Tags: Exchange, Active Directory, Rechteverwaltung
Statische und dynamische Verteilergruppen gehören zur Grundausstattung von Exchange. Mit ihnen lassen sich etwa Abteilungen oder Teams abbilden. Sie dienen der Bündelung von Kontakten und vereinfachen die Erreichbarkeit der Empfänger. Manchmal möchte man aber die Mitglieder einer Gruppe vor den Benutzern verbergen.
Legt man in Exchange eine statische Verteilergruppe an, so sind die Benutzer in der Lage, die darin enthaltenen Mitglieder in Outlook aufzulisten. Dies erfolgt mit einem Klick auf das Plus(+)-Zeichen oder mit einem Doppelklick auf die Gruppe.
In einigen Situationen möchten Unternehmen, beispielsweise aus Gründen des Datenschutzes, ihren Benutzern diesen Einblick in eine Gruppe jedoch nicht gewähren. Dies lässt sich über mehrere Wege erreichen.
Dynamische anstelle von statischer Gruppe
Zum einen kann man alternativ mit einer dynamischen Gruppe arbeiten und dort den Attributfilter so anpassen, damit man dieses Ergebnis erzielt.
Meistens gelingt dies allerdings nicht, da die Mitglieder von statischen Verteilergruppen so individuell zusammengewürfelt werden, dass sich dafür kein passender Filter finden lässt.
Wenn Gruppenmitglieder dazukommen oder wegfallen, dann kann zudem die Anpassung eines Filters recht aufwändig sein.
AD-Attribut anpassen
Eine bessere Variante besteht darin, das in jeder Verteilergruppe vorhandene Attribut hideDLMembership zu verwenden.
Den Wert dieses Attributes setzt man auf True bzw. Wahr, um zu verhindern, dass Benutzer in die Mitgliederliste einsehen können.
Anstelle der GUI von Active Directory-Benutzer und -Computer kann man das Attribut auch mit PowerShell ändern. Dies erfolgt nach diesem Muster:
Get-ADGroup -Identity "Meine Gruppe RE-1-340512325" -Properties * |
Set-ADGroup -Add @{hideDLMembership= $true}
Die Änderung ist nach ein paar Minuten für die User bereits spürbar.
Gruppe aus dem Adressbuch nehmen
Für Exchange Online gibt es diese Option mit AD-Attribut nicht. Hier bliebe nur die dritte und letzte Möglichkeit, nämlich die Gruppe aus dem Adressbuch auszublenden. Sie funktioniert natürlich auch on-prem.
Alternativ zur GUI kann man auch hier zur PowerShell greifen:
Set-DistributionGroup -Identity 'Meine-Gruppe-RE' `
-HiddenFromAddressListsEnabled:$true
Für Exchange Online verwendet man für diesen Zweck das Cmdlet Set-UnifiedGroup mit dem Parameter HiddenFromAddressListsEnabled.
Zusätzlich sollte man noch die OutofOffice/NDR-Nachrichten der Gruppe deaktivieren, weil hierüber zumindest ein Teil der Gruppe identifiziert werden kann. Dies geht über folgenden PowerShell-Befehl:
Set-DistributionGroup "Meine-Gruppe-RE" -SendOofMessageToOriginatorEnabled $false
Hinweis zum Schluss: Wer AAD Connect einsetzt und damit Verteilergruppen synchronisiert, könnte unter Umständen Probleme bekommen, wenn das Attribut ggf. nicht synchronisiert wird.
Täglich Know-how für IT-Pros mit unserem Newsletter
Roland Eich ist gelernter Fachinformatiker für Systemintegration und in der IT seit über 14 Jahren zu Hause. Roland deckt aufgrund seiner Erfahrungen ein breites Spektrum der Microsoft-Produktpalette ab.Zudem besitzt er verschiedene Zertifizierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).
// Kontakt: E-Mail //
Verwandte Beiträge
- Postfachberechtigungen an Gruppen im Active Directory vergeben
- Softerra Adaxes im Test: Management des Active Directory automatisieren
- Besitzer von Computer-Objekten im Active Directory anzeigen und ändern
- Berechtigungen für Domain Join delegieren
- Microsoft Entra ergänzt Azure Active Directory um Berechtigungs-Management und Verified ID
Weitere Links
1 Kommentar
hideDLMembership <- Dieser Move war mir bisher auch noch nicht bekannt :-) Danke!!!