Abhängigkeiten an den Installationsaccount?

1. offizieller Beitrag

    Hi,


    die Frage ist etwas komisch und nicht leicht zu formulieren.


    Ich habe einen Kunden bei dem AD und EX Administration so weit möglich getrennt werden soll. (ist es von Notes so gewöhnt)
    Wenn wir jetzt EX2007 installieren ist die Frage was für einen Account wir verwenden. Es geht NICHT um die benötigten Rechte die der Account braucht.


    -Erstelle ich einen neuen Admin Account Bsp. "ExAdmin"?
    -Nehme ich den Domain\Administrator (geht hier wohl nicht)
    -oder nehme ich irgendeinen Account (die Sektretärin) und gebe ihm einfach die Rechte.


    Es geht mir darum ob es irgendwelche Sachen gibt die den Account der Exchange installiert referenzieren oder irgendwie "einbacken"


    Wenn ich mit "ExAdmin" installiere und ihn dann aus den Schema/Enterprise/domain admins rausschmeiss oder sogar lösche, ist das schlecht?
    Auch wenn es z.B. nur seine SID Leiche irgendwo in den Berechtigungen gibt?


    Es steht nirgendwo was dazu geschrieben, daher nehme ich an es ist egal.
    Das kein Dienst unter dem Account läuft etc. ist völlig klar. Nur bei EX 2000 erinnere ich mich an eine Empfehlung den Account der es installiert nicht zu löschen.


    Danke
    Thorsten

    • Offizieller Beitrag

    Hallo Thorsten,


    wie soll das gehen?


    Exchange und AD sind untrennbar verbunden.


    Für die globale Administration brauchst du Domänen-Admin-Rechte.


    Untergruppen usw können wie im AD auch über OU-Admins gehen.


    Hast du dir die How-To zu Ex2007 mal angesehen?


    8-)

    Mein Hauptanliegen ist der Account mit dem ich installiere.
    Später sollte der "ExAdmin" am besten entmachtet/gelöscht werden daher würd ich gern sicher gehen dass der nicht irgendwie verzahnt ist.
    Mit dem "Administrator" werden wir nicht installieren dürfen.
    Die EX Jungs kriegen später Rechte aber mit personifizierten Accounts.
    Die EX admins werden quasi nur den Serverbetrieb sicherstellen / die Serverconfig machen.
    User anlegen etc. machen die anderen.
    Ok also reicht denen "EX Org admin" wohl nicht.


    Ich hab mir die Hilfe reingezogen, welche How-To's meinst du?

    Jetzt werden die hier kleinlich und jetzt gehts doch darum welche Rechte explizit gebraucht werden.


    EX Hilfe sagt:
    Schema Admin Group: If Schema not yet extended
    Enerprise Admin Group: 1st Exchange 2007 Server in the Org
    Exchange Organization Administrator Role: Additional Exchange 2007 Server


    Unklar bleibt ob er mitglied der Domain Admins sein muss wovon ich ausgehe.


    msexchangefaq.com sagt in Installing Exchange 2007 (Part 1)
    Local Administrator on the server
    Enterprise Administrator
    Domain Administrator
    Schema Administrator (only required for first install to extend the Schema)


    in Part2
    You will need Enterprise and Local Administrator privileges, and if you have not already prepared the domain you will also need Schema Administrator permissions as well. If you already have an Exchange 2007 server in the domain you will also need to be a member of the Exchange Organization Administrator group.
    >>"will also need" heisst zusätzlich (zu Enterprise, local und Schema)
    >>Hier ist nicht mehr die Rede von Domain Admins


    Daher ist der Kunde verwirrt und ich gleich mit.


    also:
    Schema ist bereits erweitert also fällt Schema Admins weg
    Für den ersten Server brauche ich Enterprise Admin
    Durch die Schema Erweiterung gibt es bereits die "Exchange Organization Administrator group"! Laut Aussage oben muss ich darin aber für die Installation des ersten EX 2007 nicht mitglied sein, zumindest wird es nur für den zweiten erwähnt :) -> Also auch darin aufnehmen
    Domain Admins würde ich vermuten braucht man für alle EX Server installs.


    Nachdem der Erste installiert ist (in dem Fall der CAS, so empfiehlt es die Hilfe) entferne ich den account aus der Enterprise admin Group und installiere alle weiteren Server.
    Am Ende können die "AD Jungs" das passwort ändern.


    Die persoalisierten Exchange Admin Accounts müssen aber ziemlich sicher "Domain admins" werden und die ganze "Security show" die ich hier abziehen muss war dann umsonst ....


    Liege ich halbwegs richtig? Schade dass die Anleitungen noch Fragen offen lassen.


    Danke
    Thorsten

    • Offizieller Beitrag

    Hallo,


    dann bringen wir mal ein wenig Licht ins Dunkel ;-).


    Für die Installation von Exchange Server 2007 muss das Schema erweitert werden, die Gesamtstruktur (Forest) vorbereitet werden und die Domäne in der der Exchange Server installiert werden soll muss aich vorbereitet werden.
    Um jetzt eine vollständige Trennung von Exchange und AD hinzubekommen (schon bei der Installation) machst du am besten folgendes:


    Am Exchange Server mit einem Account Anmelden der Schema Admin, Enterprice Admin und Domain Admin ist. Mit start - ausführen die setup.com mit dem Schalter /p /ON:<Name deiner Exchange Org> (Sofern noch keine 2000 / 2003 ExOrg existiert. Damit erweiterst du das Schema und bereitest die Domäne und den Forest vor. Dann abmelden und mit einem stink normalen Benutzerkonto anmelden, dass nur über Lokale Adminrechte verfügen muss und im AD in der Gruppe Exchange Organization Administrators ist.
    Mit diesem Konto kannst du dann den Exchange Server Installieren. Wenn das Konto danach nicht mehr verwendet werden soll, loschen oder auf ewig deaktivieren ;-). Der Exchange Admin muss dann entsprechend seine Aufgaben Lokaler Admin des Servers sein, Mitglied in der Gruppe Exchange Organization Administrators, oder Exchange Reciepient Administrator oder Exchange View-Only Administrator sein. In deinem Fall wird wohl Exchange Organization Administrators am besten sein. Desweiteren muss das Konto noch Server Admin sein, um einige Aufgaben im Exchange erledigen zu können. Dieses Recht vergibst du im EMC des Exchange Server im Aufgabenbereich der Organisationskonfiguration. Dort gibt es den Punkt Exchange-Adminstrator hinzufügen.


    Wichtig jetzt ist nur noch zu wissen, dass der Exchange Admin keine Benutzer, Kontakte oder Gruppen anlegen kann. Dies könnte er nur wenn er auch Konten-Operator auf jede bzw. eine OU wäre. Also muss der AD Admin immer erst den Benutzer, die Gruppe oder den Kontakt anlegen bevor der Exadmin dies E-Mail aktivieren kann.

    juhuu danke für die Antwort! Genau das hab ich gesucht.
    In der Help steht das man Enterprise admin sein muss um den ersten Server zu installieren aber ich nehme an das berücksichtigt die bereits erfolgte Schema Erweiterung nicht. ist auch nicht wichtig


    Am wichtigsten ist mir das mit dem Install account.
    Das der Ex Admin keine User anlegen darf ist ok, das machen die AD Jungs bzw das wird automatisiert.


    nochmal danke