Eine Exchange Organisation, die seit den Anfängen von Exchange Server in Betrieb ist, hinterlässt im Active Directory Spuren, die bei einer Sicherheitsanalyse des AD Fragen aufwerfen. Eine dieser Fragen ist, ob denn nicht die “alten (Legacy) Exchange Sicherheitsgruppen gelöscht werden können?”
Hinweis 1
Die in diesem Beitrag beschriebenen Schritte stellen, wenn sorgsam durchgeführt, kein Risiko für den Betrieb von Exchange Server 2019 dar. Die Umsetzung erfolgt auf eigenes Risiko und sollte unbedingt in einer Testumgebung verprobt werden. Exchange Server ist ein sehr tolerantes Serverprodukt. Jede Exchange Implementierung ist anders.
Hinweis 2
In der Welt von Exchange Server gibt es zwei Gruppenbezeichnungen, je nachdem, ob man gerade in rollenbasierten Berechtigung (RBAC) unterwegs ist, oder eben nicht. Aus technischer Sicht handelt es sich bei beiden Varianten um Active Directory Sicherheitsgruppen, die in der “Microsoft Exchange Security Groups”-OU der Root-Domäne gespeichert sind. Von Rollengruppen spricht man, wenn es sich um RBAC-Sicherheitsgruppen handelt, die über eine Rollengruppenzuordnung den Zugriff auf ausgewählte Konfigurationsobjekte und bestimmte PowerShell-Befehle steuert.
Bereinigung der Exchange Rollengruppen
Die Reise beginnt mit einer Bereinigung der Exchange Sicherheits- und Rollengruppen. Die Gruppenmitgliedschaften sind meist ein Spiegelbild der IT-Historie im Unternehmen. Daher ist es wichtig, sich zuerst ein Bild über die aktuelle Situation zu verschaffen und die Mitgliegschaften anzupassen.
Hier hilft ein kleines PowerShell-Skript, um die Gruppenmitgliedschaften in eine CSV-Datei zu exportieren.
Vorgehensweise
Die Exchange Gruppen mit hohen Privilegien (high-privileged) sollten nur mit Einzelkonten direkt befüllt werden. Eine Berechtigung auf Basis verschachtelter Gruppenberechtigungen (Nested Group Membership) gilt es weitestgehend zu vermeiden. Sie sollten nur dann zum Einsatz kommen, wo es die Nachvollziehbarkeit erhöht und der Übersichtlichkeit dient, wie z.B. bei regionalen Gruppen zur Verwaltung von Empfängerkonfigurationen (Recipient Management).
Die folgenden Standardsicherheits- und Rollengruppen von Exchange Server 2019 sind zwingend zu erhalten.
- Compliance Management
- Delegated Setup
- Discovery Management
- Exchange Servers
- Exchange Trusted subsystem
- Exchange Windows Permissions
- ExchangeLegacyInterop
- HelpDesk
- Hygiene Management
- Managed Availability Servers
- Organization Management
- Public Folder Management
- Recipient Management
- Records Management
- Security Administrator
- Security Reader
- Server Management
- UM Management
- View-Only Organization Management
Die folgenden Legacy-Gruppen können bereinigt werden.
- Exchange All Hosted Organizations (eingeführt mit Exchange Server 2010)
- Exchange Organization Administrators (Exchange Server 2007)
- Exchange Public Folder Administrators (Exchange Server 2007 SP1)
- Exchange Recipient Administrators (Exchange Server 2007)
- Exchange View-Only Administrators (Exchange Server 2007)
Die Bereinigung der alten Gruppen besteht aus drei Schritten.
- Bereinigung der ACLs, Entfernen von legacy bzw. nicht benötigten Einträgen
- Entfernen bzw. Übertragung der Mitgliedschaften
- z.B. Exchange Organization Administrators aus allen Verschachtelungen (Memberships & MemberOf) in eine vergleichbare neue Gruppe
- Löschen der Legacy Exchange Gruppen
Links
Viel Spaß mit Exchange Server.
2 Antworten
Hier hilft auch am Ende ein Gegencheck mit dem ADACLScanner von Robin Granberg (-> Github canix1), um weitere SID-Leichen zu finden
Hier ist der direkte Link zum GitHub-Repro des ADACLScanners: https://github.com/canix1/ADACLScanner