Web-basierte Tools wie das Admin Center (WAC) eignen sich beson­ders, um Auf­gaben an Stan­dard­benutzer zu dele­gieren. In diesem Fall ist es wich­tig, deren Rechte auf das Nötig­ste zu be­schränken. Das WAC ver­fügt dafür über ein Rollen­konzept auf Basis von JEA, das Nicht-Admins die erfor­derlichen Rechte ein­räumt.

Mit PowerShell lassen sich die Berech­tigungen für Ordner in den Post­fächern zentral ver­walten. Die Namen vieler Ordner sind vom System vor­gegeben, so dass man diese aus dem Gedächtnis an ein Cmdlet über­geben kann. Kennt man die Ordner­namen aber nicht, dann kann PowerShell diese anzeigen.

Zu den Neuerungen von Exchange 2019 gehört ein erweitertes Kalender-Management. Diesem Zweck dient das PowerShell-Cmdlet Remove-CalendarEvents, mit dem Admins Be­sprechungen absagen können. Neu sind auch die Verknüpfung von Out-of-Office mit Kalender-Aktionen. Das Sperren der Weiter­leitung fehlt jedoch.

Benutzer sollten nur die Zugriffs­rechte auf Ordner erhalten, die sie unbe­dingt benö­tigen. Ohne geeig­nete Tools lässt sich dieses Prin­zip aber kaum reali­sieren. Der Access Manager (AM) sperrt Ver­zeich­nisse gegen einen Rechte­wild­wuchs und erlaubt Mit­arbeitern, Zugriff in einem Workflow zu beantragen.

Bei einer Migration von Exchange 2013 zu 2016 wurde die Anforderung an mich heran­ge­tragen, die öffent­lichen Ordner in Freigabe­post­fächer umzu­wandeln. Dabei sollte nicht nur ihre Struktur inklu­sive der In­halte, sondern auch die Berechti­gungen über­nommen werden. Letzteres erwies sich als der schwierigste Teil der Aufgabe.

Korrekt vergebene Zugriffs­rechte sind ein wichtiger Schutz gegen den Miss­brauch von sen­siblen Infor­mationen. Bei kom­plexen Ver­zeich­nis­struk­turen geben die meisten Bord­mittel dem Admin nicht den benö­tigten Überblick. Der Folder­Security­Viewer (FSV) soll diese Lücke mit vorkonfi­gurierten Reports schließen.

Seit Server 2016 ist es mög­lich, Be­nutzer tem­porär in AD-Gruppen aufzu­nehmen und so ihre Berech­tigungen zeit­lich zu be­schränken. Die Bord­mittel sehen dafür nur Power­Shell vor. Mein hier beschrie­benes Script bietet aber eine GUI, so dass auch tech­nisch nicht versierte User diese Aufgabe über­nehmen können.

Bei LAPS handelt es sich um ein kosten­loses Tool von Microsoft, das für lokale Admin-Konten auf jedem PC ein zufäl­liges Pass­wort erzeugt. Aller­dings kann man nicht so ein­fach erkennen, ob der Mecha­nismus auf jedem Rechner funk­tioniert. Abhilfe schafft hier ein PowerShell-Script, das einen Health-Report erstellt.

Um die Amazon Web Services (AWS) aktiv nutzen zu können, be­nötigt man ein eigenes AWS-Konto. Dieser Root-Account ist nur für wenige Auf­gaben erfor­derlich, für die täg­liche Arbeit reichen viel­mehr so genannte IAM-User aus. Ihnen kann man über Gruppen und Rollen gezielt Rechte in AWS zuteilen.

Mit Windows Server 2019 führt Microsoft den Storage Migration Service ein, der den Um­zug be­tagter File-Server auf das neu­e OS ver­ein­facht. Dieses Feature er­laubt nicht nur eine kom­fortable Mig­ration der freige­gebenen Ord­ner und der Daten, son­dern auch von Sicher­heits­ein­stellungen wie den NTFS-Berech­tigungen.