Berechtigungen für freigegebene Postfächer (Shared Mailbox) an AD-Gruppen vergeben
In der Praxis ist es gang und gäbe, Berechtigungen auf freigegebene Postfächer pro User zu erteilen. Zur Auswahl stehen Vollzugriff, Senden als und Senden im Auftrag von. Eine bessere Lösung ist es, die Berechtigung per Gruppe zu setzen. Das erledigt man mit PowerShell, weil die Web-Konsole das nicht kann.
Als Nachteil erweist sich die Vergabe von Zugriffsrechten für Shared Mailboxes pro User zum Beispiel, wenn sich Mitarbeiter wegen eines Problems an den Helpdesk wenden (siehe dazu etwa: Aus freigegebenem Postfach versandte Mails landen nicht im Ordner "Gesendete Elemente"). Wenn dieser aber keinen Zugriff auf das Exchange Admin Center hat, dann reicht er das Ticket meistens zum Exchange-Administrator weiter, der die Rechte dann manuell ändert.
Vergibt man die Berechtigungen auf freigegebene Postfächer jedoch an Gruppen, dann kann der Helpdesk diese ganz einfach anpassen, indem er die Benutzer im Active Directory den entsprechenden Gruppen zuordnet.
Vollzugriff auf eine Shared Mailbox setzen
Der erste Schritt besteht darin, eine Gruppe anzulegen. Dies kann je nach Berechtigung eine Verteilergruppe sein, welche man im Adressbuch ausblendet, oder eine Active-Directory-Gruppe, die nicht mit Exchange verbunden ist. Für den Vollzugriff muss es sich um eine globale Sicherheitsgruppe handeln.
Die Gruppe kann nun mit folgendem Befehl bei der gewünschten Shared Mailbox hinterlegt werden:
Add-MailboxPermission -Identity "Buero@fabrik.local" -User "Buero_FullAccess" `
-AccessRights FullAccess -InheritanceType All -AutoMapping $true
Auf der Exchange-Konsole sollte es bei der Shared Mailbox Buero nun wie im folgenden Screenshot ausschauen.
User, die Mitglied in der Gruppe Buero_FullAccess sind, haben nun zwar volle Berechtigungen auf das Postfach, müssen dieses aber selbst in Outlook einbinden. Das Automapping funktioniert nämlich nur, wenn der User direkt berechtigt wurde.
Möchte der Administrator den Anwendern diese Arbeit jedoch ersparen, der sollte er sich das AD-Attribut msExchDelegateListLink der Shared Mailbox anschauen. Wenn er hier den distinguishedName der User einträgt, welche Mitglied der betreffenden Gruppe sind, dann klappt es auch mit dem Automapping.
Es empfiehlt sich, für diese Tätigkeit eine PowerShell-Task zu bauen, die in regelmäßigen Intervallen die Aktualität der Einträge überprüft, alte löscht und neue hinzufügt.
Möchte man anstatt der Berechtigung Vollzugriff nur Senden als erteilen, dann funktioniert dies nach dem gleichen Muster mit dem Cmdlet Add-ADPermission:
Add-ADPermission -Identity "Buero" -User "Buero_Sendenals" -AccessRights ExtendedRight -ExtendedRights "Send As"
Die Postfachstellvertretung für die Shared Mailbox Buero sieht in der Exchange-Konsole jetzt so aus:
Anschließend kann man auch hier das Zugriffrecht wieder über die globale Sicherheitsgruppe im Active Directory steuern.
Senden im Auftrag von
Schließlich fehlt noch die Berechtigung Senden im Auftrag von. Hier gibt es eine Besonderheit bei der Gruppe, denn es darf hier keine globale Sicherheitsgruppe sein, sondern eine universelle Verteiler- oder Sicherheitsgruppe. Nimmt man eine Verteilergruppe, die man für ihren eigentlichen Zweck aber gar nicht verwendet, dann sollte man sie im Adressbuch nicht anzeigen (hidden).
Gesetzt wird die Berechtigung mit folgendem PowerShell-Befehl:
Set-Mailbox -Identity "Buero" -GrantSendOnBehalfTo "Buero_SendenimAuftragvon"
Die Konfiguration ist damit abgeschlossen. Benutzer können ihre Berechtigungen nun über das Active Directory erhalten, indem sie der Administrator oder Helpdesk in die betreffenden Gruppen aufnimmt.
Ab und an kommt es vor, dass es längere Zeit dauert, bis ein User auf ein Postfach zugreifen kann, für das er bereits berechtigt wurde. Auch das Automapping verzögert sich gelegentlich etwas.
Ähnliche Beiträge
- Exchange-Funktionspostfach: Der Zugriffssteuerungseintrag für das Objekt kann nicht entfernt werden, da er nicht vorhanden ist
- Postfachberechtigungen an Gruppen im Active Directory vergeben
- Exchange: Private Nachrichten im Freigabepostfach sichtbar machen
- Vorzeitiges CU1, CU12, CU22 für Exchange 2019 / 2016 / 2013 wegen Security, Rollup für Version 2010
- Namen und Größe der Ordner im Exchange-Postfach anzeigen mit PowerShell
Keine Kommentare