[[:win|{{ :WindowsLogo.png?40|}}]]
===== Verwaltung von Verteilergruppen in Exchange 2010 delegieren =====
Wer in Exchange 2010 die Verwaltung einer Verteilergruppe delegieren möchte, wird zunächst mal mit der Fehlermeldung >>Änderungen an den Verteilergruppen können nicht gespeichert werden. Sie besitzen nicht die erforderlichen Berechtigungen, um diesen Vorgang mit diesem Objekt auszuführen<< konfrontiert:
{{ :win:distributiongroup1.png?400 |}}
==== Bearbeiten der Rolle »MyDistributionGroups« ====
In Exchange 2010 wurde die >>rollenbasierte Zugriffssteuerung<< (RBCA; Role Based Access Control) eingeführt, wodurch es Administratoren ermöglicht wird, administrative Aufgaben auf einer sehr detaillierten Ebene zu steuern. Lässt >>RBCA<< eine Aktion zu, führt Exchange diese im Kontext des >>Exchange Trusted Subsystem<< und nicht im Kontext des Benutzers durch.
Eine dieser Rollen ist die >>MyDistributionGroups<<((http://technet.microsoft.com/de-de/library/dd876849%28v=exchg.150%29.aspx)), welche es einzelnen Benutzern gestattet Mitglieder in Verteilergruppen, welche sie besitzen, hinzuzufügen oder zu entfernen. Des Weiteren können Benutzer Verteilergruppen anlegen und auch wieder entfernen. Soweit so gut, unser Ziel ist es ja einzelnen Mitgliedern zu erlauben Benutzer hinzuzufügen aber das Jeder auch noch Verteilergruppen erstellen und löschen kann, geht doch etwas zu weit. In einer frühen Betaphase war diese Rolle noch aktiviert, wurde aber eben aus diesen Umständen in den späteren Version standardmäßig deaktiviert.
Jedem Empfängertyp (Benutzer, Kontakte, Verteilerlisten, Öffentliche Ordner) wird beim Erstellen eine Standard Policy >>Default Role Assignment Policy<< mit einem definierten Set an Rollen zugewiesen. Die Default Policy kann nicht gelöscht werden und hat immer die niedrigste Priorität. Solange keine weiteren Policies zutreffen wird immer die Default Policy angewandt. Sie erreichen die Rollenzuweisungsrichtlinien über das >>ECM -> Toolbox -> Benutzereditor für rollenbasierte Zugriffssteuerung<<. Dort finden Sie unter >>Meine Organisation verwalten -> Rollen und Überwachung -> Benutzerollen<< die aktiven Rollenzuweisungsrichtlinien und somit eben auch die >>Default Role Assignment Policy<<
{{ :win:distributiongroups2.png?700 |}}
Im Screenshot sehen Sie deaktivierte Rolle >>MyDistributionGroups<<. Welche Berechtigungen dieser Rolle zugewiesen sind können Sie über die Powershell abfragen. Die Berechtigungen >>Remove-DistributionGroup<< und >>New-DistributionGroup<< stellen unser Problem dar:
[PS] C:\Windows\system32>Get-ManagementRoleEntry MyDistributionGroups\*
Name Role Parameters
---- ---- ----------
Set-Group MyDistributionGroups {DisplayName, ErrorAction, ErrorVariable, Identity, Managed...
Set-DistributionGroup MyDistributionGroups {AcceptMessagesOnlyFrom, AcceptMessagesOnlyFromDLMembers, A...
Update-DistributionGroupMember MyDistributionGroups {Confirm, ErrorAction, ErrorVariable, Identity, Members, Ou...
Set-DynamicDistributionGroup MyDistributionGroups {ErrorAction, ErrorVariable, Identity, MailTip, MailTipTran...
Remove-DistributionGroupMember MyDistributionGroups {Confirm, ErrorAction, ErrorVariable, Identity, Member, Out...
Remove-DistributionGroup MyDistributionGroups {Confirm, ErrorAction, ErrorVariable, Identity, OutBuffer, ...
New-DistributionGroup MyDistributionGroups {Alias, CoManagedBy, Confirm, CopyOwnerToMember, DisplayNam...
Get-Recipient MyDistributionGroups {Anr, BookmarkDisplayName, ErrorAction, ErrorVariable, Filt...
Get-Group MyDistributionGroups {Anr, ErrorAction, ErrorVariable, Filter, Identity, OutBuff...
Get-DistributionGroupMember MyDistributionGroups {ErrorAction, ErrorVariable, Identity, IgnoreDefaultScope, ...
Get-DistributionGroup MyDistributionGroups {Anr, ErrorAction, ErrorVariable, Filter, Identity, Managed...
Add-DistributionGroupMember MyDistributionGroups {Confirm, ErrorAction, ErrorVariable, Identity, Member, Out...
Als Lösung bietet sich nun an, eine neue Rolle >>CustomMyDistributionGroups<< auf Basis der Rolle >>MyDistributionGroups<< zu erstellen, die beiden Berechtigungen zum Erstellen und Entfernen von Verteilergruppen zu entfernen und diese Rolle in der >>Default Role Assignment Policy<< zu aktivieren:
* Erstellen der Rolle >>CustomMyDistributionGroups<< auf Basis der vorhandenen Rolle >>MyDistributionGroups<<:\\ [PS] C:\Windows\system32>New-ManagementRole -Name CustomMyDistributionGroups -Parent MyDistributionGroups
Name RoleType
---- --------
CustomMyDistributionGroups MyDistributionGroups
* Entfernen der Berechtigungen >>Remove-DistributionGroup<< und >>New-DistributionGroup<<:\\ [PS] C:\Windows\system32>Remove-ManagementRoleEntry CustomMyDistributionGroups\New-DistributionGroup -Confirm:$false
[PS] C:\Windows\system32>Remove-ManagementRoleEntry CustomMyDistributionGroups\Remove-DistributionGroup -Confirm:$false
* Zuweisen und aktivieren der neuen Rolle in der >>Default Role Assignment Policy<<:\\ [PS] C:\Windows\system32>New-ManagementRoleAssignment -Role CustomMyDistributionGroups -Policy "Default Role Assignment Policy"
Name Role RoleAssigneeName RoleAssigneeType AssignmentMethod EffectiveUserName
---- ---- ---------------- ---------------- ---------------- -----------------
CustomMyDistributionGroups-... CustomMyDistri... Default Role A... RoleAssignment... Direct
Damit wäre die >>RBAC<< Konfiguration abgeschlossen und kann in der GUI auch überprüft werden:
{{ :win:distributiongroups3.png?400 |}}
==== Verwalter der Verteilergruppe setzen und konfigurieren: ====
Damit ein Benutzer nun aber die Verwaltung der Verteilergruppen in Outlook vornehmen können, sind noch weitere Schritte notwendig. Zum einen muss der Benutzer als Verwalter der Gruppe definiert werden und zweitens benötigt der Verwalter noch spezielle AD-Berechtigungen um die Mitglieder einer Verteilergruppe zu verwalten.
=== Definition des Verwalters per Powershell: ===
[PS] C:\Windows\system32>Set-DistributionGroup -Identity //DistributionGroupName// -ManagedBy //Domain//\//Username//
=== Zuweisen des Verwalters per EMC: ===
Öffnen Sie in der EMC die Eigenschaften der Verteilergruppe die Registerkarte >>Gruppeninformationen<< und tragen Sie bei >>Verwaltet von:<< den gewünschten Verwalter der Verteilergruppe ein. Sie können hier auch mehrere Verwalter definieren, wenn Sie dies wünschen:
{{ :win:distributiongroups5.png?400 |}}
=== Zuweisen der AD-Berechtigungen für den Verwalter der Verteilergruppe: ===
Ein Verwalter benötigt zuletzt noch die AD-Berechtigungen ReadProperty (welche standardmäßig bereits vorhanden ist) und WriteProperty:
[PS] C:\Windows\system32>Add-ADPermission -Identity //DistributionGroupName// -User //Domain//\//Username// -AccessRights ReadProperty, WriteProperty -Properties 'Member'
Identity User Deny Inherited
-------- ---- ---- ---------
DOMAIN.local/Wol... DOMAIN\Username False False
DOMAIN.local/Wol... DOMAIN\Username False False
Sie müssen den Befehl für jeden User ausführen, welcher als Verwalter dieser Verteilergruppe eingetragen ist.
Fazit: Microsoft erfindet sich doch wirklich immer wieder neu. Es hat mich gefühlte 18 Stunden gekostet um diese Verwaltungsdelegagtion fehlerfrei hinzubekommen. Aber gut, wenn man weiß wie es geht, ist es nur noch halb so aufregend... ;-)
**Verwandte Artikel:**
[[:win:exc2010_New-DistributionGroup|→ Verteilergruppe anlegen und freischalten bzw entfernen]]
[[:win:exc2010_Set-Group-Universal|→ »Nicht universelle Verteilergruppen« konvertieren]]
[[:win:exc2010_show_distributiongroups|→ Zeige alle Verteilergruppen an, wo ein Benutzer Mitglied ist]]
[[:win_exc2010_show_distributiongroup_members|→ Zeige alle Mitglieder einer Verteilergruppe]]
[[:win:exc2010_show_empty_distributiongroups|→ Liste alle Verteilergruppen ohne/mit Mitglieder auf]]
[[:win:exc2010_DistributionGroupMember|→ Mitglied einer Verteilergruppe hinzufügen / entfernen]]
--- //pronto 2013/08/30 13:22//
{{keywords>MyDistributionGroups, Remove-DistributionGroup, New-DistributionGroup, Default Role Assignment Policy, Verteilergruppe, Verwalter, Delegation, Add-ADPermission, ReadProperty, WriteProperty}}