yellowcake
Goto Top

Exchange Postfach Einbindung Betriebs-rat -Arzt, Bewerbung .

Hey

ich habe da mal eine Denksport Aufgabe bekommen ...

Genutzt wird ein Exchange Server 2010.

hier gibt es den User A und User B

Der User A Ist normaler Mitarbeiter und hat eine E-Mail Adresse genau so wie User B

User B wird nun in den Betriebsrat gewählt oder macht sein Studium zum Betriebsarzt mal eben fertig.

Jetzt braucht der User B ein zweites Exchange Konto sagen wir mal für den Betriebsrat.

Jetzt dachte ich ok kein Problem, der Betriebsrat bekommt ein Exchange Konto das über eine Freigabe (Vollzugriff ) an den User B verteilt wird.

das klappt ohne Probleme.

Jetzt will User B natürlich auch als Betriebsrat schreiben, das ist ja auch kein Problem mit der Funktion Senden als oder senden im Auftrag.

Nun kommt es aber:

Die Gesendeten E-Mails landen nicht im Gesendet Ordner im Betriebsrat sondern beim User B.
Jetzt habe ich schon raus gefunden das ich mit Befehl:

Set-MailboxSentItemsConfiguration "MAILBOX" -SendAsItemsCopiedTo From
Set-MailboxSentItemsConfiguration "MAILBOX" -SendOnBehalfOfItemsCopiedTo From

das eigentlich so hinbiegen sollte das es nur im Gesendet Ordner vom Betriebsrat ist. Das ist es aber leider nicht! Es ist nun im Gesendet Ordner vom User B und im Betriebsrat.

jetzt sagt man sich ok, ist doch auch gut. nur stoße ich jetzt auf das Problem das Personenbezogene Daten vom Betriebsrat im Postfach vom User B sind die da gesetzlich nicht sein dürften, gerade weil das Postfach vom User B über ein Mail Archiv gesichert wird ...

wie habt ihr das in den griff bekommen?

Dazu kommt, das der Betriebsrat aus mehr als einer Person besteht... also dem User B sagen meld dich mit dem Spezial Account User XYZ an der nur für den Betriebsrat da ist ist auch keine Lösung...

Content-ID: 365029

Url: https://administrator.de/contentid/365029

Ausgedruckt am: 22.11.2024 um 09:11 Uhr

Playse
Playse 16.02.2018 aktualisiert um 14:52:47 Uhr
Goto Top
Hallo Yellowcake,

dieses Phänomen hatte ich letztens auch. Ändern lässt sich das meines Wissens nach (abhängig von der Office Version) nur in der Registry des jeweiligen Clients (Stichwort GPO da es ja mehrere Mitarbeiter betrifft).

Hier ein entsprechender Thread im MS social technet Forum: https://social.technet.microsoft.com/Forums/de-DE/362318a3-566a-41aa-8a7 ...

beste Grüße
emeriks
emeriks 16.02.2018 aktualisiert um 16:51:53 Uhr
Goto Top
Hi,
wenn ich mich richtig erinnere, ist es doch sogar vorgeschrieben, dass ein Mitarbeiter, welcher "nebenbei" als Betriebsrat arbeitet, dafür eine gesonderte Arbeitsumgebung gestellt bekommen muss. Oder spinne ich?
Falls doch, dann impliziert das - für mich - dass dieser auch eine gesonderte Benutzerumgebung haben muss. Und das wiederrum bedeutet, dass er sich bei seiner Arbeit als Betriebsrat mit dem dafür vorgesehenen Konto anmelden muss.
Kann aber auch sein, dass ich spinne ...

E.
Playse
Playse 16.02.2018 aktualisiert um 15:12:51 Uhr
Goto Top
Du könntest Recht haben, emeriks face-wink

Betriebsverfassungsgesetz (BetrVG)
§ 40 Kosten und Sachaufwand des Betriebsrats
(1)
Die durch die Tätigkeit des Betriebsrats entstehenden Kosten trägt der Arbeitgeber.

(2) Für die Sitzungen, die Sprechstunden und die laufende Geschäftsführung hat der Arbeitgeber in erforderlichem Umfang Räume, sachliche Mittel, Informations- und Kommunikationstechnik sowie Büropersonal zur Verfügung zu stellen.
134723
134723 16.02.2018 aktualisiert um 16:52:54 Uhr
Goto Top
Hallo,


Zitat von @emeriks:

Hi,
wenn ich mich richtig erinnere, ist es doch sogar vorgeschrieben, dass ein Mitarbeiter, welcher "nebenbei" als Betriebsrat arbeitet, dafür eine gesonderte Arbeitsumgebung gestellt bekommen muss. Oder spinne ich?
Falls doch, dann impliziert das - für mich - dass dieser auch eine gesonderte Benutzerumgebung haben muss. Und das wiederrum bedeutet, dass er sich bei seiner Arbeit als Betriebsrat mit dem dafür vorgsehenen Konto anmelden muss.
Kann aber auch sein, dass ich spinne ...

E.

der Benutzer braucht ja nichtmal zwingend ein komplett neuen User etc.
Es reicht doch wenn hier einfach ein 2. Outlook Profil erstellt wird, welches beim Starten ausgewählt werden muss. Durch den Vollzugriff kann er sich weiter mit seinen Benutzerdaten anmelden.
Alles was er machen muss, ist Outlook neustarten.

Damit das so funktioniert müsste man das Auto-Mapping für die Mailbox deaktivieren, damit die nicht trotzdem im normalen Profil angezeigt wird.

Edit: Um auch noch den o.a. Gesetzestext zu kommentieren:
In meinem alten Unternehmen war ein guter Kollege der Vorstandsvorsitzende des Betriebsrates. Er hat keine zusätzliche Hardware und/oder Benutzerkonten. Ich will jetzt auch nicht verbindlich antworten, aber denke man kann "Informations- und Kommunikationstechnik" auslegen wie man will.

VG
DaPedda
DaPedda 16.02.2018 um 20:05:29 Uhr
Goto Top
Servus zusammen,

ich finde, das ein gesonderter AD-User hier eher Sinn macht und am Client für den entsprechenden Nutzer für mehr Comfort sorgt. Die zusätzlichen Kosten für einen Exchange-CAL halten sich ja in Grenzen. In meiner Umgebung habe ich User, welche durchaus über zwei oder gar drei Exchange-Konten verfügen, welche sie unter ihren eigentlichen Hauptuser bedienen können.

Viele Grüße,
Peter
emeriks
emeriks 16.02.2018 um 21:02:12 Uhr
Goto Top
Die zusätzlichen Kosten für einen Exchange-CAL halten sich ja in Grenzen.
Dafür fällt keine weitere CAL an. Es ist der selbe Mensch und/oder selbe Computer.
DaPedda
DaPedda 16.02.2018 um 21:09:53 Uhr
Goto Top
Zitat von @emeriks:

Die zusätzlichen Kosten für einen Exchange-CAL halten sich ja in Grenzen.
Dafür fällt keine weitere CAL an. Es ist der selbe Mensch und/oder selbe Computer.

Achsooo,... dann be###t uns unser Softwarelieferant schon seit Jahren, oder? Beim dem heißt es: pro AD-User eine Lizenz
117471
117471 16.02.2018 aktualisiert um 23:12:33 Uhr
Goto Top
Hallo,

Zitat von @DaPedda:

Beim dem heißt es: pro AD-User eine Lizenz

Wer diese Interpretation verifizieren möchte, kann ja mitzählen, wann z.B. der Essentials die Hufe hochreißt. Dann weiß man zumindest schon einmal, wie Microsoft die Sache sieht face-smile

Gruß,
Jörg
StefanKittel
StefanKittel 17.02.2018 um 02:43:38 Uhr
Goto Top
Hallo,

Zitat von @DaPedda:
Achsooo,... dann be###t uns unser Softwarelieferant schon seit Jahren, oder? Beim dem heißt es: pro AD-User eine Lizenz

Bei SPLA (Mietlizenzen zählt MS teilweise auch so. Viele Hosted Exchange-Anbieter zählen auch so).
BassFishFox
BassFishFox 17.02.2018 aktualisiert um 12:35:17 Uhr
Goto Top
Halloele,

Er hat keine zusätzliche Hardware und/oder Benutzerkonten. Ich will jetzt auch nicht verbindlich antworten, aber denke man kann "Informations- und Kommunikationstechnik" auslegen wie man will.

Die zusaetzliche Hardware wurde bei uns eingespart (2 x PC mit Dual-Monitor auf einem Tisch machen ja eh keinen Sinn). face-big-smile
Was wir aber gemacht haben ist, dass die lieben Kollegen zwei Benutzerkonten/Mailkonten haben. Eines fuer normal, eines fuer Betriebsrat.
Das Zusaetzliche wie wer sichert Daten und wo, wer kann Aufgrund seiner Position (Admin) theoretisch sehen was der BR an Daten ablegt, war hier sehr frueh ein grosser Bestandteil einer Vereinbarung.

BFF
clSchak
clSchak 17.02.2018 um 11:26:58 Uhr
Goto Top
Hi

um auf den Ursprung des Threads zurückzukommen, Outlook muss zudem im Cachemodus laufen damit die Mails im Postausgang des passendes Postfachs landen (zum. bei Outlook 2010 - 2016 in Verbindung mit Exchange 2013).

Gruß
@clSchak
Dani
Dani 17.02.2018 um 12:20:18 Uhr
Goto Top
Moin,
(2) Für die Sitzungen, die Sprechstunden und die laufende Geschäftsführung hat der Arbeitgeber in erforderlichem Umfang Räume, sachliche Mittel, Informations- und Kommunikationstechnik sowie Büropersonal zur Verfügung zu stellen.
das ist unser Meinung nach Auslegungssache... wir haben z.B. für Betriebsrat u.a. ein Funktionspostfach, welches automatisch in die normale Benutzersitzung gemappt wird. Denn Stellvertretereberechtigungen können für dieses Postfach nicht gesetzt werden. So hat kein andere Kollege Zugriff auf das Postfach. Ist für die Kollegen bequmer als ein separater Benutzer. Wir haben das natürlich im Vorfeld transparanet geplant und es gab keinerlei Einsprüche.

Achsooo,... dann be###t uns unser Softwarelieferant schon seit Jahren, oder? Beim dem heißt es: pro AD-User eine Lizenz
Wenn ihr per OVS bzw. EA lizenziert, habt ihr evtl. zu viel gezahlt. Ich verweise da gerne auf folgenden Microsoft Blogartikel.


Gruß,
Dani
emeriks
emeriks 17.02.2018 um 12:42:50 Uhr
Goto Top
Oben steht: Exchange Server 2010.
Es gibt Device und User CAL. User CAL beziehen sich auf Menschen, nicht Benutzerkonten. Benutzerkonten würden als Account genannt werden.
117471
117471 17.02.2018 um 13:53:36 Uhr
Goto Top
Hallo,

im Zweifelsfall zählt das, was der Assistent an benötigten Lizenzen auswirft.

Unsere Exchange-Hoster berechnen Info-Postfächer allesamt, obwohl sie keinem Benutzer gehören. Allerdings zu einem reduzierten Satz, der nur die Lizenz beinhaltet.

Gruß,
Jörg
emeriks
emeriks 17.02.2018 um 17:01:38 Uhr
Goto Top
Hosting ist bei dieser Betrachtung vollkommen aussen vor. Wenn ich ins Stadion gehe kaufe ich mit der Eintrittskarte auch keine Lizenz für die Bundesliga. Der Hoster berechnet Euch seinen Aufwand + seiner Marge. Da kann auch der Kaffeesatz dabei sein.
Yellowcake
Yellowcake 17.02.2018 um 21:22:50 Uhr
Goto Top
Zitat von @Playse:

Hallo Yellowcake,

dieses Phänomen hatte ich letztens auch. Ändern lässt sich das meines Wissens nach (abhängig von der Office Version) nur in der Registry des jeweiligen Clients (Stichwort GPO da es ja mehrere Mitarbeiter betrifft).

Hier ein entsprechender Thread im MS social technet Forum: https://social.technet.microsoft.com/Forums/de-DE/362318a3-566a-41aa-8a7 ...

beste Grüße

Werde ich am Montag mal testen *danke*

Zitat von @emeriks:

Hi,
wenn ich mich richtig erinnere, ist es doch sogar vorgeschrieben, dass ein Mitarbeiter, welcher "nebenbei" als Betriebsrat arbeitet, dafür eine gesonderte Arbeitsumgebung gestellt bekommen muss. Oder spinne ich?
Falls doch, dann impliziert das - für mich - dass dieser auch eine gesonderte Benutzerumgebung haben muss. Und das wiederrum bedeutet, dass er sich bei seiner Arbeit als Betriebsrat mit dem dafür vorgesehenen Konto anmelden muss.
Kann aber auch sein, dass ich spinne ...

E.

Ja Stimmt, haben sie ja auch, haben ein eigenes Büro, eigenen Rechner ... alles da. Wir arbeiten aber mit Roaming Profilen und wie soll ich das liebevoll sagen, der Großteil der Mitarbeiter sind Mausschubser die wissen wie sie die Kiste an und aus bekommen. Wenn ich denen komme mit jetzt müsst ihr mit zwei Profilen arbeiten, dann weiß ich jetzt schon das ich jeden oder mindestens jeden zweiten tag die Benutzerkonten freischalten darf weil die mit den Kennwörtern nicht klar kommen...

Aktuell haben wir das so gelöst das der Betriebsrat per AD Gruppe Speicherplatz und Funktionen Freigeschaltet bekommen. Sollte also einer mal austeigen muss man nur in aus der Gruppe nehmen und er ist ein normaler MA.
Genau so würde ich das auch mit dem Postfach machen. Hier muss man dann nicht zwei AD Konten Pflegen und zwei Mail Konten. Das würde alles über eine Freigabe laufen.

Darum bekomme ich gerade voll die kriese beim Exchange das er das immer Kopiert obwohl der befehl genau das gegenteil sagt. Das muss ja nur ein Bug sein...

Set-MailboxSentItemsConfiguration "MAILBOX" -SendAsItemsCopiedTo From
Set-MailboxSentItemsConfiguration "MAILBOX" -SendOnBehalfOfItemsCopiedTo From

weil wenn ich Kopien haben wollte würde ich ja den befehl nutzen

Set-MailboxSentItemsConfiguration "MAILBOX" -SendAsItemsCopiedTo SenderAndFrom
Set-MailboxSentItemsConfiguration "MAILBOX" -SendOnBehalfOfItemsCopiedTo SenderAndFrom

der Exchange will mich einfach nur ärgern glaube ich
DaPedda
DaPedda 17.02.2018 um 22:44:17 Uhr
Goto Top
Zitat von @emeriks:

Oben steht: Exchange Server 2010.
Es gibt Device und User CAL. User CAL beziehen sich auf Menschen, nicht Benutzerkonten. Benutzerkonten würden als Account genannt werden.

Den Unterschied dürften die meisten kennen,... ein User CAL bezieht sich aber immer noch auf ein AD-Konto
clSchak
clSchak 17.02.2018 um 22:54:54 Uhr
Goto Top
Zitat von @DaPedda:

Zitat von @emeriks:

Oben steht: Exchange Server 2010.
Es gibt Device und User CAL. User CAL beziehen sich auf Menschen, nicht Benutzerkonten. Benutzerkonten würden als Account genannt werden.

Den Unterschied dürften die meisten kennen,... ein User CAL bezieht sich aber immer noch auf ein AD-Konto

Falsch, die User CAL bezieht sich auf einen Menschen, ein User kann mehrere AD Konten haben.
DaPedda
DaPedda 17.02.2018 um 23:05:59 Uhr
Goto Top
Zitat von @clSchak:

Zitat von @DaPedda:

Zitat von @emeriks:

Oben steht: Exchange Server 2010.
Es gibt Device und User CAL. User CAL beziehen sich auf Menschen, nicht Benutzerkonten. Benutzerkonten würden als Account genannt werden.

Den Unterschied dürften die meisten kennen,... ein User CAL bezieht sich aber immer noch auf ein AD-Konto

Falsch, die User CAL bezieht sich auf einen Menschen, ein User kann mehrere AD Konten haben.

Wiederum Falsch: wir wurden von Microsoft angemahnt, das wir unzureichend User-Cals haben. In der Tat habe ich 76 physikalische Benutzer und 102 Exchange-Konten.
Dani
Dani 17.02.2018 aktualisiert um 23:24:52 Uhr
Goto Top
Guten Abend,
Wiederum Falsch: wir wurden von Microsoft angemahnt, das wir unzureichend User-Cals haben. In der Tat habe ich 76 physikalische Benutzer und 102 Exchange-Konten.
grundsätzlich ist die Aussage von Kollege @clSchak erstmal korrekt. Eine User-CAL wird unabhängig vom Produkt immer einen Menschen zugewiesen. Microsoft um schreibt dies gerne mit dem Wort Nutzer. Das kannst du gerne in den nachstehenden Links nachlesen.:
https://products.office.com/de-de/exchange/microsoft-exchange-licensing- ...
https://blogs.technet.microsoft.com/volume-licensing/2014/03/10/licensin ...

Die selbe Diskussion führen wir auch in anderen Foren.

Warum bei euch eine Unterlizenzierung festgestellt wurde, ist aus der Ferne schwer zu beurteilen. Meist geht es um Details bzw. Abhängigkeiten die zu solchen Ergebnissen führen. Daher akzeptiert man dies erstmal nicht und zieht einen unabhängigen Dienstleister dazu, der im Bereich MLP/SAM zertifiziert ist. Aber gut, dass ist nicht Gegenstand des Beitrags hier... back to the topic!


Gruß,
Dani
Yellowcake
Yellowcake 17.02.2018 um 23:53:45 Uhr
Goto Top
Können wir Mal wieder zu meinem Problem zurück kommen face-smile

Cal habe ich ohne ende, aber mein Problem steht immer noch und Cal werden nichts dran ändern :p
DaPedda
DaPedda 18.02.2018 um 00:05:14 Uhr
Goto Top
Zitat von @Yellowcake:

Können wir Mal wieder zu meinem Problem zurück kommen face-smile

Cal habe ich ohne ende, aber mein Problem steht immer noch und Cal werden nichts dran ändern :p

Hin und wieder hilft es nicht, das neue Exchangekonto dem jeweiligen Benutzer mit Vollzugriff zu zu weisen. Ich bin dann daher gegangen und habe das neue Exchangekonto beim betreffenden User am PC manuell hin zu gefügt. Bisher hat es funktioniert. Gesendete Emails landen da, wo sie hin gehören. Allerdings nutze ich Exchange 2013
117471
117471 18.02.2018 um 00:13:23 Uhr
Goto Top
Hallo,

so würde ich es auch machen. Per Powershell ohne Automapping einrichten und dann zwei Konten über die Systemsteuerung einrichten.

Ich denke aber mal schon, dass die gesendeten immer im Standardkonto landen. Vielleicht kommt man hier mit Filterregeln weiter?

Gruß,
Jörg
Yellowcake
Yellowcake 18.02.2018 um 12:06:34 Uhr
Goto Top
Zitat von @117471:

Hallo,

so würde ich es auch machen. Per Powershell ohne Automapping einrichten und dann zwei Konten über die Systemsteuerung einrichten.

Ich denke aber mal schon, dass die gesendeten immer im Standardkonto landen. Vielleicht kommt man hier mit Filterregeln weiter?

Gruß,
Jörg

An Regeln in Outlook habe ich auch schon gedacht, hier habe ich aber wieder die MA die fummeln... Ein MA aus dem aktuellen Betriebsrat ist so ein unbelehrbarer IT Vernichter, der killt mir das bestimmt innerhalb von ein paar Stunden...
Darf da jeden zweiten Tag hin wegen Drucker Problemen weil er die abschließt obwohl die per gpo eingerichtet sind ...
Also würde ich sagen keine Lösung, da auch nicht rechtskonform
117471
117471 18.02.2018 um 18:46:02 Uhr
Goto Top
Hallo,

wenn er eine funktionierende Lösung beschädigt, steht er aber letztendlich voll in der Verantwortung.

Im Zweifelsfall kann er eurem Datenschutzbeauftragten ja am 26. Mai erklären, warum er "besonders schützenswerte Daten" vorsätzlich aus dem Sicherheitskonzept aussteuert.

Gruß,
Jörg
Yellowcake
Yellowcake 19.02.2018 um 09:39:26 Uhr
Goto Top
also ich habe die anleitung hier mir genauer angeschaut, das habe ich auch genau so gemacht. auch der Server hat den richtigen Patch level...

Set-MailboxSentItemsConfiguration TESTEXCHANGEaaa1 -SendAsItemsCopiedTo Sender
Set-MailboxSentItemsConfiguration TESTEXCHANGEaaa1 -SendOnBehalfOfItemsCopiedTo Sender
hier bekomme ich die E-Mail unter gesendet

Set-MailboxSentItemsConfiguration TESTEXCHANGEaaa1 -SendAsItemsCopiedTo SenderAndFrom
Set-MailboxSentItemsConfiguration TESTEXCHANGEaaa1 -SendOnBehalfOfItemsCopiedTo SenderAndFrom
Hier bekomme ich und das andere Postfach die E-Mail

Set-MailboxSentItemsConfiguration TESTEXCHANGEaaa1 -SendAsItemsCopiedTo From
Set-MailboxSentItemsConfiguration TESTEXCHANGEaaa1 -SendOnBehalfOfItemsCopiedTo From
Hier bekomme ich leider auch die E-Mail obwohl ich sie ja nicht bekommen sollte...

Verstehe ich nicht...

habe dann noch einen alten eintrag gefunden:

https://eightwone.com/2011/12/15/delegated-sent-and-deleted-items-behavi ...

Hier kann ich aber das Hotfix im WSUS nicht finden : kb2547227
Yellowcake
Yellowcake 19.02.2018 um 10:21:34 Uhr
Goto Top
OLE face-smile

es geht auch ohne das tolle HotFix

Zwei einträge und zack es geht:
in
HKCU\Software\Microsoft\Office\14.0\Outlook\Preferences

DelegateSentItemsStyle mit wert 1

und

HKCU\Software\Microsoft\Office\14.0\Outlook\Options\General

DelegateWasteBasketStyle mit wert 4

wieso es den Weg über den Exchange mit Powershell gibt frage ich mich aber trotzdem. evtl für neuer Versionen...