Verteilergruppen für Exchange in PowerShell anlegen und verwalten

Grundsätzlich unterscheidet man zwischen statischer Verteilergruppe, Sicherheits­gruppe und dynamischer Verteilergruppe:

• Verteilergruppe: Sie ist im Allgemeinen eine statische Gruppe, das heißt, die Mitglieder werden per Hand zugewiesen.
• Sicherheitsgruppe: Hierbei handelt es sich um eine E-Mail-aktivierte Sicherheits­gruppe im Active Directory. Diese ist wie die Verteiler­gruppe ebenfalls statisch, kann aber auch für andere Zwecke verwendet werden, zum Beispiel für Berechtigungen an Postfächern oder im Dateisystem.
• Dynamische Verteilergruppe: Im Unterschied zur normalen Verteilergruppe ist sie, wie der Name schon sagt, nicht statisch. Vielmehr wird anhand von Regeln und Filtern automatisch entschieden, wer Mitglied der Gruppe sein soll. Dies kann zum Beispiel anhand von Attributen entschieden werden. Dynamische Verteilergruppen sind im Allgemeinen sehr wartungsarm, da hier das Regelwerk die Pflege der Mitgliedschaften übernimmt. Sie eignen sich besonders für Abteilungs- oder komplette Unternehmens­verteiler.

Wer sich einen Überblick über alle vorhandenen Verteilergruppen verschaffen will, erhält diesen mit dem Befehl Get-DistributionGroup. Er zeigt sowohl die normalen Verteiler­gruppen als auch die Sicherheits­gruppen.

Natürlich lassen sich auch die Mitglieder einer Verteilergruppe ausgeben, diesem Zweck dient Get-DistributionGroupMember:

Get-DistributionGroupMember -Identity "Windowspro static"

Verteilergruppe per PowerShell anlegen

Diese Aufgabe übernimmt das Cmdlet New-DistributionGroup. Ein Aufruf könnte so aussehen:

New-DistributionGroup -Name "Windowspro static" -Alias WproSta `
-MemberJoinRestriction open

Der Parameter MemberJoinRestriction ermöglicht es dem Besitzer der Gruppe, Mitglieder hinzuzufügen. In der Praxis wird dies allerdings eher selten genutzt.

Wer eine Sicherheitsgruppe erstellen will, der ergänzt den obigen Aufruf um den Parameter Type mit dem Wert Security:

New-DistributionGroup -Name 'Windowspro Sec' -Alias 'WproSec' -Type 'Security'

Mit dem Parameter Members kann man beim Erzeugen der Verteilergruppe auch gleich die ersten Mitglieder hinzufügen. Danach lassen sich weitere Mitglieder mit Add-DistributionGroupMember in die Gruppe aufnehmen, das Cmdlet erhält die Namen über den Parameter Member.

Verteilergruppen löschen, Mitglieder entfernen

Gruppen oder Benutzer daraus wieder zu entfernen gehört ebenfalls zur Pflege von Verteiler­gruppen. Ersteres lässt sich mit Remove-DistributionGroup erreichen, dieses Beispiel löscht die Gruppe Windowspro Sec:

Remove-DistributionGroup -Identity "Windowspro Sec"

Wenn man nur Mitglieder aus einer Verteiler­gruppe entfernen möchte, dann geht man so vor:

Remove-DistributionGroupMember -Identity "Windowspro static" `
-Member Ernie.Meier@smartsocke.com

Damit haben wir das Anlegen und Administrieren statischer Verteilergruppen sowie Sicherheits­gruppen demonstriert.

Vorhandene Sicherheitsgruppe als Verteiler

Eine weitere wichtige Anforderung besteht in der Praxis darin, eine im Active Directory bereits vorhandene Sicherheits­gruppe zu E-Mail-aktivieren. Dabei muss es sich um eine universelle Sicherheits­gruppe handeln, ansonsten klappt dies nicht.

Auch dies ist per PowerShell mit Enable-DistributionGroup bzw. Disable-DistributionGroup recht einfach möglich. Ein Aufruf könnte so aussehen:

Enable-DistributionGroup -Identity "windowspro sec"

Dynamische Verteilergruppe anlegen

Das Anlegen einer dynamischen Verteiler­gruppe ist etwas komplexer, weil die Regel für die automatische Mitgliedschaft je nach Anforderung mehrere Kriterien berücksichtigen muss. Folgender Beitrag auf Microsoft Docs gibt die Eigenschaften an, die man für den Parameter RecipientFilter in New-DynamicDistributionGroup verwenden kann.

Folgendes Beispiel legt eine dynamische Verteilergruppe an, welche alle Benutzer­postfächer als Mitglied haben soll, welche im Attribut Company den Wert Windowspro stehen haben.

New-DynamicDistributionGroup -Name "Windowspro dyn" `
-RecipientFilter "(RecipientTypeDetails -eq 'UserMailbox') `
-and (Company -eq 'Windowspro')"

Anschließend sind die Mitglieder der Gruppe erstmal nicht zu sehen, auch in der ECP nicht. Hierzu bedarf es eines weiteren PowerShell-Befehls:

Get-Recipient -RecipientPreviewFilter `
(Get-DynamicDistributionGroup "Windowspro dyn").RecipientFilter

Sollte ein Benutzer nun weiterhin nicht als Mitglied auftauchen, dann liegt es entweder am Regelwerk oder möglicherweise daran, dass die notwendigen Attribute im Active Directory nicht richtig gepflegt wurden.

Wenn man den Filter erweitern oder komplett verändern will, muss man die Verteilergruppe nicht neu anlegen, vielmehr kann man das mit Set-DynamicDiestributionGroup erreichen.

Wie die anderen Verteilergruppen auch, lässt sich die dynamische Verteilergruppe über PowerShell löschen:

Remove-DynamicDistributionGroup -Identity "Windowspro dyn"

Ein Cmdlet zum Entfernen von Mitgliedern wie bei den statischen Gruppen gibt es hier natürlich nicht, denn für die Zugehörigkeit von Benutzern zu dynamischen Verteilergruppen ist der Filter zuständig.