Exchange Split Permission Modell
- 29.04.2026 - 13:25
Link zu diesem Beitrag: | |||||
| Exchange Server 2016 Exchange Server 2019 Exchange Server SE Nahezu bei jedem Pentest der Microsoft Infrastruktur ist die Empfehlung, dass das Exchange Active Directory Split Permission Model umgesetzt werden sollte. Hintergrund ist, dass die Identität mit der die Exchange Server im Active Directory interagieren über weitreichende Rechte verfügen. Unter anderem kann dieser Benutzer anlegen / löschen und Gruppenmitgliedschaften verändern und dies nicht nur bei E-Mail-aktivierten Objekten. Exchange Server waren und sind weiterhin ein sehr begehrtes Angriffsziel von Kriminellen, da hier viele der Software-Technologien aus dem Microsoft Universum Anwendung finden und somit auch eine größere Gefahr von potenziellen Sicherheitslücken. Insofern ist es wünschenswert den Exchange-Server so weit wie möglich hinsichtlich seiner Rechte einzuschränken. Hierüber hat Microsoft sich schon vor Jahren Gedanken gemacht und verschiedene Konzepte zur Einschränkung der Rechte entwickelt. Die Trennung der Active Directory Operationen von Nicht-E-Mail-Objekten und reinen Exchange-Operationen an E-Mail-Objekten durch das Active Directory Split Permission Modell ist einer dieser Ansätze. Letztlich werden im Active Directory der Identität vom Exchange die Rechte durch die Umsetzung entzogen. In der technischen Dokumentation von Microsoft wird das Vorgehen und die Auswirkungen beschrieben: https://learn.microsoft.com/en-us/exchange/permissions/split-permissions/split-permissions#active-directory-split-permissions Nach der Umsetzung sind folgende Cmdlets der Exchange Management Shell nicht mehr nutzbar. Dies bedeutet faktisch auch, dass die entsprechenden Aktionen im Exchange Admin Center ebenfalls nicht mehr funktionieren, da die Operationen hier ebenfalls in der Ausführung von Powershell Cmdlets münden. Die folgenden Befehle sind nach der Umsetzung nicht mehr nutzbar:
In kleinen Organisatioen lässt sich relativ einfach ermitteln, wer am Exchange administrativ tätig wird und was genau hier verändert wird. In größeren gewachsenen Strukturen ist dies oft nicht so einfach ermittelbar. Hier hilft das von mir entwickelte Skript um das Exchange Management Log auf die obigen Cmdlets hin auszuwerten. Anhand des Outputs lässt sich der Personenkreis und der jeweilige Befehl ermitteln. Mit diesen Informationen kann man die Operationen für z. B. die Anlage einer Mailbox in einer Betriebsanweisung oder einem Skript entsprechend aufteilen. Man würde z. B. via New-ADUser mit einem entsprechenden Admin-Account erst den Benutzer anlegen und dann via Enable-Mailbox eben diese Mailbox für Exchange E-Mail-aktivieren. Das Skript wertet das Log "MSExchange Management" des Eventlogs aus und sucht nach Einträgen des Typs "Warnung" und Information". Sofern es hier Treffer gibt, werden die Einträge darauf geprüft, ob hier eines der o. g. Cmdlets zum Einsatz kommt. Falls ja wird das Cmdlet, das Parameter-Set, der User welcher das Cmdlets ausgeführt hat und der Zeitpunkt der Ausführung in eine Datei im CSV-Format exportiert. Das Skript muss auf allen Exchange-Servern der Organisation ausgeführt werden, damit ein vollständiges Bild der Administration dargestellt werden kann. aktuelle Downloads
Über den Autor
Thomas Windscheif arbeitet bei excITe Consulting und ist langjähriger Berater im Bereich IT-Infrastruktur und Groupware. Sowohl Kleinunternehmen z. B. im Handwerk als auch der größere fertigende Mittelstand gehören zu seinem Projektumfeld. Im Wesentlichen gehören die Planung von Infrastruktur-Migrationen, Cloud-Lösungen (Microsoft 365), Groupware-Umgebungen (z. B. Exchange) und deren Umsetzung zu seinen Aufgaben. Insbesondere im Umfeld hybrider Identitätsumgebungen mit Entra Connect und den Möglichkeiten zur Härtung der IT-Landschaft konnte er in vielen Projekten Erfahrungen sammeln. Neues begeistert ihn aber ebenso und so unterstützt Thomas Windscheif auch bei themenfremden IT-Systemen, überall da wo er helfen kann. Sein Ziel: Die Mehrwerte der heutigen IT-Lösungen für einfacheres und modernes Arbeiten beim Kunden einbringen.
|
 Sie haben ein ungelöstes Problem in Ihrer Exchange Server/Microsoft-Infrastruktur oder unter Microsoft 365?Treten Sie gerne mit mir in Kontakt. Sowohl bei einfachen Umgebungen, als auch bei komplexen Multisite/Cloud-Topologien unterstütze ich Sie -auch kurzfristig- sehr gerne. Nutzen Sie den Live Chat, xing, LinkedIn, das Kontaktformular oder den Mailkontakt | ||
|
[
 News als RSS-Feed abonnieren]News vom 29.04.2026 - 13:53 - Microsoft Exchange Active Directory Split Permissions - Weitere News: E-Rechnung Viewer via Gruppenrichtlinie installieren
[alle News auflisten] |