Vollzugriff und Gruppen

Hi,

meinst du, der Vollzugriff klappt nicht oder nur die automatische Einbindung im Outlook (das sogenannte Auto-Mapping)?

Wenn du in der Konsole oder in der Shell (Add-MailboxPermission) Vollzugriff auf eine Mailbox für einen User vergibst, dann fügt Exchange u.a. dem AD-Attribut "msExchDelegateListLink" der Mailbox den DN (distinguishedName) des berechtigten Users hinzu.
Gleichzeitig wird bei dem berechtigten User im Attribut "msExchDelegateListBL" (ein sog. AD-Backlink) der DN der Mailbox hinzugefügt.
Diese AD-Attribute veranlassen dann Outlook (über die Autodiscover-Funktion), die entsprechende Mailbox automatisch einzubinden.

Bei Gruppen funktioniert dies nun nicht (by design). Wäre auch aufwendig, da sich Gruppen ja laufend ändern können (Mitglieder hinzu/weg) und Exchange müßte die Attribute ständig aktualisieren.

Es gibt wohl im Netz diverse Ansätze, um dies zu "teilautomatisieren", also z.B. die Mitglieder der berechtigten Gruppe(n) auszulesen (Get-DistributionGroupMember) und deren DNs dann per Script in die entsprechenden Attribute zu schreiben. Naja, sollte man aber genau aufpassen, was und wie man das macht... Und sie würden ja auch nicht automatisch entfernt, wenn man die Rechte der Gruppe wieder wegnimmt -> Verwirrung ist die Folge.

Ich sage den Leuten bei Gruppenberechtigungen lieber, bindet euch die Mailbox selber im Outlook ein

PS:
Bei Add-MailboxPermission in der Shell gibt es übrigens auch den Parameter "–AutoMapping $false" um diese Automatik zu verhindern, falls nicht gewünscht.

mfg, exocheck