In den Netzwerk-Einstellungen werden Daten für den Zugriff im Netzwerk hinterlegt.
Dazu zählen zum einen die Mediaverzeichnisse. In den Mediadaten werden Dateianlagen und Bilder abgelegt, um die Datenbank selbst nicht unnötig zu vergrößern. In einer lokalen Datenbank können die Mediadaten in einem lokalen Verzeichnis / in den Benutzerdaten gespeichert werden. Im Netzwerkbetrieb müssen die Mediaverzeichnisse von jedem Client aus erreichbar sein. Entsprechend ist für die einzelnen Verzeichnisse eine Freigabe zu erstellen und die Pfade sind in einer Form zu hinterlegen, die von jedem Client aus erreichbar ist. Sind die Verzeichnisse von einem Client aus nicht erreichbar, erhält der Benutzer eine entsprechend Fehlermeldung bei der Anmeldung. Werden keine Mediapfade konfiguriert, so werden die Dateianlagen und Bilder direkt in der Datenbank gespeichert.
Zum anderen werden in der Netzwerkkonfiguration die SMTP Daten hinterlegt, wenn Dokumente direkt als EMail gesendet werden sollen (ohne MAPI-Schnittstelle, vgl. Programmeinstellungen / Projekte Mahnung).
Es sind die Absender E-Mail Adresse, der SMTP Server, auf dem sie gehostet ist, der SMTP Login und das SMTP Passwort zu hinterlegen. Die SSL Verschlüsselung ist bei Bedarf zu aktivieren. Die erforderlichen Daten können beim Provider erfragt werden.
Konfiguration der Netzwerk und WebServer Optionen |
Kalendersynchronisation
Einträge aus der Zeiterfassung / Terminplanung können mit externen Kalendern (z.B. Microsoft Exchange Server) synchronisiert werden. An dieser Stelle sind dafür der entsprechende Service auszuwählen und die URL des Exchange Web Services einzutragen. Außerdem ist die Zugriffsart zu bestimmen. Bei Vertreterstellung oder Identitätswechsel ist das Alias Servicekonto mit dem dazugehörigen Passwort zu hinterlegen.
Unabhängig von der Zugriffsart ist bei jedem Benutzer, dessen Termine synchronisiert werden sollen, in der Benutzerverwaltung der Benutzer Alias zu hinterlegen. Das Passwort wird zusätzlich benötigt, wenn die Zugriffsart über Einezlaccount erfolgen soll.
Über den "Test" Button kann der Zugriff getestet werden.
Überblick und Konfiguration der Zugriffsarten
Einzelaccount
Die Zugriffsart Einzelaccount empfiehlt sich bei einzelnen Accounts, für die die Synchronisation eingerichtet werden soll. Beim Zugriff über Einzelaccounts ist für jeden Benutzer sein Exchange-Alias Passwort in den Benutzerdetails zu hinterlegen. Im Exchangeserver sind keine Einstellungen notwendig.
Serviceaccount Vertreterstellung
Die Zugriffsart Vertreterstellung eignet sich für die Konfiguration weniger Accounts. Der Vertreteraccount "sendet im Auftrag von". Für den Zugriff über einen Serviceaccount mit Vertreterstellung ist das Verteilerkonto mit Passwort zu hinterlegen.
Einrichtung einer Vertreterregelung in Exchange
Die Vertreterregelung dient dazu, einer Person / einem Dienst Zugriffsrechte auf das Konto einer anderen Person zu ermöglichen. (z.B. im Rahmen einer Vertretung)
Die Vertreterregelung wird über die ExchangeManagementkonsole verwaltet, auf aktuellen Exchange Servern konkret über das Webportal „Exchange Administrative Center“. Die Anmeldung muss mit einem Administrationskonto erfolgen.
Nach Anmeldung am Portal ist aus der Liste der Empfänger per Doppelklick das Profil auszuwählen, für das die Vertreterregelung eingerichtet werden soll, also der Benutzer, der Vertreter sein soll. In den Details des Benutzerpostfachs ist unter dem Punkt Postfachstellvertretung ein Vollzugriff für all die Konten anzulegen, für deren Kalender über die Ingenious Kalendersynchronisation Einträge synchronisiert werden sollen.
Vertreterregelung in Exchange anlegen |
Identitätswechsel
Der Zugriff per Identitätswechsel bietet sich an, wenn auf viele oder alle Kalender einer Exchange Datenbank zugegriffen werden soll oder wenn der Benutzer nicht "im Auftrag", sondern als Besitzer agieren soll. Für den Zugriff über einen Serviceaccount mit Identitätswechsel ist das Verteilerkonto mit Passwort zu hinterlegen.
Einrichtung des Identitätswechsels in Exchange
Zur Konfiguration eines Identitätswechsels werden folgende Elemente benötigt:
- Ein Domänenservice Account, mit dem der Identitätswechsel ausgeführt wird. Für diese Anleitung lautet der Name des Accounts „VerteilerAccount“.
- Eine Domänenverteilergruppe, in der später die Accounts hinzugefügt werden, für die der Identitätswechsel ausgeführt werden soll
- Ein Exchange „Schreibbereich“ mit dem Exchange mitgeteilt werden kann, für welche Domänengruppe der Identitätswechsel gilt
- Eine Administrationsrolle in Exchange, die alles verbindet.
Anlage der Verteilergruppe
Der Übersicht wegen wird hier die Verteilergruppe in einer separaten Organisationseinheit angelegt.
Zur Anlage werden folgende Werte benötigt:
- Name der neuen Gruppe, hier „Test-ewsimpersonateUser“
- Anzeigename der Gruppe, hier ebenfalls „Test-ewsimpersonateUser“
- Typ der Gruppe, fix „Distribution”
- Name der Organisationeinheit, hier “TestVerteiler“
- Name der Domäne, z.B. „company.Org“
Zur Anlage der Gruppe ist der „Exchange Management Shell“ folgender Befehl auszuführen:
| Anlage der Gruppe |
Kopiere Code |
|---|---|
New-Distributiongroup -name "Test-ewsimpersonateUser" -Displayname "Test-ewsimpersonateUser" -Type "Distribution" -Organizationalunit "OU=TestVerteiler,DC= company,DC=org" | |
(Ohne Zeilenumbruch!)
Eine Auflistung der bereits vorhandenen Verteilergruppen erfolgt mit dem Befehl
| Auflistung Verteilergruppen |
Kopiere Code |
|---|---|
Get-Distributiongroup | |
Zur Auflistung von Details zu einer Gruppe kann folgender Befehl genutzt werden:
| Auflistung Gruppendetails |
Kopiere Code |
|---|---|
Get-Distributiongroup Test-ewsimpersonateUser|fl | |
Der Anhang “|fl” erzwingt die Auflistung der Eigenschaften, ohne würde nur eine allgemeine Übersicht dargestellt werden.
Schreibbereich/Managementscope für Exchange anlegen
Hierfür werden folgende Werte benötigt:
- Name des Bereiches, hier „TestImpersonateScope“
- Pfad zur Domänengruppe aus vorheigem Schritt
Der folgende Befehl ist ebenso in der „Exchange Management Shell“ auszuführen:
| Anlage des Schreibbereichs |
Kopiere Code |
|---|---|
New-ManagementScope -Name:"TestImpersonateScope" -RecipientRestrictionFilter {MemberOfGroup -eq "CN=Test-ewsimpersonateUser,OU=TestVerteiler,DC= company,DC=org"} | |
(ohne Zeilenumbruch)
Eine Auflistung bereits angelegter Schreibbereiche erfolgt mit dem Befehl
| Auflistung Schreibbereiche |
Kopiere Code |
|---|---|
Get-ManagementScope | |
Details zu einem Schreibbereich erhält man entsprechend mit
| Auflistung Schreibbereich Details |
Kopiere Code |
|---|---|
Get-ManagementScope TestImpersonateScope|fl | |
Wobei der Anhang „|fl“ die Detaildarstellung erzwingt.
Administrationsrolle in Exchange anlegen
Das Anlegen der Administrationsrollen erfolgt in der ExchangeManagementkonsole, auf aktuellen Exchange Servern konkret über das Webportal „Exchange Administrative Center“. Die Anmeldung muss mit einem Administrationskonto erfolgen.
Nach Anmeldung ist in der linken Liste der Eintrag „Berechtigungen“ anzuklicken. Ggf. ist nun im oberen Bereich noch in die Liste „Administrationsrollen“ zu wechseln:
Administrationsrolle in Exchange anlegen |
Per Doppelklick auf einen Eintrag wird die Bearbeitung geöffnet. Neue Rollen werden per Klick auf das Plus Symbol angelegt. Es öffnet sich in beiden Fällen eine Eingabemaske.
Hier sind folgende Werte einzutragen:
Name: Name der Administrationsrolle, hier „TestImpersonation“
Beschreibung: Eine Beschreibung der Rolle
Schreibbereich: Auswahl der oberen Radiobox -> aus der Dropdownbox ist der Managementscope aus den vorherigen Schritten auszuwählen
Rollen: Dies ist die Liste der zugewiesen Rechte/Funktionen
Auf Plus Klicken und aus der Liste der Rollen "ApplicationImpersonation" auswählen.
Mitglieder: Auflistung der Domänenaccounts, die den Identitätswechsel ausführen dürfen. Über den Plus-Button wird die Liste zur Auswahl des / der Benutzers geöffnet.
Anlage der Administrationsrolle in Exchange |
Wurde die Administrationsrolle korrekt angelegt, so ist in der Liste „AD Benutzer- und -Computer“ unter dem Punkt „Microsoft Exchange Security Groups“ ein entsprechender Eintrag vorhanden.
Per Doppelklick kann der Eintrag bearbeitet werden. In der Reiterkarte „Mitglieder“ sollte nun der Eintrag „VerteilerAccount“ zu sehen sein.
Administrationsrolle für Identitätswechsel im Active Directory |
Zuweisung der Benutzer, für die der Identitätswechsel erlaubt werden soll
Abschließend ist noch in der Verteilergruppe „Test-ewsimpersonateUser“ die Liste der Benutzer zu pflegen, für die der Identitätswechsel ausgeführt werden soll:
Für den Identitätswechsel freigegebene Benutzer |