none
Exchange 2010: einer Active-Directory Gruppe Voll-Zugriff und Senden Als Berechtigung mit PowerShell RRS feed

  • Frage

  • Guten Tag,

    Ziel ist es ein neuer Benutzer XY z.B. in die AD-Gruppe "Gruppe-Verkauf" (Globale Sicherheitsgruppe) zu tun und ihm damit automatisch Vollzugriff und Senden Als Berechtigungen zu geben für das Freigegebene Postfach "Mail-Verkauf".
    In PowerShell (auf Exchange Server 2010) habe ich dies folgendermassen versucht:

    Add-MailboxPermission -Identity "Mail-Verkauf" -user "Gruppe-Verkauf" -AccessRights FullAccess -InheritanceType All

    Mit dem gleichen Befehl habe ich analog die Gruppe "Gruppe-Marketing" hinzugefügt.

    Jetzt möchte ich die Resultate meiner Befehle ansehen mit folgendem Befehl:

    Get-MailboxPermission -Identity "Mail-Verkauf"

    Was ich sehe irritiert mich gewaltig:

    User                                    AccessRights                                                                                           IsInherited   Deny 
    -----                                    -------------                                                                                            -----------      ----
    NT-AUTORITÄT\SELBST           {FullAccess, SendAs, ExternalAccounts, ReadPermission}                         False           False 
    MYDOMAIN\Gruppe-Verkauf     {FullAccess, DeleteItem, ReadPermission, ChangePermission}                  False           False
    MYDOMAIN\Gruppe-Marketing  {FullAccess}                                                                                         False           False

    Mich nimmt jetzt Wunder, warum Gruppe-Verkauf FullAccess und noch anderes hat und Gruppe-Marketing "nur" FullAccess... was ist denn da der Unterschied? Beziehungsweise wie kann ich allen die gleichen Rechten geben... und warum steht bei "Gruppe-Verkauf" und "Gruppe-Marketing" nichts von SendAs? Wie kann ich Senden Als hinzufügen (bzw. welcher PowerShell Befehl braucht es dazu)?

    Danke für die Hilfe. MfG Manu


    • Bearbeitet manuwj Montag, 11. Juni 2012 15:00
    • Typ geändert Alex Pitulice Montag, 18. Juni 2012 06:14 Warten auf Feedback
    • Typ geändert Alex Pitulice Montag, 18. Juni 2012 12:45 Noch aktiv
    Montag, 11. Juni 2012 14:58

Antworten

  • Moin,

    User                                    AccessRights                                                                                           IsInherited   Deny 
    /-----                                    -------------                                                                                            -----------      ---- /
    NT-AUTORITÄT\SELBST           {FullAccess, SendAs, ExternalAccounts, ReadPermission}                         False           False  MYDOMAIN\Gruppe-Verkauf     {FullAccess, DeleteItem, ReadPermission, ChangePermission}                  False           False
    MYDOMAIN\Gruppe-Marketing  {FullAccess}                                                                                         False           False

    Mich nimmt jetzt Wunder, warum Gruppe-Verkauf FullAccess und noch anderes hat und Gruppe-Marketing "nur" FullAccess... was ist denn da der Unterschied?

    Manchmal kommt einiges durch Vererbung (soll bei Dir aber nicht so sein), manchmal kommen Berechtigungen hinzu, wenn es den ersten Zugriff gab. Außerdem konnte ich Unterschiede beobachten, je nach dem ob man die EMC oder die EMS benutzt (die EMC scheint mehr einzutragen).

    Das ist aber unkritisch, weil die weiteren Rechte nur technische Natur sind.

    Beziehungsweise wie kann ich allen die gleichen Rechten geben... und warum steht bei "Gruppe-Verkauf" und "Gruppe-Marketing" nichts von SendAs? Wie kann ich Senden Als hinzufügen (bzw. welcher PowerShell Befehl braucht es dazu)?

    Send As wird mit "add-adpermission" verteilt und ist ein Recht in den Sicherheitseinstellungen des Kontos, nicht des Postfaches.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    • Als Antwort vorgeschlagen Alex Pitulice Freitag, 15. Juni 2012 08:22
    • Als Antwort markiert Alex Pitulice Montag, 18. Juni 2012 12:45
    Dienstag, 12. Juni 2012 05:45
  • Vielen Dank für die Ausführungen!

    Somit kann ich Gruppe-Marketing noch die benötigten Rechte für "Senden Als" hinzufügen:

    Add-ADPermission –Identity “Mail-Verkauf“ –User “MYDOMAIN\Gruppe-Marketing“ –AccessRights ExtendedRight –ExtendedRights “Send As“

    Bis die gewünschten Zugriffe beim Endbenutzer "ankommen" kann es bis zu 24 Stunden dauern!

    Gruss, Manu

    • Als Antwort markiert manuwj Montag, 18. Juni 2012 14:15
    Dienstag, 12. Juni 2012 08:29

Alle Antworten