Unterschied zwischen "$archiveadmin" und "admin" inkl. Berechnung

Bei EL mailarchive berechnet EBERTLANG pro Archiv. Bei der Erstellung einer neuen Instanz werden automatisch zwei Benutzer angelegt:

  • $archiveadmin
  • admin

Der $archiveadmin ist fest vorgegeben und wird üblicherweise vom MSP (Partner und auch EBERTLANG) genutzt, um Instanzteile zu administrieren. Zum Beispiel können hiermit Archivierungsprofile und Jobs erstellt oder generell die Instanz nach Fehlern überprüft werden. Der Benutzer kann z.B. jedoch keine Archive einsehen oder Export-Profile erstellen, auch auf die Aufbewahrungsrichtlinien hat er keinen Zugriff. Der $archiveadmin hat kein Archiv und wird somit nicht von EBERTLANG abgerechnet.

Ein Nutzer innerhalb der Instanz sollte jedoch Admin Rechte besitzen, um zum Beispiel Daten einsehen, E-Mails zu exportieren oder die Aufbewahrungsrichtlinien definieren zu können. Dafür wird üblicherweise der Instanzadmin (User "admin") verwendet und sollte daher Best-Practice unter keinen Umständen entfernt werden.

Hintergrund ist, dass wenn man einen Nutzer zum Admin benennt (technisch besteht die Möglichkeit innerhalb der Eigenschaften der User), dieser zwar auch alles innerhalb der Instanz administrieren kann, allerdings kann es das Risiko geben, das wenn ein "zum Admin gemachter Useraccount" gehackt werden würde, der Hacker auch auf Dienste wie MailStore zugreifen könnte. Des Weiteren wäre dieser zum Admin gemachte User Account nicht im Zugriff, falls der zum Admin gemachte Nutzer mal nicht anwesend ist.

Deshalb ist ein separater Admin (wie der Instanzadmin) oftmals die beste Lösung. Dieser bekommt nach Erstellung der Instanz automatisch ein Archiv zugewiesen, wird aber ab der sechsten Lizenz nicht berechnet, solange sein Archiv keine Nachrichten erhält. In Umgebungen kleiner sechs Lizenzen oder wenn sein Archiv E-Mails enthält, ist der Instanzadmin kostenpflichtig. 

Grundsätzlich sollten immer dedizierte Accounts für unterschiedliche Rollen existieren, um gewährleisten zu können, dass nur berechtige User Zugriff auf die entsprechenden Module bekommen.