Exchange: Verteilerlisten mit mehreren Managern
Es ist ein alter Hut, dass durch das Setzen der Konfiguration “Managed By” und “Manager can update membership list” ein Anwender berechtigt werden kann, die Mitglieder einer Verteilerliste Microsoft Outlook zu verwalten.
Schwieriger wird es, wenn mehrere Personen die Mitglieder einer Verteilerliste pflegen sollen. Doch auch hierfür gibt es eine Lösung…
Drei Manager für eine Verteilerliste
Bevor wir die Verteilerliste “DL-with-multiple-managers” erstellen, schauen wir uns die folgenden Attribute an:
- Managed By
- msExchCoManagedByLink
Die Konfiguration des Feldes “Managed By” erlaubt nur die Eintragung eines einzelnen Benutzerobjekts.
Das Attribute ist “single-valued” und kann somit nur einen einzelnen Wert als “Managed By” speichern.
Um mehrere Benutzerkonten als Manager einer Verteilerliste zu ermöglichen, hat Microsoft das Attribute “msExchCoManagedByLink” eingeführt. Die Nutzung des Attributs erfolgt automatisch, sobald man die Manager einer Verteilerliste per Powershell einträgt und dabei die richtigen Parameter benutzt.
Managed By
Mit dem Powershell cmdLet Set-DistributionGroup kann die Eigenschaft “Managed By” einer Verteilerliste geändert werden. Im Normalfall gibt man nur ein Benutzerkonto als Manager ein.
Was passiert, wenn mehrere Benutzerkonten, mit einer durch Komma getrennten Liste, eingetragen werden?
In diesem Fall wird das erste Konto der Liste in das Attribut “Managed-By” eingetragen.
Alle weiteren Konten werden automatisch in das Attribut “msExchCoManagedByLink” eingetragen.
Beispiel mit 3 Managern:
Die Verteilerliste “DL-with-multiple-managers” soll 3 Manager erhalten: Sebastian Achen, Lena Baader und Tobias Baier.
Wir tragen diese wie folgt per PowerShell ein:
Set-DistributionGroup -Identity “DL-with-multiple-managers” -managedby “Sebastian.Achen”,”Lena.Baader”,”Tobias.Baier” -BypassSecurityGroupManagerCheck
Das Attribut msExchCoManagedByLink sieht jetzt wie folgt aus:
Die Konten von Lena Baader und Tobias Baier wurden wie erwartet eingetragen.
Manager can update membership list
Diese Konfiguration reicht allerdings noch nicht aus, um die Mitgliedschaften zu ändern.
Es fehlt das Häkchen “Manager can update membership list“.
Dieses wird für den Manager automatisch gesetzt, sobald das Recht “write members” für die Verteilerliste vergeben wurde.
Damit auch die sekundären Manager Mitglieder zu verwalten können, muss für sie ebenfalls die Berechtigung gesetzt werden.
Die Powershell-Befehle für die Berechtigungen:
add-adpermission -Identity DL-with-multiple-managers -User Sebastian.Achen -AccessRights “writeproperty” -Properties “member”
add-adpermission -Identity DL-with-multiple-managers -User Lena.Baader -AccessRights “writeproperty” -Properties “member”
add-adpermission -Identity DL-with-multiple-managers -User Tobias.Baier -AccessRights “writeproperty” -Properties “member”
Überprüfung mit OWA
Am einfachsten lässt sich mit der Outlook Web App überprüfen, ob die Einstellungen erfolgreich waren.
Der folgende Screenshot zeigt eine OWA Sitzung mit einem Exchange 2010 Server. Angemeldet ist der sekundäre Manager Tobias Baier.
Im Bereich “Options – Groups” werden unter “Public Groups I Own” alle Verteilerlisten angezeigt, die der Anwender verwalten kann:
Default Role Assignment Policy
Zum Schluss gibt es dennoch eine kleine Hürde zu nehmen. In der Standardkonfiguration von Exchange 2010 / 2013 ist es Benutzern nicht automatisch erlaubt ihre Verteilerlisten zu verwalten. Um dies generell zu ermöglichen, muss in der ECP (Exchange Control Panel) die “Default Role Assigenment Policy” geändert werden. Erst die Aktivierung der Rolle “MyDistributionGroupmembership” ermöglicht die Verwaltung der Mitglieder durch den Manager der Verteilergruppe.
Beachtet man diese Einstellungen, so ist es durchaus möglich Verteilerlisten mit mehreren Managern zu konfigurieren.
Für Fragen zu unseren Leistungen stehen wir Ihnen unter Kontakt gern zur Verfügung.
Leave a Reply