none
Exchange 2013 - Mailbox Shared Permission RRS feed

  • Domanda

  • Buongiorno a tutti,

    su Exchange 2013 CU15, per assegnare permission in readonly su una mailbox shared, ho utilizzato i seguenti comandi:

     - Add-MailboxPermission -identity "miashared" -User "mioutente" -AccessRights FullAccess,ReadPermission -InheritanceType All -Automapping $false

     - Add-MailboxFolderPermission -Identity miashared:\Inbox -User mioutente -AccessRights Reviewer (così per le tutte le folder)

    Anticipo che gli utenti hanno necessità di utilizzare il "SendAS" o il SendOnBehalfTo" della Mailbox Shared.

    Dopo la configurazione come account aggiuntivo (quindi, da impostazioni account di outlook 2010), mi sono accorto che l' utente può eliminare messaggi, creare folder, etc...quindi si comporta come "editor".

    Da un test eseguito, se tolgo le permission -AccessRights FullAccess,ReadPermission, non ho accesso alla Shared.

    Probabilmente sbaglio qualcosa nell' assegnare le grant; come posso risolvere? Lo scopo è assegnare permission in readonly per le folder e far utilizzare il "SendAS" o il SendOnBehalfTo" che credo si possa fare solo con il "FullAccess".

    Grazie per il supporto

    Buona giornata

    giovedì 26 ottobre 2017 06:29

Tutte le risposte

  • Ciao, che io sappia non hai modo di far spedire i messaggi dando poi sola lettura. Se l'utente ha accesso alla mailbox e può spedire può anche cancellare i messaggi che ha spedito...non è un calendario che può essere in sola lettura...se la metti in sola lettura l'utente potrà solamente vedere ma non interagire quindi non spedisce.

    ciao.

    A.

    giovedì 26 ottobre 2017 15:40
    Moderatore
  • Buongiorno Alessandro, grazie per la risposta.

    Molto dipende anche dal modo di configurazione, credo.

    Per le shared, conosco due metodi:

    1) Ulteriori cassette postali da aprire (senza utilizzo Archivio Online):

    2) Account aggiuntivo (con Archivio Online):

     

    Già sperimentato che, nel primo caso, è possibile assegnare grant ReadOnly  (Reviewer sulle folder, quindi non si cancella/sposta nulla) e utilizzare SendAS o Behalf, ma non è visibile l' archive online qualora presente; anche se la documentazione parla di FullAccess per l' utilizzo del SendAS e Behalf: https://technet.microsoft.com/en-us/library/jj150498(v=exchg.150).aspx

    Full Access   The Full Access permission lets a user open the shared mailbox and act as the owner of that mailbox. After accessing the shared mailbox, a user can create calendar items; read, view, delete, and change email messages; create tasks and calendar contacts. However, a user with Full Access permission can’t send email from the shared mailbox unless they also have Send As or Send on Behalf permission.

    nel secondo caso, se non si ha il FullAccess, la shared non è espandibile ed utilizzabile, ma le grant, ad esempio Reviewer, sulle folder non hanno effetto, infatti gli utenti possono eliminare e spostare messaggi, creare folder, etc... ma si ha la possibilità di utilizzare l' archive online che in caso di utilizzo da parte di più utenti è fondamentale (rimane l' utilizzo del SendAS e Behalf).

    Magari c'è dell' altro che a me sfugge, cercavo il giusto compromesso per avere l' utilizzo dell' archive online + utilizzo della shared ReadOnly sulle folder, ma credo che non sia possibile o meglio, non ho trovato molto a riguardo.

    Grazie ancora e buona giornata.



    • Modificato SysAdmin_IT venerdì 27 ottobre 2017 06:25
    venerdì 27 ottobre 2017 06:24
  • Dai un occhio a questo post:

    https://practical365.com/exchange-server/grant-read-access-exchange-mailbox/

    Roberto


    Roberto Ferazzi
    Microsoft® MVP Office Server & Services (Exchange Server)
    Moderator in the Microsoft TechNet Italy Forums
    My MVP Profile

    MSExchange.Community

    venerdì 27 ottobre 2017 12:43
    Moderatore
  • Buongiorno Roberto,

    grazie per il link.

    Mi pare, correggimi se sbaglio, che nell' articolo non si fa riferimento a Exchange 2013 ma sembra dalla Console, Exchange 2010.

    Si parla comunque di Reviewer sulle folder, anche con un comodo script.

    In ogni caso, nel nostro LAB Exchange 2013 CU 15 abbiamo:

    1) Creato una Mailbox Shared; 2) Assegnato FullAccess sulla Mailbox; 3) Assegnate grant Reviewer su "Top of Information Store" e su altre folder (Inbox, Sent Itmes, etc..)

    Add-MailboxPermission "miashared" -user "mioutente"  -AccessRights FullAccess -InheritanceType All -AutoMapping $false

    Add-MailboxFolderPermission -Identity miashared:\ -User "mioutente" -AccessRights Reviewer

    ..e sotto cartelle.....

    Configurata la mailbox shared su Outlook 2010 come "additional Exchange account":

    L' utente che ha configurata la mailbox mhared può: creare/cancellare folder; spostare/cancellare messaggi, ha pieno potere sull' archivio-online.

    Ora, se invece concedo le seguenti permissions e cambio la configurazione, l' utente ha sole grant ReadOnly ma non vede l' archivio-online:

    Add-MailboxPermission -Identity "miashared" -User "mioutente" -AccessRights ReadPermission -inheritanceType All -Automapping $false 

    Add-MailboxFolderPermission -Identity miashared:\ -User "mioutente" -AccessRights Reviewer

    ..e sotto cartelle.....

    Configurata la mailbox shared su Outlook 2010 come "additional Exchange mailbox":

    In questo modo, se provo ad eliminare messaggi ricevo il seguente errore:

    Grazie ancora per il supporto.

    Buona giornata

    lunedì 30 ottobre 2017 08:51