Tags: Exchange, E-Mail, Active Directory, PowerShell
In so gut wie jeder Organisation, die Microsoft Exchange betreibt, spielen Verteilergruppen eine wichtige Rolle bei der Kommunikation und Verteilung von Informationen. Diese können zwar im Exchange Admin Center (ECP) erstellt und verwaltet werden, dieser Artikel zeigt alternativ das Vorgehen mit PowerShell.
Verteilergruppen gibt es sowohl in Exchange on Prem als auch in Exchange Online und sie verhalten sich vom auf beiden Umgebungen gleich. Bevor man damit beginnt, Verteilergruppen anzulegen, sollte man den Verwendungszweck und auch die spätere Pflege klar definieren.
Grundsätzlich unterscheidet man zwischen statischer Verteilergruppe, Sicherheitsgruppe und dynamischer Verteilergruppe:
- Verteilergruppe: Sie ist im Allgemeinen eine statische Gruppe, das heißt, die Mitglieder werden per Hand zugewiesen.
- Sicherheitsgruppe: Hierbei handelt es sich um eine E-Mail-aktivierte Sicherheitsgruppe im Active Directory. Diese ist wie die Verteilergruppe ebenfalls statisch, kann aber auch für andere Zwecke verwendet werden, zum Beispiel für Berechtigungen an Postfächern oder im Dateisystem.
- Dynamische Verteilergruppe: Im Unterschied zur normalen Verteilergruppe ist sie, wie der Name schon sagt, nicht statisch. Vielmehr wird anhand von Regeln und Filtern automatisch entschieden, wer Mitglied der Gruppe sein soll. Dies kann zum Beispiel anhand von Attributen entschieden werden. Dynamische Verteilergruppen sind im Allgemeinen sehr wartungsarm, da hier das Regelwerk die Pflege der Mitgliedschaften übernimmt. Sie eignen sich besonders für Abteilungs- oder komplette Unternehmensverteiler.
Wer sich einen Überblick über alle vorhandenen Verteilergruppen verschaffen will, erhält diesen mit dem Befehl Get-DistributionGroup. Er zeigt sowohl die normalen Verteilergruppen als auch die Sicherheitsgruppen.
Natürlich lassen sich auch die Mitglieder einer Verteilergruppe ausgeben, diesem Zweck dient Get-DistributionGroupMember:
Get-DistributionGroupMember -Identity "Windowspro static"
Verteilergruppe per PowerShell anlegen
Diese Aufgabe übernimmt das Cmdlet New-DistributionGroup. Ein Aufruf könnte so aussehen:
New-DistributionGroup -Name "Windowspro static" -Alias WproSta `
-MemberJoinRestriction open
Der Parameter MemberJoinRestriction ermöglicht es dem Besitzer der Gruppe, Mitglieder hinzuzufügen. In der Praxis wird dies allerdings eher selten genutzt.
Wer eine Sicherheitsgruppe erstellen will, der ergänzt den obigen Aufruf um den Parameter Type mit dem Wert Security:
New-DistributionGroup -Name 'Windowspro Sec' -Alias 'WproSec' -Type 'Security'
Mit dem Parameter Members kann man beim Erzeugen der Verteilergruppe auch gleich die ersten Mitglieder hinzufügen. Danach lassen sich weitere Mitglieder mit Add-DistributionGroupMember in die Gruppe aufnehmen, das Cmdlet erhält die Namen über den Parameter Member.
Verteilergruppen löschen, Mitglieder entfernen
Gruppen oder Benutzer daraus wieder zu entfernen gehört ebenfalls zur Pflege von Verteilergruppen. Ersteres lässt sich mit Remove-DistributionGroup erreichen, dieses Beispiel löscht die Gruppe Windowspro Sec:
Remove-DistributionGroup -Identity "Windowspro Sec"
Wenn man nur Mitglieder aus einer Verteilergruppe entfernen möchte, dann geht man so vor:
Remove-DistributionGroupMember -Identity "Windowspro static" `
-Member Ernie.Meier@smartsocke.com
Damit haben wir das Anlegen und Administrieren statischer Verteilergruppen sowie Sicherheitsgruppen demonstriert.
Vorhandene Sicherheitsgruppe als Verteiler
Eine weitere wichtige Anforderung besteht in der Praxis darin, eine im Active Directory bereits vorhandene Sicherheitsgruppe zu E-Mail-aktivieren. Dabei muss es sich um eine universelle Sicherheitsgruppe handeln, ansonsten klappt dies nicht.
Auch dies ist per PowerShell mit Enable-DistributionGroup bzw. Disable-DistributionGroup recht einfach möglich. Ein Aufruf könnte so aussehen:
Enable-DistributionGroup -Identity "windowspro sec"
Dynamische Verteilergruppe anlegen
Das Anlegen einer dynamischen Verteilergruppe ist etwas komplexer, weil die Regel für die automatische Mitgliedschaft je nach Anforderung mehrere Kriterien berücksichtigen muss. Folgender Beitrag auf Microsoft Docs gibt die Eigenschaften an, die man für den Parameter RecipientFilter in New-DynamicDistributionGroup verwenden kann.
Folgendes Beispiel legt eine dynamische Verteilergruppe an, welche alle Benutzerpostfächer als Mitglied haben soll, welche im Attribut Company den Wert Windowspro stehen haben.
New-DynamicDistributionGroup -Name "Windowspro dyn" `
-RecipientFilter "(RecipientTypeDetails -eq 'UserMailbox') `
-and (Company -eq 'Windowspro')"
Anschließend sind die Mitglieder der Gruppe erstmal nicht zu sehen, auch in der ECP nicht. Hierzu bedarf es eines weiteren PowerShell-Befehls:
Get-Recipient -RecipientPreviewFilter `
(Get-DynamicDistributionGroup "Windowspro dyn").RecipientFilter
Sollte ein Benutzer nun weiterhin nicht als Mitglied auftauchen, dann liegt es entweder am Regelwerk oder möglicherweise daran, dass die notwendigen Attribute im Active Directory nicht richtig gepflegt wurden.
Wenn man den Filter erweitern oder komplett verändern will, muss man die Verteilergruppe nicht neu anlegen, vielmehr kann man das mit Set-DynamicDiestributionGroup erreichen.
Wie die anderen Verteilergruppen auch, lässt sich die dynamische Verteilergruppe über PowerShell löschen:
Remove-DynamicDistributionGroup -Identity "Windowspro dyn"
Ein Cmdlet zum Entfernen von Mitgliedern wie bei den statischen Gruppen gibt es hier natürlich nicht, denn für die Zugehörigkeit von Benutzern zu dynamischen Verteilergruppen ist der Filter zuständig.
Täglich Know-how für IT-Pros mit unserem Newsletter
Roland Eich ist gelernter Fachinformatiker für Systemintegration und in der IT seit über 14 Jahren zu Hause. Roland deckt aufgrund seiner Erfahrungen ein breites Spektrum der Microsoft-Produktpalette ab.
Zudem besitzt er verschiedene Zertifizierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).
// Kontakt: E-Mail //
Ähnliche Beiträge
- Kontakte für Microsoft Exchange anlegen im Admin Center oder mit PowerShell
- Abwesenheitsnotiz (Out of Office) in Exchange für andere User mit PowerShell oder in der ECP konfigurieren
- Microsoft Exchange: Unterschiedliche Anzeigenamen für interne und externe Mails nutzen
- Postfächer in Exchange (Online) mit PowerShell verwalten
- Mail-Adressen für mehrere Domänen in Exchange bereitstellen
Weitere Links