Exchange: Private Nachrichten im Freigabepostfach sichtbar machen

Der Absender einer E-Mail hat in Outlook die Möglich­keit, eine Nachricht als ver­traulich bzw. privat zu dekla­rieren. Bei freige­gebenen Post­fächern hat dies den un­schönen Effekt, dass die darauf berech­tigten Benutzer die Mail nicht sehen können. Dafür gibt es eine GUI- und eine aufwän­digere PowerShell-Lösung.

Die Option, um eine Nachricht als vertraulich einzustufen, findet sich in den Eigen­schaften einer neuen E-Mail unter Einstellungen => Vertraulichkeit.

Im Posteingang eines freigegebenen Postfaches wird dann zwar angezeigt, dass sich dort eine ungelesene E-Mail befindet, aber der Benutzer sieht eine solche private Nachricht auch dann nicht, wenn er Vollzugriff hat.

Schuld daran ist, dass in diesem Fall Vollzugriff nicht alle Berechtigungen umfasst, sondern private Nachrichten nimmer noch verborgen bleiben. Leider bietet Exchange keine adäquate Möglichkeit, die User mit gängigen PowerShell-Mitteln oder über die Exchange-Konsole nachzu­berechtigen.

Hier bleibt einerseits die Variante, sich mit dem Freigabe­postfach an einem Client oder der OWA anzumelden und die so genannte Stellvertreter­regelung zu konfigurieren. Dort aktiviert man die Option Stellvertretung kann private Elemente sehen, um auch einen Einblick auf private Nachrichten zu ermöglichen.

Wer es andererseits mit PowerShell versuchen möchte, muss dazu auf das Exchange-API zurück­greifen. Ein entsprechendes Script findet sich auf dem Blog von Glen Scales und könnte so ausschauen:

$mbtoDelegate = "SOURCEPOSTFACH" $delegatetoAdd = "TARGETPOSTFACH" # ACHTUNG!!! Je nachdem, auf welchem Laufwerk der Exchange installiert wurde, # muss der Pfad zur DLL angepasst werden!!! $dllpath = "C:\Program Files\Microsoft\Exchange Server\V15\Bin\Microsoft.Exchange.WebServices.dll" [void][Reflection.Assembly]::LoadFile($dllpath) $service = new-object Microsoft.Exchange.WebServices.Data.ExchangeService([Microsoft.Exchange.WebServices.Data.ExchangeVersion]::Exchange2007_SP1) $windowsIdentity = [System.Security.Principal.WindowsIdentity]::GetCurrent() $sidbind = "LDAP://<SID=" + $windowsIdentity.user.Value.ToString() + ">" $aceuser = [ADSI]$sidbind $service.AutodiscoverUrl($aceuser.mail.ToString()) $service.ImpersonatedUserId = new-object Microsoft.Exchange.WebServices.Data.ImpersonatedUserId([Microsoft.Exchange.WebServices.Data.ConnectingIdType]::SmtpAddress, $mbtoDelegate); $mbMailbox = new-object Microsoft.Exchange.WebServices.Data.Mailbox($mbtoDelegate) $dgUser = new-object Microsoft.Exchange.WebServices.Data.DelegateUser($delegatetoAdd) $dgUser.ViewPrivateItems = $true $dgUser.ReceiveCopiesOfMeetingMessages = $false $dgUser.Permissions.CalendarFolderPermissionLevel = [Microsoft.Exchange.WebServices.Data.DelegateFolderPermissionLevel]::Editor $dgUser.Permissions.InboxFolderPermissionLevel = [Microsoft.Exchange.WebServices.Data.DelegateFolderPermissionLevel]::Reviewer $dgArray = new-object Microsoft.Exchange.WebServices.Data.DelegateUser[] 1 $dgArray[0] = $dgUser $service.AddDelegates($mbMailbox, [Microsoft.Exchange.WebServices.Data.MeetingRequestsDeliveryScope]::DelegatesAndMe, $dgArray);

Die Werte für SOURCEPOSTFACH und TARGETPOSTFACH muss man natürlich an die eigenen Gegebenheiten anpassen. Der Schalter für die privaten Nachrichten wird im Script über die Eigenschaft

$dgUser.ViewPrivateItems = $true

gesetzt. $false stellt die klassische Stellvertretung wieder her.

Weitere Beispiele für die Stellvertreter­regelung gibt es auf dem erwähnten Blog von Glen Scales. Bei Fragen zu den Scripts hilft der Autor schnell und unkompliziert.