Exchange: ServiceDesk Berechtigungsgruppe erstellen

Wie bereits im vorherigen Exchange Artikel angesprochen, möchten wir heute eine eigene Berechtigungsgruppe anlegen, mit der beispielsweise Service Desk Mitarbeiter unter anderem in der Lage sind, Passwörter von Userpostfächer zurückzusetzen. Damit lassen sich bestimmte Aufgaben auf einen ausgewählten Personenkreis auslagern, ohne Administratorenrechte zu vergeben. Des Weiteren grenzen wir die Berechtigungen auf die Benutzer-Organisationseinheit ein, um vor Missbrauch zu schützen.

Inhaltsverzeichnis

1. Grundlagen & Theorie
   1. Rollen
   2. Schreibbereich
2. Praxis: Powershell
3. Praxis: Exchange Control Panel
4. Zusammenfassung

Grundlagen

Rollen

Eine sogenannte RoleGroup besteht aus einzelnen Rollen, welche wiederum bestimme Berechtigungen für die jeweilige Gruppe freischaltet. Mitglieder diese Gruppe bekommen dann auf die Berechtigungen zugreifen. Diese Grafik vom Microsoft Docs illustriert die Beziehung zwischen Rollen, Gruppen und Mitgliedern.

Beziehung zwischen Rollen, Gruppen und Mitgliedern

In diesem Artikel möchte ich eine RoleGroup namens „Service Desk“ mit den folgenden Rollen erstellen:

• Mail Recipients: Diese Rolle ermöglicht Administratoren das Verwalten vorhandener Postfächer, E-Mail-Benutzer und E-Mail-Kontakte in einer Organisation.
• Message Tracking: Diese Rolle ermöglicht Administratoren das Verfolgen von Nachrichten in einer Organisation.
• Reset Password: Diese Rolle ermöglicht es Benutzern, Ihre eigenen Kennwörter zurückzusetzen, und Administratoren, die Benutzerkennwörter in einer Organisation zurückzusetzen. Um die Rolle „Reset Password“ zuweisen zu können, muss diese zuerst installiert werden. Dazu schaue dir bitte den folgenden Artikel zuerst an: Exchange: ECP Usermailbox Passwort ändern
• User Options: Diese Rolle ermöglicht Administratoren die Anzeige der Outlook Web App-Optionen eines Benutzers in einer Organisation.

Die oben genannten Rollen sind nur Vorschläge und sollte auf den jeweiligen Bedarf angepasst werden. In meinem Fall können die Mitglieder anschließend bereits vorhandene Benutzerpostfächer weitestgehend bearbeiten und den E-Mail Log anschauen. Das sind meiner Meinung nach die wichtigsten Permissions, welche ein Service Desk Mitarbeiter benötigt.

Schreibbereich

Der Schreibbereich oder auf englisch Write Scope ist ein wichtiges Werkzeug, damit RoleGroups ausschließlich auf bestimmte Organisationseinheiten zugreifen dürfen. Um das zu verdeutlichen, ein kleines Beispiel: Wir vergeben der „Service Desk“ Gruppe die Berechtigung, Passwörter zurückzusetzen. Würden wir den Schreibbereich nicht einschränken, wäre somit ein Mitarbeiter in dieser Gruppe in der Lage, das Administratorpasswort zurückzusetzen und hätte somit den vollen Zugriff auf den Exchange und das gesamte Active Directory. Das wäre natürlich fatal. Aus diesem Grund ist es essentiell, die Berechtigungen auf bestimmte OUs einzuschränken. Man sollte hierbei nur beachten, dass alle Accounts mit höheren Privilegien, sich außerhalb der „Benutzer-OUs“ befinden. Ansonsten macht das Eingrenzen auf einen Schreibbereich keinen Sinn.

Somit wären die wichtigsten Punkte in der Theorie geklärt und wir können auf den nächsten Seiten mit der Umsetzung beginnen.