Überprüfung der Berechtigungen des BESADMIN Users in MS Exchange und Active Directory Inhalt 1. Logon as a service(als Dienst anmelden)... 2 2. Rechte in MS Exchange... 5 2.1 MS Exchange 2003... 5 2.2 MS Exchange 2007... 8 2.3 MS Exchange 2010... 8 3. Rechte im Active Directory... 9 Gruppenzugehörigkeit des BESADMIN User... 9 Send As(Senden als) Berechtigung... 9 Admin SD Holder... 13 A1 BlackBerry Support Stand: 01/2010 - Seite 1 von 14
Sie müssen mit dem speziellen Account am BES eingeloggt sein, unter dem auch der BES installiert wurde. Dieser User heißt z.b. besadmin Der BESADMIN User muss eine Mailbox in MS Exchange haben und benötigt einige Rechte in MS Exchange und im Active Directory. 1. Logon as a service(als Dienst anmelden) Der BESADMIN User benötigt das Recht Logon as a service/als Dienst anmelden. Zur Kontrolle auf Start > Control Panel > Administrative Tool > Local Security Policy A > User right assignement (Start > Systemsteuerrung > Verwaltung > Lokale Sicherheitsrichtlinien > zuweisen von Benutzerrechten) Hier rechts den Eintrag Logon as a service(als Dienst anmelden) anklicken: A1 BlackBerry Support Stand: 01/2010 - Seite 2 von 14
A1 BlackBerry Support Stand: 01/2010 - Seite 3 von 14
Der BESADMIN User muss in der Liste stehen. Falls nicht, hinzufügen: A1 BlackBerry Support Stand: 01/2010 - Seite 4 von 14
2. Rechte in MS Exchange 2.1 MS Exchange 2003 Der BESADMIN User muss auf Exchange Ebene View Only Administrator(Administrator, nur Ansicht) sein. Unter Start Programme den Exchange System Manager öffnen. Rechtsklick auf die oberste MS Exchange Ebene und auf Delegate Control/(Objektverwaltung) zuweisen: Dort muss der BESADMIN als View Only Admin(Administrator, nur Ansicht) eingetragen sein: A1 BlackBerry Support Stand: 01/2010 - Seite 5 von 14
Auf Serverebene benötigt er die Rechte Send As(Senden als), Receive As(Empfangen als) und Administer Information Store Sollten mehrere MS Exchange Server im Einsatz sein, müssen diese Rechte auf jedem Server vergeben sein! Zur Kontrolle unter Servers Rechtsklick auf den entsprechenden Server und auf Properties(Eigenschaften): A1 BlackBerry Support Stand: 01/2010 - Seite 6 von 14
Unter der Registerkarte Security(Sicherheit) dem BESADMIN User die 3 Rechte zuweisen: A1 BlackBerry Support Stand: 01/2010 - Seite 7 von 14
2.2 MS Exchange 2007 1. Öffnen Sie auf einem Computer, der die Microsoft Exchange-Verwaltungsshell hostet, die Microsoft Exchange-Verwaltungsshell. 2. Führen Sie eine der folgenden Aktionen aus: Wenn Sie sich bei einem Microsoft Exchange 2007-Server angemeldet haben, geben Sie Folgendes ein: addexchangeadministrator "BESAdmin" role ViewOnlyAdmin. Wenn Sie sich bei einem anderen Computer angemeldet haben, geben Sie Folgendes ein: get-mailboxserver "<Name_des_Nachrichtenservers>" add-exchangeadministrator "BESAdmin" role ViewOnlyAdmin. 3. Geben Sie für jeden Microsoft Exchange 2007-Server, der BlackBerry -Gerätebenutzer hostet, den folgenden Befehl ein: get-mailboxserver "<Name_des_Nachrichtenservers>" add-adpermission user "BESAdmin" accessrights ExtendedRight extendedrights Send-As, Receive-As, ms-exch-store-admin. 2.3 MS Exchange 2010 1. Öffnen Sie auf einem Computer, der die Microsoft Exchange-Verwaltungsshell hostet, die Microsoft Exchange-Verwaltungsshell. 2. Geben Sie ein: Get-MailboxDatabase Add-ADPermission -User "BESAdmin" -AccessRights ExtendedRight - ExtendedRights Receive-As, ms-exch-store-admin. 3. Geben Sie ein: Add-RoleGroupMember "View-Only Organization Management" -Member "BESAdmin" 4. Geben Sie ein: Add-ADPermission -InheritedObjectType User -InheritanceType Descendents ExtendedRights Send-As -User "BESAdmin" -Identity "CN=Users,DC=<Domäne_1>,DC=<Domäne_2>,DC=<Domäne_3>" Wobei <Domäne_1>, <Domäne_2> und <Domäne_3> den Namen der Domäne bilden. Wenn der Domänenname zum Beispiel www.example.com lautet, geben Sie Folgendes ein: www für <Domäne_1>, example für <Domäne_2> und com für <Domäne_3>. Nach Abschluss erforderliche Aktion: Wenn Sie eine neue Mailbox-Datenbank für Microsoft Exchange erstellen, wiederholen Sie Schritt 2. A1 BlackBerry Support Stand: 01/2010 - Seite 8 von 14
3. Rechte im Active Directory Gruppenzugehörigkeit des BESADMIN User Der BESADMIN User darf nicht in der Gruppe der Domain Admins sein! Auch nicht in einer anderen Administrator Gruppe! Send As(Senden als) Berechtigung Beachten sie, dass User die in einer Administratorengruppe sind eine spezielle Berechtigung brauchen, diese finden sie unten bei Admin SD Holder. 1. Verwaltungskonsole "Active Directory-User and Computer(Benutzer und Computer)" starten. 2. Sicherstellen, dass im Menü View(Ansicht) die Option advanced features(erweiterte Funktionen) ausgewählt ist. Wenn diese Option nicht ausgewählt ist, ist die Registerkarte Security(Sicherheit) nicht für Domänen- und Containerobjekte sichtbar A1 BlackBerry Support Stand: 01/2010 - Seite 9 von 14
3. Öffnen der Eigenschaften der Domäne bzw. des Containers, und dann auf die Registerkarte Security(Sicherheit) 4. Auf die Schaltfläche Advanced(Erweitert) clicken. A1 BlackBerry Support Stand: 01/2010 - Seite 10 von 14
5. Wenn dieses Konto, dass die Berechtigung benötigt, nicht aufgeführt wird, auf Add(Hinzufügen) clicken, und das Konto auswählen. Andernfalls zur Bearbeitung auf das Konto doppelklicken. 6. In der Liste Apply onto(anwenden für) folgendes auswählen: User objects(benutzerobjekte) 7. Die Berechtigung Send As(senden als) setzen. A1 BlackBerry Support Stand: 01/2010 - Seite 11 von 14
8. Alle Änderungen mit OK bestätigen. Danach die Berechtigungen folgendermaßen überprüfen: 1. In der Verwaltungskonsole "Active Directory-user and computer(benutzer und Computer)" einen "normalen User" (nicht Administrator) mit der rechten Maustaste anklicken und Properties(Eigenschaften) wählen. 2. Auf der Registerkarte Security(Sicherheit) den BESADMIN User auswählen. 3. Überprüfen, ob die SendAs(senden als)-berechtigungen gesetzt sind. Anschließend überprüfen, ob die Rechte übernommen wurden. Wenn trotz dem Setzen der SendAs(senden als) Rechte das Versenden von Nachrichten bei einzelnen Usern nicht funktioniert, kann dies an nicht aktivierter Berechtigungsvererbung im Active Directory liegen. Dieses Phänomen tritt meist bei Windows Small Business Servern, oder nach Update eines Windows 2000 bzw. 2003 Servers auf und bei Usern, die sich in einer "Protected Storage Group" (z.b. Domain Admins) befinden, auf. Im Falle einer Protected Storage Group, ist die einfachste Lösung, den User aus dieser zu entfernen. Ob die Berechtigungsvererbung für einzelne User aktiviert ist, kann man wie folgt überprüfen: A1 BlackBerry Support Stand: 01/2010 - Seite 12 von 14
1. Starten der Verwaltungskonsole "Active Directoryuser and computer-(benutzer und Computer)". 2. Sicherstellen, dass im Menü View(Ansicht) die Option Advanced Options(Erweiterte Funktionen) ausgewählt ist. Wenn diese Option nicht ausgewählt ist, ist die Seite Security(Sicherheit) nicht für Domänen- und Containerobjekte sichtbar. 3. Unter Users(Benutzer) die Properties(Eigenschaften) des entsprechenden Users öffnen. 4. Registerkarte Security(Sicherheitseinstellungen) 5. Unten auf Button Advanced(Erweitert) klicken 6. Auf der Registerkarte Permissions(Berechtigungen) ist unten eine Checkbox mit "Allow inheritable permissions from the parent...(vererbbare übergeordnete Berechtigungen übernehmen)" Admin SD Holder (für Blackberry User die sich in Protected Groups befinden z.b. DomainAdmin) Auf Benutzer die Mitglieder in protected groups sind, hat die Rechtesetzung auf Domainebene keinen Einfluss da diese Benutzerobjekte ihre ACL von einem Objekt in der Domain-Partition erhalten (domain partition/system/adminsdholder). Dieses Objekt nennt sich AdminSDHolder die ACL dieses Objekts überschreibt ca. alle 60 Minuten die ACLs von Objekten in protected groups bzw. setzt sie zurück. Das Recht send as auf This Object only, also dem AdminSDHolder direkt, kann nur über die Commandline gesetzt werden. Das Recht wird dann in den erweiterten Berechtigungen als Special right This Object Only angezeigt. Hier der Befehl: dsacls "cn=adminsdholder,cn=system,dc=domain,dc=com /G "besadmin:ca;send As" Erklärung: Die roten/unterstrichenen Wörter müssen wie folgt abgeändert werden! domain: wird durch den Domainnamen ersetzt. Com: wird durch die Domainerweiterung ersetzt. (zb. com,at,de, ) Sobald der Account BESADMIN mit der Berechtigung Send As/senden als in der ACL des Accounts aufscheint sollte es dem BESADMIN User möglich sein Mails in ihrem Namen zu versenden. Eine genaue Beschreibung und weitere Lösungsvorschläge sind hier zu finden: Delegated permissions are not available and inheritance is automatically disabled Microsoft KB 817433 A1 BlackBerry Support Stand: 01/2010 - Seite 13 von 14
Nützliche KB Artikel zum Thema Rechte: User cannot send messages because the Send As permission has been revoked RIM KB 04707 Send As permission behavior change in Exchange 2003 Microsoft KB 895949 Users cannot send e-mail messages from a mobile device or from a shared mailbox in Exchange 2000 Server and in Exchange Server 2003 Microsoft KB 912918 The "Send As" right is removed from a user object after you configure the "Send As" right in the Active Directory Users and Computers snap-in in Exchange Server Microsoft KB 907434 Delegated permissions are not available and inheritance is automatically disabled Microsoft KB 817433 A1 BlackBerry Support Stand: 01/2010 - Seite 14 von 14