none
Exchange 2013 - Private Elemente über Powershell RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    kennt jemand eine Möglichkeit einem Benutzer über die Powershell das Recht zu geben, in einem anderen Postfach die als privat gekennzeichneten Elemente zu ändern/löschen/anlegen?

    Über Outlook kann dieses ja über Stellvertretungsregelung erreicht werden.

    VG,
    Michael

    Mittwoch, 11. Mai 2016 07:35
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden
    Stichwort: Application Impersonation :-)

    Boah, da muss man ja um die Ecke denken, um da auf die "Lösung" zu kommen.... :) Wer das kennt, fragt vermutlich nicht nach.

    @Michael: Es einfache Möglichkeit kenne ich da nicht. Der Shell-Befehl wäre ja "Add-MailboxfolderPermission" und der kennt keine solche Option. Der "Assistent" in Outlook setzt ja auch nur Berechtigungen auf dem jeweiligen Ordner.

    Was Evgenij meint, ist dass Du via Exchange Webservices auf die Inhalte zugreifen kannst. Damit ein Script das für Fremde User kann (sprich für andere, als seine eigene Anmeldung), braucht es die Rollenzuweisung "Application Impersonation":

    https://msdn.microsoft.com/en-us/library/office/bb204095%28v=exchg.140%29.aspx

    Ob es in einem EWS-Script dann möglich ist, "privat"-Berechtigung zu vergeben, weiß ich zwar nicht, die Chancen sind aber relativ hoch.

    Verkürzte Merkregel: Shell für die Konfiguration außerum, EWS für die Inhalte. Und "privat" ist Exchange-technisch ein "Inhalt" der auch nur vom Client ausgewertet wird.

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Mittwoch, 11. Mai 2016 07:56
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Stichwort: Application Impersonation :-)

    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de

    my personal blog (mostly German) -> http://it-pro-berlin.de

    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de

    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Mittwoch, 11. Mai 2016 07:43
    |
  • Question
    Anmelden
    1
    Anmelden
    Stichwort: Application Impersonation :-)

    Boah, da muss man ja um die Ecke denken, um da auf die "Lösung" zu kommen.... :) Wer das kennt, fragt vermutlich nicht nach.

    @Michael: Es einfache Möglichkeit kenne ich da nicht. Der Shell-Befehl wäre ja "Add-MailboxfolderPermission" und der kennt keine solche Option. Der "Assistent" in Outlook setzt ja auch nur Berechtigungen auf dem jeweiligen Ordner.

    Was Evgenij meint, ist dass Du via Exchange Webservices auf die Inhalte zugreifen kannst. Damit ein Script das für Fremde User kann (sprich für andere, als seine eigene Anmeldung), braucht es die Rollenzuweisung "Application Impersonation":

    https://msdn.microsoft.com/en-us/library/office/bb204095%28v=exchg.140%29.aspx

    Ob es in einem EWS-Script dann möglich ist, "privat"-Berechtigung zu vergeben, weiß ich zwar nicht, die Chancen sind aber relativ hoch.

    Verkürzte Merkregel: Shell für die Konfiguration außerum, EWS für die Inhalte. Und "privat" ist Exchange-technisch ein "Inhalt" der auch nur vom Client ausgewertet wird.

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Mittwoch, 11. Mai 2016 07:56
    |
  • Question
    Anmelden
    0
    Anmelden

    Sorry, ja, das war zu lakonisch. Ich mache solchen Kram inzwischen standing, daher war es für mich eine relative selbstverständliche Sache.

    Der Zugriff wird definitiv möglich sein, da man ja *als der Zielbenutzer* agiert. Es ist dann nämlich alles möglich, was ein Benutzer an seinem eigenen Postfach erledigen kann.

    Wichtig ist, dies auch mit dem Betriebsrat bzw. Compliance-Manager, falls vorhanden, *im Vorfeld* abzustimmen. Und der Ziel-Benutzer muss seine Zustimmung erteilen, da er weder eine Möglichkeit hat, zu sehen, ob dieser Zugriff wahrgenommen wird, noch, diesen selbst zu unterbinden - im Gegensatz zu einer Outlook-Delegierung.

    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de

    my personal blog (mostly German) -> http://it-pro-berlin.de

    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de

    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Mittwoch, 11. Mai 2016 08:01
    |
  • Question
    Anmelden
    0
    Anmelden
    Wenn ich den TO richtig verstanden habe, geht es nicht um den Zugriff selbst, sondern um das Einstellen der Zugriffsberechtigung.

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Mittwoch, 11. Mai 2016 08:04
    |
  • Question
    Anmelden
    0
    Anmelden

    Hmmm. Kann sein, dass Du Recht hast :-)

    Auch das ist per EWS ohne weiteres möglich: https://msdn.microsoft.com/de-de/library/office/dn641959%28v=exchg.150%29.aspx

    Gruß

    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de

    my personal blog (mostly German) -> http://it-pro-berlin.de

    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de

    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Mittwoch, 11. Mai 2016 08:08
    |
  • Question
    Anmelden
    0
    Anmelden

    ja, richtig, es lediglich um das Einstellen der Zugriffsberechtigung, speziell das Recht für den privat Flag.

    Über die Rolle Application Impersonation würde der Benutzer ja zu viele Rechte bekommen...

    Gruß,
    Michael

    Mittwoch, 11. Mai 2016 08:13
    |
  • Question
    Anmelden
    0
    Anmelden
    Grundsätzlich kann man alles, was man über Outlook machen kann, auch über EWS erledigen. Soll den der Ziel-Benutzer selbst das machen können, nur halt per PS und nicht per Outlook? Oder soll ein Admin berechtigt warden, das für andere Benutzer einzustellen?

    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de

    my personal blog (mostly German) -> http://it-pro-berlin.de

    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de

    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Mittwoch, 11. Mai 2016 08:15
    |
  • Question
    Anmelden
    0
    Anmelden

    der Admin soll die Berechtigung für vorhandene und neue private Elemente setzen können.

    Mittwoch, 11. Mai 2016 09:13
    |
  • Question
    Anmelden
    0
    Anmelden
    Dann muss auch nur der Admin die Impersonation-Berechtigung erhalten :-)

    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de

    my personal blog (mostly German) -> http://it-pro-berlin.de

    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de

    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Mittwoch, 11. Mai 2016 09:27
    |
  • Question
    Anmelden
    0
    Anmelden

    ok, vielen Dank an euch. Dann versuch ich mal dass umzusetzen.

    VG,
    Michael

    Mittwoch, 11. Mai 2016 09:48
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    meines wissens ist das "private" flag keine Berechtigung im strengen sinn. mittels EWS kann auf solche elemente zugegriffen werden. es obliegt in diesem Fall dem client dieses Flag auszuwerten und die Inhalte der mit dem privat Flag versehenen Elemente nciht anzuzeigen.

    Ein Berechtigungssystem liegt m.W. dem private Flag nicht zugrunde.

    viele Gruesse

     Thomas

    regards Thomas Paetzold visit my blog on: http://sus42.wordpress.com

    Donnerstag, 19. Mai 2016 16:22
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin Thomas,

    das ist wohl richtig. Allerdings hat der TO klargestellt, dass der *Zugriff* mit normalen Benutzer-Mitteln erfolgen soll (also vermutlich Outlook) und es nur darum geht, dass der Admin und nicht der Postfachbesitzer die Berechtigung erteilt, private Elemente zu lesen.

    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (mostly German) -> http://it-pro-berlin.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Donnerstag, 19. Mai 2016 18:09
    |