Tags: Exchange, Active Directory
Mandantenfähige Bereitstellung meint, dass sich mehrere Organisationen, die normalerweise keine der gängigen Objekte (etwa Adresslisten) gemeinsam nutzen, eine Installation teilen. Exchange ist für einen solchen Betrieb eigentlich nicht ausgelegt, lässt sich über Regeln und Einstellungen aber entsprechend anpassen.
Das Exchange-Design sieht seit jeher vor, dass die Mitarbeiter eines Unternehmens möglichst unkompliziert zusammenarbeiten können. Die Nutzung von Exchange für mehrere Mandanten erfordert jedoch, dass nachträglich Barrieren eingezogen werden.
Ziel einer Konfiguration, die mehrere Unternehmen oder organisatorische Einheiten auf einem Exchange-Server zulässt, ist es, dass User einer Firma den Eindruck erhalten, als würden sie das System alleine nutzen. Der Einblick in die Daten der anderen Mandanten soll ihnen verwehrt bleiben.
Support nur für ausgewählte Mechanismen
In Exchange 2010 gab es noch den Schalter /hosting, den Microsoft jedoch mit der Version 2013 aufgegeben hat. Mittel der Wahl sind seitdem Adressbuchrichtlinien und Berechtigungen im Active Directory, wobei für diesen Zweck nur mehr eine Exchange Organization verwendet wird.
Microsoft unterstützt aber nicht beliebige Maßnahmen, um Mandantenfähigkeit zu erreichen, sondern benennt in diesem Dokument für Exchange 2013 mehrere Techniken, für die es keinen Support gibt.
Eigene OUs für Mandanten
In der folgenden Anleitung teile ich zwei Firmen im Active Directory so auf, dass mit ihren Usern und Verteilergruppen in eigenen OUs enthalten sind.
Über Outlook bekommen die Benutzer aber nach wie vor alle Konten angezeigt.
Daher muss man in Exchange ECP für jedes Unternehmen neue Adresslisten für User, Gruppen oder Räume anlegen. Es würde aber ebenfalls ausreichen, nur eine Adressliste pro Firma anzulegen, in der dann alle Objekte enthalten sind. Aber das wäre für die Anwender dann nicht so übersichtlich.
Wichtig dabei ist die Filterung nach Firma, es sind dafür allerdings auch andere Kriterien möglich. Zudem sollte man im Sinne des Benutzerkomforts die Adresslisten etwas gliedern, um den Anwender die Navigation zu erleichtern.
Im nächsten Schritt müssen mandantenspezifiche globale Adresslisten und Offline-Adressbücher erzeugt werden. Dies geht nicht über die Konsole, sondern nur über die Exchange-PowerShell mit folgenden Kommandos:
New-GlobalAddressList "Company A GAL" `
-RecipientContainer "fabrik.local/Company/Company A" -IncludedRecipients AllRecipients
New-GlobalAddressList "Company B GAL" `
-RecipientContainer "fabrik.local/Company/Company B" -IncludedRecipients AllRecipients
New-OfflineAddressBook "Company A OAB" -AddressLists "Company A GAL"
New-OfflineAddressBook "Company B OAB" -AddressLists "Company B GAL"
Für die eben angelegten Adresslisten und -bücher erzeugt man nun die erforderlichen Adressbuchrichtlinien:
Danach weist man die jeweilige Richtlinie den betreffenden Konten zu. Ist diese Aufgabe nur für wenige Benutzer zu erledigen, dann kann man dafür die Exchange-Konsole bemühen, ansonsten greift man zur PowerShell.
Für die erste Variante öffnet man in der Exchange-Konsole unter Empfänger => Postfächer die Eigenschaften einer Mailbox und wechselt zu Postfachfunktion.
Hier wählt man nun die passende Richtlinie aus.
Für eine größere Anzahl von Postfächern kann dies zu aufwändig sein, hier hilft PowerShell:
Get-Mailbox -OrganizationalUnit "fabrik.local/Company/Company A" |
Set-Mailbox -AddressBookPolicy "Company A AdressBookPolicy"
Get-Mailbox -OrganizationalUnit "fabrik.local/Company/Company B" |
Set-Mailbox -AddressBookPolicy "Company A AdressBookPolicy"
Die Konfiguration ist damit abgeschlossen.
Meldet sich nun ein User, welcher unter die beschriebenen Richtlinien fällt, an OWA oder Outlook an, so sollte dieser nur noch die Adresslisten sehen, die für ihn bestimmt sind.
Zu einer mandantenfähigen Konfiguration von Exchange gehört natürlich auch, dass jedes Unternehmen oder jede Tochterfirma über Mail-Adressen mit ihrer eigenen Domäne erreichbar ist. Der Beitrag Mail-Adressen für mehrere Domänen in Exchange bereitstellen beschreibt, wie man dabei vorgeht.
Täglich Know-how für IT-Pros mit unserem Newsletter
Roland Eich ist gelernter Fachinformatiker für Systemintegration und in der IT seit über 14 Jahren zu Hause. Roland deckt aufgrund seiner Erfahrungen ein breites Spektrum der Microsoft-Produktpalette ab.
Zudem besitzt er verschiedene Zertifizierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).
// Kontakt: E-Mail //
Verwandte Beiträge
- Microsoft Exchange: Auflisten von Mitgliedern einer statischen Verteilergruppe verhindern
- Microsoft Exchange: Unterschiedliche Anzeigenamen für interne und externe Mails nutzen
- Verteilergruppen für Exchange in PowerShell anlegen und verwalten
- Kontakte für Microsoft Exchange anlegen im Admin Center oder mit PowerShell
- Postfächer in Exchange (Online) mit PowerShell verwalten
Weitere Links
2 Kommentare
Habe es strikt nach der Anleitung durchgeführt, leider sehe ich noch Alle Benutzer und Alle Kontakte Adresslisten im Adressbuch. Alle Benutzer wurden über die Shell angelegt von Exchange selbs denk ich.
Was könnte ich falsch gemacht haben.
Danke
Hallo,
habe exakt das selbe Problem. Bei den Usern werden zwar die neuen Angezeigt aber auch immer noch zB. das Globale Adressbuch mit dem gesamten Inhalt.
Jemand eine Idee?