Alles wie gehabt?
Administratoren, die es gewohnt sind, die Verwaltung einer Exchange Organisation über grafische Oberflächen durchzuführen, müssen beim Einsatz von Exchange 2007 bzw. Exchange 2010 in einigen Bereichen umdenken.
Zu den alltäglichen Aufgaben gehört das Festlegen eines Verwalters für Verteilergruppen, dem dadurch zumeist auch die Berechtigungen zugewiesen werden sollen, Mitglieder hinzuzufügen, bzw. wieder zu entfernen. In Exchange 2003 Umgebungen hat man diese Aufgabe gewöhnlich in der Active Directory Benutzer und Computer Verwaltungskonsole (ADUC) ausgeführt. Wer dies in Exchange 2007 und Exchange 2010 Umgebungen beibehält, braucht nicht umzudenken.
Dabei ist es wichtig zu wissen, dass es hier um zwei verschiedene Dinge geht:
- die Anzeige des Verwalters in den Eigenschaften der Verteilergruppe im Adressbuch
- die Berechtigungen Read Member und Write Member (Mitglieder lesen / Mitglieder schreiben)
Weder über die Exchange 2007 Verwaltungskonsole, noch über die Verwaltungskonsole für Exchange 2010 können die Berechtigungen Read Member bzw. Write Member vergeben werden!
Verwalter mit Berechtigungen per ADUC setzen
In der Active Directory Benutzer und Computer Verwaltungskonsole die Eigenschaften der Verteilergruppe öffnen und den Reiter “Verwaltet von” bw. “Managed By” auswählen. Durch Klick auf “Ändern” und anschließender Auswahl des gewünschten Verwalters wird die Anzeige des Gruppenverwalters im Adressbuch festgelegt. Das Aktivieren der Option “Vorgesetzter kann Mitgliedsliste ändern” werden die oben genannten Berechtigungen vergeben.
Es kann hier nur ein Verwalter eingetragen werden. Wenn mehrere User die Berechtigungen zur Anpassung des Verteilers benötigen, müssen die Berechtigungen über “Sicherheit”, Erweitert hinzugefügt werden (siehe Screenshot)
Verwalter über die Exchange Verwaltungskonsole setzen
In der Verwaltungskonsole für Exchange kann sowohl unter Exchange 2007 als auch unter Exchange 2010 ein Gruppenverwalter eingetragen werden, der dann im Adressbuch angezeigt wird.
Der Unterschied zwischen Exchange 2007 und Exchange 2010 an dieser Stelle besteht darin, dass bei Exchange 2010 auch mehrere Verwalter eingetragen werden können.
Verwalter per Powershell setzen
Der Powershellbefehl mit dessen Hilfe ein Verwalter definiert werden kann und mit dem gleichzeitig die erforderlichen Berechtigungen gesetzt werden, sieht so aus:
Set-DistributionGroup -Identity verteilername -ManagedBy username | add-adpermission -user username -AccessRights ReadProbperty, WriteProperty -Properties ‘Member’
Rollenberechtigungen in Exchange 2010
Durch Anpassung der “Default Role Assignment Policy”, die für alle Benutzer gilt, kann man den Anwendern pauschal die Berechtigung zuweisen, alle Verteilergruppen zu bearbeiten, für die sie als Verwalter eingetragen sind.
Die Bearbeitung ist dann allerdings nur über die Exchange Systemsteuerung in Outlook Web App möglich. Ein Hinzufügen oder Entfernen von Mitgliedern über das Outlook Adressbuch ist nicht möglich.
Fazit
Auch bei Einsatz von Exchange 2007 und Exchange 2010 bleibt die Active Directory Benutzer und Computer Verwaltungskonsole das Tool, mit dem Verwalter für Gruppen gesetzt werden, sofern man keine Powershell einsetzen möchte.
Bei Exchange 2010 besteht zwar die Möglichkeit, den Anwendern die Berechtigung einzuräumen, Verteiler für die sie als Verwalter/Besitzer eingetragen sind über Outlook Web App verwalten zu können. Ob dies in Umgebungen erfolgreich umgesetzt werden kann, wo Anwender Verteiler bisher über das Outlook Adressbuch gepflegt haben, bezweifle ich.
Loading ...
Kommentare