Der Countdown läuft für die Keyfactor Tech Days | Sichern Sie sich noch heute Ihren Platz!

Delegieren von Exchange-Provisioning mit FIM

Ich dachte, ich beginne meine Einträge in unserem neuen Unternehmensblog mit einer Beschreibung des Projekts, das dazu führte, dass CSS von Microsoft als "2010 Core Infrastructure Solutions, Identity & Security Partner of the Year" ausgezeichnet wurde.

Das Projekt umfasste eine interessante Verwendung der Synchronisierungs-Engine von Forefront Identity Manager (FIM), um eine delegierte Exchange-Bereitstellung zu ermöglichen. Ich hoffe, dass ich mit der Beschreibung dieses Projekts ein Beispiel und vielleicht auch eine Inspiration dafür liefern kann, was Sie mit FIM erreichen können.

Produkt

Forefront Identity Manager (FIM) von Microsoft bietet eine Vielzahl von Diensten rund um die Verwaltung von Identitäten, darunter Verzeichnissynchronisierung, Gruppenverwaltung, Zertifikatsverwaltung, Workflow, Delegierung und Self-Service-Passwortrücksetzung.

Die Herausforderung

Der Kunde hatte durch eine Übernahme drei Tochtergesellschaften - jede mit ihrem eigenen Active Directory und E-Mail-System - und jede mit unterschiedlichen technischen Fähigkeiten. Eine Tochtergesellschaft verwaltete ihre Systeme recht gut, eine andere hatte kein brauchbares Backup ihres E-Mail-Systems.

Das Ziel des Unternehmens war es, das Unternehmen und seine Tochtergesellschaften auf eine zentral verwaltete, stabile E-Mail-Plattform mit der aktuellen Version von Exchange zu bringen.

Die Herausforderung bestand darin, dass jede Tochtergesellschaft über einen eigenen Active Directory-Forest verfügte und es politisch nicht machbar war, die AD-Umgebung auf eine Domäne oder gar einen Forest zu reduzieren. Aus administrativer Sicht unterhielt jede Niederlassung ihr eigenes Active Directory und ihre eigenen Benutzer.

Die Muttergesellschaft wollte den Administratoren der Tochtergesellschaften keine administrativen Rechte im zentralen Active Directory- oder Exchange-System gewähren, aber die Benutzerverwaltung und die Bereitstellung von Postfächern an die Tochtergesellschaften delegieren. Außerdem sollten die Benutzer der Niederlassungen mit ihren AD-Konten in den Niederlassungen auf die zentrale Exchange-Umgebung zugreifen können, ohne dass sie für den E-Mail-Zugang eine separate Anmeldung benötigen.

Die Administratoren der Zweigstellen mussten für ihre eigenen Benutzer festlegen können, ob sie über ein Postfach in der zentralen Exchange-Umgebung verfügen und ob der Benutzer E-Mails ins Internet senden kann oder auf unternehmensinterne E-Mails beschränkt ist. Schließlich mussten die Administratoren der Zweigstellen die SMTP-Adressen für ihre Benutzer festlegen können und angeben, ob der Benutzer im globalen Adressbuch aufgeführt werden soll oder nicht.

Die Lösung

Die Lösung, die CSS anwandte, bestand darin, dass die Administratoren der Zweigstellen in ihren eigenen Active Directories "Hinweise" hinterlegten, die FIM lesen und dann die entsprechenden Bereitstellungsmaßnahmen in der zentralen Umgebung durchführen sollte.

Das folgende Diagramm zeigt, wie die FIM in dieses Bild passen:

Exchange-Provisioning-Diagramm

Bereitstellung der Hinweise für die Bereitstellung

Die von den Administratoren der Zweigstellen bereitgestellten Hinweise oder Bereitstellungsrichtlinien mussten irgendwo in den Active Directories der Zweigstellen gespeichert werden, um für FIM sichtbar zu sein. Wir verwendeten mehrere der "Erweiterungs"-Attribute, die in fast jedem AD-Schema vorhanden sind. Ein Attribut enthielt den Wert "None", "Company" oder "Internet", um anzugeben, ob der Benutzer eine Mailbox hat oder nicht und ob die Mailbox Rechte zum Senden und Empfangen im Internet hat oder auf Firmen-E-Mails beschränkt ist. Ein weiteres Attribut enthielt eine Liste von SMTP-Adressen für die Mailbox, und ein drittes Attribut enthielt "True" oder "False", um anzugeben, ob der Benutzer in die GAL aufgenommen werden sollte.

Die Administratoren der Zweigstellen hatten die Rechte, die Attribute in ihren eigenen Verzeichnissen zu aktualisieren, aber es gab keine einfache Benutzeroberfläche, um die Attribute der Erweiterungen zu bearbeiten (sie arbeiteten nicht mit Server 2008 und hatten die Exchange-Verwaltungstools nicht installiert). Wir zogen kurz in Erwägung, die Administratoren ADSI Edit oder ähnliche Tools zur Bearbeitung von Verzeichnissen verwenden zu lassen, verwarfen diese Idee jedoch aufgrund des potenziellen Risikos für Fehler und Schäden. Da die Administratoren der Zweigstelle das Standardtool Active Directory Users and Computers (ADUC) zur Verwaltung ihrer Benutzer verwendeten, entschieden wir uns für eine Erweiterung von ADUC, indem wir eine zusätzliche Registerkarte hinzufügten, auf der die Erweiterungsattribute auf leicht verständliche Weise angezeigt wurden. So sieht das Ganze aus:

Registerkarte ADUC-Erweiterung

Nach dem Anlegen eines Benutzers musste der Administrator nur noch zu dieser Registerkarte wechseln und die Exchange-Details für den Benutzer angeben.

Synchronisierung

Etwa alle zehn Minuten überprüfte die FIM-Synchronisierungs-Engine die drei Active Directories der Tochterunternehmen, um festzustellen, ob die Administratoren der Tochterunternehmen Änderungen an den Benutzern vorgenommen hatten, die verarbeitet werden mussten - und wenn dies der Fall war, führte FIM die entsprechenden Provisionierungs- oder Deprovisionierungsarbeiten durch.

Bereitstellung für Exchange

Exchange unterstützt den Zugriff auf Postfächer von Konten in entfernten Active Directory-Forests über eine Funktion namens "verknüpfte Postfächer". Um diese Funktion einzurichten, benötigen Sie ein Platzhalterkonto, dem das Postfach in derselben Gesamtstruktur gehört, in der sich auch Exchange befindet. Dieses Platzhalterkonto muss für Postfächer aktiviert, aber für die Anmeldung deaktiviert sein. Wenn Sie das Konto für das Postfach aktivieren, geben Sie Exchange an, dass es sich um ein verknüpftes Postfach handelt, und Sie geben das Konto in der entfernten Gesamtstruktur an, das Zugriff auf das Postfach haben wird.

FIM stellt standardmäßig Exchange-Postfächer bereit und kann Platzhalterkonten bereitstellen, ist aber nicht in der Lage, verknüpfte Postfächer zu erstellen und kann ein Exchange-Postfach nicht deprovisionieren, ohne auch das zugrunde liegende Konto zu entfernen.

Um diese Probleme zu lösen, hat CSS einen benutzerdefinierten Verwaltungsagenten oder "Connector" für FIM erstellt, der die Bereitstellung und Deprovisionierung von Exchange-Postfächern unabhängig von den AD-Konten übernimmt. Im Verborgenen gibt der Verwaltungsagent die entsprechenden PowerShell-Befehle aus, um herauszufinden, welche Postfächer derzeit vorhanden sind, um neue reguläre oder verknüpfte Postfächer zu erstellen und um Postfächer von Konten zu entfernen.

Eine der Anforderungen bestand darin, den Administratoren der Zweigstellen die Möglichkeit zu geben, die SMTP-E-Mail-Adressen ihrer Benutzer zu bestimmen. Die FIM-Synchronisierungs-Engine kann diese Informationen zwar an Active Directory weiterleiten, aber weder FIM noch AD warnen Sie, wenn Sie dieselbe SMTP-Adresse für mehrere Postfächer verwenden. Erschwerend kommt hinzu, dass bei mehreren Postfächern mit derselben SMTP-Adresse die Zustellung eingehender E-Mails an diese SMTP-Adresse unbemerkt fehlschlägt.

Um dies zu verhindern, haben wir einen weiteren benutzerdefinierten Verwaltungsagenten für FIM erstellt, um SMTP-Adressen zu verarbeiten. Der Agent verwendet wiederum Exchange PowerShell-Befehle, um die Zuweisung von SMTP-Adressen zu Postfächern anzufordern. Die PowerShell-Schnittstelle zu Exchange prüft auf doppelte SMTP-Adressen und gibt eine Warnung aus, die wir abfangen und an den Administrator der Niederlassung weiterleiten, um ihn über den Adresskonflikt zu informieren.

Um schließlich die Sicherheitsanforderung zu erfüllen, dass einige Benutzer E-Mails ins Internet senden dürfen und andere nur E-Mails an das Unternehmen senden dürfen, richteten wir in FIM eine grundlegende Gruppenverwaltung ein, um Benutzer, die nach Angaben der Administratoren der Niederlassung nur E-Mails an das Unternehmen senden dürfen, einer Windows-Gruppe zuzuordnen, und konfigurierten die entsprechenden Sicherheitsregeln in Exchange.

Zusammenfassung

Das Endergebnis war, dass CSS den Administratoren in einem entfernten Active Directory-Forest die Möglichkeit gab, Exchange-Postfächer zu erstellen und zu entfernen, E-Mail-Adressen zu verwalten, AD-Gruppenmitgliedschaften zu manipulieren und die globale Adressliste zu beeinflussen - und das alles auf kontrollierte Weise und ohne Gewährung von Administratorrechten im zentralen Forest des Unternehmens.

Wenn Sie also einen ähnlichen Bedarf haben, administrative Optionen an nicht privilegierte Benutzer zu delegieren, z. B. die Verwaltung von Exchange-Postfächern oder Gruppenmitgliedschaften, können Sie FIM dafür verwenden.

Abschließend möchte ich noch anmerken, dass wir bei diesem Projekt für unseren Kunden die Vorgängerversion von FIM (ILM) verwendet haben, da FIM zu diesem Zeitpunkt noch nicht veröffentlicht worden war. Das von uns verwendete ILM-Tool wurde zur Synchronisierungs-Engine in FIM und ist nur ein Teil der jetzt von FIM bereitgestellten Funktionalität. In der aktuellen Version von FIM gibt es noch viel mehr Delegationsmöglichkeiten, als ich hier beschrieben habe.