26.13 Globale oder universelle E–Mail-Verteiler
Im Abschnitt »Globale oder universelle Gruppenbereiche verwenden« des Kapitels 20, Gruppen und Gruppenverschachtelung, wird ausführlich die Frage diskutiert, ob lokale, globale oder universelle Gruppenbereiche verwendet und ob die Gruppentypen Verteilergruppe und Sicherheitsgruppe parallel genutzt werden sollten. Der dort zitierte TechNet-Artikel »MS Exchange 2000 Server – Verzeichniszugriff und Integration mit MS Windows 2000« gilt auch für Exchange Server 2003 und liefert eine Antwort auf die Frage, ob globale oder universale Sicherheitsgruppen als Verteilerlisten genutzt werden sollten. Nachfolgend nochmals die Kernzitate:
»Typ und Geltungsbereich der in Exchange 2000 verwendeten Gruppen hängt von den Unternehmens- und Benutzeranforderungen ab. Um eine volle Flexibilität zu erhalten, implementieren Sie Gruppen vom Typ ›Sicherheit‹ mit dem Geltungsbereich ›Universal‹. Obwohl es sich um eine Definition einer Gruppe vom Typ ›Sicherheit‹ handelt, kann diese (durch Hinzufügen einer SMTP-Adresse) mit Mailfunktionalität versehen und im globalen Adressbuch angezeigt werden. Ein Nachteil von Gruppen vom Typ ›Sicherheit‹ mit dem Geltungsbereich ›Universal‹ besteht darin, dass sie nur in Domänen im einheitlichen Modus erstellt werden können. Erfreulicherweise müssen Sie für einen Wechsel einer Domäne vom gemischten in den einheitlichen Modus nur eine Aktualisierung der Domänencontroller auf Windows 2000 durchführen. Der Wechsel zu Domänen im einheitlichen Modus erleichtert den Aktualisierungs- und Implementierungsprozess von Exchange 2000 und bietet eine weitere Verzeichnisskalierbarkeit.«
»Sie müssen entscheiden, ob Sie eine Gruppe mit dem Geltungsbereich Universal für die Liste erstellen oder Gruppen mit dem Geltungsbereich Lokale Domäne oder Global verwenden und den Abruf der Mitgliedschaft für Remotedomänen annehmen möchten, wenn die Liste erweitert werden muss. Beachten Sie beim Festlegen des Gruppentyps folgende Fragen:
|
Verwenden Sie eine oder mehrere Active-Directory-Domänen innerhalb der Organisation? |
|
Ist zwischen allen Domänen eine direkte IP-Konnektivität möglich? |
|
Wie viele Mitgliedschaftsänderungen erfolgen in einem gegebenen Zeitraum, z.B. einer Woche oder einem Monat? |
|
Wer sendet den Großteil der E–Mail-Nachrichten an die Liste: Benutzer in lokalen Domänen oder Benutzer in Remotedomänen?« |
»Bedenken Sie weiterhin, dass Gruppen für das Bestimmen des Zugriffs auf Öffentliche Ordner verwendet werden. Im Gegensatz zu früheren Versionen von Exchange muss der Informationsspeicher eine Gruppe nicht erweitern, wenn ein Benutzer auf einen Öffentlichen Ordner zugreift. Da alle Zugriffssteuerungslisten für Öffentliche Ordner auf Active Directory basieren, wird die Gruppenmitgliedschaft in einem Benutzerzugriffstoken übermittelt und dem Exchange Servercomputer bei Verbindung mit der Ressource zur Verfügung gestellt.«
Wenn Sie tatsächlich Gesamtstrukturen mit mehreren Domänen aufsetzen, so hat das seinen Grund. Meistens stellen die Subdomänen weitgehend autonome Tochterfirmen oder Behörden dar. Es schließt sich dann sofort die Frage an, ob nicht der Großteil der versendeten Nachrichten innerhalb einer Domäne verbleibt. Wie oft wird es vor allen Dingen vorkommen, dass ein Mitarbeiter der einen Domäne eine Nachricht an einen Verteiler einer anderen Domäne verschickt, und wie viele Empfänger gehören dann zu diesem Verteiler? Ist es wahrscheinlich, dass z.B. ein Vertriebsmitarbeiter der Domäne A eine Nachricht an den Verteiler VL Vertrieb B der Domäne B oder sogar an alle Mitarbeiter dieser Domäne verschickt, oder wird er nicht eher Nachrichten an einzelne ihm bekannte Mitarbeiter der anderen Tochterfirma schicken?
Mailbomben verhindern
Werden Sie nicht eher unterbinden wollen, dass ein Mitarbeiter z.B. eine ihm wichtige Virenwarnung an alle Empfänger der Exchange-Organisation verschickt und damit ungewollt den eigentlichen »Virus« auslöst (Schneeballsystem; Mailbombe)? Es gibt übrigens unter Exchange Server mehrere Möglichkeiten zum Unterbinden solcher Massenmails: Sie können die Anzahl der gleichzeitig adressierten Empfänger oder die Maximalgröße einer Nachricht über globale Parameter beschränken oder auch die Adressierbarkeit einer Verteilergruppe derart einschränken, dass z.B. der Verteiler VL Vertrieb Hansen-Verlag nur durch Mitglieder des Verteilers VL Hansen-Verlag – alle Mitarbeiter erreichbar ist und somit nicht durch Absender, die nicht zur Domäne Hansen-Verlag gehören.
Wenn Sie eine Gruppe vom Typ Verteiler erstellen und später ein anderer Administrator dieser Gruppe Berechtigungen auf einen öffentlichen Exchange-Ordner gibt, so wird die Verteilergruppe automatisch in eine Sicherheitsgruppe umgewandelt. Überprüfen Sie, ob etwas dagegen spricht, ausschließlich universelle Sicherheitsgruppen einzurichten und diesen Sicherheitsgruppen schon bei der Erstellung eine Exchange-E-Mail-Adresse zuzuweisen, sie also gleichzeitig als Verteilerlisten zu nutzen, wann immer dies sinnvoll ist. Sollte diese Entscheidung später zu Problemen führen, so können die Probleme verursachenden universalen Gruppen auch nachträglich wieder in globale Gruppen oder sogar in lokale umgewandelt werden. In Abschnitt 15.12, Die Möglichkeiten der Gruppenverschachtelung nutzen, wurde an Beispielen gezeigt, wie eine Organisation auf diese Weise eins zu eins abgebildet werden kann und der Verwaltungsaufwand sich durch diese Vorgehensweise drastisch senken lässt.
|