Shared Mailboxes kommen idR dort zum Einsatz wo Teams mit mehreren Mitgliedern den E-Mail Verkehr bestimmter generischer Adressen wie zB info@ oder support@ bearbeiten. Nicht jedes Mitglied dieser Shared Mailboxes soll jedooch vollen Zugriff darauf haben.
Die folgende Anleitung erstellt eine Shared Mailbox auf einem Exchange 2016 System, mit zwei Mitgliedern, einer mit Full Acces und einer mit Read Only Berechtigung.
Shared Mailbox erstellen
Folgendes Kommando legt eine Shared Mailbox support@domain.com an:
[PS] C:\Windows\system32>New-Mailbox -Shared -Name "Support" -DisplayName "Companyname - Support" -Database "IT" -OrganizationalUnit "company.local/Berlin/E-Mail-Shared" -Alias "support"
Name Alias ServerName ProhibitSendQuota
---- ----- ---------- -----------------
Support support mta-1 UnlimitedMitglieder hinzufügen und Berechtigungen vergeben
Diese Shared Mailbox besitzt noch keine Mitglieder. Jetzt soll der Benutzer pronto der als Mitglied zu dieser Shared Mailbox hinzugefügt werden und über Vollzugriff auf das Postfach verfügen:
[PS] C:\Windows\system32>Add-MailboxPermission -Identity "Support" -User "pronto" -AccessRights "FullAccess" -InheritanceType "All" -AutoMapping $False
Identity User AccessRights IsInherited Deny
-------- ---- ------------ ----------- ----
Domain.local/Berl... DOMAIN\pronto {FullAccess} False FalseDer Parameter -InheritanceType All gibt an, dass dem Benutzer diese Berechtigung auch für neu angelegte Elemente vererbt werden. Der Parameter -Automapping $False verhindert, dass das Postfach automatisch in das Outlook des Benutzers integriert wird. Das mag in vielen Fällen sinnvoll sein, stört aber zB beim Anlegen von Postfachregeln, weil dann die Shared Mailbox im Regelassistenten nicht explizit ausgewählt werden kann. Benutzer müssen bei Verwendung dieses Parameters das geteilte Postfach dann in Outlook selbst öffnen bzw. als zusätzliches Konto hinzufügen.
Folgendes Kommando erteilt dem angegebenen Benutzer noch das Recht Senden als:
[PS] C:\Windows\system32>Add-AdPermission -Identity "Support" -User "pronto" -AccessRights "ExtendedRight" -ExtendedRights "Send As"
Identity User Deny Inherited
-------- ---- ---- ---------
Domain.local/Berl... DOMAIN\pronto False FalseBis diese Einstellung wirkt kann eine Viertelstunde vergehen, da diese erst im AD repliziert werden muss.
Alternativ zur Send As Berechtigung gibt es noch die Send on Behalf Berechtigung, welche mit dem Parameter GrantSendonBehalf im Set-Mailbox Cmdlet gesetzt wird. Der Unterschied ist der, dass eine E-Mail gesendet von einem Benutzer mit Send As Berechtigung so aussieht, als käme sie direkt von der Shared Mailbox, wohingegen bei der Send on Behalf Berechtigung die E-Mail mit einem Hinweis das diese im Auftrag von [...] gesendet wird.
Bis hierhin könnte man auch im Exchange Control Panel arbeiten. Das Erstellen einer Shared Mailbox, das Hinzufügen eines Benutzers mit Vollzugriff und die Senden als Berechtigung sind Standardaufgaben, die im ECP mit ein paar Klicks erledigt sind.
Eine andere Sache ist dann das Hinzufügen eines Benutzers mit besonderen, bis hin zu fast gar keinen Rechten. An dieser Stelle muss man dann in die Powershell ausweichen. Im Prinzip unterscheiden sich die Kommandos eigentlich nur bei der Angabe der Rechte. Eine read only Berechtigung soll jetzt für den Benutzer dude vergeben werden:
[PS] C:\Windows\system32>Add-MailboxPermission -Identity "Support" -User "dude" -AccessRights "ReadPermission" -InheritanceType "All" -AutoMapping $False
Identity User AccessRights IsInherited Deny
-------- ---- ------------ ----------- ----
Domain.local/Berl... DOMAIN\dude {ReadPermission} False FalseDer AccessRights Parameter spezifiziert die Berechtigung, welche wir vergeben wollen. Die verfügbaren Berechtigungen in diesem Kontext sind folgende:
- FullAccess
- ExternalAccount
- DeleteItem
- ReadPermission
- ChangePermission
- ChangeOwner
