Windows-Praxis: Gruppen in Active Directory richtig einsetzen

Gruppen mit Exchange betreiben

Da Exchange kein eigenes Verzeichnis hat, sondern das Active Directory nutzt, gibt es in Exchange auch keine eigenen Verteilerlisten. Exchange nutzt die Gruppen des Active Directorys, erweitert diese aber mit eigenen Attributen.

Außer normalen Gruppen verwendet Exchange Server 2007/2010 auch dynamische (abfragebasierten) Verteilergruppen. Diese Gruppen erstellt Exchange durch dynamische LDAP-Abfragen an das Active Directory, um die Gruppenmitglieder zu bestimmen. Sie können mit den dynamischen Gruppen die Mitgliedschaft einzelner Benutzer anhand deren Eigenschaften steuern und müssen diese nicht statisch einer Gruppe zuordnen. Diese Art von Gruppe ist daher extrem flexibel.

Gruppen sind Container, die alle anderen Empfängerobjekte enthalten können, postfachaktivierte oder E-Mail-(aktivierte-)Benutzer, öffentliche Ordner, Kontakte oder andere Gruppen. Eine E-Mail, die an eine Gruppe geschickt wird, stellt Exchange allen Mitgliedern dieser Gruppe zu. Legen Sie eine neue Gruppe an, wird diese im Adressbuch alphabetisch zwischen den anderen Empfängerobjekten angeordnet. Bei einer großen Anzahl von Gruppen ist es sinnvoll, diese zusammengefasst anzuzeigen. In der Praxis hat es sich bewährt, einen Punkt (.) vor den Namen der Gruppe zu stellen und so zum Beispiel die Bezeichnung der Gruppe Einkaufsabteilung als .Einkaufsabteilung darzustellen. Der Punkt fällt nicht weiter auf, und es werden alle Gruppen direkt hintereinander alphabetisch vor den Empfängern einsortiert.

Verteilergruppen legen Sie in der Exchange-Verwaltungskonsole über Empfängerkonfiguration/Verteilergruppe an. Um eine neue Verteilergruppe anzulegen, klicken Sie mit der rechten Maustaste in den Ergebnisbereich oder wählen den entsprechenden Befehl im Aktionsbereich aus. Im Anschluss startet der Assistent zum Erstellen neuer Verteilergruppen. Sie können neue Gruppen erstellen oder bereits vorhandene Gruppen aus dem Active Directory E-Mail aktivieren. E-Mail-aktivierte Gruppen können Sie aber weiterhin als Sicherheitsprinzipal für Verzeichnisse und Freigaben verwenden.

Auf der nächsten Seite des Assistenten wählen Sie den Gruppentyp sowie den Namen der Gruppe aus. Windows unterscheidet dabei zwischen E-Mail-aktivierten Sicherheitsgruppen und Verteilergruppen. Im E-Mail-Empfang unterscheiden sich beide Gruppen nicht. E-Mail-aktivierte Sicherheitsgruppen können jedoch außer als Verteilerliste auch zum Definieren von Zugriffsrechten (zum Beispiel im NTFS-Dateisystem) verwendet werden.

Sie können durch das Anlegen von E-Mail-aktivierten Sicherheitsgruppen die Anzahl Ihrer Gruppen stark einschränken. Verteilergruppen können, wie der Name schon sagt, nur als Verteilergruppe verwendet werden. Im Anschluss können Sie die Erstellung der Gruppe abschließen, genauso wie die Erstellung eines neuen Benutzerpostfachs. Auch hier erhalten Sie wieder entsprechende Informationen über den Befehl in der Exchange-Verwaltungs-Shell, mit dem Sie die Gruppe hätten anlegen können. Im Anschluss wird die Gruppe erstellt, und Sie können deren Eigenschaften in der Exchange-Verwaltungskonsole aufrufen. (mje)