1. Home
  2. Microsoft
  3. Exchange
  4. Shared Mailbox
  5. Add-MailboxPermission bei Shared Mailbox

Add-MailboxPermission bei Shared Mailbox

Shared Mailboxes kommen idR dort zum Einsatz wo Teams mit mehreren Mitgliedern den E-Mail Verkehr bestimmter generischer Adressen wie zB info@ oder support@ bearbeiten. Nicht jedes Mitglied dieser Shared Mailboxes soll jedooch vollen Zugriff darauf haben.

Die folgende Anleitung erstellt eine Shared Mailbox auf einem Exchange 2016 System, mit zwei Mitgliedern, einer mit Full Acces und einer mit Read Only Berechtigung.

Shared Mailbox erstellen

Folgendes Kommando legt eine Shared Mailbox support@domain.com an:

[PS] C:\Windows\system32>New-Mailbox -Shared -Name "Support" -DisplayName "Companyname - Support" -Database "IT" -OrganizationalUnit "company.local/Berlin/E-Mail-Shared" -Alias "support"

Name                      Alias                ServerName       ProhibitSendQuota
----                      -----                ----------       -----------------
Support                   support              mta-1            Unlimited

Mitglieder hinzufügen und Berechtigungen vergeben

Diese Shared Mailbox besitzt noch keine Mitglieder. Jetzt soll der Benutzer pronto der als Mitglied zu dieser Shared Mailbox hinzugefügt werden und über Vollzugriff auf das Postfach verfügen:

[PS] C:\Windows\system32>Add-MailboxPermission -Identity "Support" -User "pronto" -AccessRights "FullAccess" -InheritanceType "All" -AutoMapping $False

Identity             User                 AccessRights           IsInherited Deny
--------             ----                 ------------           ----------- ----
Domain.local/Berl... DOMAIN\pronto        {FullAccess}           False       False

Der Parameter -InheritanceType All gibt an, dass dem Benutzer diese Berechtigung auch für neu angelegte Elemente vererbt werden. Der Parameter -Automapping $False verhindert, dass das Postfach automatisch in das Outlook des Benutzers integriert wird. Das mag in vielen Fällen sinnvoll sein, stört aber zB beim Anlegen von Postfachregeln, weil dann die Shared Mailbox im Regelassistenten nicht explizit ausgewählt werden kann. Benutzer müssen bei Verwendung dieses Parameters das geteilte Postfach dann in Outlook selbst öffnen bzw. als zusätzliches Konto hinzufügen.

Folgendes Kommando erteilt dem angegebenen Benutzer noch das Recht Senden als:

[PS] C:\Windows\system32>Add-AdPermission -Identity "Support" -User "pronto" -AccessRights "ExtendedRight" -ExtendedRights "Send As"

Identity             User                 Deny  Inherited
--------             ----                 ----  ---------
Domain.local/Berl... DOMAIN\pronto        False False

Bis diese Einstellung wirkt kann eine Viertelstunde vergehen, da diese erst im AD repliziert werden muss.

Alternativ zur Send As Berechtigung gibt es noch die Send on Behalf Berechtigung, welche mit dem Parameter GrantSendonBehalf im Set-Mailbox Cmdlet gesetzt wird. Der Unterschied ist der, dass eine E-Mail gesendet von einem Benutzer mit Send As Berechtigung so aussieht, als käme sie direkt von der Shared Mailbox, wohingegen bei der Send on Behalf Berechtigung die E-Mail mit einem Hinweis das diese im Auftrag von [...] gesendet wird.

Bis hierhin könnte man auch im Exchange Control Panel arbeiten. Das Erstellen einer Shared Mailbox, das Hinzufügen eines Benutzers mit Vollzugriff und die Senden als Berechtigung sind Standardaufgaben, die im ECP mit ein paar Klicks erledigt sind.

Eine andere Sache ist dann das Hinzufügen eines Benutzers mit besonderen, bis hin zu fast gar keinen Rechten. An dieser Stelle muss man dann in die Powershell ausweichen. Im Prinzip unterscheiden sich die Kommandos eigentlich nur bei der Angabe der Rechte. Eine read only Berechtigung soll jetzt für den Benutzer dude vergeben werden:

[PS] C:\Windows\system32>Add-MailboxPermission -Identity "Support" -User "dude" -AccessRights "ReadPermission" -InheritanceType "All" -AutoMapping $False

Identity             User                 AccessRights           IsInherited Deny
--------             ----                 ------------           ----------- ----
Domain.local/Berl... DOMAIN\dude          {ReadPermission}       False       False

Der AccessRights Parameter spezifiziert die Berechtigung, welche wir vergeben wollen. Die verfügbaren Berechtigungen in diesem Kontext sind folgende:

  • FullAccess
  • ExternalAccount
  • DeleteItem
  • ReadPermission
  • ChangePermission
  • ChangeOwner
Updated on 10. Oktober 2022
Was this article helpful?

Related Articles