Berechtigungen für freigegebene Postfächer (Shared Mailbox) an AD-Gruppen vergeben


    Tags: ,

    Freigegebenes Postfach in Exchange In der Praxis ist es gang und gäbe, Berech­tigungen auf frei­ge­gebene Post­fächer pro User zu er­teilen. Zur Aus­wahl stehen Voll­zugriff, Senden als und Senden im Auftrag von. Eine bessere Lösung ist es, die Berech­tigung per Gruppe zu setzen. Das erledigt man mit Power­Shell, weil die Web-Konsole das nicht kann.

    Als Nachteil erweist sich die Vergabe von Zugriffs­rechten für Shared Mailboxes pro User zum Beispiel, wenn sich Mitarbeiter wegen eines Problems an den Helpdesk wenden (siehe dazu etwa: Aus freigegebenem Postfach versandte Mails landen nicht im Ordner "Gesendete Elemente"). Wenn dieser aber keinen Zugriff auf das Exchange Admin Center hat, dann reicht er das Ticket meistens zum Exchange-Administrator weiter, der die Rechte dann manuell ändert.

    Vergibt man die Berechtigungen auf freigegebene Postfächer jedoch an Gruppen, dann kann der Helpdesk diese ganz einfach anpassen, indem er die Benutzer im Active Directory den entsprechenden Gruppen zuordnet.

    Vollzugriff auf eine Shared Mailbox setzen

    Der erste Schritt besteht darin, eine Gruppe anzulegen. Dies kann je nach Berechtigung eine Verteiler­gruppe sein, welche man im Adressbuch aus­blendet, oder eine Active-Directory-Gruppe, die nicht mit Exchange verbunden ist. Für den Vollzugriff muss es sich um eine globale Sicherheits­gruppe handeln.

    Für die Erteilung des Vollzugriffs auf ein freigegebenes Postfach verwendet man eine globale Sicherheitsgruppe.

    Die Gruppe kann nun mit folgendem Befehl bei der gewünschten Shared Mailbox hinterlegt werden:

    Add-MailboxPermission -Identity "Buero@fabrik.local" -User "Buero_FullAccess" `
    -AccessRights FullAccess -InheritanceType All -AutoMapping $true

    Vollzugriff für eine AD-Gruppe auf eine Shared Mailbox mittels PowerShell erteilen

    Auf der Exchange-Konsole sollte es bei der Shared Mailbox Buero nun wie im folgenden Screenshot ausschauen.

    Das Exchange Admin Center kann die Berechtigungen für AD-Gruppen auf eine Shared Mailbox nicht setzen, zeigt diese dann aber an.

    User, die Mitglied in der Gruppe Buero_FullAccess sind, haben nun zwar volle Berechtigungen auf das Postfach, müssen dieses aber selbst in Outlook einbinden. Das Automapping funktioniert nämlich nur, wenn der User direkt berechtigt wurde.

    Möchte der Administrator den Anwendern diese Arbeit jedoch ersparen, der sollte er sich das AD-Attribut msExchDelegateListLink der Shared Mailbox anschauen. Wenn er hier den distinguishedName der User einträgt, welche Mitglied der betreffenden Gruppe sind, dann klappt es auch mit dem Automapping.

    Um das Automapping für die Mitglieder eine AD-Gruppe zu aktivieren, fügt man sie dem Attribut msExchDelegateListLink hinzu.

    Es empfiehlt sich, für diese Tätigkeit eine PowerShell-Task zu bauen, die in regelmäßigen Intervallen die Aktualität der Einträge überprüft, alte löscht und neue hinzufügt.

    Möchte man anstatt der Berechtigung Vollzugriff nur Senden als erteilen, dann funktioniert dies nach dem gleichen Muster mit dem Cmdlet Add-ADPermission:

    Add-ADPermission -Identity "Buero" -User "Buero_Sendenals" -AccessRights ExtendedRight -ExtendedRights "Send As"

    Berechtigung "Senden als" auf ein freigegebenes Postfach für AD-Gruppe mit PowerShell gewähren

    Die Postfach­stell­vertretung für die Shared Mailbox Buero sieht in der Exchange-Konsole jetzt so aus:

    Auch das mit PowerShell vergebene Senden-als-Recht spiegelt sich im Admin Center wider.

    Anschließend kann man auch hier das Zugriffrecht wieder über die globale Sicherheits­gruppe im Active Directory steuern.

    Senden im Auftrag von

    Schließlich fehlt noch die Berechtigung Senden im Auftrag von. Hier gibt es eine Besonderheit bei der Gruppe, denn es darf hier keine globale Sicherheits­gruppe sein, sondern eine universelle Verteiler- oder Sicherheits­gruppe. Nimmt man eine Verteiler­gruppe, die man für ihren eigentlichen Zweck aber gar nicht verwendet, dann sollte man sie im Adressbuch nicht anzeigen (hidden).

    Die Verteilergruppe für die Vergabe der Berechtigung "Senden im Auftrag von" sollte man aus dem Adressbuch ausblenden.

    Gesetzt wird die Berechtigung mit folgendem PowerShell-Befehl:

    Set-Mailbox -Identity "Buero" -GrantSendOnBehalfTo "Buero_SendenimAuftragvon"

    Berechtigung für "Senden im Auftrag von" mit PowerShell an Verteilergruppe vergeben

    Die Konfiguration ist damit abgeschlossen. Benutzer können ihre Berechtigungen nun über das Active Directory erhalten, indem sie der Administrator oder Helpdesk in die betreffenden Gruppen aufnimmt.

    Ab und an kommt es vor, dass es längere Zeit dauert, bis ein User auf ein Postfach zugreifen kann, für das er bereits berechtigt wurde. Auch das Automapping verzögert sich gelegentlich etwas.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Roland Eich

    Roland Eich ist gelernter Fach­infor­matiker für System­inte­gration und in der IT seit über 14 Jahren zu Hause. Roland deckt auf­grund seiner Erfah­rungen ein breites Spek­trum der Microsoft-Produkt­palette ab.Zudem besitzt er ver­schiedene Zertifi­zierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).
    // Kontakt: E-Mail //

    Verwandte Beiträge

    Weitere Links

    2 Kommentare

    Danke. Wir haben das bei uns so mit lokalem Exchange umgesetzt.
    Nun wechseln wir auf den O365 Exchange. Gibt es da schon Erfahrungen wie das Script umgesetzt werden kann?

    Guten Morgen Herr Graf,
    vielen Dank für Ihren Post. Bitte geben Sie uns gerne weitere Informationen Ihres Vorhabens bekannt. Was heißt Sie gehen auf EXO? Hybrid? Cloud Only? Führen Sie die Migration selbst durch oder ein Dienstleister? Haben Sie schonmal getestet was mit den Berechtigungen passiert, wenn Sie die Postfächer migrieren? Haben Sie schonmal geschaut was EXO so hergibt? Die Möglichkeiten dort mit Gruppen zu arbeiten sind ja ähnlich wie bei Exchange on Prem.
    Herzliche Grüße
    Roland Eich