Toon posts:

[Exchange 2003] Exchange Domain Servers groep

Pagina: 1
Acties:

donderdag 23 juni 2005 19:03

Acties:

Verwijderd

Topicstarter
Hoi allemaal,

Vanwege een migratie naar Exchange 2003 ES ben ik op zoek naar een antwoord op de volgende vraag:

In Exchange 2000 kun je een user in de Exchange Domain Servers groep steken en deze heeft dan (God) rechten op alle mailboxen. Is dit ook mogelijk met Exchange 2003?

Users in de groepen Domain/Enterprise Admins, Exchange (Enterpise) admins en Exchange read only admins hebben nu een deny om iemands anders zijn mailbox te lezen. Dit is overal beschreven binnen de documentatie van Microsoft.

Via google vind je deze info nl alleen voor Exchange 2000 en niet voor Exchange 2003.

Wat ik hier al getest heb bevestigd mijn conclusie dat dit volgens mij niet meer kan, maar ik zou dit graag beschreven zien staan. Hebben jullie hier over meer info?

donderdag 23 juni 2005 19:14

Acties:
  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 11:42

Rolfie

Ik zal zeggen verdiep je eens in de rechten structuren van exchange.
Er is hierover voldoente te vinden op google en microsoft.

donderdag 23 juni 2005 21:21

Acties:

Verwijderd

Move PNS > SA

vrijdag 24 juni 2005 00:39

Acties:
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Verwijderd schreef op donderdag 23 juni 2005 @ 19:03:
...In Exchange 2000 kun je een user in de Exchange Domain Servers groep steken en deze heeft dan (God) rechten op alle mailboxen...
Dat zou niet zo mogen werken omdat een deny altijd voorrang heeft op een grant access.
Maar 't zou een bug kunnen zijn die in Exchange 2003 terecht is gefixed.
'k Ben overigens wel benieuwd naar de business reden om een account te creëren met rechten op alle mailboxen. Vindt de directeur het leuk dat jij z'n mail kan lezen?

edit:
.
Uit Working with Active Directory Permissions in Exchange Server
What happens if I add my own user account to the 'Exchange Enterprise Servers' group?

If at least one computer running Exchange 2000 Server had been installed in the same domain, you would have significant permissions over the organization and all mailboxes. Indeed, with Exchange 2000 Server, it is possible to use your account to logon to any mailbox in the organization. Interestingly, if your account is also a Domain Admin or Enterprise Admin, you will be denied access (by default) to other users mailboxes, as an explicit deny access control entry is placed on each Exchange database for users in these groups.

If your domain had simply been prepared (through DomainPrep) and a server running Exchange 2000 Server had not been installed in the domain, you would not acquire permissions to open other users mailboxes, and you would not gain any permissions to the Exchange organization.

Regardless, the Exchange services will automatically remove your account from the 'Exchange Enterprise Servers' group on next restart.
Is dus inderdaad gefixed in 2003

[ Voor 54% gewijzigd door Brahiewahiewa op 24-06-2005 00:47 ]

QnJhaGlld2FoaWV3YQ==

vrijdag 24 juni 2005 11:50

Acties:

Verwijderd

Topicstarter
De reden waarom we dit willen is omdat we hier Blackberry hebben. Blackberry werkt met een account welke GOD rechten nodig heeft op alle mailboxen. Dus het is niet voor te gaan neuzen, maar omdat dit nu eenmaal nodig is voor de functionaliteit.

Vandaag de dag heeft die Blackberry server dus een account met rechten op alle mailboxen via die Exchange Domain Servers groep.

Als het klopt dat dit niet meer werkt in Exchange 2003 dan zou het wel eens kunnen zijn dat al onze users niet meer kunnen blackberryen op het moment dat we een /domainprep doen. Ik wil dit dan ook zeker weten maar vind alleen Exchange 2000 informatie en geen Exchange 2003.

Weet iemand of dit klopt?

aub geen recties met weet je directeur hiervan, want als zijn Blackberry het niet meer doet dan zal hij nog veel sneller bij mijn bureau staan !

vrijdag 24 juni 2005 11:55

Acties:
  • Angelfire
  • Registratie: September 2000
  • Laatst online: 04:44

Angelfire

AKA AZwaanR or RZA

Is het geen idee om een nieuwe groep te maken, en deze vervolgens de correcte (in jouw geval GOD) rechten op je exchange organisatie te geven. In deze groep plaats je dan het betreffende account voor blackberry. Dit heeft mijn persoonlijke voorkeur, ipv systemgroups/objects te werken, die andere doelen (kunnen) hebben, want een fix kan een stukje functionaliteit van zo'n systemgroup/object weghalen.

I play my enemies like a game of chess...

vrijdag 24 juni 2005 13:30

Acties:

Verwijderd

Gewoon dat account send en receive as rechten geven toch?
http://www.blackberry.com...ml?nodeid=737059&vernum=0

vrijdag 24 juni 2005 14:03

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op vrijdag 24 juni 2005 @ 13:30:
Gewoon dat account send en receive as rechten geven toch?
http://www.blackberry.com...ml?nodeid=737059&vernum=0
Eh.... create an additional mailbox store for all blackberry users.. oke dat willen we natuurlijk niet. Maar oke een extra groep maken en die de benodige rechten geven zouden we kunnen doen. Angelfire je hebt wel zeer terecht de opmerking gegeven dat een fix een stukkie functionaliteit weg kan halen. Goed punt daar.

Maar dat geeft niet het antwoord op de initieale vraag. Is er qua security iets verandert op die groep: Exchange Domain Servers. Is het zo dat als je een user in die groep steekt je automatisch GOD rechten krijgt of gaat dit alleen op in Exchange 2000 en niet meer in 2003? Helaas vind ik daar dus geen officieel antwoord van.

[ Voor 7% gewijzigd door Verwijderd op 24-06-2005 14:05 . Reden: toevoeging ]

vrijdag 24 juni 2005 14:06

Acties:

Verwijderd

Verwijderd schreef op vrijdag 24 juni 2005 @ 14:03:
[...]


Eh.... create an additional mailbox store for all blackberry users.. oke dat willen we natuurlijk niet. Maar oke een extra groep maken en die de benodige rechten geven zouden we kunnen doen.

Maar dat geeft niet het antwoord op de initieale vraag. Is er qua security iets verandert op die groep: Exchange Domain Servers. Is het zo dat als je een user in die groep steekt je automatisch GOD rechten krijgt of gaat dit alleen op in Exchange 2000 en niet meer in 2003? Helaas vind ik daar dus geen officieel antwoord van.
Maar in dat artikel staat toch ook welke rechten dat Blackberry account moet hebben? Als je die rechten geeft aan dat blackberry account moet het mijns insziens gewoon werken en heb je GOD rechten. En de initiele vraag is hierboven door Brahiewahiewa al beantwoordt. Dat kan dus niet meer in 2003.

En verder staat hier ook nog meer informatie:
http://www.petri.co.il/gr...on_exchange_2000_2003.htm

[ Voor 7% gewijzigd door Verwijderd op 24-06-2005 14:09 ]

vrijdag 24 juni 2005 18:50

Acties:
  • garak
  • Registratie: Februari 2000
  • Laatst online: 05-05-2025

garak

Echt lastig is het niet, Als je je group / account Full rechten wilt geven rechten geeft op de store gaan deze rechten VOOR de deny rechten, dit omdat toegewezen rechten voor overgenomen rechten gaan. Een deny gaat dus niet altijd voor een allow. In jouw geval moet je dus de group waarin de blackberry users zitten die rechten geven.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq