{"id":202,"date":"2022-11-17T17:20:04","date_gmt":"2022-11-17T15:20:04","guid":{"rendered":"https:\/\/www.it-fanatic.de\/?p=202"},"modified":"2022-11-17T17:22:38","modified_gmt":"2022-11-17T15:22:38","slug":"zugriff-aus-freigegebenes-postfach-ueber-benutzer-gruppe-steuern","status":"publish","type":"post","link":"https:\/\/www.it-fanatic.de\/?p=202","title":{"rendered":"Zugriff aus freigegebenes Postfach \u00fcber Benutzer-Gruppe steuern<\/strong>"},"content":{"rendered":"\n

Problembeschreibung<\/strong> <\/p>\n\n\n\n

Microsoft Exchange l\u00e4sst eine Steuerung des Zugriffs auf ein freigegebenes Postfach \u00fcber Benutzergruppen nicht zu. In der Grafischen-Umgebung (ECP) ist lediglich das hinzuf\u00fcgen von Benutzern f\u00fcr den Zugriff auf ein freigegebenes Postfach m\u00f6glich. Verwendet man nun zur Anlage eines neues Benutzers die Kopie eines vorhandenen Benutzers w\u00e4re es doch von Vorteil wenn der Zugriff auf freigegebene Postf\u00e4cher \u00fcber die Mitgliedschaft in einer Gruppe mit kopiert werden k\u00f6nnten. <\/p>\n\n\n\n

L\u00f6sungsansatz<\/strong> <\/p>\n\n\n\n

\u00dcber die PowerShell ist es m\u00f6glich auch Benutzergruppen Zugriff auf ein freigegebenes Postfach zu geben. Damit w\u00e4re der erste Schritt f\u00fcr den Zugriff erledigt, leider funktioniert danach das Auto-Mapping der freigegebenen Postf\u00e4cher nicht, da hierzu das AD-Attribute \u201emsExchDelegateListLink\u201c mit den entsprechenden Mitglieder der Gruppe gef\u00fcllt werden muss. Um das Ad-Attribute nun mit den entsprechenden Informationen zu f\u00fcllen habe ich ein PowerShell-Script* erstellt. Dieses kann nun nach \u00c4nderungen von Hand oder per Aufgabenplanung (z.B. alle 15 Minuten) gestartet werden. <\/p>\n\n\n\n

Einrichtung<\/strong> <\/p>\n\n\n\n

Zun\u00e4chst m\u00fcssen die Gruppen f\u00fcr die Postf\u00e4cher erstellt werden, hier nun Beispielhaft f\u00fcr ein Info- und ein Support-Postfach. <\/p>\n\n\n\n

New-ADGroup Mailbox_Info_Vollzugriff <\/em><\/strong><\/code><\/p>\n\n\n\n

New-ADGroup Mailbox_Support_Vollzugriff<\/em><\/strong><\/code><\/p>\n\n\n\n

Den erstellten Gruppen werden dann im zweiten Schritt die Berechtigungen auf die Postf\u00e4cher erteilt. Wichtig ist hierbei das diese in der Exchange-Shell ausgef\u00fchrt werden. Setzen des Vollzugriffs: <\/p>\n\n\n\n

Add-MailboxPermission info -User „Mailbox_Info_Vollzugriff“ -AccessRights Full<\/em><\/strong> <\/p>\n\n\n\n

Add-MailboxPermission support -User „Mailbox_Support_Vollzugriff“ -AccessRights Full<\/em><\/strong><\/p>\n\n\n\n

Setzen der Berechtigung \u201eSenden als\u201c: <\/p>\n\n\n\n

Add-ADPermission info -User „Mailbox_Info_Vollzugriff“ -AccessRights ExtendedRight -ExtendedRights „Send As“ <\/em><\/strong><\/p>\n\n\n\n

Add-ADPermission support -User „Mailbox_Support_Vollzugriff“ -AccessRights ExtendedRight -ExtendedRights „Send As“<\/em><\/strong> <\/p>\n\n\n\n

Nun sind die Vorarbeiten abgeschlossen und die Gruppen k\u00f6nnen mit Benutzern bef\u00fcllt werden. Wenn dies erledigt ist das PowerShell-Script* ausf\u00fchren um das Automapping zu \u201eaktivieren\u201c.<\/p>\n\n\n\n

Verwendete Scripts<\/strong> <\/p>\n\n\n\n

Mailbox_Zugriff_Automapping.ps1<\/strong><\/p>\n\n\n\n

Mit diesem Script wird das Automapping f\u00fcr die User der gruppe aktiviert, indem die User in das Attribut \u201emsExchDelegateListLink\u201c \u00fcbernommen werden. <\/p>\n\n\n\n

Mailbox_Zugriff_Setzen.ps1<\/strong> <\/p>\n\n\n\n

Dieses Script dient dazu den Gruppen Vollzugriff auf ein Postfach zu geben, dies ist \u00fcber die grafische Oberfl\u00e4che nicht m\u00f6glich, da nur Benutzer zur Auswahl stehen.<\/p>\n\n\n\n

# Mailbox_Zugriff_Automapping.ps1<\/strong>\n# Neue Postf\u00e4cher in Form \"samacountname\", \"Mailbox-Gruppe\" hinzuf\u00fcgen\n$array = @( @(\"info\", \"Mailbox_Info_Vollzugriff\"), `\n @(\"support\", \"Mailbox_Support_Vollzugriff\") )\n\nfor ($i=0; $i -lt $array.length; $i++){\n    $postfachname = $array[$i][0]\n    $gruppenname = $array[$i][1]\n\n<\/em>\n# Mitglieder der Gruppe auslesen\n$user = Get-ADGroupMember $gruppenname<\/em>\n\n# Inhalt des Attributs l\u00f6schen\nSet-ADUser $postfachname -clear msExchDelegateListLink\n\n<\/em>\nforeach($users in $user){<\/em>\n\n # Alle Mitglieder in das Attribut \u00fcbernehmen\n Set-ADUser $postfachname -Add @{msExchDelegateListLink=$User.distinguishedName}\n}}<\/em>\n<\/code><\/pre>\n\n\n\n
# Mailbox_Zugriff_Automapping.ps1<\/strong>\n# Exchange Management Shell einbinden\n$CallEMS = \". '$env:ExchangeInstallPath\\bin\\RemoteExchange.ps1'; Connect-ExchangeServer -auto -ClientApplication:ManagementShell \"\nInvoke-Expression $CallEMS<\/em>\n\nAdd-MailboxPermission Info -User \"Mailbox_Info_Vollzugriff\" -AccessRights Full\nAdd-ADPermission Info -User \"Mailbox_Info_Vollzugriff\" -AccessRights ExtendedRight -ExtendedRights \"Send As\"<\/em>\n\nAdd-MailboxPermission Support -User \"Mailbox_Support_Vollzugriff\" -AccessRights Full\nAdd-ADPermission Support -User \"Mailbox_Support_Vollzugriff\" -AccessRights ExtendedRight -ExtendedRights \"Send As\"<\/em>\n<\/code><\/pre>\n\n\n\n
Einrichtung Aufgabenplanung<\/strong> <\/p>\n\n\n\n
Mithilfe der Aufgabenplanung l\u00e4sst sich das PowerShell-Script in bestimmten Abst\u00e4nden durchf\u00fchren. Hierdurch reicht die Pflege der Gruppe aus und das Automapping erfolgt automatisch. Die ben\u00f6tigten Einstellungen f\u00fcr die Aktion w\u00e4ren hierbei: <\/p>\n\n\n\n
Aktion Programm starten mit folgenden Einstellungen: Programm\/Script:  <\/p>\n\n\n\n
C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe <\/strong><\/p>\n\n\n\n
Argument hinzuf\u00fcgen:  <\/p>\n\n\n\n
-command „C:\\Scripts\\Mailbox_Zugriff_Automapping.ps1“ <\/strong><\/p>\n\n\n\n
Ich hoffe das beschriebene Verfahren ist f\u00fcr den ein oder anderen N\u00fctzlich. \ud83d\ude42 <\/p>\n\n\n\n
IT-Fanatic<\/p>\n","protected":false},"excerpt":{"rendered":"
Problembeschreibung Microsoft Exchange l\u00e4sst eine Steuerung des Zugriffs auf ein freigegebenes Postfach \u00fcber Benutzergruppen nicht zu. In der Grafischen-Umgebung (ECP) ist lediglich das hinzuf\u00fcgen von Benutzern f\u00fcr den Zugriff auf ein freigegebenes Postfach m\u00f6glich. Verwendet man nun zur Anlage eines neues Benutzers die Kopie eines vorhandenen Benutzers w\u00e4re es doch von Vorteil wenn der Zugriff auf freigegebene Postf\u00e4cher \u00fcber die Mitgliedschaft in einer Gruppe mit kopiert werden k\u00f6nnten. L\u00f6sungsansatz \u00dcber die PowerShell ist es m\u00f6glich auch Benutzergruppen Zugriff auf ein freigegebenes Postfach zu geben. Damit w\u00e4re der erste Schritt f\u00fcr den Zugriff erledigt, leider funktioniert danach das Auto-Mapping der freigegebenen Postf\u00e4cher nicht, da hierzu das AD-Attribute \u201emsExchDelegateListLink\u201c mit den entsprechenden Mitglieder der Gruppe gef\u00fcllt werden muss. Um das Ad-Attribute nun mit den entsprechenden Informationen zu f\u00fcllen habe ich ein PowerShell-Script* erstellt. Dieses kann nun nach \u00c4nderungen von Hand oder per Aufgabenplanung (z.B. alle 15 Minuten) gestartet werden. Einrichtung Zun\u00e4chst m\u00fcssen die Gruppen f\u00fcr die Postf\u00e4cher erstellt werden, hier nun Beispielhaft f\u00fcr ein Info- und ein Support-Postfach. New-ADGroup Mailbox_Info_Vollzugriff New-ADGroup Mailbox_Support_Vollzugriff Den erstellten Gruppen werden dann im zweiten Schritt die Berechtigungen auf die Postf\u00e4cher erteilt. Wichtig ist hierbei das diese in der Exchange-Shell ausgef\u00fchrt werden. Setzen des Vollzugriffs: Add-MailboxPermission info -User „Mailbox_Info_Vollzugriff“ -AccessRights Full Add-MailboxPermission support -User „Mailbox_Support_Vollzugriff“ -AccessRights Full Setzen der Berechtigung \u201eSenden als\u201c: Add-ADPermission info -User „Mailbox_Info_Vollzugriff“ -AccessRights ExtendedRight -ExtendedRights „Send As“ Add-ADPermission support -User „Mailbox_Support_Vollzugriff“ -AccessRights ExtendedRight -ExtendedRights „Send As“ Nun sind die Vorarbeiten abgeschlossen und die Gruppen k\u00f6nnen mit Benutzern bef\u00fcllt werden. Wenn dies erledigt ist das Continue Reading →<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,18],"tags":[30,6,25,31,23],"class_list":["post-202","post","type-post","status-publish","format-standard","hentry","category-allgemein","category-exchange-server","tag-active-directory-2","tag-exchange","tag-powershell","tag-scripting","tag-shared-mailbox-2"],"_links":{"self":[{"href":"https:\/\/www.it-fanatic.de\/index.php?rest_route=\/wp\/v2\/posts\/202","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.it-fanatic.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.it-fanatic.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.it-fanatic.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.it-fanatic.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=202"}],"version-history":[{"count":8,"href":"https:\/\/www.it-fanatic.de\/index.php?rest_route=\/wp\/v2\/posts\/202\/revisions"}],"predecessor-version":[{"id":210,"href":"https:\/\/www.it-fanatic.de\/index.php?rest_route=\/wp\/v2\/posts\/202\/revisions\/210"}],"wp:attachment":[{"href":"https:\/\/www.it-fanatic.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=202"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.it-fanatic.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=202"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.it-fanatic.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=202"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}