Verteilergruppen für Exchange in PowerShell anlegen und verwalten

    AD-Gruppen für ExchangeIn so gut wie jeder Organi­sation, die Microsoft Exchange betreibt, spielen Verteiler­gruppen eine wichtige Rolle bei der Kommu­nikation und Ver­teilung von Infor­mationen. Diese können zwar im Exchange Admin Center (ECP) erstellt und verwaltet werden, dieser Artikel zeigt alternativ das Vor­gehen mit PowerShell.

    Verteiler­gruppen gibt es sowohl in Exchange on Prem als auch in Exchange Online und sie verhalten sich vom auf beiden Umgebungen gleich. Bevor man damit beginnt, Verteilergruppen anzulegen, sollte man den Verwendungs­zweck und auch die spätere Pflege klar definieren.

    Grundsätzlich unterscheidet man zwischen statischer Verteilergruppe, Sicherheits­gruppe und dynamischer Verteilergruppe:

    • Verteilergruppe: Sie ist im Allgemeinen eine statische Gruppe, das heißt, die Mitglieder werden per Hand zugewiesen.
    • Sicherheitsgruppe: Hierbei handelt es sich um eine E-Mail-aktivierte Sicherheits­gruppe im Active Directory. Diese ist wie die Verteiler­gruppe ebenfalls statisch, kann aber auch für andere Zwecke verwendet werden, zum Beispiel für Berechtigungen an Postfächern oder im Dateisystem.
    • Dynamische Verteilergruppe: Im Unterschied zur normalen Verteilergruppe ist sie, wie der Name schon sagt, nicht statisch. Vielmehr wird anhand von Regeln und Filtern automatisch entschieden, wer Mitglied der Gruppe sein soll. Dies kann zum Beispiel anhand von Attributen entschieden werden. Dynamische Verteilergruppen sind im Allgemeinen sehr wartungsarm, da hier das Regelwerk die Pflege der Mitgliedschaften übernimmt. Sie eignen sich besonders für Abteilungs- oder komplette Unternehmens­verteiler.

    Wer sich einen Überblick über alle vorhandenen Verteilergruppen verschaffen will, erhält diesen mit dem Befehl Get-DistributionGroup. Er zeigt sowohl die normalen Verteiler­gruppen als auch die Sicherheits­gruppen.

    Verteilergruppen ausgeben mit PowerShell

    Natürlich lassen sich auch die Mitglieder einer Verteilergruppe ausgeben, diesem Zweck dient Get-DistributionGroupMember:

    Get-DistributionGroupMember -Identity "Windowspro static"

    Mitglieder einer Verteilergruppe auflisten mit Get-DistributionGroupMember

    Verteilergruppe per PowerShell anlegen

    Diese Aufgabe übernimmt das Cmdlet New-DistributionGroup. Ein Aufruf könnte so aussehen:

    New-DistributionGroup -Name "Windowspro static" -Alias WproSta `
    -MemberJoinRestriction open

    Neue Verteilergruppe anlegen mit New-DistributionGroup

    Der Parameter MemberJoinRestriction ermöglicht es dem Besitzer der Gruppe, Mitglieder hinzuzufügen. In der Praxis wird dies allerdings eher selten genutzt.

    Wer eine Sicherheitsgruppe erstellen will, der ergänzt den obigen Aufruf um den Parameter Type mit dem Wert Security:

    New-DistributionGroup -Name 'Windowspro Sec' -Alias 'WproSec' -Type 'Security'

    Neue Verteilergruppe vom Typ Security anlegen

    Mit dem Parameter Members kann man beim Erzeugen der Verteilergruppe auch gleich die ersten Mitglieder hinzufügen. Danach lassen sich weitere Mitglieder mit Add-DistributionGroupMember in die Gruppe aufnehmen, das Cmdlet erhält die Namen über den Parameter Member.

    Mitglieder zu einer Verteilergruppe hinzufügen mit Add-DistributionGroupMember

    Verteilergruppen löschen, Mitglieder entfernen

    Gruppen oder Benutzer daraus wieder zu entfernen gehört ebenfalls zur Pflege von Verteiler­gruppen. Ersteres lässt sich mit Remove-DistributionGroup erreichen, dieses Beispiel löscht die Gruppe Windowspro Sec:

    Remove-DistributionGroup -Identity "Windowspro Sec"

    Verteilergruppe löschen mit PowerShell

    Wenn man nur Mitglieder aus einer Verteiler­gruppe entfernen möchte, dann geht man so vor:

    Remove-DistributionGroupMember -Identity "Windowspro static" `
    -Member Ernie.Meier@smartsocke.com

    User aus einer Verteilergruppe entfernen mit Remove-DistributionGroupMember

    Damit haben wir das Anlegen und Administrieren statischer Verteilergruppen sowie Sicherheits­gruppen demonstriert.

    Vorhandene Sicherheitsgruppe als Verteiler

    Eine weitere wichtige Anforderung besteht in der Praxis darin, eine im Active Directory bereits vorhandene Sicherheits­gruppe zu E-Mail-aktivieren. Dabei muss es sich um eine universelle Sicherheits­gruppe handeln, ansonsten klappt dies nicht.

    Auch dies ist per PowerShell mit Enable-DistributionGroup bzw. Disable-DistributionGroup recht einfach möglich. Ein Aufruf könnte so aussehen:

    Enable-DistributionGroup -Identity "windowspro sec"

    Im Active Directory bestehende Sicherheitsgruppe E-Mail-aktivieren

    Dynamische Verteilergruppe anlegen

    Das Anlegen einer dynamischen Verteiler­gruppe ist etwas komplexer, weil die Regel für die automatische Mitgliedschaft je nach Anforderung mehrere Kriterien berücksichtigen muss. Folgender Beitrag auf Microsoft Docs gibt die Eigenschaften an, die man für den Parameter RecipientFilter in New-DynamicDistributionGroup verwenden kann.

    Folgendes Beispiel legt eine dynamische Verteilergruppe an, welche alle Benutzer­postfächer als Mitglied haben soll, welche im Attribut Company den Wert Windowspro stehen haben.

    New-DynamicDistributionGroup -Name "Windowspro dyn" `
    -RecipientFilter "(RecipientTypeDetails -eq 'UserMailbox') `
    -and (Company -eq 'Windowspro')"

    Neue dynamische Verteilergruppe anlegen

    Anschließend sind die Mitglieder der Gruppe erstmal nicht zu sehen, auch in der ECP nicht. Hierzu bedarf es eines weiteren PowerShell-Befehls:

    Get-Recipient -RecipientPreviewFilter `
    (Get-DynamicDistributionGroup "Windowspro dyn").RecipientFilter

    Sollte ein Benutzer nun weiterhin nicht als Mitglied auftauchen, dann liegt es entweder am Regelwerk oder möglicherweise daran, dass die notwendigen Attribute im Active Directory nicht richtig gepflegt wurden.

    Wenn man den Filter erweitern oder komplett verändern will, muss man die Verteilergruppe nicht neu anlegen, vielmehr kann man das mit Set-DynamicDiestributionGroup erreichen.

    Wie die anderen Verteilergruppen auch, lässt sich die dynamische Verteilergruppe über PowerShell löschen:

    Remove-DynamicDistributionGroup -Identity "Windowspro dyn"

    Dynamische Verteilergruppe löschen

    Ein Cmdlet zum Entfernen von Mitgliedern wie bei den statischen Gruppen gibt es hier natürlich nicht, denn für die Zugehörigkeit von Benutzern zu dynamischen Verteilergruppen ist der Filter zuständig.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Keine Kommentare