Zum Hauptinhalt wechseln
Anmelden |
  Hilfe (neues Fenster)

Malte Pabsts Blog

Startet die Suche
Homepage
  

Kategorien
Exchange 2007
Exchange 2003
Sichern und Wiederherstellen
Systemüberwachung
Allgemeines (Sonstiges)
Andere Blogs
Mein Kollege Holger über Softwareverteilung, -verwaltung, automatisierte Installationen
ixto-Blog: Trends aus der BI-Branche
Hyperlinks
Fotos
Archiv
Archiv (Kalender)
Malte Pabsts Blog > Beiträge > Erstellen und Segmentieren der Adresslisten Teil 1

11.06.2007

Erstellen und Segmentieren der Adresslisten Teil 1

Global Address List Trennung für Outlook

Vorbereitende Schritte:

Installieren der Supporttools für Windows Server 2003.

Erstellen einer universalen Sicherheitsgruppe "Deny-Default-AL". Diese Sicherheitsgruppe wird verwendet um den Zugriff auf die durch die Installation von Microsoft Exchange 2007 erstellen Adresslisten zu verweigern.

In die oben genannte Sicherheitsgruppe dürfen keine Benutzer aufgenommen werden, die die gesamte Exchangeorganisation administrieren sollen.

Einstellen der Berechtigungen für die Standardadresslisten.

Die Berechtigungen für den Zugriff auf globale Adresslisten kann nicht über die Exchangeverwaltungskonsole verwaltet werden. Dafür muss "ADSIEdit" aus den Support Tools ran.

In ADSIEdit eine Verbindung mit der Configurationpartition des Active Directory herstellen und der Gruppe "Deny-default-AL" alle Zugriffe auf die Adresslisten verweigern.

Dabei das "Default Offline Address Book" nicht vergessen.

Erstellen und Konfigurieren der zusätzlichen Adresslisten

Erstellen zusätzlicher Adresslisten

Zusätzliche Adresslisten können sowohl über die Exchange Management Konsole als auch über die Exchange PowerShell erstellt werden, außer globaler Adresslisten. Die müssen mithilfe der PowerShell generiert werden. Als Filterkriterium habe ich mich für das "Benutzerdefinierte Attribut 1" entschieden. In realen Umgebungen sollte im Vorfeld geprüft werden ob dieses Attribut bereits verwendet wird.

Im dargestellten Beispiel wird eine zusätzliche Globale Adressliste angelegt in der alle Empfängerobjekte enthalten sind deren Attribut "CustomAttribut1" die Zeichenkette "ITaCS" enthält. Mit zwei zusätzlichen Befehlszeilen werden weitere Globale Adresslisten angelegt und unsere Exchange Organisation verfügt jetzt über vier Globale Adresslisten. Das Ergebnis sieht dann so aus.

Erstellen der Sicherheitsgruppen für die Zugriffe auf die Globalen Adresslisten (GAL)

Jede der erzeugten GALs soll für eine Firma stehen, deren Adressinformationen nichts mit dem Adressinformationen der anderen Firmen zu tun hat. D.h. wir müssen die Zugriffe auf die Adresslisten wechselseitig verhindern. Dafür sollten jeweils Sicherheitsgruppen für die einzelnen Firmen erstellt werden, nach gleichen Schema wie für die "Default global Address List". Für unsere drei "Firmen" also genau sechs Gruppen.

"Deny-ITaCS-Demo-AL"     Members: SCaTI-Demo; Contoso-Demo

"Deny-SCaTI-Demo-AL"     Members: ITaCS-Demo; Contoso-Demo

"Deny-Contoso-Demo-AL"     Members: ITaCS-Demo; SCaTI-Demo

Die Benutzer der jeweiligen Firmen sind Mitglieder in den korrespondierenden Gruppen ihrer Firma.

Erstellen der Empfängerrichtlinien und der Domäneneinträge

Damit E-Mails für unsere verschiedenen Firmen empfangen werden können benötigen wir noch für jede Firma je eine Empfängerrichtlinie und einen Domäneneintrag innerhalb der Exchange Organisation. Das habe ich der Einfachheit halber über die PowerShell realisiert.

Setzen der Berechtigungen für die zusätzlichen Adresslisten

Hier kommt wieder ADSI Edit zum Zuge. Die Vorgehensweise entspricht der Einstellungen der Berechtigungen für die "Default Global Address List" und wird für jede zusätzliche globale Adressliste eingestellt.

Somit sind jetzt die Bedingungen geschaffen, um jedem Benutzer den Zugriff auf die GAL seiner Firma zu gewähren.

Abschließend aber eine schlechte Nachricht. Diese Konfiguration greift nur für Zugriffe mittels Outlook über MAPI bzw. über "Outlook Anywhere" (vormals RPC over http) und verhindert gleichzeitig die Verwendung des "Raum-Buttons" in Besprechungsanfragen. Für eine ähnliche Abbildung im OutlookWebAccess sind weitere Schritte notwendig, genau wie für die Bereitstellung von Offline Adressbüchern. Diese werde ich demnächst im Blog beschreiben.

   

   

  

Bereitgestellt um 09:00 von Malte Pabst (Admin) | Kategorie: Exchange 2007 | Permalink | Diesen Beitrag per E-Mail senden | Kommentare (0)

Kommentare

Zu diesem Beitrag sind noch keine Kommentare vorhanden.
Neues aus unseren Blogs
Consulting-Team-Blog: Beiträge
SharePoint 2010 Versionsnummern
[04.09.2010]
Helge de Vries
SharePoint
Consulting-Team-Blog: Beiträge
SharePoint 2010 Event IDs: 7362 Publishing Cache
[06.08.2010]
Helge de Vries
Consulting-Team-Blog: Beiträge
Regelmäßiges SharePoint 2010 Farm-Backup mit PowerShell
[13.07.2010]
Helge de Vries
SharePoint
Fabian´s Blog [SharePoint MVP]
State Service Application in SharePoint 2010 erstellen
[15.06.2010]
Fabian Moritz
SharePoint 2010; State Service; Managed Service Applications
Fabian´s Blog [SharePoint MVP]
Microsoft SharePoint Konferenz 2010 AUT – Präsentationen und Demos
[10.06.2010]
Fabian Moritz
Events; Office 2010; Office Business Anwendungen; SharePoint Konferenz 2010; Web Content Management
Consulting-Team-Blog: Beiträge
Migration: Zwei SharePoint Sites unter einer gemeinsamen URL ansprechen (Teil 2)
[21.05.2010]
Kai Wilke
SharePoint
Fabian´s Blog [SharePoint MVP]
Windows SharePoint Services 3.0 vs. SharePoint Foundation 2010 Objektmodell
[12.05.2010]
Fabian Moritz
Development; WSS 3.0; SharePoint Foundation 2010; Objektmodell
Consulting-Team-Blog: Beiträge
Migration: Zwei SharePoint Sites unter einer gemeinsamen URL ansprechen (Teil 1)
[10.05.2010]
Kai Wilke
SharePoint
Fabian´s Blog [SharePoint MVP]
Stellenangebot: ASP.NET / SharePoint-Entwickler gesucht
[10.05.2010]
Fabian Moritz
SharePoint 2007; Stellenausschreibung; SharePoint 2010
Fabian´s Blog [SharePoint MVP]
SharePoint 2010 Ribbon anpassen und erweitern
[07.05.2010]
Fabian Moritz
Customizing; SharePoint 2010; SharePoint Foundation 2010; Ribbons