Postfachberechtigungen an Gruppen im Active Directory vergeben

    Berechtigungen an AD-Gruppen vergebenUm die Verwaltung der Postfächer (insbesondere von Funktions­post­fächern) zu verein­fachen, kann man Berech­tigungen an AD-Gruppen vergeben. Das funktioniert aber nicht so ohne weiteres, weil sich nicht alle Typen von Gruppen dafür eignen und sie zudem in bestimmten Fällen E-Mail-aktiviert sein müssen.

    Die Rechte­vergabe an Gruppen im Active Directory hat auch den Vorteil, dass der Service-Desk nicht mehr auf das Exchange ECP zugreifen muss, um einen Benutzer zu berechtigen. Hinzu kommt, dass sich Reports zum Thema "Wer hat wo Berechtigungen?" einfach über die Mitgliedschaften der hinterlegten Gruppen erzeugen lassen.

    Zulässige AD-Gruppen

    Eine Gruppe muss grundsätzlich im Gruppenbereich auf Universal und beim Gruppentyp auf Sicherheit gesetzt werden, ansonsten kann man sie nicht mit einem Postfach verknüpfen und es kommt zu unschönen Fehler­meldungen.

    Nur AD-Gruppen mit dem Scope Universal und dem Typ Sicherheit lassen sich mit einem Postfach verknüpfen.

    Hinzu kommt, dass die Gruppen in gewissen Konstellationen E-Mail-aktiviert sein müssen, wie die folgende Anleitung im Einzelnen zeigt.

    Berechtigung über PowerShell erteilen

    Bei Funktions­postfächern kommt es oft vor, dass eine Gruppe von Benutzern Vollzugriff benötigt. Dies kann mit PowerShell sehr schnell umgesetzt werden:

    Add-MailboxPermission info -User "<Name-der-Gruppe>" -AccessRights Full

    Einer AD-Gruppe Vollzugriff auf eine Exchange-Mailbox per PowerShell erteilen

    Auch bei der Berechtigung für Senden als funktioniert dies nach dem gleichen Muster:

    Add-ADPermission info -User "<Name-der-Gruppe>" -AccessRights ExtendedRight `
    -ExtendedRights "Send As"

    Das Recht 'Senden als' über PowerShell zuweisen

    Bei Senden im Auftrag von klappt dies nun aber nicht mehr so. Hier muss die Gruppe zum ersten Mal E-Mail-aktiviert sein. Dies sich schnell mit diesem Kommando erledigen:

    Enable-DistributionGroup -Identity "<AD-Gruppe-für-Senden-im-Auftrag-von>"

    AD-Gruppe über PowerShell E-Mail-aktivieren

    Allerdings sollte dabei darauf geachtet werden, dass die Verteilergruppe nicht ungewollt im Adressbuch erscheint, falls sie nicht gleichzeitig für diesen Zweck genutzt wird.

    Nun kann man das Recht Senden im Auftrag von setzen:

    Set-Mailbox info -GrantSendOnBehalfTo "<AD-Gruppe-für-Senden-im-Auftrag-von>"

    Möchte man nun granularer mit Gruppen arbeiten, um beispielsweise nur den Kalender eines Postfaches freizugeben, dann muss auch hier die Verteilergruppe E-Mail-aktiviert sein:

    Add-MailboxFolderPermission info -User "Berechtigung-InfoPostfach-Kalender" `
    -AccessRights Editor

    Berechtigungen auf den Exchange-Kalender mittels PowerShell erteilen

    Automapping

    Das so genannte Automapping würde aufgrund der Berechtigungs­vergabe an Gruppen nicht mehr funktionieren. Wenn man nämlich einen Benutzer für den Vollzugriff auf ein Funktions­postfach direkt berechtigt, dann wird er dort in das Attribut msExchDelegateListLink der Mailbox eingetragen. Outlook benötigt diese Information, um das Postfach automatisch zuordnen.

    Outlook verwendet das Mailbox-Attribut msExchDelegateListLink für das Automapping

    Bei der Berechtigung über Gruppen bleibt dieses Attribut jedoch leer und der Benutzer muss das Postfach selbst per Hand in sein Outlook einbinden. In der Praxis weiß allerdings kaum ein User, wie das geht und kontaktiert dafür häufig den Service-Desk.

    Um ihm solche Anfragen zu ersparen und trotzdem mit Gruppen zu arbeiten, bietet es sich an, einen kleinen Automatismus per PowerShell zu bauen und diesen dann in regelmäßigen Abständen laufen zu lassen.

    Das Beispiel zeigt ein einfaches Script, um das Attribut msExchDelegate­ListLink einer Mailbox zu löschen (falls sich an der Mitgliedschaft der Gruppe etwas geändert haben sollte) und es dann wieder mit den aktuellen Mitgliedern der berechtigten AD-Gruppe neu zu füllen.

    Das Automapping sollte dann wieder funktionieren.

    Troubleshooting

    Manchmal sollen bereits bestehende Verteilergruppen für Berechtigungen in Funktions­postfächern verwendet werden. Dabei können folgende Fehler auftauchen (grammatische Fehler im Original):

    Der Benutzer "<Name-der-Gruppe>" wurde in Active Directory gefunden, ihm können aber keine Berechtigungen zugewiesen werden. Versuchen sie stattdessen ein SMTP-Adresse.

    Fehlermeldung beim Verwenden bestehender AD-Gruppen für Berechtigungen

    Der Benutzer "<Name-der-Gruppe>" ist entweder keine gültige SMTP-Adresse oder es ist keine übereinstimmende Informationen vorhanden.

    Alternative Fehlermeldung beim Verwenden bestehender AD-Gruppen für Berechtigungen

    Wenn über das ECP Mitglieder der Gruppe hinzugefügt werden sollen, kommt unter Umständen folgende Fehlermeldung hoch:

    Mitglieder können sich nicht Sicherheits­gruppen hinzufügen. Legen Sie die Gruppe für Anforderungen zum Beitreten auf "Geschlossen" oder "Besitzergenehmigung" fest.

    Fehlermeldung, wonach sich Benutzer nicht zu Sicherheitsgruppen hinzufügen können

    Meist liegt es daran, dass die Mitgliedschafts­genehmigung (im Bereich Besitzer­genehmigung) auf Offen steht. Diese sollte man aber bei diesem Vorhaben beispielsweise auf Geschlossen setzen.

    Mitgliedschafts­genehmigung in der ECP anpassen

    Diesen Status kann man auch per PowerShell prüfen:

    Get-Distributiongroup -identity Verteiler-Trainingsraum |
    select MemberDepartRestriction

    Status der Mitgliedschafts­genehmigung über PowerShell abfragen

    Mit folgendem Befehl kann man diesen Parameter zudem ändern:

    Set-Distributiongroup -identity Verteiler-Trainingsraum `
    -MemberDepartRestriction closed

    Ich würde empfehlen ggf. auch den Parameter -MemberJoinRestriction auf Closed zu setzen, da es eigentlich keinen Sinn macht, für das Verlassen einer Gruppe eine andere Berechtigung zu setzen als für das Beitreten.

    Die Verteilung von Berechtigungen und das Hinzufügen von Mitgliedern zu der Gruppe sollten ab jetzt problemlos möglich sein.

    5 Kommentare

    JP sagt:
    4. November 2020 - 16:13

    Zitat "Allerdings sollte dabei darauf geachtet werden, dass die Verteilergruppe nicht ungewollt im Adressbuch erscheint, falls sie nicht gleichzeitig für diesen Zweck genutzt wird."

    Wie sorge ich dafür das die Gruppe nicht im Adressbuch landet ich aber dennoch über eine Gruppe berechtigen kann ?

    JP sagt:
    6. November 2020 - 9:31

    Der Befehl zum ausblenden der Gruppe aus dem Adressbuch ist

    Set-DistributionGroup -Identity „ADGruppe“ -HiddenFromAddressListsEnabled:$true

    Dies setzt voraus das die Gruppe bereits mit dem Befehl "Enable-DistributionGroup -Identity ADGruppe " im Exchange vorhanden ist.

    Roland sagt:
    5. November 2020 - 7:22

    Hallo JP,
    ganz einfach, über die Exchange ECP in der Gruppe den Haken für "Diese Gruppe in Adressliste ausblenden" setzen und dann passt das.
    Grüße
    Roland

    JP sagt:
    5. November 2020 - 9:58

    Vielen Dank erst einmal. Wie lautet hierfür der Powershell Befehl ?

    Theoretisch müsste, glaub ich, das Attribut "msExchHideFromAddressbook" auf "TRUE" gestellt werden. Allerdings finde ich bei mir in der Console nur "showInAdressBook" worin dann verschiedenste Adressbücher aufgelistet sind. Das Attribut "msExchHideFromAdressbook" ist hier gar nicht aufgelistet.

    JP sagt:
    5. November 2020 - 10:05

    Hat sich erledigt. Ich hatte noch einen Filter drin der nur belegte Attribute anzeigt. Das Attribut was auf "TRUE" gesetzt werden muss ist "msExchHideFromAddressLists". Ich denke sobald der abgesetzt ist löscht dieser automatisch die "showInAdressBook" Einträge - ich teste das mal aus... Danke.