manuwj
Goto Top

Kalenderfreigabe Exchange auf OU-Ebene

Liebe Administratoren,

In einem letzten internen Audit ist herausgekommen, dass wir nicht mehr alle Benutzer-Kalender mit allen Benutzer teilen dürfen (standard ist bei uns Reviewer).

Unsere Abteilungen sind in verschiedene OU's aufgeteilt. Innerhalb der gleichen Abteilung sollte die Kalendereinsicht weiterhin als Reviewer bestehen.

Exchange-DB ist nur eine.

Gibt es eine Möglichkeit, die Kalender-Berechtigungen nicht nur auf User/Gruppe Ebene zu definieren sondern auf OU-Ebene?

Danke und Gruss, Manu

Content-ID: 378166

Url: https://administrator.de/contentid/378166

Ausgedruckt am: 22.11.2024 um 15:11 Uhr

colinardo
colinardo 25.06.2018 aktualisiert um 15:59:34 Uhr
Goto Top
Servus Manu,
ja das kannst du mit dynamischen Verteilergruppen realisieren.
New-DynamicDistributionGroup
Du erstellst pro OU eine dynamische Verteilergruppe mit der -RecipientContainer Eigenschaft festgelegt auf die jeweilige OU und dann vergibst du die Ordner-Rechte an diese Gruppe.

Grüße Uwe

-edit- Geht nur mit Custom-Plugin, sorry

Alternative: Das AD Auditing der OUs aktivieren, und bei Hinzufügen/Entfernen (Task-Trigger) von Usern diese zur jeweiligen Gruppe hinzufügen oder entfernen.
emeriks
emeriks 25.06.2018 um 11:06:50 Uhr
Goto Top
Hi,
sorry Uwe, aber das kann so nicht stimmen.
Dynamische Verteiler sind nicht sicherheitsaktiviert und daran kann man auch nichts ändern. Sollte Exchange jetzt Berechtigungen über reine Verteilergruppen steuern können, so müsste das aber ein sehr neues Feature sein.

E.
colinardo
colinardo 25.06.2018 aktualisiert um 11:17:37 Uhr
Goto Top
Zitat von @emeriks:

Hi,
sorry Uwe, aber das kann so nicht stimmen.
Dynamische Verteiler sind nicht sicherheitsaktiviert und daran kann man auch nichts ändern. Sollte Exchange jetzt Berechtigungen über reine Verteilergruppen steuern können, so müsste das aber ein sehr neues Feature sein.
Nö altbekannt, Exchange-Verteilergruppen sind die einzigen "Gruppen" denen du Rechte in den Mailbox-Ordnern zuweisen kannst(Weil die einen EX-Alias haben), dafür gibt es die ja gerade face-smile, mach ich schon seit eh und jeh so.
Berechtigungen für öffentliche Ordner in Exchange 2016
Exchange 2013: Filterreiche Dynamische Verteilergruppe mit Shell erstellen
Exchange 2013 CatchAll einrichten (E-mails werden trotz deaktivierter Empfängerfilterung abgewiesen)
emeriks
emeriks 25.06.2018 um 13:34:33 Uhr
Goto Top
Dass diese Gruppen dafür Universelle Gruppen und emailaktiviert sein müssen, weiß ich. Bin aber der Meinung, dass das bei uns nur mir sicherheitaktivierten Gruppen funktioniert. Wir haben hier noch Exchange 2010.
colinardo
colinardo 25.06.2018 aktualisiert um 15:56:05 Uhr
Goto Top
Richtig, sicherheits und Email aktiviert, dynamische Verteilergruppen sind aber speziell, dort kannst du nicht festlegen "Security" oder "Verteiler", die lassen sich auch nicht in ADUC bearbeiten, können aber trotzdem für die Zuweisung von Rechten in Outlook verwendet werden, die Auswertung erfolgt dynamisch.

-edit- Ich sehe gerade, für dynamische Verteiler haben wir das hier mit einem eigenen Plugin so umgebaut das diese verwendet werden können, standardmäßig geht es also nicht "out of the box" da muss ich mich doch korrigieren.
emeriks
emeriks 25.06.2018 um 16:32:14 Uhr
Goto Top
Sorry, nein.
Exchange 2010 unterstützt das nicht. Das habe ich eben explizit getestet. Wenn, dann also frühestens ab Exchange 2013.
Und im Outlook 2010 sieht man zwar diese Gruppen, wenn man versucht, Berechtigungen eines Postfach- oder Öffentlichen Ordners zu ändern, die Icons der Gruppen signalisieren aber mit einem roten durchgestrichenen Kreis, dass diese dafür nicht funktional sind.
Bei uns zumindest ... Denn ich sehe gerade:

Die meisten unserer Verteilergruppen (nicht sicherheitaktiviert, statisch, nicht dynamisch) können nicht für Berechtigungen verwendet werde. Ein paar jedoch schon ... ?
Wo kann da der Unterschied sein? Habe die Eigenschaften soeben mit ADSIEDIT verglichen. Was mir auffällt: msExchRecipientDisplayType. Dieses ist bei den funktionierenden Gruppen 1073741833, was laut https://www.msxfaq.de/server/msexchrecipienttypedetails.htm bedeutet: "Mail universal Security Group". Diese Gruppen werden aber im AD als Verteilerguppe angezeigt und nicht als Sicherheitsgruppe. Stellt sich jetzt die Frage, wieso diese Gruppen dieses Attribut anders haben ...

So, um das "laute Denken" mal fortzusetzen:
  • Wenn man mit der Exchange 2010 GUI einen neuen Verteiler erstellt und dabei "Sicherheitsgruppe" wählt, dann kommt dieser Wert zustande. Mit der GUI kann man das nachträglich nicht ändern.
  • Wenn man nachträglich mit der ADUC MMC den Gruppentyp auf "Verteilergruppe" ändert, dann bleibt das o.g. trotzdem auf "Mail universal Security Group". Man kann den Verteiler damit weiterhin für Berechtigungen im Outlook verwenden.
  • Selbst wenn man den Verteiler mit der PS anlegt, muss man explizit angeben, dass das eine Sicherheitsgruppe werden soll. Wenn man das nicht bein Erstellen mit der PS tut und das nachträglich im der ADUC MMC auf "Sicherheitsgruppe" ändert, dann wir dieses o.g. Attribut nicht gesetzt und man kann diese Gruppe nicht für Berechtigungen im Outlook verwenden.
  • Wenn man mit der Exchange 2010 GUI einen neuen dyxnamischen Verteiler erstellt, dann kommt dieser Wert dort nicht zustande. Man kann diese Gruppe dann auch nicht für Berechtigungen nutzen. Weder im Outlook noch in der Exchange GUI für Öffentliche Ordner. PS kauft mir das auch gar nicht ab. Einen VT kann ich nehmen. Aber keinen dynamischen VT. Bei einem dynamischen VT kommt der Fehler: "Der angegebene Öffentlicher Ordner-Benutzer "DVTtest3" ist nicht vorhanden. Ein gültiger Öffentlicher Ordner-Benutzer muss ein E-Mail-aktivierter Benutzer, ein Postfach oder eine Verteilergruppe sein." Von dynamischer Verteilergruppe steht da nichts.

Wie bereits erwähnt: Ich bin hier noch mit Exchange 2010 unterwegs.
colinardo
colinardo 25.06.2018 aktualisiert um 16:45:03 Uhr
Goto Top
S. meine nachtr. Berichtigung oben. Wir haben uns für dyn. Verteiler ein Plugin geschrieben, das hatte ich hier nicht bedacht. Es ist richtig das dynamische Verteiler nicht "out of the box" dafür verwendet werden können wir machen das hier mit einem eigens entwickelten Plugin das uns das ermöglicht.
Das vergisst man schon mal wenn man sich seine Umgebung so schön "gemütlich" macht face-smile.
emeriks
emeriks 25.06.2018 aktualisiert um 16:54:24 Uhr
Goto Top
Kann es sein, dass das dann defacto aber auch keine klassischen dynamischen Verteiler sind sondern "normale" Verteiler, welche Ihr mit Eurem PlugIn (Dienst o.ä. ?) dynamisch füllt?
colinardo
colinardo 25.06.2018 aktualisiert um 16:57:57 Uhr
Goto Top
Nein. Trick 17, leider Betriebsgeheimnis face-wink.