Kategorie: 
Translate ENE-Mail-aktivierte Gruppen könnten unter Exchange sowohl von intern als auch von extern adressiert werden. Viele Administratoren passen die Gruppenmitgliedschaften per Skript an und stützen sich dabei auf Datenbestände, die durch die Personalabteilung gepflegt werden. Dabei besteht die Gefahr, dass ein solches Skript falsche Änderungen ausführt und die Gruppe ohne Mitglieder zurücklässt. Doch was ist, wenn eine Gruppe keine Mitglieder beinhaltet?
Da die Gruppe ein Active-Directory-Objekt ist, wird sie auch ohne Mitglieder in der Globalen Adressliese angezeigt und kann somit auch angeschrieben werden. Jetzt denken viele, dass bei dem Versand einer Mail an einer solchen Gruppe, der Absender einen NDR erhält. Doch dem ist nicht so! Die Mail wurde fehlerfrei an die Gruppe abgegeben und reiht sich nun in die Kategorisierung ein.
Da die Mail nicht in einem Postfach abgelegt werden kann, verschwindet sie im Nirwana, ohne dass der Absender darüber Informiert wird. Das ist kein fehlerhaftes Verhalten, sondern eine logische Folge des Designs. Stellt man sich nun vor, dass die hinterlegte E-Mail-Adresse für Auftragsbestätigungen verwendet werden würde, könnte es das Unternehmen teuer zu stehen kommen.
Sicherheit bei E-Mail-aktivierten Gruppen
In einem Unternehmen mit vielen Mitarbeitern wird in der Regel für jede Abteilung eine E-Mail-aktivierte Gruppe erstellt, so dass bei einer Mail an die Abteilung nicht je dazugehörige Person aus der Globalenadressliste einzeln ausgewählt werden muss. Nach dem gleichen Gedanken wird dann auch eine E-Mail-aktivierte Gruppe "Alle Mitarbeiter" erstellt, in der alle Abteilungsgruppen Mitglieder sind.
Der Grundgedanke ist ja nicht verkehrt, allerdings sollte man insbesondere in großen Unternehmen auf eines achten: Versendet jemand zur besten Arbeitszeit eine Mail an die E-Mail-aktivierte Gruppe "Alle Mitarbeiter", so wird die Auflösung aller Gruppenmitgliedschaften vom Global Catalog vorgenommen. Wenn wir uns als Beispiel über tausend Mitarbeiter vorstellen, kann durch die erweiterte Verschachtelung ein einzelner GC so überlastet werden, dass andere Anfragen der Clients nicht mehr abgearbeitet werden können. Ob die Mail nun mit oder auch ohne Anhang versendet wird, macht da keinen Unterschied. Antworten nun noch mehrere Mitarbeiter an alle Empfänger der Mail, kann der Server ein ernsthaftes Problem bekommen. In einem Exchange-Cluster kann dies dazu führen, dass das System einen Failover indiziert und dann aus dem Schwenken nicht mehr raus kommt.
Daher empfiehlt es sich, eine solche Gruppe abzusichern und nur ausgewählten Personen das Recht zu vergeben, an diese Gruppe Mails zu verschicken. In den Eigenschaften des Active-Directory-Gruppenobjekts kann dies unter "Exchange Allgemein" umgesetzt werden.
Eine solche Absicherung ist zudem auch bei Gruppen wie beispielsweise Geschäftsführung, Betriebsrat, Revision etc. sinnvoll, um diese vor Mails aus dem Internet oder auch von intern zu schützen.
Verwandte Beiträge:
- Was man über Remote-Desktop-Verbindungen wissen sollte
Wer hat es noch nicht verwendet, dieses kleine hilfreiche Tool, mit dem man sich auf Terminal Server verbinden kann, oder... - In welchen AD-Gruppen ist ein Benutzer Mitglied?
Unsere FAQ bietet ein paar Artikel, die die Mitglieder von Gruppen ausgeben. Spannend ist aber auch die Frage: In welchen... - Exchange 2007/2010: Mail-Verteiler von außen nutzbar machen
In Exchange 2007 und 2010 sind neue Mail-Verteilergruppen standardmäßig nur intern nutzbar. Möchte man einen Verteiler einrichten, der von außen... - Outlook 2003: Umzug der Mails und des Mail-Kontos
Wenn man ein neues System bekommt oder einfach eine Neuinstallation des Systems vornehmen muss, sind bei einer allein stehenden Outlook-Installation... - Windows-Gruppen richtig nutzen
Bereits seit der ersten Version von Windows NT kennt Microsofts professionelles Betriebssystem Benutzergruppen, die es nutzt, um Rechte und Privilegien...
http://faq-o-matic.net/?p=674
