Hallo zusammen,
ich hatte neulich eine Anforderung dass ein Administrator aus Forest A (Exchange 2003) Exchange Organisations Berechtigungen für Forest B (Exchange 2007) benötigt hatte. Es handelte sich hierbei um zwei komplett voneinander getrennte Gesamtstrukturen, die über einen Forest Trust verbunden sind. DNS usw. funktioniert naütrlich soweit bzw. war Voraussetzung.
Über die Exchange 2007 Verwaltungskonsole ist es allerdings nur möglich Benutzer aus dem lokalen Forest bzw. der Domäne hinzuzufügen und keine Cross Forest Benutzer.
Nach einige Recherchen habe ich dann folgenden Artikel gefunden, der das Problem schön beschreibt und gleichzeitig eine Lösung anbietet, guckst du technet.microsoft.com/en-us/library/bb232078%28EXCHG.80%29.aspx
Das ganze hatte nur den Haken, dass es einfach nicht funktioniert hatte. Folgende Passage hatte dann schlussendlich doch die Lösung gebracht, auch wenn es aus meiner Sicht recht unverständlich hinterlegt ist.
To perform the steps of this procedure in Forest A, the account you use must be delegated the following:
Membership in the Enterprise Admins group in Forest A
To perform the steps of this procedure in Forest B, the account you use must be delegated the following:
Membership in the Enterprise Admins group in Forest B
Weill heißen, mein Admin-Account aus Forest A muss zu den Domänen Admins in Forest B hinzugefügt werden und umgekehrt. Leichter gesagt als getan. Mein Admin Account aus Forest A muss zum Mitglied der "Administratoren" in der OU "Built-in" gemacht werden. Das ist dort die einzige Stelle wo ein Cross Forest Benutzer als Administrator hinzugefügt werden konnte, da es sich bei dieser Gruppe um eine domänenlokale Gruppe (siehe AGDLP) handelt. Es ist nicht möglich ein Benutzer aus einem fremden Forest in die Gruppen der Domänen-Admins oder Enterprise Admins hinzuzufügen.
Viele Grüße, Jens
Keine Kommentare:
Kommentar veröffentlichen