Bereitstellung von Exchange Server 2003

 

Letztes Änderungsdatum des Themas: 2007-05-18

Die in diesem Thema beschriebenen Berechtigungen treffen auch auf Bereitstellungen von Exchange 2000 Server zu.

Welche Berechtigungen sind zum Ausführen von ForestPrep für Exchange Server 2003-Setup erforderlich?

Mit ForestPrep wird das Active Directory®-Verzeichnisdienstschema aktualisiert und das Exchange-Organisationsobjekt erstellt. Darüber hinaus können Sie das erste Exchange Server 2003-Administratorkonto angeben. Bei diesem Konto kann es sich um ein Benutzer- oder Gruppenobjekt handeln. Aus Gründen der Vereinfachung wird die Verwendung eines Gruppenobjekts empfohlen. Sie müssen als Benutzer mit den folgenden Berechtigungen angemeldet sein:

  • Schema-Admins
  • Organisations-Admins

ForestPrep muss in der Domäne ausgeführt werden, die den Active Directory-Schemamaster enthält. In der Standardeinstellung ist diese Domäne die Stammdomäne in der Gesamtstruktur. ForestPrep muss nicht auf dem Schemamaster ausgeführt werden. Jeder Computer mit Windows® 2000 oder Windows Server™ 2003 in dieser Domäne ist ausreichend. Es ist jedoch eine bewährte Methode, ForestPrep auf dem Schemamaster auszuführen, damit sich Netzwerkunterbrechungen und Wartezeiten nicht auf die Schemaaktualisierung auswirken.

Warum funktionieren einige Anwendungen von Drittanbietern nach dem Ausführen von Exchange Server 2003 ForestPrep nicht mehr?

Nach dem Ausführen von Exchange Server 2003 ForestPrep werden bei einigen Anwendungen von Drittanbietern möglicherweise Fehlerereignisse protokolliert. Dies ist auf einen Fehler mit den Berechtigungen beim Zugreifen auf Postfächer zurückzuführen.

Wahrscheinlich wird bei diesen Anwendungen der Zugriff auf Postfächer über die Mitgliedschaft in der Gruppe „Exchange Domain Servers“ erreicht. Bei jeder Exchange Server 2003 ForestPrep- und Serverinstallation wird jedoch nun im Container „Server“ ein Zugriffsverweigerungs-Steuerungseintrag für diese Gruppe erstellt. Diese Änderung wurde vorgenommen, um den Schutz eines potenziellen Zugriffspunkts für Angriffe zu verbessern und die allgemeine Sicherheit des Messagingsystems zu erhöhen.

Wenn Sie möchten, dass die Anwendungen weiterhin auf die Postfachdaten zugreifen können, erstellen Sie eine Gruppe, und platzieren Sie die Dienstkonten der Anwendung innerhalb dieser Gruppe. Gewähren Sie dieser Gruppe die Berechtigungen Senden als und Empfangen als für den entsprechenden Exchange-Konfigurationscontainer, z. B. das Organisationsobjekt. Konfigurieren Sie für eine zusätzlich verbesserte Sicherheit die Berechtigungen nur für die Postfachspeicher, auf die die Anwendung Zugriff benötigt.

Welche Funktion hat DomainPrep für Exchange Server 2003-Setup?

Mit DomainPrep können Domänenadministratoren des Microsoft Active Directory-Verzeichnisdiensts ihre Domänen für Exchange 2000 Server- oder Exchange Server 2003-Benutzer und/oder -Server vorbereiten. Beim Ausführen von DomainPrep werden die folgenden Vorgänge durchgeführt:

  • Erstellen der lokalen Domänengruppe „Exchange Enterprise Servers“ im Benutzercontainer der Gruppe
    • Diese Gruppe ist für die Gruppe „Exchange Domain Servers“ jeder Domäne vorgesehen, die über einen Empfängeraktualisierungsdienst verfügt.
    • Die Mitgliedschaft dieser Gruppe wird von einem Prozess im Exchange-Systemaufsichtsdienst verwaltet.
    • Die Gruppe „Exchange Enterprise Servers“ und vollständige Exchange-Administratoren der Organisation erhalten für dieses Objekt die Berechtigung „Vollzugriff“. (Der Empfängeraktualisierungsdienst fügt der Organisation vollständige Exchange-Administratoren hinzu, sobald diese delegiert werden.)
  • Erstellen der globalen Gruppe „Exchange Domain Servers“ im Benutzercontainer der Gruppe
    • Diese Gruppe ist für alle Exchange 2000 Server- und Exchange Server 2003-Server in der Domäne vorgesehen.
    • Die Mitgliedschaft dieser Gruppe wird von einem Prozess in der Systemaufsicht verwaltet. (Beim Setup wird der Gruppe jedoch der Server hinzugefügt.)
    • Die Gruppe „Exchange Enterprise Servers“ und vollständige Exchange-Administratoren der Organisation erhalten für dieses Objekt die Berechtigung „Vollzugriff“. (Der Empfängeraktualisierungsdienst fügt der Organisation vollständige Exchange-Administratoren hinzu, sobald diese delegiert werden.)
  • Erstellen des Containers „Microsoft Exchange-Systemobjekte“ am Stamm der Domäne
    • Dieser Container wird zum Speichern von Proxyobjekten von Öffentlichen Ordnern sowie Exchange-spezifischen Systemobjekten (z. B. das Postfach des Postfachspeichers) verwendet.
    • Diesem Ordner werden bestimmte Berechtigungen zugewiesen. Weitere Informationen über die einzelnen gewährten Berechtigungen finden Sie unter „Beim Exchange-Setup gewährte Berechtigungen“.
  • Weist der Gruppe „Exchange Enterprise Servers“ Berechtigungen auf Domänenebene zu. Weitere Informationen über die einzelnen gewährten Berechtigungen finden Sie unter „Beim Exchange-Setup gewährte Berechtigungen“.
  • Zuweisen des Benutzerrechts „Überwachungs- und Sicherheitsprotokolle verwalten“ zur Gruppe „Exchange Enterprise Servers“ für die Standard-Domänencontrollerrichtlinie (Gruppenrichtlinienobjekt in der Organisationseinheit des Domänencontrollers)
  • Zuweisen bestimmter Berechtigungen für den Container „adminSDHolder“ der Domäne zur Gruppe „Exchange Enterprise Servers“. Weitere Informationen über die einzelnen gewährten Berechtigungen finden Sie unter „Beim Exchange-Setup gewährte Berechtigungen“.
  • Zuweisen bestimmter Berechtigungen der Gruppe „Exchange Enterprise Servers“ für die lokale Domänengruppe „Prä-Windows 2000 kompatibler Zugriff“, damit der Empfängeraktualisierungsdienst der Gruppe „Exchange Domain Servers“ jeder Domäne als Mitglied dieser Gruppe hinzufügen kann. Weitere Informationen über die einzelnen gewährten Berechtigungen finden Sie unter „Beim Exchange-Setup gewährte Berechtigungen“.

Wann ist die Ausführung von DomainPrep für Exchange Server 2003-Setup erforderlich?

Mit DomainPrep können Active Directory-Domänenadministratoren ihre Domänen für Exchange 2000 Server- oder Exchange Server 2003-Benutzer und -Server vorbereiten. Sie sollten DomainPrep in jeder Domäne ausführen, die Folgendes enthalten wird:

  • Server mit Exchange 2000 Server- oder Exchange Server 2003
  • E-Mail-aktivierte Objekte
  • Globale Katalogserver, auf die Exchange-Verzeichniszugriffskomponenten möglicherweise zugreifen.

Darüber hinaus müssen Sie DomainPrep außerdem für die Stammdomäne der Gesamtstruktur ausführen, damit die Proxyobjekte für Öffentliche Ordner erfolgreich erstellt werden.

Durch DomainPrep werden die globale Sicherheitsgruppe „Exchange Domain Servers“ und die lokale Sicherheitsgruppe „Exchange Enterprise Servers“ erstellt. Außerdem werden die Berechtigungen so konfiguriert, dass der Exchange-Server auf die Active Directory-Datenbank zugreifen kann. Zum Ausführen von DomainPrep müssen Sie als Benutzer angemeldet sein, der ein Mitglied der lokalen Administratorgruppe in der Domäne ist, in der DomainPrep ausgeführt werden soll.

DomainPrep ändert die Domänencontroller-Richtlinie. Dabei wird der Gruppe „Exchange Enterprise Servers“ die Berechtigung zum Verwalten der Prüf- und Sicherheitsprotokolle gewährt. Aus welchem Grund ist dies erforderlich?

Damit der Speicherprozess die Überwachung von Postfächern unterstützt, ist diese Berechtigung erforderlich, da der Exchange-Server hiermit SACLs (System Access Control Lists) in der Domäne lesen kann. Wenn diese Berechtigung entfernt wird, können Exchange-Serverdatenbanken nicht mehr bereitgestellt werden. Dies ist die einzige Anpassung, die von DomainPrep an der Domänencontroller-Richtlinie vorgenommen wird. Diese Richtlinie wird über eine Kombination aus der Active Directory-Replikation und dem Dateireplikationsdienst an andere Domänencontroller repliziert. Sie können mit dem Tool policytest.exe den Replikationsstatus der angepassten Richtlinie überprüfen. Dieses Tool finden Sie auf dem Exchange Server 2003-Datenträger im Ordner Support\ExDeploy.

noteAnmerkung:
Wenn Sie andere Richtlinien auf den Organisationseinheiten des Domänencontrollers implementiert haben, müssen Sie dieses Recht der höchsten betreffenden Richtlinie hinzufügen.

Welche Funktionen werden von den Gruppen „Exchange Domain Server“ und „Exchange Enterprise Server“ ausgeführt?

Diese beiden Gruppen werden durch DomainPrep erstellt. Sie befinden sich im Benutzercontainer der Domäne und dürfen nicht verschoben oder umbenannt werden. (Andernfalls werden Computer mit Exchange 2000 Server oder Exchange Server 2003 in der Domäne heruntergefahren.) Bei jeder Installation von Exchange auf einem Computer wird das Computerkonto der globalen Sicherheitsgruppe „Exchange Domain Servers“ hinzugefügt. Diese Gruppe ist wiederum Mitglied der lokalen Sicherheitsgruppe „Exchange Enterprise Servers“ in jeder Domäne. Durch den Empfängeraktualisierungsdienst wird sichergestellt, dass alle Exchange-Gruppen innerhalb der Gesamtstruktur vollständig verschachtelt sind. Die Gruppe „Exchange Enterprise Servers“ erhält verschiedene Berechtigungen im Domänennamenskontext in Active Directory. Anhand dieser vererbten Berechtigungen kann der Empfängeraktualisierungsdienst Exchange-spezifische Attribute für Benutzerkonten in jeder Domäne ändern.

Warum ist die Gruppe „Prä-Windows 2000 kompatibler Zugriff“ in der Gruppe „Exchange Domain Servers“ enthalten?

Im Exchange-Sicherheitsmodell enthält jede Domäne zwei Gruppen: eine Gruppe der globalen Domäne, „Exchange Domain Servers“, und eine Gruppe der lokalen Domäne, „Exchange Enterprise Servers“. Die Gruppe „Exchange Domain Servers“ enthält alle Exchange-Server in dieser Domäne. Die Gruppe „Exchange Enterprise Servers“ enthält die Exchange Domain Server-Gruppen aller Domänen in der Gesamtstruktur, in der Sie DomainPrep ausgeführt haben. DomainPrep erteilt der Gruppe „Exchange Enterprise Servers“ die Lese- und Schreibberechtigungen für eine Vielzahl von mailbezogenen Attributen von Objekten der Domänenpartition. Nach der Ausführung von DomainPrep sollten alle Exchange-Server über diese Lese- und Schreibberechtigungen auf beiden Ebenen der Gruppenmitgliedschaft verfügen.

In Exchange 2000 Server besitzen nach dem Ausführen von DomainPrep nicht immer alle Exchange-Server die erforderlichen Lese- und Schreibberechtigungen. Insbesondere wenn ein Exchange-Server versucht, Attribute für ein postfachaktiviertes Benutzerobjekt einer Domänenpartition zu lesen und mit einem globalen Katalogserver in einer anderen Domäne als der des Benutzers verbunden ist, ist die Gruppe „Exchange Enterprise Servers“ nicht in dem Sicherheitstoken des Exchange-Servers vorhanden. Daher werden die Lese- und Schreibberechtigungen von der Gruppe „Exchange Enterprise Servers“ nicht wirksam. In diesem Fall agiert der Exchange-Server als authentifizierter Benutzer.

Dies bereitet keine Probleme, solange die Domäne mit „Berechtigungen, die für Prä-Windows 2000-Anwendungen kompatibel sind“ aktiviert ist, weil der Sicherheitsprinzipal „Jeder“ (und unter Windows Server™ 2003 der Sicherheitsprinzipal „Anonyme Anmeldung“) die Berechtigungen anhand aller Attribute auf allen Objekten in der Domäne liest. Daher haben die Exchange-Server Zugriff auf alle notwendigen Daten.

Um sich gegen Fälle zu schützen, in denen die Domäne eventuell nicht für Prä-Windows 2000-Anwendungen vorbereitet ist, fügt Exchange Server 2003-DomainPrep der Gruppe „BUILTIN\Prä-Windows 2000 kompatibler Zugriff“ die Gruppe „Exchange Domain Servers“ in der Domäne hinzu. Außerdem fügt DomainPrep der Gruppe „Prä-Windows 2000 kompatibler Zugriff“ einen Zugriffsteuerungseintrag hinzu, um der Gruppe „Exchange Enterprise Servers“ zu gestatten, die Mitgliedschaft der Gruppe „Prä-Windows 2000 kompatibler Zugriff“ zu ändern.

In der Richtlinie des Unternehmens dürfen Berechtigungen auf der Domänenebene von Active Directory nicht an untergeordnete Container oder Organisationseinheiten vererbt werden. Führt dies zu Problemen?

DomainPrep platziert die Access Control Entries (ACE – Zugriffsteuerungseintrag) für die Gruppe „Exchange Enterprise Servers“ nur auf Domänenebene. Daher kann der Empfängeraktualisierungsdienst Benutzerobjekte nicht verarbeiten, wenn Sie die Vererbung blockieren. In der Folge können neue Benutzer sich nicht mehr bei Exchange anmelden, und Änderungen an den Richtlinien vorhandener Benutzer werden nicht mehr übernommen.

Beim Blockieren der Vererbung können Sie die Berechtigungen des ausgewählten Containers bzw. der Organisationseinheit entweder entfernen oder kopieren. Wenn Sie die Option „Kopieren“ auswählen, wird mit der Verarbeitung von Objekten durch den Empfängeraktualisierungsdienst fortgefahren. Wenn Sie die Option „Entfernen“ auswählen, funktioniert der Empfängeraktualisierungsdienst in diesem Container nicht mehr.

Wenn Sie die Berechtigungen für eine Organisationseinheit manuell festlegen möchten, damit der Empfängeraktualisierungsdienst Objekte verarbeiten kann, weisen Sie der Gruppe Exchange Enterprise Servers die folgenden Berechtigungen für alle Benutzerobjekte in der Organisationseinheit zu:

  • Inhalt auflisten
  • Alle Eigenschaften lesen
  • Berechtigungen lesen
  • Öffentliche Informationen schreiben
  • Persönliche Informationen schreiben
  • Gruppentyp schreiben
  • Anzeigenamen schreiben

Außerdem muss die Gruppe Exchange Enterprise Servers für Gruppenobjekte über die Berechtigung „Berechtigungen ändern“ verfügen. Diese Berechtigung ist für die Unterstützung ausgeblendeter Gruppenmitgliedschaft erforderlich.

Alle diese Berechtigungen können mithilfe des MMC-Snap-Ins ADSI-Bearbeitung festgelegt werden. Weitere Informationen zum Festlegen von Berechtigungen auf Ebene der Organisationseinheit finden Sie unter "Implementieren eines geteilten Berechtigungsmodells".

Beim Überprüfen der Registerkarte „Erweiterte Berechtigungen“ für das Domänenobjekt fällt auf, dass die Gruppe „Enterprise Exchange Servers“ mehrmals aufgeführt ist. Warum werden die meisten Berechtigungen jedoch leer angezeigt?

Für die Gruppe „Enterprise Exchange Servers“ sind Berechtigungen auf Domänenebene erforderlich, damit Computer mit Exchange 2000 Server neue E-Mail-Nachrichten und postfachaktivierte Benutzer verarbeiten können. Wenn beispielsweise ein neuer postfachaktivierter Benutzer erstellt wird, schreibt der Empfängeraktualisierungsdienst einen Satz von E-Mail-Adressen in das Objekt und platziert den Benutzer in den entsprechenden Adresslisten. Der Empfängeraktualisierungsdienst wird als Teil des Exchange-Systemaufsichtsprozesses auf einem Exchange-Server ausgeführt. Da das Computerobjekt auf dem Exchange-Server ein Mitglied der Gruppe „Exchange Domain Servers“ ist (die wiederum ein Mitglied der Gruppe „Exchange Enterprise Servers“ ist), kann der Empfängeraktualisierungsdienst Aktualisierungen von Objekten in der Domäne verarbeiten.

Die Berechtigungen werden möglicherweise im Snap-In Active Directory-Benutzer und -Computer leer angezeigt, da auf der Oberfläche nicht alle abgestuften Berechtigungen angezeigt werden, die in Active Directory gewährt werden können. Die Berechtigungen wurden daher gewährt, können jedoch über die Oberfläche nicht angezeigt werden. Mit dem Tool Dsalcs.exe können Sie wie unter „Implementieren eines geteilten Berechtigungsmodells“ beschrieben alle abgestuften Berechtigungen anzeigen.

Welche Berechtigungen sind für die Installation des ersten Exchange-Servers erforderlich?

Sofern ForestPrep und DomainPrep ausgeführt wurden, müssen Sie zum Installieren des ersten Servers mit den folgenden Berechtigungen bei Active Directory angemeldet sein:

  • Funktion „Exchange-Administrator – Vollständig“ (während des Ausführens von ForestPrep definiert)
  • Mitglied der lokalen Administratorgruppe auf dem Exchange-Zielserver

Wenn Sie sich einem vorhandenen Exchange Server 5.5-Standort anschließen, muss das Konto für die Anmeldung außerdem über die folgenden Berechtigungen zum Zugreifen auf das Exchange Server 5.5-Verzeichnis verfügen, und der Person, die Exchange installiert, müssen der Kontoname und das Kennwort für die Standortdienste bekannt sein:

  • Administratorfunktion im Namenskontext des Exchange Server 5.5-Standorts (für den Exchange-Standort, dem Sie beitreten möchten)
  • Administratorfunktion im Namenskontext der Exchange Server 5.5-Konfiguration (für den Exchange-Standort, dem Sie beitreten möchten)

Zwischen der Domäne, in der Sie Exchange 2000 Server oder Exchange Server 2003 installieren, und der Domäne, in der sich der Server mit Exchange Server 5.5 befindet, muss eine beiderseitige Vertrauensstellung vorhanden sein.

Die beiderseitige Vertrauensstellung zwischen der Windows NT®-Domäne und Active Directory ist aufgrund von zwei Anforderungen erforderlich. Die Vertrauensstellung von Active Directory zu Windows NT ist notwendig, da der MTA (Message Transfer Agent) und der Standortreplikationsdienst von Exchange Server 2003 auf das Exchange Server 5.5-Standortdienstkonto zugreifen müssen, das in der Windows NT-Domäne vorhanden ist. Die zweite einseitige Vertrauensstellung (von Windows NT zu Active Directory) ist notwendig, um die entsprechenden Rechte für Exchange Server 2003 (das beim Installieren an einem Exchange Server 5.5-Standort angegebene Konto) bereitzustellen, die für Lese- und Schreibvorgänge in den Namenskontexten der Exchange Server 5.5-Organisation, des -Standorts und der -Konfiguration benötigt werden.

Wie können Berechtigungen an andere Administratoren delegiert werden, damit diese verschiedene Exchange Server 2003-Dienste verwalten können?

Delegieren Sie Berechtigungen mit dem Assistenten für die Zuweisung von Verwaltungsberechtigungen auf Exchange-Objekte an andere Benutzer. Dieser Assistent ist ein Teil der Exchange-System-Manager-Konsole.

Sie müssen als Benutzer mit der Funktion „Exchange-Administrator – Vollständig“ bei der Organisation angemeldet sein, um den Assistenten für die Zuweisung von Verwaltungsberechtigungen auf Exchange-Objekte zu verwenden. Aus diesem Grund sowie aus leistungsbezogenen Gründen wird empfohlen, die Steuerung an Gruppenobjekte zu delegieren und nicht direkt an Benutzer. Beispielsweise können Sie eine Active Directory-Gruppe mit dem Namen „Exchange-Administratoren in Seattle“ erstellen. Mit dem Assistenten für die Zuweisung von Verwaltungsberechtigungen auf Exchange-Objekte können Sie Mitgliedern dieser Gruppe die Verwaltung der Verwaltungsgruppe „Seattle“ gestatten. Ein Domänenadministrator oder eine Person mit einer gleichwertigen Funktion kann die Mitgliedschaft des Gruppenobjekts ändern, sodass die entsprechenden Administratorkonten enthalten sind.

Gibt es beim Verschieben der Exchange-Computerkonten in eine andere Organisationseinheit in Active Directory eine Auswirkung auf die Exchange-Berechtigungen und die Delegierung?

Nein, mit dem Assistenten für die Zuweisung von Verwaltungsberechtigungen auf Exchange-Objekte werden Berechtigungen im Konfigurationsnamenskontext von Active Directory zugewiesen, nicht im Domänennamenskontext (in dem sich die Computerkonten befinden). Die Systemaufsicht auf dem Exchange-Server muss jedoch nach dem Verschieben des Computerkonto-Objekts neu gestartet werden. Weitere Informationen über die Gründe für den Neustart des Exchange-Servers finden Sie im Microsoft Knowledge Base-Artikel 271335, „XADM: Systemaufsicht generiert Event ID 9186 und Exchange 2000 und Exchange 2003 Event ID 9187

Worin besteht der Unterschied zwischen den Funktionen „Exchange-Administrator – Vollständig“ und „Exchange-Administrator“?

Ein vollständiger Exchange-Administrator kann alle Exchange-Objekte im Konfigurationsnamenskontext bearbeiten. Darüber hinaus verfügen vollständige Administratoren über die Berechtigungen zum Ändern der Einstellungen für die folgenden Objekte auf der Registerkarte Sicherheit:

  • Exchange-Datenbanken
  • Hierarchien Öffentlicher Ordner für MAPI und Anwendungen
  • Adresslisten

Ein Exchange-Administrator kann jedes Exchange-Objekt bearbeiten, verfügt jedoch nicht über die Möglichkeit zum Delegieren von Berechtigungen oder zum Ändern der Einstellungen auf der Registerkarte Sicherheit für die zuvor aufgeführten Exchange-Objekte. Ein Exchange-Administrator kann jedoch die Berechtigungen (Registerkarte Sicherheit) für Öffentliche Ordner ändern.

Werden Berechtigungen einer Gruppe oder eines Benutzers auf Exchange-Organisationsebene automatisch an alle untergeordneten administrativen Gruppen weitergegeben?

Ja, im Gegensatz zu Exchange Server 5.5 werden bei Exchange Server 2003 die Berechtigungen vererbt.

Welche Berechtigungen sind zum Installieren weiterer Server, auf denen Exchange Server 2003 ausgeführt wird, in der Organisation erforderlich?

Unter Exchange 2000 Server müssen Administratoren über die administrative Funktion „Exchange-Administrator – Vollständig“ auf Organisationsebene verfügen, um Exchange 2000 Server zu installieren oder zu entfernen, Server zu aktualisieren oder auf Servern eine Wiederherstellung nach Datenverlust durchzuführen. Diese Anforderung wurde bei Exchange Server 2003 geändert, damit Administratoren, denen die administrative Funktion „Exchange-Administrator – Vollständig“ auf der Ebene der administrativen Gruppe zugewiesen wurde, Exchange 2003 Server installieren oder entfernen, Server aktualisieren sowie auf Servern eine Wiederherstellung nach Datenverlust durchführen können.

Beim Installieren von Exchange Server 2003 auf Servern als Administrator, der über die Berechtigung „Exchange-Administrator - Vollständig“ nur auf der Ebene administrativer Gruppen verfügt, sind folgende Punkte zu berücksichtigen:

  • Ein Domänenadministrator muss das Computerkonto des Servers manuell der Gruppe „Exchange Domain Servers“ hinzufügen.
  • Ein Administrator, der auf Organisationsebene über die Berechtigung „Exchange-Administrator - Vollständig“ verfügt, muss die erste Installation von Exchange Server 2003 auf einem Computer innerhalb der Organisation durchführen.
  • Ein Administrator, der auf Organisationsebene über die Berechtigung „Exchange-Administrator - Vollständig“ verfügt, muss die erste Installation von Exchange Server 2003 in einer Active Directory-Domäne durchführen.
  • Ein Administrator, der auf Organisationsebene über die Berechtigung „Exchange-Administrator - Vollständig“ verfügt, muss die erste Installation von Exchange Server 2003 auf einem Computer innerhalb einer administrativen Gruppe durchführen.
  • Nur ein Administrator mit den Berechtigungen „Exchange-Administrator - Vollständig“ auf Organisationsebene kann Computer mit Exchange 2000 Server aktualisieren, die als Bridgeheadserver für Verzeichnisreplikationsconnectors an Exchange Server 2003 konfiguriert sind.
  • Nur ein Administrator mit der Berechtigung „Exchange-Administrator - Vollständig“ auf Organisationsebene kann Exchange Server 2003 auf Servern installieren oder von diesen entfernen, auf denen Standortreplikationsdienste (SRS) installiert sind.

Wenn Sie über die Berechtigung „Exchange-Administrator - Vollständig“ in der administrativen Gruppe verfügen und Exchange Server 2003-Setup auf einem Server ausführen, der sich nicht in einem Cluster befindet, werden nur die administrativen Gruppen angezeigt, für die Sie über Zugriffsberechtigungen verfügen. In einem Clusterserver werden beim Exchange Server 2003-Setup jedoch alle administrativen Gruppen angezeigt. Wenn Sie eine administrative Gruppe auswählen, für die Sie nicht über Zugriffsberechtigungen verfügen, erhalten Sie die Meldung „Zugriff verweigert“.

Wenn Sie weitere Server in einer gemischten Umgebung mit Exchange 2000 Server oder Exchange Server 2003 und Exchange Server 5.5 installieren, ist eine beiderseitige Vertrauensstellung zwischen der Domäne, in der Sie Exchange 2000 Server oder Exchange Server 2003 installieren, und der Domäne, in der sich der Server mit Exchange Server 5.5 befindet, erforderlich.

Welche Berechtigungen sind zum Installieren von Exchange Server 2003 in einer Clusterkonfiguration erforderlich?

Ein Exchange 2000 Server-Clusteradministrator kann einen virtuellen Exchange-Server nur erstellen, löschen oder ändern, wenn das Konto des Clusteradministrators und das Clusterdienstkonto über die folgenden Berechtigungen verfügen:

  • Wenn es sich beim virtuellen Exchange-Server um den ersten virtuellen Exchange-Server in der Exchange-Organisation handelt, müssen das Konto des Clusteradministrators und das Clusterdienstkonto jeweils Mitglied einer Gruppe sein, die über die Funktion „Exchange-Administrator – Vollständig“ auf Organisationsebene verfügt.
  • Wenn es sich beim virtuellen Exchange-Server nicht um den ersten virtuellen Exchange-Server in der Exchange-Organisation handelt, müssen das Konto des Clusteradministrators und das Clusterdienstkonto jeweils Mitglied einer Gruppe sein, die über die Funktion „Exchange-Administrator – Vollständig“ auf der Ebene der administrativen Gruppe verfügt.

Das Berechtigungsmodell wurde in Exchange Server 2003 geändert. Für das Clusterdienstkonto von Windows sind keine Exchange-spezifischen Berechtigungen mehr erforderlich. Insbesondere muss dem Clusterdienstkonto von Windows nicht mehr die Funktion „Exchange-Administrator – Vollständig“ zugewiesen sein, weder auf Ebene der Exchange-Organisation noch auf Ebene der administrativen Gruppe. Die Standardberechtigungen in der Gesamtstruktur sind für die Funktion in Exchange Server 2003 ausreichend.

Der Clusteradministrator muss wie in Exchange 2000 Server über die folgenden Berechtigungen verfügen:

  • Wenn es sich beim virtuellen Exchange-Server um den ersten virtuellen Exchange-Server in der Exchange-Organisation handelt, muss der Clusteradministrator Mitglied einer Gruppe sein, die über die Funktion „Exchange-Administrator – Vollständig“ auf Organisationsebene verfügt.
  • Wenn es sich beim virtuellen Exchange-Server nicht um den ersten virtuellen Exchange-Server in der Organisation handelt, müssen Sie ein Konto verwenden, das Mitglied einer Gruppe ist, die über die Funktion „Exchange-Administrator – Vollständig“ auf der Ebene der administrativen Gruppe verfügt.

Abhängig vom Modus, in dem die Exchange-Organisation ausgeführt wird (einheitlicher oder gemischter Modus) und abhängig von der Topologiekonfiguration müssen die Clusteradministratoren jedoch über die folgenden zusätzlichen Berechtigungen verfügen:

  • Wenn die Exchange-Organisation im einheitlichen Modus betrieben wird und sich der virtuelle Exchange-Server in einer Routinggruppe befindet, die sich über mehrere administrative Gruppen erstreckt, muss der Clusteradministrator Mitglied einer Gruppe sein, der die Funktion „Exchange-Administrator – Vollständig“ auf allen administrativen Gruppenebenen zugewiesen ist, über die sich die Routinggruppe erstreckt. Wenn sich der virtuelle Exchange-Server beispielsweise in einer Routinggruppe befindet, die sich über die erste und zweite administrative Gruppe erstreckt, muss der Clusteradministrator ein Konto verwenden, das Mitglied einer Gruppe ist, der die Funktion „Exchange-Administrator – Vollständig“ für die erste administrative Gruppe zugewiesen ist, und das ebenfalls Mitglied einer Gruppe ist, der die Funktion „Exchange-Administrator – Vollständig“ für die zweite administrative Gruppe zugewiesen ist.

    noteAnmerkung:
    Routinggruppen von Exchange-Organisationen, die im einheitlichen Modus ausgeführt werden, können sich über mehrere administrative Gruppen erstrecken. Routinggruppen von Exchange-Organisationen, die im gemischten Modus ausgeführt werden, können sich nicht über mehrere administrative Gruppen erstrecken.
  • In Topologien wie übergeordneten/untergeordneten Domänen, in denen der Clusterserver der erste Exchange-Server der untergeordneten Domäne ist, muss der Clusteradministrator ein Mitglied der Gruppe sein, der mindestens die Funktion eines Exchange-Administrators auf Organisationsebene zugewiesen ist, um den für den Empfängeraktualisierungsdienst in der untergeordneten Domäne zuständigen Server festzulegen.

Welche Berechtigungen sind zum Installieren von Service Packs für Exchange Server 2003 erforderlich?

Die Service Packs für Exchange müssen nach Exchange Server 2003 installiert werden. Es gibt kein integriertes Setup für Exchange, das die Service Packs mit einschließt. Zum Anwenden von Service Packs müssen die folgenden Berechtigungen vorhanden sein:

  • Funktion eines Exchange-Administrators in der administrativen Gruppe, die den Exchange Server 2003-Server enthält
  • Mitglied der lokalen Administratorgruppe auf dem Exchange Server 2003-Zielserver

Wichtig

Beginnend mit Exchange Server 2003 Service Pack 2 (SP2) benötigen Sie in der Organisation die Funktion „Exchange-Administrator“, um den ersten Server auf das neueste Service Pack aktualisieren zu können. Dies ist nötig, damit Setup den Container „Inhaltsfilter für Junk-E-Mail“ im Exchange-Organisationscontainer in der Konfigurationspartition erstellen kann. Nachdem der erste Server aktualisiert und dieser Container erstellt wurde, benötigen Sie die Funktion „Exchange-Administrator“ nur noch in der administrativen Zielgruppe, um weitere Server zu aktualisieren.

Es wird eine Messaginganwendung eines Drittanbieters ausgeführt, für die vollständiger Zugriff auf das Postfach jedes Benutzers erforderlich ist. Unter Exchange Server 5.5 erhält ein besonderes Konto die Berechtigung „Administrator des Dienstkontos“, das für die Anwendung verwendet wird. Wie ist eine ähnliche Funktionalität unter Exchange Server 2003 zu erreichen?

Exchange Server 2003 verfügt über eine andere Sicherheitsarchitektur als Exchange Server 5.5. Bei Exchange Server 2003 wird tatsächlich kein Standortdienstkonto verwendet. Stattdessen starten alle Dienste als lokales Computerkonto.

Die empfohlenen Verfahren zum Erreichen des gewünschten Effekts werden in den folgenden Microsoft Knowledge Base-Artikeln beschrieben:

noteAnmerkung:
Wenn Sie Exchange 2000 Server ausführen und der Zugriff auf Exchange-Postfächer mit dem Skript EDSLock gesichert wurde, erhalten Mitglieder der Gruppe „Exchange Domain Servers“ keine Berechtigung zum Öffnen von Postfächern auf Exchange-Remoteservern.

Wieso können Domänenadministratoren Konten von postfachaktivierten Benutzern in deren Domäne fälschen?

Active Directory enthält eine Basismenge von Berechtigungen, die auf Objekte im Verzeichnis angewendet werden können. Insbesondere enthält Active Directory die erweiterte Berechtigung „Senden als“. In der Standardeinstellung verfügen die Administratorengruppe, die Gruppe „Domänen-Admins“, die Gruppe „Organisations-Admins“ und die Gruppe „Konten-Operatoren“ über die „Senden als“-Berechtigungen für alle Benutzer. Die Berechtigungen der Administratorengruppe und der Gruppe „Organisations-Admins“ werden von der Domänenebene vererbt. Die Gruppe „Konten-Operatoren“ und die Gruppe „Domänen-Admins“ erhalten explizite Berechtigungen, die auf der Definition des Benutzerobjekts beruhen, das sich im Active Directory-Schema befindet.

Sie können auch einen Zugriffssteuerungseintrag („Deny ACE“) zum Verweigern von „Senden als“ für Administratoren für Benutzerobjekte innerhalb der Domäne implementieren. Bei der Entscheidung, einen Zugriffssteuerungseintrag zum Verweigern von „Senden als“ für Administratoren für Benutzerobjekte innerhalb der Domäne zu implementieren, sollten Sie Folgendes beachten:

  • Ein expliziter Steuerungseintrag für das Zulassen des Zugriffs überschreibt einen vererbten Zugriffsverweigerungs-Steuerungseintrag (mit anderen Worten: explizite Steuerungseinträge werden vor den vererbten Steuerungseinträgen angewendet).
  • Mitglieder der Gruppe „Domänen-Admins“ sind in der Lage, den Zugriffssteuerungseintrag zum Verweigern zu entfernen und/oder einen expliziten Zugriffssteuerungseintrag zum Zulassen hinzuzufügen.
  • Das Hinzufügen eines Zugriffsverweigerungs-Steuerungseintrags hat möglicherweise weitere Folgen für die Umgebung. Weitere Informationen finden Sie unter Ebenen für die Anwendung von Berechtigungen.

Wenn das Implementieren eines Zugriffssteuerungseintrags zum Verweigern von „Senden als“ für Administratoren für Benutzerobjekte innerhalb der Domäne ein Risiko für die Messagingumgebung darstellt, sollten Sie eine oder mehrere der folgenden Empfehlungen implementieren:

  • Begrenzen Sie die Anzahl von Domänenadministratoren in der Domäne durch Delegieren bestimmter Aufgaben. Weitere Informationen finden Sie unter „Best Practices for Delegating Active Directory Administration“ in https://go.microsoft.com/fwlink/?LinkId=31309.
  • Überwachen Sie mittels Auditing die Kontoanmeldungsereignisse für jene Konten, die Mitglieder der Gruppe „Domänen-Admins“ sind.

Warum besitzen Mitglieder der Gruppe „Organisations-Admins“ und der Stammgruppe „Domänen-Admins“ vollständigen Zugriff in der Exchange-Organisation?

In Exchange 2000 Server und späteren Versionen werden Daten über die Exchange-Organisation nicht in einem getrennten Verzeichnis gespeichert. Exchange speichert die Organisation betreffende Daten in Active Directory im Konfigurationsnamenskontext. Die Gesamtstrukturadministratoren (Mitglieder der Gruppe „Organisations-Admins“ oder der Stammgruppe „Domänen-Admins“) steuern alle Aspekte des Verzeichnisses und besitzen im Grunde die im Verzeichnis gespeicherten Daten. Administratoren der Gesamtstruktur müssen das Verzeichnis steuern, weil eine einzige Konfigurationsänderung sich nachteilig auf die ganze Gesamtstruktur auswirken könnte. Der Konfigurationsnamenskontext und, durch Vererbung, die im Konfigurationsnamenskontext gespeicherte Exchange-Organisation, verfügen über folgende Berechtigungen:

  • Organisations-Admins – Vollzugriff
  • Stamm-Domänen-Admins – Berechtigungen zum Lesen, Schreiben, zum Erstellen aller untergeordneten Objekte und spezielle Berechtigungen

Neben den vererbten Berechtigungen fügt Exchange Setup einen Steuerungseintrag zum Verweigern von „Senden als“ und „Empfangen als“ für die Gruppe „Organisations-Admins“ und die Stammgruppe „Domänen-Admins“ hinzu. Damit werden diese Administratoren daran gehindert, auf Postfächer innerhalb der Gesamtstruktur zuzugreifen und deren Adressen zu fälschen. Weitere Informationen finden Sie unter „Beim Exchange-Setup gewährte Berechtigungen“.

Die Vererbung vom Knoten der Exchange-Organisation innerhalb des Konfigurationsnamenskontexts kann nicht entfernt werden. Wenn die Messagingadministratoren den Gesamtstrukturadministratoren nicht vertrauen, sollte das Messagingteam in Betracht ziehen, Exchange innerhalb seiner eigenen Gesamtstruktur zu isolieren. Weitere Informationen zu den Bereitstellungsoptionen finden Sie im Bereitstellungshandbuch für Exchange Server 2003 (https://go.microsoft.com/fwlink/?LinkId=47569).

Wenn die Exchange-Organisation nicht in einer separaten Gesamtstruktur untergebracht werden kann, empfiehlt es sich, eine oder mehrere der folgenden Aufgaben auszuführen:

  • Begrenzen Sie die Anzahl von Organisationsadministratoren und Domänenadministratoren in der Stammdomäne durch Delegieren bestimmter Aufgaben. Weitere Informationen finden Sie unter „Best Practices for Delegating Active Directory Administration“ in https://go.microsoft.com/fwlink/?LinkId=31309.
  • Überwachen Sie mittels Auditing die Kontoanmeldungsereignisse für jene Konten, die Mitglieder aller privilegierten Gruppen sind, einschließlich der Gruppe „Organisations-Admins“ und der Stammgruppe „Domänen-Admins“.
  • Überwachen Sie die Änderungen, die im Bereich CN=<Exchange Org>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Stammdomäne> des Verzeichnisses erfolgen.

Warum gibt es ein besonderes Dienstkonto in Exchange Server 5.5, wenn Exchange Server 2003-Dienste als „LocalSystem“ (integriertes Computerkonto) gestartet werden können?

Bei Exchange Server 5.5 war aufgrund einer Einschränkung unter Windows NT Server 4.0 ein besonderes Anmeldekonto für die Dienste erforderlich. Obwohl lokale Computerkonten in Windows NT 4.0 über Tokens verfügten, wiesen sie keine Anmeldeinformationen auf. Deshalb konnte sich ein Computerkonto nicht bei einem anderen Computerkonto authentifizieren. Unter Windows 2000 und Windows Server 2003 wird Kerberos-Authentifizierung verwendet, und Computerkonten verfügen über Tokens und Anmeldeinformationen.

Die Verwendung des lokalen Computerkontos ist aus den folgenden Gründen sicherer als ein vom Administrator angegebenes Konto:

  • Das Kennwort des lokalen Computers ist eine zufällige hexadezimale Zahl anstelle einer verständlichen Zeichenfolge.
  • Das Kennwort des lokalen Computerkontos wird automatisch alle sieben Tage geändert.
  • Das Exchange Server 5.5-Dienstkonto muss aus Sperrrichtlinien ausgeschlossen werden, da Bruteforce-Anmeldeversuche zu einer Deaktivierung des Kontos und dem Herunterfahren der Exchange-Dienste führen könnten.

Das Computerkonto des Exchange Server 2003-Servers wurde versehentlich aus Active Directory gelöscht. Funktionieren die Exchange Server 2003-Dienste nach einer erneuten Erstellung noch ordnungsgemäß?

Wenn Sie das Computerkonto lediglich neu hinzufügen, werden die Exchange-Dienste gestartet. Im Ereignisprotokoll können jedoch einige Probleme wie DSAccess-Fehler auftreten. Dem Computerkonto werden beim Exchange Server 2003-Setup verschiedene Berechtigungen in Active Directory zugewiesen. Deshalb führen Sie das Exchange Server 2003-Setup nochmals aus, und wählen Sie die Option „Neu installieren“ aus. Ihrem neuen Computerkonto werden die korrekten Berechtigungen erteilt.

Sie können dem Computerkonto die entsprechenden Berechtigungen auch mit ADSI-Bearbeitung zuweisen, wie im Microsoft Knowledge Base-Artikel 297295, „Das Computerkonto für Exchange Server ist nicht vorhanden“ beschrieben.

Nach dem erneuten Erstellen des Computerkontos können Sie die erforderlichen Berechtigungen für das neue Konto festlegen. Informationen zum Zuweisen der geeigneten Berechtigungen zu dem Exchange-Computerkonto finden Sie unter „Gewähren von Berechtigungen für den Vollzugriff auf das Exchange-Computerkonto mithilfe der ADSI-Bearbeitung“.