Shared Mailboxes
kommen idR dort zum Einsatz wo Teams mit mehreren Mitgliedern den E-Mail Verkehr bestimmter generischer Adressen wie zB info@ oder support@ bearbeiten. Nicht jedes Mitglied dieser Shared Mailboxes soll jedooch vollen Zugriff darauf haben.
Die folgende Anleitung erstellt eine Shared Mailbox auf einem Exchange 2016 System, mit zwei Mitgliedern, einer mit Full Acces
und einer mit Read Only
Berechtigung.
Shared Mailbox erstellen
Folgendes Kommando legt eine Shared Mailbox support@domain.com
an:
[PS] C:\Windows\system32>New-Mailbox -Shared -Name "Support" -DisplayName "Companyname - Support" -Database "IT" -OrganizationalUnit "company.local/Berlin/E-Mail-Shared" -Alias "support"
Name Alias ServerName ProhibitSendQuota
---- ----- ---------- -----------------
Support support mta-1 Unlimited
Mitglieder hinzufügen und Berechtigungen vergeben
Diese Shared Mailbox besitzt noch keine Mitglieder. Jetzt soll der Benutzer pronto
der als Mitglied zu dieser Shared Mailbox hinzugefügt werden und über Vollzugriff auf das Postfach verfügen:
[PS] C:\Windows\system32>Add-MailboxPermission -Identity "Support" -User "pronto" -AccessRights "FullAccess" -InheritanceType "All" -AutoMapping $False
Identity User AccessRights IsInherited Deny
-------- ---- ------------ ----------- ----
Domain.local/Berl... DOMAIN\pronto {FullAccess} False False
Der Parameter -InheritanceType All
gibt an, dass dem Benutzer diese Berechtigung auch für neu angelegte Elemente vererbt werden. Der Parameter -Automapping $False
verhindert, dass das Postfach automatisch in das Outlook des Benutzers integriert wird. Das mag in vielen Fällen sinnvoll sein, stört aber zB beim Anlegen von Postfachregeln, weil dann die Shared Mailbox im Regelassistenten nicht explizit ausgewählt werden kann. Benutzer müssen bei Verwendung dieses Parameters das geteilte Postfach dann in Outlook selbst öffnen bzw. als zusätzliches Konto hinzufügen.
Folgendes Kommando erteilt dem angegebenen Benutzer noch das Recht Senden als
:
[PS] C:\Windows\system32>Add-AdPermission -Identity "Support" -User "pronto" -AccessRights "ExtendedRight" -ExtendedRights "Send As"
Identity User Deny Inherited
-------- ---- ---- ---------
Domain.local/Berl... DOMAIN\pronto False False
Alternativ zur Send As
Berechtigung gibt es noch die Send on Behalf
Berechtigung, welche mit dem Parameter GrantSendonBehalf
im Set-Mailbox
Cmdlet gesetzt wird. Der Unterschied ist der, dass eine E-Mail gesendet von einem Benutzer mit Send As
Berechtigung so aussieht, als käme sie direkt von der Shared Mailbox, wohingegen bei der Send on Behalf
Berechtigung die E-Mail mit einem Hinweis das diese im Auftrag von [...]
gesendet wird.
Bis hierhin könnte man auch im Exchange Control Panel
arbeiten. Das Erstellen einer Shared Mailbox, das Hinzufügen eines Benutzers mit Vollzugriff und die Senden als
Berechtigung sind Standardaufgaben, die im ECP
mit ein paar Klicks erledigt sind.
Eine andere Sache ist dann das Hinzufügen eines Benutzers mit besonderen, bis hin zu fast gar keinen Rechten. An dieser Stelle muss man dann in die Powershell ausweichen. Im Prinzip unterscheiden sich die Kommandos eigentlich nur bei der Angabe der Rechte. Eine read only
Berechtigung soll jetzt für den Benutzer dude
vergeben werden:
[PS] C:\Windows\system32>Add-MailboxPermission -Identity "Support" -User "dude" -AccessRights "ReadPermission" -InheritanceType "All" -AutoMapping $False
Identity User AccessRights IsInherited Deny
-------- ---- ------------ ----------- ----
Domain.local/Berl... DOMAIN\dude {ReadPermission} False False
Der AccessRights
Parameter spezifiziert die Berechtigung, welche wir vergeben wollen. Die verfügbaren Berechtigungen in diesem Kontext sind folgende:
- FullAccess
- ExternalAccount
- DeleteItem
- ReadPermission
- ChangePermission
- ChangeOwner