Berechtigungen für freigegebene Postfächer (Shared Mailbox) an AD-Gruppen vergeben

In der Praxis ist es gang und gäbe, Berech­tigungen auf frei­ge­gebene Post­fächer pro User zu er­teilen. Zur Aus­wahl stehen Voll­zugriff, Senden als und Senden im Auftrag von. Eine bessere Lösung ist es, die Berech­tigung per Gruppe zu setzen. Das erledigt man mit Power­Shell, weil die Web-Konsole das nicht kann.

Als Nachteil erweist sich die Vergabe von Zugriffs­rechten für Shared Mailboxes pro User zum Beispiel, wenn sich Mitarbeiter wegen eines Problems an den Helpdesk wenden (siehe dazu etwa: Aus freigegebenem Postfach versandte Mails landen nicht im Ordner "Gesendete Elemente"). Wenn dieser aber keinen Zugriff auf das Exchange Admin Center hat, dann reicht er das Ticket meistens zum Exchange-Administrator weiter, der die Rechte dann manuell ändert.

Vergibt man die Berechtigungen auf freigegebene Postfächer jedoch an Gruppen, dann kann der Helpdesk diese ganz einfach anpassen, indem er die Benutzer im Active Directory den entsprechenden Gruppen zuordnet.

Vollzugriff auf eine Shared Mailbox setzen

Der erste Schritt besteht darin, eine Gruppe anzulegen. Dies kann je nach Berechtigung eine Verteiler­gruppe sein, welche man im Adressbuch aus­blendet, oder eine Active-Directory-Gruppe, die nicht mit Exchange verbunden ist. Für den Vollzugriff muss es sich um eine globale Sicherheits­gruppe handeln.

Die Gruppe kann nun mit folgendem Befehl bei der gewünschten Shared Mailbox hinterlegt werden:

Add-MailboxPermission -Identity "Buero@fabrik.local" -User "Buero_FullAccess" `
-AccessRights FullAccess -InheritanceType All -AutoMapping $true

Auf der Exchange-Konsole sollte es bei der Shared Mailbox Buero nun wie im folgenden Screenshot ausschauen.

User, die Mitglied in der Gruppe Buero_FullAccess sind, haben nun zwar volle Berechtigungen auf das Postfach, müssen dieses aber selbst in Outlook einbinden. Das Automapping funktioniert nämlich nur, wenn der User direkt berechtigt wurde.

Möchte der Administrator den Anwendern diese Arbeit jedoch ersparen, der sollte er sich das AD-Attribut msExchDelegateListLink der Shared Mailbox anschauen. Wenn er hier den distinguishedName der User einträgt, welche Mitglied der betreffenden Gruppe sind, dann klappt es auch mit dem Automapping.

Es empfiehlt sich, für diese Tätigkeit eine PowerShell-Task zu bauen, die in regelmäßigen Intervallen die Aktualität der Einträge überprüft, alte löscht und neue hinzufügt.

Möchte man anstatt der Berechtigung Vollzugriff nur Senden als erteilen, dann funktioniert dies nach dem gleichen Muster mit dem Cmdlet Add-ADPermission:

Add-ADPermission -Identity "Buero" -User "Buero_Sendenals" -AccessRights ExtendedRight -ExtendedRights "Send As"

Die Postfach­stell­vertretung für die Shared Mailbox Buero sieht in der Exchange-Konsole jetzt so aus:

Anschließend kann man auch hier das Zugriffrecht wieder über die globale Sicherheits­gruppe im Active Directory steuern.

Senden im Auftrag von

Schließlich fehlt noch die Berechtigung Senden im Auftrag von. Hier gibt es eine Besonderheit bei der Gruppe, denn es darf hier keine globale Sicherheits­gruppe sein, sondern eine universelle Verteiler- oder Sicherheits­gruppe. Nimmt man eine Verteiler­gruppe, die man für ihren eigentlichen Zweck aber gar nicht verwendet, dann sollte man sie im Adressbuch nicht anzeigen (hidden).

Gesetzt wird die Berechtigung mit folgendem PowerShell-Befehl:

Set-Mailbox -Identity "Buero" -GrantSendOnBehalfTo "Buero_SendenimAuftragvon"

Die Konfiguration ist damit abgeschlossen. Benutzer können ihre Berechtigungen nun über das Active Directory erhalten, indem sie der Administrator oder Helpdesk in die betreffenden Gruppen aufnimmt.

Ab und an kommt es vor, dass es längere Zeit dauert, bis ein User auf ein Postfach zugreifen kann, für das er bereits berechtigt wurde. Auch das Automapping verzögert sich gelegentlich etwas.