Ja hallo,

was sind genau die vorteile von der nutzung von verteilergruppen anstatt generell sicherheitsgruppen zu verwenden? ich seh da irgendwie kein wirklichen sinn dahinter...

Verteilergruppen kann man keine Berechtigungen erteilen - ergo ist es auch nicht möglich, daß sich ein Angreifer über eine Verteilergruppe Rechte verschafft, die er nicht haben sollte.

HTH

Verteilergruppen kann man keine Berechtigungen erteilen - ergo ist es auch nicht möglich, daß sich ein Angreifer über eine Verteilergruppe Rechte verschafft, die er nicht haben sollte.

HTH
Gab/Gibt es derartige lücken? habe ncihts dergleichen finden können...dass über verteilergruppen keine berechtigugnen vergeben werden können ist klar aber die gruppenverwaltung ist ja eh ans ad gebunden und wenn diese gruppen editiert werden können, können wohl auch sec gruppen editiert werden oder versteh ich da was falsch?

Gab/Gibt es derartige lücken? habe ncihts dergleichen finden können...dass über verteilergruppen keine berechtigugnen vergeben werden können ist klar aber die gruppenverwaltung ist ja eh ans ad gebunden und wenn diese gruppen editiert werden können, können wohl auch sec gruppen editiert werden oder versteh ich da was falsch?
Das ganze Berechtigungssystem ist sehr komplex. Du kannst ja z.B. auch Verwaltungstätigkeiten delegieren. Es gibt nicht nur Admins und User, auch vieles dazwischen ist möglich... ;)
Im Grunde ist das Risiko wohl relativ gering, Sicherheitsgruppen als Verteilergruppe zu verwenden; sofern die Sicherheitsgruppe ohnehin bereits besteht macht es natürlich keinen Sinn, extra eine Verteilergruppe zu erstellen. Benötigt man eine neue Gruppe rein der Mailverteilung wegen, sollte man aber auch hier das Prinzip anwenden, das auf alles in der professionellen, auf Sicherheit bedachten IT zutrifft: Soll das können, was es muß - aber nicht mehr. Potentielle Lücken können somit nur den geringstmöglichen Schaden anrichten.

Das ganze Berechtigungssystem ist sehr komplex. Du kannst ja z.B. auch Verwaltungstätigkeiten delegieren. Es gibt nicht nur Admins und User, auch vieles dazwischen ist möglich... ;)
Im Grunde ist das Risiko wohl relativ gering, Sicherheitsgruppen als Verteilergruppe zu verwenden; sofern die Sicherheitsgruppe ohnehin bereits besteht macht es natürlich keinen Sinn, extra eine Verteilergruppe zu erstellen. Benötigt man eine neue Gruppe rein der Mailverteilung wegen, sollte man aber auch hier das Prinzip anwenden, das auf alles in der professionellen, auf Sicherheit bedachten IT zutrifft: Soll das können, was es muß - aber nicht mehr. Potentielle Lücken können somit nur den geringstmöglichen Schaden anrichten.
es ist momentan eher der entgegengesetzte fall...verteilergruppen vorhanden...sicherheitsgruppe benötigt (allerdings mit den gleichen mitgliedern)...seh das splitten weniger sinnig...

ja es gibt vieles zwischen drin aber "bei mir" diesbezüglich nicht...einer darf verwalten, gruppen ändern/anlegen etc pp und der rest darf diesbezüglich ncihts

Dann mach Sicherheitsgruppen und lösche am besten die Verteilergruppen.
Alternativ kannst Du natürlich auch Sicherheitsgruppen in die (bestehenden) Verteilergruppen aufnehmen...