Einführung in das Arbeiten mit Informationsspeicherberechtigungen in Exchange 2000 und 2003
Letztes Änderungsdatum des Themas: 2005-05-26
In diesem Handbuch wird der Prozess erläutert, mit dem sowohl Microsoft® Exchange Server 2003 als auch Microsoft Exchange 2000 Server Berechtigungen zur Steuerung des Zugriffs auf Objekte im Exchange-Informationsspeicher verwenden (Öffentliche Ordner-Datenbanken und Postfachdatenbanken).
.gif "note") Anmerkung: |
|---|
| Um die wiederholte Bezugnahme auf die beiden Versionen Exchange Server 2003 und Exchange 2000 Server zu vermeiden, bezieht sich der vorliegende Text speziell auf Exchange 2003. Wenn der Text sich auch nicht ausdrücklich auf sowohl Exchange 2003 als auch Exchange 2000 bezieht, gelten alle Informationen für beide Versionen. |
Welche Informationen bietet dieses Handbuch?
Dieses Handbuch enthält Antworten auf die folgenden Fragen:
- Was prüft Exchange beim Öffnen eines Ordners oder einer Nachricht, um zu ermitteln, ob der Benutzer über Zugriffsrechte verfügt? Woher stammen diese Informationen?
- Worin unterscheiden sich Exchange-Informationsspeicherberechtigungen von Berechtigungen im Microsoft Active Directory®-Verzeichnisdienst und im Microsoft Windows®
- Wie viele Berechtigungssätze werden von Exchange verwendet, und worin besteht die Funktion jedes einzelnen Satzes?
- Welche dieser Berechtigungssätze stehen in Bezug zueinander, und wie konvertiert Exchange Informationen von einer Form in die andere?
- Warum stellt Exchange mehrere verschiedene Benutzeroberflächen zum Anzeigen von Berechtigungen zur Verfügung, und warum sind diese alle unterschiedlich?
- Welche Oberfläche sollte zum Festlegen eines bestimmten Berechtigungstyps verwendet werden? Welche Oberflächen sollten auf keinen Fall verwendet werden?
- Welche Einstellungen sollten unverändert bleiben, wenn Berechtigungen geändert werden sollen, damit Exchange weiterhin reibungslos funktioniert?
Für wen ist dieses Handbuch gedacht?
Dieses Handbuch richtet sich an erfahrene Exchange-Administratoren. Es erläutert den Prozess, durch den der Zugriff auf Objekte im Exchange-Informationsspeicher von Exchange gesteuert wird, auf hohem Niveau.
In diesem Handbuch verwendete Terminologie
Damit Sie die Erläuterungen dieses Handbuchs verstehen, sollten Sie sicherstellen, dass Sie mit den folgenden Begriffen, die aus dem Band Distributed Systems Guide des Window 2000 Resource Kit entnommen sind, vertraut sind.
- Zugriffsteuerungseintrag (Access Control Entry, ACE)
Ein Eintrag in einer Zugriffssteuerungsliste (Access Control Liste, ACL), der die Sicherheits-ID (SID) für einen Benutzer oder eine Gruppe und eine Zugriffsmaske enthält, die festlegt, welche Vorgänge für den Benutzer oder die Gruppe zugelassen, nicht zugelassen oder überwacht sind.
- Zugriffssteuerungsliste (Access Control List, ACL)
Eine Liste von Sicherheitsmaßnahmen, die für ein gesamtes Objekt, einen Teil der Eigenschaften des Objekts oder eine einzelne Eigenschaft eines Objekts festgelegt werden. Es gibt zwei Arten von Zugriffssteuerungslisten: freigegeben (discretionary) und System.
- Zugriffstoken
Eine Datenstruktur, die Sicherheitsinformationen enthält, die einen Benutzer gegenüber dem Sicherheitssubsystem auf einem Computer unter Windows 2000 oder Windows NT identifiziert. Zugriffstokens enthalten die Sicherheits-ID eines Benutzers, die Sicherheits-IDs für Gruppen, deren Mitglied der Benutzer ist, sowie eine Liste der Rechte des Benutzers auf dem lokalen Computer.
- Freigegebene Zugriffssteuerungsliste (Discretionary Access Control List, DACL)
Der Teil der Sicherheitsbeschreibung eines Objekts, der bestimmten Benutzern und Gruppen den Zugriff auf das Objekt gewährt oder verweigert. Nur der Besitzer eines Objekts kann die in einer DACL gewährten bzw. verweigerten Berechtigungen ändern. Auf diese Weise liegt der Zugriff auf das Objekt im Ermessen (discretion) des Besitzers.
- Berechtigung
Eine Regel, die einem Objekt zugeordnet ist und regelt, welche Benutzer Zugriff auf das Objekt erhalten sollen und welcher Art dieser Zugriff sein darf. Berechtigungen werden vom Besitzer des Objekts vergeben.
- Sicherheitsbeschreibung
Eine Datenstruktur, die Sicherheitsinformationen enthält, die einem geschützten Objekt zugeordnet sind. Sicherheitsbeschreibungen umfassen Informationen darüber, wer Besitzer des Objekts ist, wer darauf zugreifen darf und in welcher Weise sowie welche Arten von Zugriff überwacht werden.
- Sicherheits-ID (SID)
Eine Datenstruktur variabler Länge, die Benutzer-, Gruppen-, Dienst- und Computerkonten eindeutig innerhalb eines Unternehmens identifiziert. Jedes Konto erhält bei seiner ersten Erstellung eine SID. In Windows 2000 werden Sicherheitsprinzipale von Zugriffssteuerungsmechanismen anhand ihrer SID identifiziert, nicht anhand des Namens.
- Sicherheitsprinzipal
Ein Kontoinhaber, wie z. B. ein Benutzer, ein Computer oder ein Dienst. Jeder Sicherheitsprinzipal innerhalb einer Windows 2000-Domäne wird durch eine eindeutige Sicherheits-ID (SID) identifiziert. Wenn sich ein Sicherheitsprinzipal bei einem Computer unter Windows 2000 anmeldet, werden der Kontoname und das Kennwort des Sicherheitsprinzipals von der lokalen Sicherheitsautorität (Local Security Authority, LSA) authentifiziert. Bei einer erfolgreichen Anmeldung wird vom System ein Zugriffstoken erstellt. Jeder im Namen dieses Sicherheitsprinzipals ausgeführte Prozess erhält eine Kopie seines Zugriffstokens.
- System-Zugriffssteuerungsliste (System Access Control List, SACL)
Der Teil der Sicherheitsbeschreibung eines Objekts, der festlegt, welche Ereignisse pro Benutzer oder Gruppen überwacht werden sollen. Beispiele für Überwachungsereignisse sind Dateizugriffe, Anmeldeversuche oder Herunterfahren des Systems.
Weitere Informationen zu Microsoft Windows 2000-Sicherheitskonzepten finden Sie unter "Access Control" in Kapitel 12 des Bands Distributed Systems Guide des Microsoft Windows 2000 Resource Kit.
Hintergrund
Aufgrund der Art, in der Exchange-Daten innerhalb einer Exchange-Bereitstellung verteilt werden können, sowie als Ergebnis von Anstrengungen zur Aufrechterhaltung der Abwärtskompatibilität mit Vorgängerversionen von Exchange gestaltet sich die Zugriffssteuerung in Exchange Server 2003 nicht ganz unkompliziert.
Auswirkungen verteilter Daten
Bei Verwendung der Architektur von Exchange Server 2003 können Sie mehrere Postfach- und Öffentliche Ordner-Datenbanken auf verschiedenen Servern platzieren. Exchange 2003 speichert außerdem manche Informationen über Benutzer in Active Directory (statt im eigenen Verzeichnis, wie es in Exchange 5.5 der Fall war). Ein Beispiel hierzu finden Sie in der Beispielbereitstellung von Exchange 2003 in der folgenden Abbildung. Diese Bereitstellung enthält einen Domänencontroller, einen Postfachserver und zwei Server mit Öffentlichen Ordnern. Die Abbildung zeigt, welche Daten auf jedem der Server gespeichert sind. Die Zugriffssteuerung auf Exchange-Benutzerinformationen, Postfächer, Ordner und Nachrichten beinhaltet häufig die Steuerung des Zugriffs auf Daten, die sich auf mehreren verschiedenen Servern befinden.
| Anmerkung: |
|---|
| Da auf Exchange-Front-End-Servern keine Daten für Benutzer, Postfächer, Ordner oder Nachrichten gespeichert werden, sind sie in diesem Diagramm nicht dargestellt. |
.gif "f776b2b2-d018-4b38-acf5-312a9ab6550a")
Auswirkungen der Abwärtskompatibilität
Exchange 2003 verwendet das Sicherheitsmodell von Windows 2000. Alle Objekte (ob im Windows-Dateisystem oder in Active Directory) verfügen über Zugriffssteuerungslisten (Access Control List, ACL). In diesen ACLs dienen Benutzer und Gruppen aus Active Directory als Sicherheitsprinzipale. Exchange erweitert dieses Modell auf den Exchange-Informationsspeicher: Jedes Objekt im Exchange-Informationsspeicher verwendet ACLs, in denen die Sicherheitsprinzipale Benutzer und Gruppen aus Active Directory sind. Dies stellt eine Veränderung gegenüber Exchange 5.5 dar, wo Exchange sein eigenes LDAP-Verzeichnis (Lightweight Directory Access Protocol) für die von Exchange-Objekten verwendeten Sicherheitsprinzipale verwendet hat.
Die ACLs von Objekten im Exchange-Informationsspeicher verwenden zur Steuerung des Zugriffs Windows 2000-Berechtigungen (mit einigen wenigen zusätzlichen Berechtigungen, die für Exchange spezifisch sind). Dies ist eine weitere Veränderung gegenüber Exchange 5.5, wo von den ACLs noch MAPI-Berechtigungen (Messaging Application Programming Interface) verwendet wurden. In Exchange 2003 werden jedoch Windows 2000-Berechtigungen unter folgenden Umständen durch MAPI-Berechtigungen ersetzt:
- Bei der Kommunikation mit MAPI-Clients wie Outlook.
- Bei der Replikation von Daten auf Server mit Exchange 5.5 in einer Bereitstellung, die koexistierende Server mit Exchange 5.5 und Exchange 2003 enthält.
| Anmerkung: |
|---|
| Diese beiden Fälle gelten für Postfächer und Öffentliche Ordner in der Öffentliche Ordner-Standardhierarchie (und für alle darin enthaltenen Ordner und Nachrichten). Auf Ordner und Nachrichten in Öffentliche Ordner-Anwendungshierarchien kann mit MAPI-Clients nicht zugegriffen werden. Eine Replikation auf Exchange 5.5-Server ist in diesem Fall ebenfalls nicht möglich. Aus diesem Grund werden für diese Ordner und Nachrichten stets Windows 2000-Berechtigungen verwendet. |
In Exchange werden alle Umwandlungen zwischen Windows 2000-Berechtigungen und MAPI-Berechtigungen automatisch durchgeführt. Als Administrator müssen Sie jedoch darauf achten, dass beim Festlegen von Berechtigungen mit dem Exchange-System-Manager in Abhängigkeit vom zu sichernden Objekt entweder Windows 2000-Berechtigungen oder MAPI-Berechtigungen verwendet werden müssen.
Dieses Handbuch enthält weitere Informationen über die Funktionsweise dieses Zugriffssteuerungsprozesses, einschließlich Informationen über die Änderungen, die Exchange am Windows 2000-Sicherheitsmodell vornimmt, um dieses Modell auf Objekte im Exchange-Informationsspeicher anwenden zu können. In diesem Handbuch wird ebenfalls beschrieben, wann und wie Windows 2000-Berechtigungen von Exchange in MAPI-Berechtigungen (und MAPI-Berechtigungen zurück in Windows 2000-Berechtigungen) konvertiert werden.