AutoMapping ist ein sehr praktisches Feature in Exchange Server, jedoch leider etwas eingeschränkt: AutoMapping verbindet ein Postfach nur automatisch in Outlook, wenn der Benutzer Vollzugriff auf das Postfach erhält. Sobald granulare Berechtigungen auf Postfachebene konfiguriert werden, greift AutoMapping nicht mehr. In diesem Fall muss der Benutzer das Postfach mit den granularen Rechten wieder manuell verbinden. Es geht mit einem simplen Trick aber auch anders.
Kurze Erklärung zu AutoMapping
Wenn ein Benutzer im Exchange Admin Center Vollzugriff auf ein anderes Postfach erhält, ist AutoMapping in der Standardeinstellung eingeshaltet. In diesem Beispiel bekommt der Benutzer Frank, Vollzugriff auf das Postfach Support:
Wie der Name Vollzugriff schon andeutet, darf Frank nun jegliche Änderungen im Postfach Support vornehmen und hat auch Zugriff auf alle Daten und Ordner. Beispielweise hat Frank nun auch Zugriff auf den Kalender und die Kontakte. Senden-Als und Senden-Im-Auftrag-von sind andere Berechtigungen und nicht in Vollzugriff enthalten. Zusätzlich zu den Berechtigungen füllt Exchange noch das AD-Attribut „msExchDelegateListLink“ mit dem DN den Benutzers der Vollzugriff auf das Postfach erhält:
Sobald das Attribut „msExchDelegateListLink“ gefüllt wurde, wird es in die Autodiscover Antwort des Exchange Servers an den Benutzer aufgenommen. Hier erscheint dann der Abschnitt „AlternativeMailbox“ mit den Daten des Postfachs welches dem Benutzer verbunden wird:
Über die Exchange Management Shell lässt sich AutoMapping steuern. Der Standardbefehl, welcher vom Exchange Admin Center ausgeführt wird, lautet wie folgt:
Add-MailboxPermission support -User frank -AccessRight FullAccess -AutoMapping $True
Für Vollzugriff für Frank auf Support ohne Automapping genügt der folgende Befehl:
Add-MailboxPermission support -User frank -AccessRight FullAccess -AutoMapping $False
Leider lassen sich mittels Add-Mailboxpermission aber nicht die Rechte granular auf Ordner innerhalb des Postfachs vergeben. Um Rechte granular zu vergeben wird das CMDLet Add-MailboxFolderPermission genutzt, dies kennt aber wiederum den Parameter „Automapping“ nicht. Über einen kleinen Umweg klappt es aber doch.
AutoMapping ohne Vollzugriff auf das Postfach
Um AutoMapping auch ohne Vollzugriff zu benutzen, können zunächst einmal die gewünschten Rechte auf dem Zielpostfach konfiguriert werden. Dies geschieht mit dem Befehl „Add-MailboxFolderPermission“ und ist identisch mit dem, was der Benutzer auch in Outlook konfigurieren kann. Hier erhält der Benutzer Frank beispielsweise Editor-Rechte auf den Posteingang des Postfachs Support:
Add-MailboxFolderPermission support:\Posteingang -User frank -AccessRights Editor
Für diesen Beispiel nehmen wir mal an, das Frank auch nur Rechte auf den Ordner Posteingang bekommen soll, nicht aber auf andere Bereiche des Postfachs, wie beispielsweise den Kalender. Damit das Postfach via AutoMapping verbunden werden kann, muss das Postfach selbst, also die oberste Ebene, sichtbar sein. Dazu kann der folgende Befehl verwendet werden:
Add-MailboxFolderPermission support -User frank -AccessRights FolderVisible
Im letzten Schritt muss nur noch das AD Attribut „msExchDelegateListLink“ des Benutzers Support mit dem DN des Benutzers Frank gefüllt werden:
$DN = (get-aduser frank).DistinguishedName
Set-ADUser Support -add @{"msExchDelegateListLink"="$DN"}
Beim nächsten AutoDiscover Durchlauf des Clients wird das Postfach dann automatisch verbunden. Nun aber nur mit den eingeschränkten Rechten:
Wenn der Zugriff wieder entfernt werden soll, können die Rechte entsprechend zurück gebaut werden:
remove-MailboxFolderPermission support:\Posteingang -User frank
remove-MailboxFolderPermission support -User frank
Set-ADUser support -Clear "msExchDelegateListLink"
Achtung: Der letzte Befehl „Set-ADUser support -Clear „msExchDelegateListLink““ aus diesem Beispiel löscht alle Einträge im Attribut „msExchDelegateListLink“. Wenn mehrere Benutzer das Postfach via AutoMapping eingebunden haben, darf nur der DN des entsprechenden Benutzers gelöscht werden. Andernfalls wird das Postfach bei allen Benutzern beim nächsten AutoDisocver Durchlauf aus Outlook entfernt.
Bei Exchange Online / Office 365 geht das nicht, oder? Get-ADUser/Set-ADUser sind unbekannt, scheint mir.
Diese Cmdlets sind im OnPrem-AD verfügbar, richtig. Aber bei einem Exchange-Hybrid kann ich die DNs dem Attribut des OnPrem-Users (der z.B. zu einer Shared Remote Mailbox gehört) hinzufügen und das wird auch mit dem Azure-AD-Sync synchronisiert.
Allerdings scheint das AutoMapping in Outlook dann nur für OnPrem- und nicht für O365-Postfächer zu funktioneren. Diese müssen nach wie vor die Shared Mailbox in den erweiterten Einstellungen hinzufügen.
Sehr schade. Oder hat jemand noch eine Idee?
Wie „bastelt“ man das Automapping mit Gruppen?
Bei uns sind die Benutzer in Gruppen und die Gruppen sind auf die Mailboxen berechtigt.
Für Benutzer werden keine Einzelberechtigungen vergeben.
Na steht doch schön da. Man nimmt sich ne Powershell liest die Gruppenmitglieder aus und trägt diese dann wie oben beschrieben auf dem entsprechenden Postfach ein. Und wenn man das zyklisch mit clear und add regelt, dann ist auch meist was aktuelles drin.
Danke für die Info.
Wie „bastelt“ man das Automapping mit Gruppen? Bei uns sind die Benutzer in Gruppen und die Gruppen sind auf die Mailboxen berechtigt.
Und wenn man das jetzt noch mit Gruppen „bastelt“, muss man eigentlich nur den Automapping Eintrag regelmäßig , indem man jedesmal nur die Gruppenmitglieder einliest. Dann geht auch clear und add. ;)
Müsste für letztgenanntes Problem nicht auch der -Remove Parameter funktionieren?
Also:
$DN = (get-aduser frank).DistinguishedName
Set-ADUser support -Remove @{msExchDelegateListLink=“$DN“}
?