysuchpostfächer

316

Einrichten von Postfachberechtigungen

319

Verteilergruppen

327

Nachverfolgung der Gruppenbenutzung

340

Dynamische Verteilergruppen

340

Moderierte Empfänger

349

E-Mail-aktivierte Kontakte

356

Ressourcenpostfächer

358

Daten, überall Daten

369

273

Kapitel 6

Verwalten von E-Mail-aktivierten Empfängern

Nun, da wir die zur Verwaltung von Exchange verfügbaren Werkzeuge gemeistert haben, können wir damit beginnen, einige Postfächer, Gruppen und Kontakte einzurichten, und uns überlegen, wie wir diese Objekte verwalten. In Microsoft Exchange Server 2010 wurde eine Reihe von Änderungen vorgenommen, zum Beispiel in Bereichen wie moderierte Empfänger, doch es gibt noch einige grundlegende Themen, mit denen wir uns zuerst befassen müssen. Beginnen wir zunächst mit dem Benennen von Postfächern, damit Administratoren wie Benutzer die gewünschten Kommunikationspartner finden können.

Grundlegende Überlegungen Die erfolgreiche Bereitstellung von Exchange hängt nicht von der Anzahl der Postfächer im Unternehmen ab. Bevor Sie nun auf die Schnelle irgendwelche Postfächer anlegen, sollten Sie einige Richtlinien dafür festlegen, ohne dass Postfächer erstellt und wieder entfernt werden müssen. In der Praxis haben sich bei der Postfachverwaltung die folgenden wichtigen Punkte bestätigt: 쐍 Anwendungen benötigen keine Postfächer. Einige Administratoren halten es für eine gute Idee, Anwendungen, die Nachrichten erstellen und senden müssen – für gewöhnlich, indem sie eine Textnachricht an einen SMTP-Server senden –, Postfächer zuzuweisen. Anwendungen benötigen für diesen Zweck keine Postfächer, da sie Nachrichten erstellen und an einen SMTP-Server senden können, der die Nachrichtenübermittlung von anonymen Absendern unterstützt. Die einfachste Methode, die E-Mail-Übermittlung für Anwendungen zu unterstützen, ist die Verwendung des PICKUP-Verzeichnisses (siehe Kapitel 13, »Das Exchange-Transportsystem«). Wenn Sie dennoch Postfächer für Anwendungen anlegen, dann stellen Sie sicher, dass der Zugriff auf die damit verbundenen Konten eingeschränkt ist. 쐍 Die Tatsache, dass es verschiedene Arten von Postfächern gibt, hat einen Grund. Auch wenn die Verwendung »normaler« Postfächer für Ressourcen (wie Räume und Geräte) auf den ersten Blick akzeptabel zu sein scheint, verfolgt Exchange mit der Differenzierung zwischen verschiedenen Postfachtypen einen Zweck. Ressourcenpostfächer sind an deaktivierte Windows-Konten gebunden, Benutzerpostfächer hingegen nicht. Wenn Sie normale Postfächer für Ressourcen verwenden, erzeugen Sie eine potenzielle Sicherheitslücke. Achten deshalb darauf, beim Anlegen eines Postfachs immer den richtigen Postfachtyp zuzuweisen. 쐍 Postfächer sollten nicht ewig aufrechterhalten werden. Auch wenn einige Inhalte im Postfach eines scheidenden Mitarbeiters von gewissem Interesse sein können, so schwindet dieses jedoch mit der Zeit, und die meisten Inhalte solcher Postfächer sind nach drei Monaten ohnehin nutzlos. Sicher gibt es auch hier Ausnahmen, etwa bei Postfächern von Führungskräften, deren Inhalte zum Beispiel im Falle einer Klage zur Informationsbeschaffung für ein Gerichtsverfahren relevant sein könnten. Nichtsdestoweniger sollten Sie Richtlinien darüber vereinbaren, wann Postfächer gelöscht werden können, und sicherstellen, dass alte Postfächer und alte Windows-Konten nicht über ihr »Verfallsdatum« hinaus bestehen. HINWEIS Alte Postfächer und Konten stellen ein Sicherheitsrisiko dar, das von Hackern ausgenutzt werden kann. Manche Unternehmen verschieben daher alle Postfächer ehemaliger Mitarbeiter in eine gesonderte Datenbank, sodass sie eine Gruppe bilden und sich somit von aktiven Postfächern unterscheiden. 쐍 Prüfen Sie die Postfächer regelmäßig. Schließlich möchten Sie nicht mehr für Clientzugriffslizenzen an Microsoft zahlen als nötig. Clientzugriffslizenzen werden anhand der Anzahl von Postfächern berechnet, woraus folgt, dass auch unnötige Postfächer Geld kosten. Sie sollten daher die 274

im Unternehmen bestehenden Postfächer wenigstens alle sechs Monate prüfen und alle unbenutzten entfernen. Es ist ein Leichtes, eine Liste aller Postfächer in eine Datenbank zu übernehmen und sich anzeigen zu lassen, wann der jeweils letzte Zugriff erfolgt ist, um mögliche unbenutzte Postfächer aufzuspüren. So können Sie sich zum Beispiel mit dem folgenden Befehl Einzelheiten aller Benutzerpostfächer in eine Datenbank holen und nach dem jeweils letzten Zugriffsdatum ordnen lassen. Auch andere Informationen, die auf ein unbenutztes Postfach hinweisen, etwa die Anzahl der Objekte im Postfach, werden dabei berücksichtigt. Der folgende Bericht zeigt, dass etwa zwei Monate zwischen dem aktuellsten und dem ältesten Zugriff liegen. Es liegt nahe, dass die Postfächer, auf die innerhalb von zwei Monaten nicht zugegriffen wurde, nicht mehr benötigt werden. Get-Mailbox –Database DB1 –RecipientTypeDetails UserMailbox | Get-MailboxStatistics | Sort-Object LastLogonTime | Format-Table DisplayName, LastLogonTime, ItemCount, TotalItemSize DisplayName LastLogonTime ItemCount ----------------------------------Holm, Michael 5/20/2010 12:08:43 PM 81 Chen, Jacky 5/21/2010 10:46:29 AM 33 Palma, Tude 5/26/2010 4:23:28 PM 34 Ruth, Andy (Sales VP) 5/26/2010 5:24:37 PM 1089 Smith, Samantha 5/26/2010 5:40:33 PM 57

TotalItemSize ------------170.3 MB (178,611,937 bytes) 161 KB (164,888 bytes) 41.07 MB (43,064,720 bytes) 145.9 MB (153,019,826 bytes) 60.79 MB (63,744,292 bytes)

Mit diesen Punkten im Hinterkopf können wir nun damit beginnen, einige Postfächer anzulegen und zu verwalten.

Namenskonventionen für Postfächer Auch wenn die E-Mail-Adressrichtlinien es Ihnen erlauben, verschiedene Muster für SMTP-Adressen zu definieren und anzuwenden, bietet Exchange Server 2010 keine Richtlinien, um das Erstellen von Anzeigenamen zu steuern. Dieser Anzeigename ist das Attribut, das Exchange zum Sortieren von Objekten in der globalen Adressliste und in der Exchange-Verwaltungskonsole sowie für Empfänger und Autoren in Nachrichtenheadern verwendet. Tabelle 6.1 listet die Attribute für die verschiedenen von Exchange genutzten Namen oder Namenskomponenten auf, die im Verzeichnisdienst Active Directory gespeichert werden. Das Standardmuster für Anzeigenamen lautet % g%s – mit anderen Worten, erster Namezweiter Name oder in meinem Fall »Tony Redmond«. Diese Art der Namenskonvention eignet sich für kleine Implementierungen, wo jeder jeden kennt und man den gewünschten Empfänger durch einfaches Durchsuchen der globalen Adressliste finden kann; je größer jedoch die Anzahl an Verzeichniseinträgen, desto schwieriger wird es, bestimmte Personen zu finden. Es stellt sich also die Frage, welche effiziente und logische Namenskonvention sich für die Benutzer am besten eignet, wenn sie nach einem Eintrag in der globalen Adressliste suchen. Nachnamen unterscheiden sich häufiger voneinander als Vornamen. Vornamen wie Peter oder Anne können in einer umfangreichen globalen Adressliste tausende Male vorkommen, sodass Sie bei einer Sortierung nach dem Vornamen möglicherweise erst lange und mühsam suchen müssen, bis Sie den richtigen Empfänger gefunden haben. Es ist daher leichter, nach einem Nachnamen zu suchen, selbst wenn es sich um einen häufigen wie Müller, Meier oder Schulz handelt. Auch Telefonverzeichnisse sind nach Nachnamen geordnet, daher hat es Sinn, diese Analogie fortzuführen und im Falle der globalen Adressliste ebenso zu verfahren.

275

Verwalten von E-Mailaktivierten Empfängern

Namenskonventionen für Postfächer

Kapitel 6 Tabelle 6.1

Verwalten von E-Mail-aktivierten Empfängern

Postfachattribute und -namen Attribute

Bedeutung

Alias

Eindeutiger Name für das Objekt

Name

Vollständiger Name des Objekts, der sich aus dem Vor- und Nachnamen zusammensetzt

FirstName (Vorname)

Vorname des Benutzers

LastName (Nachname)

Nachname des Benutzers

DisplayName (Anzeigename)

Name, der zum Sortieren der globalen Adressliste und für andere Anzeigezwecke verwendet wird (z.B. in der Verwaltungskonsole und in Nachrichtenheadern)

DistinguishedName (definierter Name)

Name, der zur Identifizierung des Objekts in Active Directory dient

PrimarySMTPAddress (Erste SMTP-Adresse)

Erste SMTP-E-Mail-Adresse (häufig nach dem Schema Vorname.Nachname@Domäne)

UPN (User Principal Name)

Benutzerprinzipalname, also der Name eines Benutzers im E-Mail-Format, der zur Anmeldung an einem Windows-Server dient; entspricht für gewöhnlich der ersten SMTP-E-Mail-Adresse.

Die Verwaltungskonsole berücksichtigt auch landesspezifische Aspekte; so werden zum Beispiel namensbezogene Felder neu angeordnet, um sprachenspezifische Namenskonventionen widerzuspiegeln. Welche Felder beim Erstellen neuer Objekte angezeigt und in welcher Reihenfolge sie angeordnet werden, hängt von der gewählten Sprache ab. So zeigt die Verwaltungskonsole beispielsweise in der französischen Version kein Feld für Namensinitialen an. Wenn Sie dagegen Benutzer in der chinesischen Version anlegen, werden die Felder in der Reihenfolge Nachname, Initialen und Vorname angezeigt, also genau der Reihenfolge, die auch einige Unternehmen, deren gesamte Verwaltung auf Englisch basiert, bevorzugen. Sie können diese Reihenfolge jedoch nicht für andere Landesversionen erzwingen, da die Anordnung in der Verwaltungskonsole fest programmiert ist. Insidertipp: Anwenden einer anderen Namenskonvention

Auch wenn die Reihenfolge für die Namenskonventionen in der Verwaltungskonsole fest programmiert ist, ist es möglich, eine Konvention zu ändern. Um eine andere Namenskonvention anzuwenden, gehen Sie folgendermaßen vor: 쐍 Lassen Sie die Verwaltungskonsole die Postfächer und Kontakte wie gewohnt anlegen und ändern Sie anschließend den Anzeigenamen. 쐍 Erstellen Sie Postfächer und andere E-Mail-aktivierte Empfänger mithilfe von Shellskripts, sodass Sie die volle Kontrolle über das Format der Anzeigenamen haben. Möglicherweise möchten Sie bestimmte Postfächer nicht nach der Konvention »Nachname, Vorname« benennen, zum Beispiel, wenn es sich um Discoverysuchpostfächer handelt. Solche Fälle können dann durch eine Ausnahmeregelung abgedeckt werden. Abbildung 6.1 zeigt eine globale Adressliste, deren Postfächer nach der Konvention »Nachname, Vorname« benannt sind. Wie Sie sehen, weisen einige der Einträge zusätzliche Informationen auf, um Personen gleichen Namens besser voneinander unterscheiden zu können. Es ist üblich, Abteilungsnamen, Wohnorte oder Berufsbezeichnungen hinzuzufügen, um den Benutzern das Auffinden der gewünschten Person zu erleichtern.

276

Erstellen von neuen Postfächern

Eine vorbildlich geordnete globale Adressliste

Verwalten von E-Mailaktivierten Empfängern

Abbildg. 6.1

Einige Unternehmen bevorzugen eine gesonderte Namenskonvention für Verteilergruppen, sodass die Benutzer sofort wissen, ob sie eine Nachricht an eine Gruppe von Personen oder an einen einzelnen Empfänger schicken. Die E-Mail-Info-Funktion von Exchange Server 2010 hilft hier weiter. Sie kann einen Benutzer entweder darauf hinweisen, dass er gerade dabei ist, eine Nachricht an eine große Gruppe von Empfängern zu senden, oder einen maßgeschneiderten Tipp anzeigen, um den Zweck der jeweiligen Gruppe zu erläutern. Eine Lösung besteht darin, den Gruppennamen bestimmte Buchstaben als Präfix voranzustellen. So könnten Sie zum Beispiel »VG:« als Präfix verwenden, sodass die Namen Ihrer Gruppen dann beispielsweise »VG: Marketing-Abteilung« oder »VG: IT-Abteilung« lauten. Der Vorteil dieser Vorgehensweise liegt darin, dass sämtliche Gruppen gesammelt an einer Stelle in der globalen Adressliste zu finden sind. Andere führen diesen Ansatz noch weiter und nutzen als Präfix »##«, sodass alle Gruppen am Anfang der globalen Adressliste platziert werden. Das Ergebnis sind Bezeichnungen wie »## Marketing-Abteilung«. Die zweite Methode funktioniert zwar ebenfalls, ist aber nicht so benutzerfreundlich wie die erste.

Erstellen von neuen Postfächern Ein neues Postfach mit der Exchange-Verwaltungskonsole zu erstellen, ist einfach. Klicken Sie auf die Option Neues Postfach, und die Verwaltungskonsole startet den entsprechenden Assistenten, um die zur Erstellung des Postfachs benötigten Informationen zu sammeln. Abbildung 6.2 zeigt die Startseite des Assistenten. Exchange Server 2010 bietet die folgenden Postfachtypen: 쐍 Benutzerpostfächer Standardpostfächer von Exchange mit vollem Funktionsumfang. Die Exchange-Verwaltungskonsole kann ein Postfach in einer beliebigen Datenbank des Unternehmens erstellen. 쐍 Raumpostfächer Postfächer für Konferenzräume, sodass Benutzer diese Räume per Kalenderanforderung für Besprechungen buchen können.

277

Kapitel 6

Verwalten von E-Mail-aktivierten Empfängern

쐍 Ressourcenpostfächer Postfächer für Geräte (wie Projektoren, Kommunikationsgeräte oder Whiteboards), die ggf. von Benutzern für eine Besprechung reserviert werden müssen. 쐍 Verknüpfte Postfächer Postfächer, die in einer separaten, vertrauenswürdigen Gesamtstruktur mit einem Benutzerkonto verknüpft sind. Mit dem Assistenten zum Erstellen eines Postfachs können Sie jeden der genannten Postfachtypen anlegen. Abbildg. 6.2

Anlegen eines neuen Postfachs mithilfe des entsprechenden Assistenten in der Exchange-Verwaltungskonsole

Am häufigsten begegnen Administratoren bei der Einrichtung von Postfächern mithilfe des Assistenten der Exchange-Verwaltungskonsole folgenden Problemen: 쐍 Es kann kein eindeutiger Alias oder kein eindeutiger UPN bereitgestellt werden. Der Assistent prüft erst beim Versuch, das neue Postfach zu erstellen, ob die dem Alias oder dem UPN zugewiesenen Werte bereits durch ein bestehendes Active Directory-Objekt genutzt werden, und zeigt dann eine Fehlermeldung ähnlich der in Abbildung 6.3 gezeigten an. Die Verwaltungskonsolen in Exchange Server 2003 und 2007 füllen das Alias-Feld beide mit einem vorgeschlagenen Wert, der sich aus einem Hintergrundaufruf von Active Directory ergibt. Aus irgendeinem Grund zwingt das von Exchange Server 2010 verwendete Sicherheitsmodul Microsoft dazu, diesen Aufruf zu entfernen, sodass der Administrator einen eindeutigen Alias festlegen muss. Das Problem lässt sich jedoch leicht lösen – blättern Sie einfach im Assistenten zurück und geben Sie einen eindeutigen Alias ein. Dennoch kann dies frustrierend sein, da es unmöglich ist, zu wissen, welcher Alias eindeutig ist, wenn man nicht vorher in Active Directory nachgesehen hat. Möglicherweise verfügt Ihr Unternehmen über Richtlinien, die das Erstellen neuer Aliase regeln und Ihnen helfen, den richtigen Wert zu finden.

278

Erstellen von neuen Postfächern

Fehler beim Erstellen eines Postfachs: doppelter Benutzerprinzipalname entdeckt.

Verwalten von E-Mailaktivierten Empfängern

Abbildg. 6.3

Das Erstellen von Postfächern im Rahmen der Unternehmensrichtlinien

Bevor wir uns im Detail ansehen, wie Sie mithilfe des Assistenten ein neues Postfach anlegen, ist es wichtig, sich vor Augen zu führen, dass dies nur ein kleiner Teil des gesamten Vorgangs zum Einstellen eines neuen Mitarbeiters darstellt, der unter anderem die folgenden Aufgaben umfasst: 쐍 Bereitstellung personaltechnischer Voraussetzungen Zuweisung einer Mitarbeiternummer, Eintragung im Personalverwaltungssystem, Erstellung eines Namensschilds, Anmeldung für eine Unternehmenskreditkarte usw. 쐍 Bereitstellung der IT-Anbindung Ermöglichen des Zugangs zu Betriebssystemen (möglicherweise werden neben Windows noch andere Betriebssysteme im Unternehmen genutzt), Anwendungen wie E-Mail und Webspeicher oder Dokumentverwaltungssysteme; Zuweisung mobiler Geräte und Bereitstellung von Sicherheitstokens oder -schlüsseln für den VPN-Zugriff auf das Firmennetzwerk über das Internet. 쐍 Bereitstellung des Arbeitsplatzes Zuweisung eines Büroarbeitsplatzes sowie benötigter Arbeitsmittel einschließlich PC und Drucker. Viele Großunternehmen verfügen über ausgefeilte Workflow-Anwendungen, die zahlreiche dieser Aufgaben übernehmen. Ein ähnlicher Arbeitsablauf existiert in der Regel, um beim Ausscheiden eines Mitarbeiters sämtliche Bereitstellungen wieder aufzuheben. Da die Einstellung eines neuen Mitarbeiters so komplex sein und die Arbeit mit vielen verschiedenen Anwendungen erfordern kann, ist es sinnvoll, sich zu überlegen, wie sich das Erstellen eines Exchange-Postfachs am besten in diesen Vorgang aufnehmen lässt. Soll beispielsweise ein Schritt in den Workflow eingebunden werden, in dem automatisch ein Postfach erstellt wird, dessen Merkmale (wie Kontingent, Personalarchiv und Speicherungsrichtlinien) je nach Status und Personalnummer des Mitarbeiters voreingestellt werden, oder soll eine Anforderung erstellt und per E-Mail an die Support-Abteilung gesendet werden? 279

Kapitel 6

Verwalten von E-Mail-aktivierten Empfängern

HINWEIS Dieses Problem existiert in Exchange Server 2010 SP1 nicht, da Microsoft hier Code zum Assistenten für das Erstellen eines neuen Postfachs hinzugefügt hat, der bewirkt, dass basierend auf den Namenseigenschaften des Postfachs ein eindeutiger Alias errechnet wird. Falls gewünscht, können Sie diesen automatisch generierten Alias jedoch auch anpassen, um bestimmten Namenskonventionen gerecht zu werden. 쐍 Es kann kein Kennwort für ein neues Konto bereitgestellt werden, das den Anforderungen von Windows gerecht wird. Wenn Sie ein Kennwort eingeben, das die Windows-Richtlinien nicht erfüllt (zum Beispiel eines, das den Namen des Benutzers enthält), ist der Assistent beim Versuch, ein neues Postfach anzulegen, nicht in der Lage, ein neues Konto zu erstellen. 쐍 Unbeabsichtigte Auswahl von Funktionen, die eine Enterprise-Lizenz erfordern. Funktionen wie Richtlinien für verwaltete Ordner und Archivpostfächer erhöhen die Anzahl von EnterpriseLizenzen, die Ihr Unternehmen benötigt. Zwar weist der Assistent darauf hin, dass diese Funktionen Enterprise-Lizenzen erfordern, doch übersieht man diese Hinweise leicht (oder versteht möglicherweise nicht, welche Konsequenzen die Wahl der Funktionen hat, denn nicht jedem Administrator ist der Kostenunterschied zwischen Standard- und Enterprise-Lizenzen klar). Im Gegensatz zu den anderen Fällen verhindert die Auswahl einer Funktion, die eine Enterprise-Lizenz erfordert, nicht das Erstellen des Postfachs. Der Assistent ist eine prima Sache, solange Sie nur eine Hand voll Postfächer zu erstellen haben. Sobald sich die Anzahl aber erhöht, ist es an der Zeit, die Feinheiten der verwendeten Cmdlets zu meistern, besonders, wenn Sie die Postfacherstellung in einen anderen Vorgang einbinden müssen, etwa in den des Personalwesens zur Einführung eines neuen Mitarbeiters in die Firma. Wie in vielen Fällen bildet der Code, den die Exchange-Verwaltungskonsole zum Ausführen einer Aktion bereitstellt, eine gute Grundlage. Im Folgenden sehen Sie den Code, der nötig ist, um ein neues Postfach mit einem neuen Windows-Konto zu erstellen. Tabelle 6.2 zeigt die gängigsten Parameter für genau diesen Zweck. Wie Sie später noch sehen werden, nutzen andere Postfachtypen wie Raum- oder Gerätepostfächer andere Parameter: New-Mailbox -Name 'Eoin P. Redmond' -Alias 'epr' -UserPrincipalName '[email protected]' -SamAccountName 'epr' -FirstName 'Eoin' -Initials 'P' -LastName 'Redmond' -Password 'System.Security.SecureString' -ResetPasswordOnNextLogon $True -Database 'DB1'

Da dieser Code aus der Exchange-Verwaltungskonsole kopiert wurde, enthält er 'System.Security. SecureString' als Kennwortwert. Wenn Sie ein Skript zum Erstellen neuer Postfächer erstellen, können Sie das Cmdlet ConvertTo-SecureString verwenden, um einen vorgegebenen Wert in eine passende sichere Zeichenfolge für das Kennwort umzuwandeln: -Password (ConvertTo-SecureString 'Exchange2010!' –AsPlainText –Force)

Das Anlegen eines Postfachs ist nur der Anfang des Vorgangs, ein voll funktionsfähiges Postfach einzurichten. Der hier gezeigte Code nutzt beispielsweise nicht die Möglichkeiten, Postfachkontingente zuzuweisen, eine Moderation für das Postfach einzurichten, ActiveSync- oder OWA-Richtlinien anzuwenden oder Archivpostfächer zu erstellen. All diese Einstellungen lassen sich entweder direkt beim Erstellen des neuen Postfachs mithilfe des Cmdlets New-Mailbox oder direkt danach mithilfe von Set-Mailbox aktivieren. Darüber hinaus bietet Exchange Server 2010 eine Reihe neuer Cmdlets zum Ändern von Einstellungen wie Sprache und regionale Optionen sowie für automatische Antworten und Kalenderoptionen. Lesen Sie dazu den Abschnitt »Ändern von Postfacheinstellungen« weiter hinten im Kapitel, um mehr zu diesem Thema zu erfahren.

280

Erstellen von neuen Postfächern

Eigenschaften zum Erstellen eines neuen Postfachs mit New-Mailbox. Eigenschaft

Verwendung

Erforderlich

Name

Name des Postfachs

N

Alias

Eindeutiger Bezeichner für das Postfach. Dieser Wert darf keine Sonderzeichen enthalten.

J

UserPrincipalName (UPN, Benutzerprinzipalname)

Ein Bezeichner für das Postfach im SMTP-Format

J

FirstName (Vorname)

Vorname des Postfachbesitzers

N

Initials (Initialen)

Initialen des Postfachbesitzers

N

LastName (Nachname)

Nachname des Postfachbesitzers

N

DisplayName (Anzeigename)

Anzeigename für das Postfach in der globalen Adressliste und im Nachrichtenheader. Wird er weggelassen, erstellt Exchange einen Anzeigenamen anhand der für die Verwaltungskonsole eingestellten Sprache. So stellen englische Sprachvarianten Anzeigenamen aus dem Vor- und Nachnamen zusammen.

N

Password (Kennwort)

Kennwort für das Windows-Konto. Wird es weggelassen, fragt Exchange nach einem Kennwort für das neue Konto.

J

ResetPasswordOnNextLogon

Gibt an, ob der Benutzer veranlasst werden soll, sein Windows-Kennwort bei der nächsten Anmeldung zurückzusetzen

J

Database (Datenbank)

Datenbank, in der das neue Postfach erstellt wird

N

OrganizationalUnit (Organisationseinheit)

Active Directory-Organisationseinheit, in der das neue Windows-Konto erstellt wird. Wird diese Eigenschaft weggelassen, verwendet Exchange die Standardorganisationseinheit.

N

ActiveSyncMailboxPolicy

Der Name der ActiveSync-Richtlinie, die auf das neue Postfach angewendet werden soll. Wird er weggelassen, wendet Exchange die ActiveSync-Standardrichtlinie an.

N

Archive (Archiv)

Zeigt an, ob ein Archivpostfach erstellt wird

N

ManagesFolderMailboxPolicy

Der Name der Richtlinie für verwaltete Ordner, die auf das Postfach angewendet werden soll

N

Soll ein Postfach für ein bereits bestehendes Windows-Konto erstellt werden, verwendet die ExchangeVerwaltungskonsole das Cmdlet Enable-Mailbox, um ein neues Postfach anzulegen und es dem gewählten Windows-Konto zuzuordnen. Der Code ist in diesem Fall sehr viel einfacher, da das Windows-Konto bereits über mehrere festgelegte Eigenschaften verfügt, die Sie ansonsten selbst bereitstellen müssten. Alles, was Sie für das neue Postfach angeben müssen, ist eine neue Identität, ein Alias und eine Zieldatenbank: Enable-Mailbox -Identity 'contoso.com/Exchange Mailboxes/Akers,Kim' -Alias 'KAkers' -Database 'DB2'

Sobald das neue Postfach angelegt ist, wendet Exchange die zugehörige E-Mail-Adressrichtlinie an, um eine passende E-Mail-Adresse für das Postfach zu generieren, und aktualisiert Active Directory mit diesem Wert. Einzelheiten darüber, wie Sie E-Mail-Adressrichtlinien festlegen, finden Sie im Abschnitt »E-Mail-Adressrichtlinien« weiter hinten im Kapitel.

281

Verwalten von E-Mailaktivierten Empfängern

Tabelle 6.2

Kapitel 6

Verwalten von E-Mail-aktivierten Empfängern

Abschließen der Postfacheinrichtung Sie haben jetzt ein neues Postfach, doch ist es alles andere als vollständig. Zahlreiche verschiedene Operationen können bei einem neuen Postfach durchgeführt werden, bevor Sie es endgültig fertig an den Besitzer übergeben. Zu den möglichen Aufgaben zählen folgende: 쐍 Hinzufügen des neuen Postfachs zu Verteilergruppen. Zum Beispiel: Add-DistributionGroupMember -Identity 'Sales Executives' -Member 'Akers, Kim' -BypassSecurityGroupManagerCheck

쐍 Aktualisieren der Postfacheigenschaften, sodass das neue Postfach mithilfe der Abfragen gefunden werden kann, die zur Festlegung der Mitgliedschaft in dynamischen Verteilergruppen notwendig sind. Im folgenden Beispiel weisen wir einem der benutzerdefinierten Attribute einen Wert zu: Set-Mailbox -CustomAttribute1 'Sales' -Identity 'Akers, Kim'

쐍 Festlegen weiterer Postfacheigenschaften, die über den Assistenten für das Erstellen eines neuen Postfachs nicht zugänglich sind. Viele der Eigenschaften, die man mit einem Postfach verbindet, werden mithilfe des Cmdlets Set-User festgelegt statt mit Set-Mailbox, da sie nicht zum Postfach, sondern zum grundlegenden Active Directory-Benutzerobjekt gehören. Im folgenden Beispiel aktualisieren wir eine Reihe von Eigenschaften mithilfe von Set-User, um die Verzeichnisinformationen für das neue Postfach bereitzustellen. Einige andere Beispiele für Postfacheigenschaften (Spracheinstellungen usw.), die Sie ggf. ändern möchten, behandeln wir weiter hinten im Kapitel. Set-User -City 'Sydney' -Company 'Contoso' -CountryOrRegion 'Australia' -Department 'Sales' -Manager 'Redmond, Tony' -Office 'Sydney' -Phone '8170-19944' -Title 'VP APJ' -Identity ' Akers, Kim'

쐍 Einrichten eines persönlichen Archivs für das Postfach (dies kann gleich beim Erstellen geschehen, doch einige Administratoren ziehen es vor, damit zu warten, bis der Benutzer ein Archiv anfordert). Enable-Mailbox –Archive –Identity 'Akers, Kim'

Es kann eine Weile dauern, bis alle Eigenschaften eines neuen Postfachs eingerichtet sind. Aus diesem Grund nutzen viele Administratoren ein Skript zum Erstellen neuer Postfächer und verwenden den Assistenten nur in Einzelfällen. Solche Skripts können sehr einfach sein (eine Ansammlung von einzeiligen Verwaltungsshell-Befehlen), aber auch sehr vielschichtig sein, indem sie z.B. von Identitätsbereitstellungs- oder Personalverwaltungssystemen mit Mitarbeiterinformationen gespeist werden und die nötigen Befehle ausgeben, um ein funktionstüchtiges Postfach zu erstellen.

Erstellen neuer Raum- und Gerätepostfächer Der Code zum Erstellen eines neuen Raumpostfachs ist der gleiche wie der für die Erstellung eines Benutzerpostfachs, außer dass wir den Parameter -Room verwenden, um es als Raumpostfach zu kennzeichnen: New-Mailbox -Name 'Conference Room A' -Alias 'Confa' -OrganizationalUnit 'contoso.com/Exchange Mailboxes' -UserPrincipalName '[email protected]'

282

-SamAccountName 'Confa' -FirstName 'Conference' -Initials '' -LastName 'Room A' -Database 'DB1' –Room

Auch der Code für neue Gerätepostfächer ist der gleiche, erfordert den Parameter -Equipment, um das Postfach als Gerätepostfach auszuweisen: New-Mailbox -Name 'Projector Conference A' -Alias 'ProjConfA' -OrganizationalUnit 'contoso.com/Exchange Mailboxes' -UserPrincipalName '[email protected]' -SamAccountName 'ProjConfA' -FirstName 'Projector' -Initials '' -LastName 'Conference A' -Database 'DB1' –Equipment

Raum- und Gerätepostfächer werden mit deaktivierten Windows-Konten erstellt. Es empfiehlt sich, diese Konten in einer eigenen Organisationseinheit unterzubringen. Auch ist es eine Überlegung wert, diese Postfächer ihrer eigenen Datenbank zuzuweisen, um sie klar von den regulären Postfächern abzugrenzen.

Postfachbereitstellungs-Agent und Datenbankzuweisung Exchange Server 2010 umfasst einen Postfachbereitstellungs-Agent, der dazu dient, neue Postfächer zu den verfügbaren Datenbanken zuzuweisen. Der Postfachbereitstellungs-Agent gehört zum Standardsatz der in Exchange Server 2010 verfügbaren Cmdlet-Erweiterungs-Agents. Seine Aufgabe besteht darin, nach neuen Postfacherstellungsanforderungen zu suchen, die keine Datenbank für das neue Postfach angeben. Sobald er eine solche Anforderung entdeckt, sucht er nach intakten Datenbanken innerhalb desselben Active Directory-Standorts, in dem sich auch der Server oder die Arbeitsstation mit den Exchange-Verwaltungstools befindet, und überspringt dabei alle Datenbanken, die ausdrücklich von der Bereitstellung ausgeschlossen (dauerhaft oder vorübergehend) sind. Als intakt gilt eine Datenbank, die online und betriebsfähig ist. Der Postfachbereitstellungs-Agent ist nicht sonderlich intelligent und wählt daher die Datenbank für das neue Postfach zufällig aus dem Pool an verfügbaren Datenbanken aus. VORSICHT Falls Sie ein Postfach für ein Konto erstellen möchten, das zu einem Remotestandort gehört, müssen Sie zuvor eine Verbindung zu einem Server des gewünschten Standorts herstellen, denn ansonsten wird das Postfach in einer Datenbank des lokalen Standorts erstellt. Der Postfachbereitstellungs-Agent berücksichtigt bei der Auswahl einer Zieldatenbank nicht die aktuelle Anzahl von Postfächern, die sich bereits darin befinden. Wenn Sie Exchange erlauben, verfügbaren Datenbanken Postfächer zuzuweisen, werden Sie die Belastung vermutlich von Zeit zu Zeit neu verteilen müssen, indem Sie die Postfächer verschieben. Wie viele Postfächer den einzelnen Datenbanken zugewiesen sind, können Sie mithilfe eines einfachen Verwaltungsshellbefehls herausfinden. Allerdings kann die Ausführung in einem großen Unternehmen einige Zeit in Anspruch nehmen, da zum Zählen der Postfächer jede Datenbank angesprochen werden muss: Get-Mailbox | Group-Object database | Sort Count -Descending | Format-Table Count, Name –AutoSize Name ----

Count -----

283

Verwalten von E-Mailaktivierten Empfängern

Erstellen von neuen Postfächern

Kapitel 6

Verwalten von E-Mail-aktivierten Empfängern

DB3 IT Department DB1 DB2 VIP Data Sales

252 222 217 210 117 101

Anhand dieser Information können Sie einige Postfächer auf Datenbanken umverteilen, die nicht so stark ausgelastet sind, oder einige Datenbanken von der automatischen Bereitstellung ausnehmen, sodass sie keine neuen Postfächer akzeptieren. Wenn Sie die Exchange-Verwaltungskonsole zum Erstellen eines neuen Postfachs nutzen und Exchange erlauben, eine Datenbank für das neue Postfach zu wählen (siehe Abbildung 6.4), dann zeigt sich die Tatsache, dass das neue Postfach auf einem Remoteserver erstellt wird, lediglich in einer kurzen Verzögerung, die bei einem lokalen Postfach nicht auftreten würde. Es gibt zwei Optionen, um zu steuern, welche Datenbanken für die automatische Bereitstellung verfügbar sind. Die eine (IsExcludedFromProvisioning) dient dazu, eine Datenbank dauerhaft von der Bereitstellung auszuschließen, die andere (IsSuspendedFromProvisioning) nimmt eine Datenbank vorübergehend von der Bereitstellung aus. Wird eine dieser beiden Optionen auf True gesetzt, so wird die Datenbank von der Bereitstellung ausgeschlossen und verbleibt in diesem Status, bis die jeweilige Option wieder auf False gesetzt wird. Beide Optionen haben den praktischen Effekt, dass Exchange daran gehindert wird, eine Datenbank für die Bereitstellung zu nutzen. Der Unterschied zwischen ihnen besteht in der Dauer der Bereitstellungsblockierung. »Excluded« (ausgeschlossen) bedeutet: »Verwende diese Datenbank nie für die Bereitstellung«, während »suspended« (gesperrt) bedeutet: »Verwende diese Datenbank so lange nicht für die Bereitstellung, bis ich dir etwas anderes sage.« Sehen wir uns an, welche Umstände es erfordern können, dass eine Datenbank von der Bereitstellung ausgeschlossen wird. Abbildg. 6.4

Festlegen einer Datenbank für ein neues Postfach

Wahrscheinlich möchten Sie eine Datenbank dauerhaft von der Postfachbereitstellung ausschließen, wenn sie für einen bestimmten Zweck reserviert ist. So möchten Sie beispielsweise eine Datenbank mit höheren Kontingenten einer bestimmten Klasse von Benutzern, die einer bestimmten Abteilung angehören, zuordnen. Vielleicht beschließen Sie aber auch, neue Postfächer bestimmten Datenbanken manuell zuzuweisen, anstatt die automatische Postfachbereitstellung zu nutzen. In beiden Fällen können Sie einen Befehl wie den folgenden nutzen, um die Datenbank von der Bereitstellung auszuschließen:

284

Erstellen von neuen Postfächern

Ein vorübergehender Ausschluss ist angezeigt, wenn einer Datenbank für einen gewissen Zeitraum keine neuen Postfächer zugewiesen werden sollen, z.B. weil sie aus Platzgründen auf eine neue Festplatte verschoben werden soll und Sie ihr erst wieder weitere Postfächer zuweisen möchten, wenn mehr Speicher verfügbar ist. In solchen Fällen können Sie die Bereitstellung mit einem Befehl wie dem folgenden vorübergehend blockieren: Set-MailboxDatabase –Identity 'DB1' –IsSuspendedFromProvisioning $True

Sobald Sie der Datenbank dann wieder automatisch neue Postfächer zuweisen lassen möchten, setzen Sie die Option zurück auf $False. Set-MailboxDatabase –Identity 'DB1' –IsSuspendedFromProvisioning $False

Im Gegensatz zu anderen in Active Directory gespeicherten Eigenschaften wird das Ändern einer Option zum Aus- oder Einschließen einer Datenbank für die automatische Bereitstellung sofort vom Postfachbereitstellungs-Agent registriert und umgesetzt. Mit der Exchange-Verwaltungskonsole erstellte Datenbanken für neue Postfächer werden standardmäßig für die automatische Bereitstellung zugeteilt. Datenbanken, die für die automatische Bereitstellung verfügbar gemacht werden, sind damit gleichzeitig mögliche Zieldatenbanken für das Verschieben von Postfächern und das Einrichten persönlicher Archive, sofern die Ziele für diese Operationen nicht durch Administratoren festgelegt werden. Mit anderen Worten, wenn Sie beim Verschieben eines Postfachs oder beim Erstellen eines persönlichen Archivs keine Zieldatenbank festlegen, wählt der Postfachbereitstellungs-Agent ein Ziel aus der Liste der verfügbaren Datenbanken. Tests in SP1 ergaben, dass Exchange in der Regel sowohl für das Hauptpostfach als auch das Archiv dieselbe Datenbank wählt, selbst wenn keine bestimmte Zieldatenbank festgelegt wird. Auch wenn ein Postfach mit Archiv mithilfe des Befehls New-MoveRequest verschoben wird, bringt der Postfachreplikationsdienst das Primär- und das Archivpostfach zusammen in einer automatisch gewählten Zieldatenbank unter. Wenn Sie eine neue Datenbank über die Exchange-Verwaltungskonsole erstellen, können Sie festlegen, dass sie dauerhaft oder vorübergehend von der Bereitstellung ausgeschlossen wird, indem Sie beim Ausführen des Cmdlets New-MailboxDatabase die weiter oben beschriebenen Optionen setzen. Anders als die manuelle Auswahl durch einen Administrator bringt das automatische Zuweisen von Postfächern zu Datenbanken unter anderem das Problem mit sich, dass der Besitzer eines neuen Postfachs oft nicht weiß, an wen er sich notfalls wenden kann. Jahrelang war es gängige Praxis, die Postfächer von Mitarbeitern derselben Arbeitsgruppe zusammen in derselben Datenbank zu speichern, um so die für den Nachrichtenaustausch zwischen Arbeitsgruppenmitgliedern nötigen Systemressourcen so gering wie möglich zu halten. Durch Fortschritte in der Technologie hat dieses Prinzip an Bedeutung verloren. Exchange Server 2010 hat die Einzelinstanzspeicherung in Datenbanken eliminiert, während Exchange Server 2007 sämtliche Nachrichten durch einen Hub-Transport-Server zwingt, selbst wenn sie für Empfänger in derselben Datenbank bestimmt sind. Dennoch ist es sinnvoll, die Postfachplatzierung als mehr zu betrachten als nur eine einfache Verteilung über verfügbare Datenbanken hinweg, und nicht sämtliche Entscheidungen einem Computer zu überlassen, sondern auch Administratoren eine gewisse Kontrolle darüber zu lassen.

285

Verwalten von E-Mailaktivierten Empfängern

Set-MailboxDatabase –Identity 'VIP Mailboxes' –IsExcludedFromProvisioning $True

Kapitel 6

Verwalten von E-Mail-aktivierten Empfängern

Fehlerbehebung: Es wurde kein gültiges Postfach gefunden und die Postfacherstellung ist fehlgeschlagen

Sie können auch versehentlich zu weit gehen und alle verfügbaren Datenbanken von der automatischen Bereitstellung ausschließen. In diesem Fall wird die Fehlermeldung aus Abbildung 6.5 angezeigt, sobald der Postfachbereitstellungs-Agent nach Datenbanken sucht und feststellt, dass keine verfügbar ist. Abbildg. 6.5

Keine Datenbanken verfügbar

Die Lösung hierfür ist einfach: Setzen Sie entweder die entsprechende Option für eine Datenbank zurück, um sie wieder verfügbar zu machen, oder wechseln Sie zurück zur Seite Postfacheinstellungen und wählen Sie eine Datenbank aus. Durch das explizite Auswählen einer Datenbank teilen Sie dem Postfachbereitstellungs-Agent mit, dass er keine Auswahl vornehmen muss, wodurch die Fehlermeldung vermieden wird.

Sprachen und Ordner Sobald das Sprachpaket auf dem Clientzugriffsserver installiert ist, können die Benutzer OWA in ihrer bevorzugten Sprache ausführen, indem sie die entsprechende Option in den Postfacheinstellungen wählen. Administratoren hingegen können die Exchange-Verwaltungskonsole nur in der Sprache ausführen, die bei der Windows-Installation verwendet wurde. Es ist wichtig, dass Sie das Sprachpaket auf allen Clientzugriffsservern installieren, sodass die Benutzer auf ihre bevorzugte Sprache zurückgreifen können. Es ist verwirrend für einen Benutzer, wenn er bei dem einem Clientzugriffsserver Deutsch nutzen kann, jedoch bei einem anderen Clientzugriffsserver desselben Standorts (vielleicht

286

sogar einen innerhalb desselben Arrays) OWA nur in Englisch vorfindet, was der Standardeinstellung entspricht, wenn kein Sprachpaket verfügbar ist. Ein weiterer wichtiger Punkt ist, dass das OWAAnmeldefenster die auf dem Server installierte Standardsprache verwendet. Selbst dann, wenn ein Benutzer Deutsch als bevorzugte Sprache gewählt hat, sieht er ein Anmeldefenster in Englisch, sofern nicht Deutsch als Standardsprache auf dem Server installiert ist oder als unterstützte Browsersprache vom Benutzer festgelegt wurde. Beim Erstellen eines Postfachs werden eine Reihe von Eigenschaften in Active Directory festgelegt, die notwendig sind, um das Konto für E-Mail zu aktivieren. Exchange erstellt das eigentliche Postfach erst dann in der zugewiesenen Datenbank, wenn der Benutzer sich zum ersten Mal bei dem Postfach anmeldet oder wenn eine Nachricht an das neue Postfach gesendet werden muss. An diesem Punkt erstellt Exchange die verschiedenen besonderen Ordner, die es benötigt, um E-Mails zu verarbeiten, wie »Posteingang«, »Gesendete Objekte« und »Gelöschte Objekte«. Wählt der Benutzer eine andere Sprache für OWA, stellt das Sprachpaket die übersetzten Zeichenfolgen bereit, um diese Ordner in OWA anzuzeigen. Die Inhalte der Ordner bleiben davon jedoch unberührt. Wählt ein Benutzer zum Beispiel Polnisch als bevorzugte Sprache, so trägt der Posteingang den Titel »Skrzynka odbiorcza,«, »Gesendete Objekte« wird zu »Elementy wyslane« und »Gelöschte Objekte« zu »Elementy usunite,«, während die Ordnernamen bei einem Wechsel zu Portugiesisch »A Receber«, »Itens Enviados« und »Itens Eliminados« lauten. Der einzige Ordner, der einem Sprachenwechsel hartnäckig widersteht, ist der Suchordner »Ungelesene E-Mails«. Wenn Sie beispielsweise unter Französisch beginnen, behält er ab sofort immer den Namen »Courrier non lu« bei, egal, wie viele Sprachen Sie beim Starten von OWA verwenden. Verwendet ein Postfach OWA in mehreren Sprachen, so vermerkt Exchange dies in den Spracheigenschaften des Postfachs: Get-Mailbox –Identity JSmith | Select Languages Languages --------

Die Sprachen werden nach dem jeweiligen Zugriff auf der linken Seite der Liste ergänzt, sodass hier ersichtlich wird, dass Portugiesisch zuletzt von diesem Postfach verwendet wurde und zuvor die Sprachen Polnisch, Englisch (UK), Englisch (Irland), Französisch und Englisch (US). Die ursprüngliche Sprache für ein Postfach ergibt sich aus dem installierten Gebietsschema des Servers, auf dem das Postfach erstellt wurde. Falls diese Einstellung inkorrekt ist oder Sie eine andere Sprache vorziehen, können Sie dies mithilfe des Cmdlets Set-Mailbox entsprechend ändern. Um zum Beispiel das Postfach eines Benutzers mit dem Namen Geert Camelbeke auf Niederländisch umzustellen, geben Sie Folgendes ein: Set-Mailbox –Identity'Camelbeke, Geert' –Languages 'nl-NL'

Outlook und andere Clients, die lokal auf PCs laufen, übernehmen die Regions- und Zeitzoneneinstellungen vom PC und verwenden sie zur Darstellung von Elementen der Benutzerschnittstelle, etwa für die Zeitzone eines Kalenders. Abbildung 6.6 zeigt OWA in Polnisch und die Exchange-Systemsteuerung in Niederländisch. Das Layout der Clientschnittstellen entspricht dem der deutschen Version, nur die Sprachzeichenfolgen, Variablen und lokalen Einstellungen, wie etwa das Datumsformat, unterscheiden sich.

287

Verwalten von E-Mailaktivierten Empfängern

Erstellen von neuen Postfächern

Kapitel 6 Abbildg. 6.6

Verwalten von E-Mail-aktivierten Empfängern

OWA und die Exchange-Systemsteuerung in Polnisch und Niederländisch

Insidertipp: Wechseln der Sprache

Ein OWA-Benutzer kann leicht zwischen verschiedenen Sprachen hin- und herwechseln, sofern die Sprachpakete auf dem Clientzugriffsserver installiert und verfügbar sind. Einige Werte lassen sich hiervon allerdings nicht beeindrucken. Wenn Sie OWA beispielsweise mit Französisch starten und dann zu Englisch wechseln, werden alle Standardordner ordnungsgemäß übersetzt (»Inbox«, »Sent Items« und »Deleted Items«), während die Namen von Suchordnern nicht geändert werden. So bleibt zum Beispiel der Ordnername »Courrier non lu« erhalten, obwohl er eigentlich »Unread Mail« lauten sollte. Hierbei handelt es sich um einen bekannten Fehler, der auch in Exchange Server 2010 SP1 nicht behoben wurde. Als serverabhängige Onlineanwendung verfolgt OWA einen anderen Ansatz. Bei jedem Start prüft OWA, ob die Zeitzone und die bevorzugte Sprache für ein Postfach bei der Anmeldung eines Benutzers eingestellt sind, und zeigt dann ein Fenster an, in dem der Benutzer diese Einstellungen wählen kann, sofern sie fehlen. Sie können verhindern, dass der Benutzer dieses Dialogfeld sieht (und somit auch mögliche Anrufe beim Support), indem Sie das virtuelle OWA-Verzeichnis mit einem Standardsprachcode versehen. So legt beispielsweise der folgende Befehl Englisch (Irland) als OWA-Standard-

288

sprachcode sowohl für die Clientsprache als auch für den bei der Anmeldung und in Dialogfeldern verwendeten Text fest. Der Standardwert für diese Einstellung ist 0, weshalb das Fenster für die Sprachauswahl Benutzern angezeigt wird, die keine bevorzugte Sprache für ihr Postfach festgelegt haben. Set-OWAVirtualDirectory –Identity 'OWA (default web site)' –DefaultClientLanguage 6153 –LogonAndErrorLanguage 6153

Weitere Informationen

Eine vollständige Liste der möglichen Regionalcodes finden Sie in TechNet. Es hat Sinn, dieselbe Einstellung auf alle Clientzugriffsserver im Unternehmen anzuwenden. Um auch einen Remoteserver einzuschließen, geben Sie den Namen des Servers bei der Nennung der Website mit an: Set-OWAVirtualDirectory –Identity 'ExServer2\OWA (default web site)' –DefaultClientLanguage 6153 –LogonAndErrorLanguage 6153

Indem Sie einen Standardsprachcode für das virtuelle OWA-Verzeichnis festlegen, erlauben Sie den Benutzern zwar, sich anzumelden, ohne von OWA zur Wahl der bevorzugten Sprache aufgefordert zu werden, jedoch ist diese Lösung unvollständig, weil so das Postfach nicht mit einer Zeitzoneneinstellung konfiguriert wird. Dies stellt kein Problem dar, solange alle Postfächer die für den Server festgelegte Standardzeitzone übernehmen, es kann jedoch Schwierigkeiten verursachen, sobald ein Server Postfächer mit verschiedenen Zeitzonen beherbergt. Ein weiterer Punkt ist, dass der Benutzer möglicherweise aufgefordert wird, eine Sprache zu wählen, wenn er über OWA auf die Exchange-Systemsteuerung zugreift, weil Exchange nicht ermitteln kann, welche Zeitzone dem Postfach zugeteilt ist. Es ist daher sehr viel sinnvoller, das Ganze zu vervollständigen und mithilfe des Cmdlets Set-MailboxRegionalConfiguration einen vollständigen Satz von Regionseinstellungen für ein Postfach vorzunehmen. Mit dem folgenden Beispielcode richte ich mein Postfach so ein, dass es irisches Englisch als Postfachsprache und die zugehörige Zeitzone sowie das passende regionale Datums- und Zeitformat verwendet: Set-MailboxRegionalConfiguration –Identity 'Tony Redmond' –Language 'en-IE' –TimeZone 'GMT Standard Time' -DateFormat 'dd/MM/yyyy' –TimeFormat 'H:mm'

Insidertipp: Achten Sie bei Datums- und Uhrzeitformaten auf Groß- und Kleinschreibung

Achten Sie auf das verwendete Datums- und Uhrzeitformat, da Exchange Einstellungen zurückweist, wenn sie nicht zur gewählten Zeitzone oder zur erforderlichen Maske passen. Groß- und Kleinbuchstaben sind hier wichtig. So wird beispielsweise das Format »d/M/YY« als gültiges Datumsformat für das Gebietsschema »en-IE« zurückgewiesen, während das Format »d/M/yy« akzeptiert wird. Die Exchange-Verwaltungskonsole zeigt Ihnen zusammen mit der Fehlermeldung die korrekten Werte an. Alternativ können Sie die Exchange-Systemsteuerung nutzen, um die regionalen Optionen für ein Postfach festzulegen (siehe Kapitel 5, »Exchange-Verwaltungskonsole und Exchange-Systemsteuerung«), dann mithilfe des Cmdlets Get-MailboxRegionalConfiguration die in die Postfacheigenschaften geschriebenen Werte prüfen und sie anschließend beim Erstellen anderer Postfächer replizieren.

289

Verwalten von E-Mailaktivierten Empfängern

Erstellen von neuen Postfächern

Kapitel 6

Verwalten von E-Mail-aktivierten Empfängern

PST-Dateien: Ein Kapitel für sich

Beachten Sie, dass Exchange die Spracheinstellung einer PST-Datei (Personal Storage) nicht übernimmt, wenn Sie mithilfe des Cmdlets Import-Mailbox Inhalte daraus in ein neues Postfach importieren. So weist etwa eine PST-Datei, die zusammen mit der französischen Version von Outlook verwendet wurde, französische Ordnernamen auf. Wenn Sie nun Import-Mailbox verwenden, um die Elemente aus der PST-Datei in ein neues Postfach zu importieren, das auf einem englischsprachigen Exchange Server-Computer erstellt wurde, legt Exchange Ordner mit englischen Namen an, bevor es die Daten aus der PST-Datei importiert. Auf diese Weise erhalten Sie zwei Sätze von Ordnern, einen französischen und einen englischen. Aus diesem Grund ist es am besten, Exchange explizit mitzuteilen, was die bevorzugte Sprache für das Postfach sein soll, bevor Sie irgendwelche Daten darin importieren. Exchange Server 2007 bietet den Parameter -TemplateInstance für das Cmdlet New-Mailbox. Dieser Parameter weist Exchange an, Werte eines bestehenden Objekts zu kopieren, um damit ein neues Objekt zu erstellen, und bildet somit eine nützliche Methode, um sicherzustellen, dass die Eigenschaften des neuen Objekts korrekte Werte zugewiesen bekommen. Microsoft hat diesen Parameter in Exchange Server 2010 entfernt. Jegliche Skripts, die sich auf die Erstellung von Postfächern anhand von Vorlagen stützen, müssen somit angepasst werden, damit sämtliche benötigten Werte sowie Richtlinien bei der Erstellung neuer Postfächer korrekt angewendet werden.

Ändern von Postfacheinstellungen Exchange Server 2010 enthält einen Satz neuer Cmdlets, der es Administratoren erlaubt, Eigenschaften von Postfächern abzufragen und festzulegen. Sie können sich dies als administrative Zugriffsmöglichkeit auf die Optionen vorstellen, die den Benutzern zur Konfiguration ihrer Postfächer in Outlook oder OWA zur Verfügung stehen. Diese Eigenschaften sind als versteckte Elemente im Stammverzeichnis von Benutzerpostfächern gespeichert und waren in vorherigen Versionen von Exchange für Administratoren nicht zugänglich. Tabelle 6.3 listet die Postfacheinstellungen auf, die durch Administratoren geändert werden können, sowie die dafür verwendeten Cmdlets. Tabelle 6.3

290

Cmdlets für die Postfachkonfiguration. Zweck

Cmdlets

Ändern regionaler Voreinstellungen (Sprache, Datumsformat, Zeitzone)

Get-MailboxRegionalConfiguration Set-MailboxRegionalConfiguration

Ändern der Einstellungen für automatische Antworten

Get-MailboxAutoReplyConfiguration Set-MailboxAutoReplyConfiguration

Ändern der Kalendereinstellungen des Postfachs und Anpassen der Verarbeitung eingehender Anforderungen durch den Kalenderassistenten

Get-MailboxCalendarConfiguration Set-MailboxCalendarConfiguration Get-CalendarProcessing Set-CalendarProcessing

Auflisten oder Hinzufügen von Postfachordnern

Get-MailboxFolder New-MailboxFolder

Erstellen von neuen Postfächern

Cmdlets für die Postfachkonfiguration. (Fortsetzung) Zweck

Cmdlets

Ändern allgemeiner Postfacheinstellungen

Get-MailboxMessageConfiguration Set-MailboxMessageConfiguration

Ändern der Einstellungen für die Rechtschreibprüfung

Get-MailboxMessageConfiguration Set-MailboxMessageConfiguration

Ändern der Junk-E-Mail-Einstellungen

Get-MailboxMessageConfiguration Set-MailboxMessageConfiguration

Bevor Sie versuchen, die Eigenschaften eines Postfachs abzufragen oder einzustellen, sollten Sie sicherstellen, dass Sie die notwendigen Zugriffsrechte für das Postfach besitzen. Das Cmdlet Add-MailboxPermission kann folgendermaßen verwendet werden: Add-MailboxPermission –Identity 'John Smith' –User 'Europe Help Desk' -AccessRights FullAccess

Postfächer übernehmen eine Standardregionalkonfiguration auf der Grundlage der Sprach- und Landeseinstellungen des Servers, auf dem sie erstellt wurden. Läuft auf Ihrem Server zum Beispiel Exchange in der US-englischenVersion mit der entsprechenden Zeitzone, übernimmt jedes Postfach, das Sie auf diesem Server erstellen, automatisch diese Einstellungen zusammen mit anderen dazugehörigen Einstellungen wie Datums- und Zeitformat. Die Benutzer können diese Einstellungen über einen Client ändern, indem Sie zum Beispiel die Optionen zur Sprachauswahl nutzen, die OWA bei der ersten Postfachanmeldung bereitstellt. Um die regionalen Einstellungen eines Postfachs auszulesen, geben Sie zum Beispiel Folgendes ein: Get-MailboxRegionalConfiguration –Identity 'John Smith'

Das Cmdlet Set-MailboxRegionalConfiguration erlaubt es Ihnen, die Regionaleinstellungen zu ändern. Im folgenden Beispiel legen wir Sprache, Zeitzone und Datumsformat für das Postfach fest: Set-MailboxRegionalConfiguration –Identity 'John Smith' –Language 'Es-es' –TimeZone 'Eastern Time Zone' –DateFormat 'dd-mmm-yyyy'

Get-MailboxAutoReplyConfiguration/Set-MailboxAutoReplyConfiguration ermöglicht die Abfrage bzw. Einstellung der Einstellungen für automatische Antworten. Welche Postfächer einer Datenbank diese Funktion gerade aktiviert haben und bis zu welchem Datum, können wir zum Beispiel mit dem folgenden Befehl herausfinden: Get-Mailbox –Database 'VIP Data' | Get-MailboxAutoReplyConfiguration | Where {$_.AutoReplyState –eq 'Scheduled'} | Select MailboxOwnerId, EndTime MailboxOwnerId --------------contoso.com/Exchange Users/Akers, Kim

EndTime -----------11/18/2010 2:00:00 AM

Wenn Sie sich sämtliche gespeicherten Daten eines Postfachs über diese Funktion auflisten lassen, können Sie auch den Text sehen, den der Benutzer als automatische Antwort für interne und externe Empfänger erstellt hat:

291

Verwalten von E-Mailaktivierten Empfängern

Tabelle 6.3

Kapitel 6

Verwalten von E-Mail-aktivierten Empfängern

Get-MailboxAutoReplyConfiguration –id 'Kim Akers'

292

AutoReplyState EndTime ExternalAudience ExternalMessage

: : : :

InternalMessage

:

StartTime MailboxOwnerId Identity AutoReplyState EndTime ExternalAudience ExternalMessage

: : : : : : :

Scheduled 11/18/2010 2:00:00 AM Known <style type="text/css" id="owaTempEditStyle"> <style type="text/css" id="owaParaStyle">