Tags: Exchange, Rechteverwaltung
In der Praxis ist es gang und gäbe, Berechtigungen auf freigegebene Postfächer pro User zu erteilen. Zur Auswahl stehen Vollzugriff, Senden als und Senden im Auftrag von. Eine bessere Lösung ist es, die Berechtigung per Gruppe zu setzen. Das erledigt man mit PowerShell, weil die Web-Konsole das nicht kann.
Als Nachteil erweist sich die Vergabe von Zugriffsrechten für Shared Mailboxes pro User zum Beispiel, wenn sich Mitarbeiter wegen eines Problems an den Helpdesk wenden (siehe dazu etwa: Aus freigegebenem Postfach versandte Mails landen nicht im Ordner "Gesendete Elemente"). Wenn dieser aber keinen Zugriff auf das Exchange Admin Center hat, dann reicht er das Ticket meistens zum Exchange-Administrator weiter, der die Rechte dann manuell ändert.
Vergibt man die Berechtigungen auf freigegebene Postfächer jedoch an Gruppen, dann kann der Helpdesk diese ganz einfach anpassen, indem er die Benutzer im Active Directory den entsprechenden Gruppen zuordnet.
Vollzugriff auf eine Shared Mailbox setzen
Der erste Schritt besteht darin, eine Gruppe anzulegen. Dies kann je nach Berechtigung eine Verteilergruppe sein, welche man im Adressbuch ausblendet, oder eine Active-Directory-Gruppe, die nicht mit Exchange verbunden ist. Für den Vollzugriff muss es sich um eine globale Sicherheitsgruppe handeln.
Die Gruppe kann nun mit folgendem Befehl bei der gewünschten Shared Mailbox hinterlegt werden:
Add-MailboxPermission -Identity "Buero@fabrik.local" -User "Buero_FullAccess" `
-AccessRights FullAccess -InheritanceType All -AutoMapping $true
Auf der Exchange-Konsole sollte es bei der Shared Mailbox Buero nun wie im folgenden Screenshot ausschauen.
User, die Mitglied in der Gruppe Buero_FullAccess sind, haben nun zwar volle Berechtigungen auf das Postfach, müssen dieses aber selbst in Outlook einbinden. Das Automapping funktioniert nämlich nur, wenn der User direkt berechtigt wurde.
Möchte der Administrator den Anwendern diese Arbeit jedoch ersparen, der sollte er sich das AD-Attribut msExchDelegateListLink der Shared Mailbox anschauen. Wenn er hier den distinguishedName der User einträgt, welche Mitglied der betreffenden Gruppe sind, dann klappt es auch mit dem Automapping.
Es empfiehlt sich, für diese Tätigkeit eine PowerShell-Task zu bauen, die in regelmäßigen Intervallen die Aktualität der Einträge überprüft, alte löscht und neue hinzufügt.
Möchte man anstatt der Berechtigung Vollzugriff nur Senden als erteilen, dann funktioniert dies nach dem gleichen Muster mit dem Cmdlet Add-ADPermission:
Add-ADPermission -Identity "Buero" -User "Buero_Sendenals" -AccessRights ExtendedRight -ExtendedRights "Send As"
Die Postfachstellvertretung für die Shared Mailbox Buero sieht in der Exchange-Konsole jetzt so aus:
Anschließend kann man auch hier das Zugriffrecht wieder über die globale Sicherheitsgruppe im Active Directory steuern.
Senden im Auftrag von
Schließlich fehlt noch die Berechtigung Senden im Auftrag von. Hier gibt es eine Besonderheit bei der Gruppe, denn es darf hier keine globale Sicherheitsgruppe sein, sondern eine universelle Verteiler- oder Sicherheitsgruppe. Nimmt man eine Verteilergruppe, die man für ihren eigentlichen Zweck aber gar nicht verwendet, dann sollte man sie im Adressbuch nicht anzeigen (hidden).
Gesetzt wird die Berechtigung mit folgendem PowerShell-Befehl:
Set-Mailbox -Identity "Buero" -GrantSendOnBehalfTo "Buero_SendenimAuftragvon"
Die Konfiguration ist damit abgeschlossen. Benutzer können ihre Berechtigungen nun über das Active Directory erhalten, indem sie der Administrator oder Helpdesk in die betreffenden Gruppen aufnimmt.
Ab und an kommt es vor, dass es längere Zeit dauert, bis ein User auf ein Postfach zugreifen kann, für das er bereits berechtigt wurde. Auch das Automapping verzögert sich gelegentlich etwas.
Täglich Know-how für IT-Pros mit unserem Newsletter
Roland Eich ist gelernter Fachinformatiker für Systemintegration und in der IT seit über 14 Jahren zu Hause. Roland deckt aufgrund seiner Erfahrungen ein breites Spektrum der Microsoft-Produktpalette ab.Zudem besitzt er verschiedene Zertifizierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).
// Kontakt: E-Mail //
Verwandte Beiträge
- Exchange Impersonation: Service-Benutzer auf Postfächer berechtigen
- Microsoft Exchange: Auflisten von Mitgliedern einer statischen Verteilergruppe verhindern
- Exchange-Funktionspostfach: Der Zugriffssteuerungseintrag für das Objekt kann nicht entfernt werden, da er nicht vorhanden ist
- Postfachberechtigungen an Gruppen im Active Directory vergeben
- Exchange: Private Nachrichten im Freigabepostfach sichtbar machen
Weitere Links
2 Kommentare
Danke. Wir haben das bei uns so mit lokalem Exchange umgesetzt.
Nun wechseln wir auf den O365 Exchange. Gibt es da schon Erfahrungen wie das Script umgesetzt werden kann?
Guten Morgen Herr Graf,
vielen Dank für Ihren Post. Bitte geben Sie uns gerne weitere Informationen Ihres Vorhabens bekannt. Was heißt Sie gehen auf EXO? Hybrid? Cloud Only? Führen Sie die Migration selbst durch oder ein Dienstleister? Haben Sie schonmal getestet was mit den Berechtigungen passiert, wenn Sie die Postfächer migrieren? Haben Sie schonmal geschaut was EXO so hergibt? Die Möglichkeiten dort mit Gruppen zu arbeiten sind ja ähnlich wie bei Exchange on Prem.
Herzliche Grüße
Roland Eich