Microsoft Exchange: Auflisten von Mitgliedern einer statischen Verteilergruppe verhindern


    Tags: , ,

    AD-Gruppen für ExchangeStatische und dyna­mische Verteiler­gruppen gehören zur Grund­aus­stattung von Exchange. Mit ihnen lassen sich etwa Ab­teilungen oder Teams abbilden. Sie dienen der Bün­delung von Kon­takten und ver­einfachen die Erreich­barkeit der Empfänger. Manch­mal möchte man aber die Mit­glieder einer Gruppe vor den Benutzern ver­bergen.

    Legt man in Exchange eine statische Verteiler­gruppe an, so sind die Benutzer in der Lage, die darin enthaltenen Mitglieder in Outlook aufzulisten. Dies erfolgt mit einem Klick auf das Plus(+)-Zeichen oder mit einem Doppelklick auf die Gruppe.

    Mitglieder einer statischen Verteilergruppe in Outlook anzeigen

    In einigen Situationen möchten Unter­nehmen, beispielsweise aus Gründen des Datenschutzes, ihren Benutzern diesen Einblick in eine Gruppe jedoch nicht gewähren. Dies lässt sich über mehrere Wege erreichen.

    Dynamische anstelle von statischer Gruppe

    Zum einen kann man alternativ mit einer dynamischen Gruppe arbeiten und dort den Attributfilter so anpassen, damit man dieses Ergebnis erzielt.

    Meistens gelingt dies allerdings nicht, da die Mitglieder von statischen Verteiler­gruppen so individuell zusammen­gewürfelt werden, dass sich dafür kein passender Filter finden lässt.

    Wenn Gruppen­mitglieder dazukommen oder wegfallen, dann kann zudem die Anpassung eines Filters recht aufwändig sein.

    AD-Attribut anpassen

    Eine bessere Variante besteht darin, das in jeder Verteilergruppe vorhandene Attribut hideDLMembership zu verwenden.

    hideDLMembership im Attribut-Editor von AD-Benutzer und -Computer

    Den Wert dieses Attributes setzt man auf True bzw. Wahr, um zu verhindern, dass Benutzer in die Mitgliederliste einsehen können.

    Attribut hideDLMembership der Verteilergruppe im AD auf True setzen

    Anstelle der GUI von Active Directory-Benutzer und -Computer kann man das Attribut auch mit PowerShell ändern. Dies erfolgt nach diesem Muster:

    Get-ADGroup -Identity "Meine Gruppe RE-1-340512325" -Properties * |
    Set-ADGroup -Add @{hideDLMembership= $true}

    Die Änderung ist nach ein paar Minuten für die User bereits spürbar.

    Nach dem Ändern des Attributs hideDLMembership auf true verweigert Outlook die Anzeige der Gruppenmitglieder.

    Gruppe aus dem Adressbuch nehmen

    Für Exchange Online gibt es diese Option mit AD-Attribut nicht. Hier bliebe nur die dritte und letzte Möglichkeit, nämlich die Gruppe aus dem Adressbuch auszublenden. Sie funktioniert natürlich auch on-prem.

    Statische Verteilergruppe im Exchange Admin Center aus dem Adressbuch entfernen

    Alternativ zur GUI kann man auch hier zur PowerShell greifen:

    Set-DistributionGroup -Identity 'Meine-Gruppe-RE' `
    -HiddenFromAddressListsEnabled:$true

    Für Exchange Online verwendet man für diesen Zweck das Cmdlet Set-UnifiedGroup mit dem Parameter HiddenFromAddressListsEnabled.

    Zusätzlich sollte man noch die OutofOffice/NDR-Nachrichten der Gruppe deaktivieren, weil hierüber zumindest ein Teil der Gruppe identifiziert werden kann. Dies geht über folgenden PowerShell-Befehl:

    Set-DistributionGroup "Meine-Gruppe-RE" -SendOofMessageToOriginatorEnabled $false

    Hinweis zum Schluss: Wer AAD Connect einsetzt und damit Verteiler­gruppen synchronisiert, könnte unter Umständen Probleme bekommen, wenn das Attribut ggf. nicht synchronisiert wird.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Roland Eich

    Roland Eich ist gelernter Fach­infor­matiker für System­inte­gration und in der IT seit über 14 Jahren zu Hause. Roland deckt auf­grund seiner Erfah­rungen ein breites Spek­trum der Microsoft-Produkt­palette ab.Zudem besitzt er ver­schiedene Zertifi­zierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).
    // Kontakt: E-Mail //

    Verwandte Beiträge

    Weitere Links

    1 Kommentar

    hideDLMembership <- Dieser Move war mir bisher auch noch nicht bekannt :-) Danke!!!