Exchange Server: Vererbte Berechtigungen auf Datenbanken und Postfächer

Auf einem Exchange 2019 Server sind mir vererbte Berechtigungen aufgefallen, welche bewusst nicht so gesetzt wurden. Ich vermute dass es sich hier um Standardberechtigungen handelt, welche bei der Installation von Exchange Servern gesetzt werden. In diesem Fall hat ein Konto welches zu Installation genutzt wurde, recht weit reichende Berechtigungen auf Postfach- und Datenbankebene. Aufgefallen ist dies bei Routine Wartungsarbeiten:

Es handelt es dabei um die gleichen Rechte, welche auch automatisch für das Konto „Administrator“ konfiguriert werden. Nur weil mit dem markierten Konto die Installation durchgeführt wurde, möchte ich aber nicht, dass dieses Konto so viele Berechtigungen behält. Gerade wenn das Konto gelöscht wird, würden in diesem Fall SID-Leichen bestehen bleiben.

Ich habe zunächst gedacht, dass diese Berechtigungen von der Datenbank auf die Postfächer vererbt wird, jedoch werden die Berechtigungen viel früher an die Datenbanken und Postfächer vererbt.

Eine der Berechtigungen wird über den Container „Microsoft Exchange“ in der Active Directory Konfigurations Partition vererbt. Diese kann mittels ADSI Edit entfernt werden:

Die zweite Berechtigung wird über den Container Exchange Organisation vererbt:

Auch diese Berechtigung kann mittels ADSI Edit entfernt werden. Falls das Konto die Berechtigungen behalten soll, man hier aber trotzdem etwas mehr Ordnung rein gebracht werden soll, kann das Konto in die Gruppe „Exchange Organization Administrators“ aufgenommen werden. Diese hat die gleichen Berechtigungen wie zuvor das einzelne Konto.

Nachdem via ADSI Edit die beiden Einträge entfernt wurden, sehen die Berechtigung auf Postfach und Datenbank Ebene auch wieder sauber aus: