Exchange nutzt AD Gruppen für die Verwaltung von Mailverteilern. Über die AD-Rechte war es bis Exchange 2010 möglich, Usern die Veränderung der Mitgliedschaft zu delegieren. Mit Exchange 2010 wurde das Role Based Access Control, kurz RBAC, eingeführt. Nun steuert Exchange über das RBAC die Veränderung von Verteilergruppen. Damit der oder die Manager (ManagedBy-Attribut) wieder die selbst die Mitglieder über Outlook oder OWA/ECP pflegen können, ist ein wenig Vorarbeit notwendig.
Die Rolle Default Role Assignment Policy muss erweitert werden. Hierfür gibt es ein passendes Script im TechCenter von Microsoft. Dieses kann hier (https://gallery.technet.microsoft.com/scriptcenter/8c22734a-b237-4bba-ada5-74a49321f159) heruntergeladen werden.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 |
[PS] D:\Scripts>.\Manage-GroupManagementRole.ps1 -creategroup -removegroup Neue Sitzung für implizite Remotevorgänge des Befehls "Get-ManagementRole" wird erstellt... Creating Managmenet Role MyDistributionGroupsManagement Name RoleType ---- -------- MyDistributionGroupsManagement MyDistributionGroups Removing ability to create distribution Groups from MyDistributionGroupsManagement Removing ability to create distribution Groups from MyDistributionGroupsManagement Creating Managmenet Role Assignment MyDistributionGroupsManagement-Default Role Assignment Policy RunspaceId : 48d1836d-807d-42b1-ad85-3e7c6b6d636f User : Default Role Assignment Policy AssignmentMethod : Direct Identity : MyDistributionGroupsManagement-Default Role Assignment Policy EffectiveUserName : AssignmentChain : RoleAssigneeType : RoleAssignmentPolicy RoleAssignee : Default Role Assignment Policy Role : MyDistributionGroupsManagement RoleAssignmentDelegationType : Regular CustomRecipientWriteScope : CustomConfigWriteScope : RecipientReadScope : MyGAL ConfigReadScope : OrganizationConfig RecipientWriteScope : MyDistributionGroups ConfigWriteScope : None Enabled : True RoleAssigneeName : Default Role Assignment Policy IsValid : True ExchangeVersion : 0.11 (14.0.550.0) Name : MyDistributionGroupsManagement-Default Role Assignment Policy DistinguishedName : CN=MyDistributionGroupsManagement-Default Role Assignment Policy,CN=Role Assignments,CN= RBAC,CN=kunde,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=kunde,DC=de Guid : 4f80b873-14f5-449c-bf0c-d53b2fe39313 ObjectCategory : kunde.de/Configuration/Schema/ms-Exch-Role-Assignment ObjectClass : {top, msExchRoleAssignment} WhenChanged : 18.01.2017 21:45:23 WhenCreated : 18.01.2017 21:45:23 WhenChangedUTC : 18.01.2017 20:45:23 WhenCreatedUTC : 18.01.2017 20:45:23 OrganizationId : OriginatingServer : 001DC.kunde.de [PS] D:\Scripts> |
Danach muss nur noch der Manager der Gruppe dem Attribut managedBy hinzugefügt werden.
|
1 2 3 4 5 |
[PS] D:\Scripts>Get-DistributionGroup gesamt | fl mana* ManagedBy : {kunde.de/Users/Administrator, kunde.de/Benutzer/Schaffranneck, Sven} [PS] D:\Scripts> |
Von da an lassen sich die Gruppenmitgliedschaften einer der Verteilergruppe direkt über das Outlook verändern.
Referenzen:
- http://www.msxfaq.de/exchange/admin/managedby.htm
- https://technet.microsoft.com/en-us/library/hh859493%28v=exchg.141%29.aspx?f=255&MSPPError=-2147217396