Administratorrollen und ihre Berechtigungen

Um die Verwaltung einer Exchange-Umgebung auf mehrere Schultern zu verteilen, ist es möglich, die Administration zu delegieren. Dabei lassen sich unterschiedliche Rollen mit verschiedenen Befugnissen verteilen.

Um die Verteilung der Aufgaben innerhalb einer IT-Umgebung einfach aufteilen zu können, bietet Windows eine Reihe vordefinierter Rollen beziehungsweise Konten und Gruppen an. Auch andere Serverprodukte folgen diesem Beispiel. Exchange Server besitzt vordefinierte Administratorrollen mit unterschiedlichen Befugnissen. Die Verwaltung von Exchange lässt sich auf diese einfach und mit abgestuften Berechtigungen verteilen.

Die Delegation erfolgt über den Exchange System-Manager. Durch Rechtsklick auf die Organisation kann im Kontextmenü der Assistent für die Zuweisung von Verwaltungsberechtigungen auf Exchange-Objekte über den Menüpunkt Objektverwaltung zuweisen gestartet werden. Hier kann einzelnen Anwendern und Gruppen eine der vordefinierten Rollen zugewiesen werden. Auch das Löschen und Ändern der Zuweisung ist über den Assistenten möglich.

Rollenstufen

Insgesamt sind in Exchange 2000 und 2003 drei Administratorrollen definiert:

  • Exchange-Administrator – Vollständig

  • Exchange-Administrator

  • Exchange-Administrator – Nur Ansicht

Allen Rollen ist gemeinsam, dass ihnen, auch wenn sie Vollzugriff auf ein Recht haben, das Recht Empfangen Als und Senden Als gegebenenfalls explizit entzogen wird. Auf diese Weise soll einem Missbrauch der Administratorposition vorgebeugt werden. Eine detaillierte Auflistung aller Rechte findet sich im Knowledge Base-Artikel 823018 für Exchange 2003 und 289811 für Exchange 2000.

Exchange-Administrator – Vollständig (Exchange Full Administrator) ist die Rolle mit den meisten Rechten in der Organisation. Ein Konto mit dieser Rolle wird bei der Erstinstallation automatisch angelegt. Er hat (fast) Vollzugriff auf Organisations-, Konfigurations-, Verbindungs-, Administrationsgruppen-, Offline-Adresslisten- und Benutzerobjekte. Der Rolle Exchange-Administrator fehlt die Möglichkeit, Berechtigungen auf Objekten zu ändern und den Besitz an Objekten zu übernehmen. Außerdem hat er keinen Zugriff auf das Objekt Gelöschte Objekte in Config NC.

Ein Konto mit der Rolle Exchange-Administrator – Nur Ansicht-Rolle (Exchange View Only Administrator) kann die Exchange Server-Konfigurationsdaten nur auflisten und einsehen. Zusätzlich ist dieser Rolle das Recht View Information Store Status zugeordnet.

View Information Store Status

Das Recht View Information Store Status und dessen Auswirkungen sind kaum dokumentiert. Die ausführlichste Dokumentation dazu ist vielleicht im BSI-Grundschutzhandbuch zu finden (www.bsi.bund.de/gshb/deutsch/m/m04163.html).: „View Information Store Status gibt an, ob das Benutzerkonto über die Berechtigung verfügt, die Statusinformationen des Informationsspeichers anzuzeigen. Beispiele solcher Statusinformationen sind Informationen zu den momentan angemeldeten Benutzern und den ihnen zugeordneten Ressourcen.“

Bild 1: Administratorrollen lassen sich über den Exchange System- Manager delegieren.
Bild 1: Administratorrollen lassen sich über den Exchange System- Manager delegieren.

Bild 2: Das Recht View Information Store Status schützt sensible Benutzerdaten.
Bild 2: Das Recht View Information Store Status schützt sensible Benutzerdaten.

Der Exchange-Informationsspeicher enthält an sich nur administrative Daten. Warum ein noch dazu globales Recht zusätzlich zu den ohnehin vorhandenen Rechten Lesen und Auflisten das Ansehen der Statusinformationen sichert, ist erst einmal nicht klar. Die Definition des Grundschutzhandbuchs scheint auf den ersten Blick falsch zu sein. Die angemeldeten Benutzer sind Daten, die im Informationsspeicher gespeichert sind, und keine Statusinformationen des Speichers. Hier ist allerdings nur der Name des Rechts etwas irreführend. Wenn einem Benutzer mit administrativen Exchange-Rechten explizit das Recht View Information Store Status entzogen wird, kann er genau diese Anmeldedaten nicht mehr einsehen. Andere Informationen innerhalb des Informationsspeichers bleiben jedoch zugänglich. Das Recht ist also eine zusätzliche Möglichkeit, die sensiblen Daten zu Benutzeranmeldungen vor Zugriff zu schützen. Ein zu einem anderen Thema erschienener Knowledge Base-Artikel (842022) zeigt aber, dass Inhaber des Rechts View Information Store Status noch über zusätzliche Privilegien verfügen. Mit Exchange Server 2003 Service Pack 1 hat Microsoft eine zusätzliche Netzwerkbeschränkung für Clients eingeführt. Sie dürfen jetzt nur noch maximal 32 MAPI-Verbindungen zum Server gleichzeitig aufbauen. Anwender mit dem genannten Recht werden nach dem genannten Knowledge Base-Artikel offensichtlich von dieser Beschränkung entbunden. Der Grund hierfür könnte darin liegen, dass administrative Anwendungen, wie der Microsoft Operation Manager, regelmäßiger gleichzeitige Netzwerkverbindungen benötigen.

Wie bei allen wenig dokumentierten Produktmerkmalen sollte das Recht View Information Store Status nur im wirklichen Bedarfsfall gegenüber der Standardeinstellung in einer Produktivumgebung geändert werden. Falls beispielsweise aus besonderen Datenschutzanforderungen es doch angepasst werden muss, dann sollte die Konfigurationsänderung vorher unbedingt ausführlich in einer geeigneten Testumgebung untersucht werden.