Verwaltung von Verteilergruppen in Exchange 2010 delegieren

Wer in Exchange 2010 die Verwaltung einer Verteilergruppe delegieren möchte, wird zunächst mal mit der Fehlermeldung »Änderungen an den Verteilergruppen können nicht gespeichert werden. Sie besitzen nicht die erforderlichen Berechtigungen, um diesen Vorgang mit diesem Objekt auszuführen« konfrontiert:

Bearbeiten der Rolle »MyDistributionGroups«

In Exchange 2010 wurde die »rollenbasierte Zugriffssteuerung« (RBCA; Role Based Access Control) eingeführt, wodurch es Administratoren ermöglicht wird, administrative Aufgaben auf einer sehr detaillierten Ebene zu steuern. Lässt »RBCA« eine Aktion zu, führt Exchange diese im Kontext des »Exchange Trusted Subsystem« und nicht im Kontext des Benutzers durch.

Eine dieser Rollen ist die »MyDistributionGroups«1), welche es einzelnen Benutzern gestattet Mitglieder in Verteilergruppen, welche sie besitzen, hinzuzufügen oder zu entfernen. Des Weiteren können Benutzer Verteilergruppen anlegen und auch wieder entfernen. Soweit so gut, unser Ziel ist es ja einzelnen Mitgliedern zu erlauben Benutzer hinzuzufügen aber das Jeder auch noch Verteilergruppen erstellen und löschen kann, geht doch etwas zu weit. In einer frühen Betaphase war diese Rolle noch aktiviert, wurde aber eben aus diesen Umständen in den späteren Version standardmäßig deaktiviert.

Jedem Empfängertyp (Benutzer, Kontakte, Verteilerlisten, Öffentliche Ordner) wird beim Erstellen eine Standard Policy »Default Role Assignment Policy« mit einem definierten Set an Rollen zugewiesen. Die Default Policy kann nicht gelöscht werden und hat immer die niedrigste Priorität. Solange keine weiteren Policies zutreffen wird immer die Default Policy angewandt. Sie erreichen die Rollenzuweisungsrichtlinien über das »ECM → Toolbox → Benutzereditor für rollenbasierte Zugriffssteuerung«. Dort finden Sie unter »Meine Organisation verwalten → Rollen und Überwachung → Benutzerollen« die aktiven Rollenzuweisungsrichtlinien und somit eben auch die »Default Role Assignment Policy«

Im Screenshot sehen Sie deaktivierte Rolle »MyDistributionGroups«. Welche Berechtigungen dieser Rolle zugewiesen sind können Sie über die Powershell abfragen. Die Berechtigungen »Remove-DistributionGroup« und »New-DistributionGroup« stellen unser Problem dar:

[PS] C:\Windows\system32>Get-ManagementRoleEntry MyDistributionGroups\*

Name                           Role                      Parameters
----                           ----                      ----------
Set-Group                      MyDistributionGroups      {DisplayName, ErrorAction, ErrorVariable, Identity, Managed...
Set-DistributionGroup          MyDistributionGroups      {AcceptMessagesOnlyFrom, AcceptMessagesOnlyFromDLMembers, A...
Update-DistributionGroupMember MyDistributionGroups      {Confirm, ErrorAction, ErrorVariable, Identity, Members, Ou...
Set-DynamicDistributionGroup   MyDistributionGroups      {ErrorAction, ErrorVariable, Identity, MailTip, MailTipTran...
Remove-DistributionGroupMember MyDistributionGroups      {Confirm, ErrorAction, ErrorVariable, Identity, Member, Out...
Remove-DistributionGroup       MyDistributionGroups      {Confirm, ErrorAction, ErrorVariable, Identity, OutBuffer, ...
New-DistributionGroup          MyDistributionGroups      {Alias, CoManagedBy, Confirm, CopyOwnerToMember, DisplayNam...
Get-Recipient                  MyDistributionGroups      {Anr, BookmarkDisplayName, ErrorAction, ErrorVariable, Filt...
Get-Group                      MyDistributionGroups      {Anr, ErrorAction, ErrorVariable, Filter, Identity, OutBuff...
Get-DistributionGroupMember    MyDistributionGroups      {ErrorAction, ErrorVariable, Identity, IgnoreDefaultScope, ...
Get-DistributionGroup          MyDistributionGroups      {Anr, ErrorAction, ErrorVariable, Filter, Identity, Managed...
Add-DistributionGroupMember    MyDistributionGroups      {Confirm, ErrorAction, ErrorVariable, Identity, Member, Out...

Als Lösung bietet sich nun an, eine neue Rolle »CustomMyDistributionGroups« auf Basis der Rolle »MyDistributionGroups« zu erstellen, die beiden Berechtigungen zum Erstellen und Entfernen von Verteilergruppen zu entfernen und diese Rolle in der »Default Role Assignment Policy« zu aktivieren:

  • Erstellen der Rolle »CustomMyDistributionGroups« auf Basis der vorhandenen Rolle »MyDistributionGroups«:
    [PS] C:\Windows\system32>New-ManagementRole -Name CustomMyDistributionGroups -Parent MyDistributionGroups
    
    Name                                                        RoleType
    ----                                                        --------
    CustomMyDistributionGroups                                  MyDistributionGroups
  • Entfernen der Berechtigungen »Remove-DistributionGroup« und »New-DistributionGroup«:
    [PS] C:\Windows\system32>Remove-ManagementRoleEntry CustomMyDistributionGroups\New-DistributionGroup -Confirm:$false
    [PS] C:\Windows\system32>Remove-ManagementRoleEntry CustomMyDistributionGroups\Remove-DistributionGroup -Confirm:$false
  • Zuweisen und aktivieren der neuen Rolle in der »Default Role Assignment Policy«:
    [PS] C:\Windows\system32>New-ManagementRoleAssignment -Role CustomMyDistributionGroups -Policy "Default Role Assignment Policy"
    
    Name                           Role              RoleAssigneeName  RoleAssigneeType  AssignmentMethod  EffectiveUserName
    ----                           ----              ----------------  ----------------  ----------------  -----------------
    CustomMyDistributionGroups-... CustomMyDistri... Default Role A... RoleAssignment... Direct

Damit wäre die »RBAC« Konfiguration abgeschlossen und kann in der GUI auch überprüft werden:

Verwalter der Verteilergruppe setzen und konfigurieren:

Damit ein Benutzer nun aber die Verwaltung der Verteilergruppen in Outlook vornehmen können, sind noch weitere Schritte notwendig. Zum einen muss der Benutzer als Verwalter der Gruppe definiert werden und zweitens benötigt der Verwalter noch spezielle AD-Berechtigungen um die Mitglieder einer Verteilergruppe zu verwalten.

Definition des Verwalters per Powershell:

[PS] C:\Windows\system32>Set-DistributionGroup -Identity DistributionGroupName -ManagedBy Domain\Username

Zuweisen des Verwalters per EMC:

Öffnen Sie in der EMC die Eigenschaften der Verteilergruppe die Registerkarte »Gruppeninformationen« und tragen Sie bei »Verwaltet von:« den gewünschten Verwalter der Verteilergruppe ein. Sie können hier auch mehrere Verwalter definieren, wenn Sie dies wünschen:

Zuweisen der AD-Berechtigungen für den Verwalter der Verteilergruppe:

Ein Verwalter benötigt zuletzt noch die AD-Berechtigungen ReadProperty (welche standardmäßig bereits vorhanden ist) und WriteProperty:

[PS] C:\Windows\system32>Add-ADPermission -Identity DistributionGroupName -User Domain\Username -AccessRights ReadProperty, WriteProperty -Properties 'Member'

Identity             User                 Deny  Inherited
--------             ----                 ----  ---------
DOMAIN.local/Wol... DOMAIN\Username       False False
DOMAIN.local/Wol... DOMAIN\Username       False False

Sie müssen den Befehl für jeden User ausführen, welcher als Verwalter dieser Verteilergruppe eingetragen ist.

Fazit: Microsoft erfindet sich doch wirklich immer wieder neu. Es hat mich gefühlte 18 Stunden gekostet um diese Verwaltungsdelegagtion fehlerfrei hinzubekommen. Aber gut, wenn man weiß wie es geht, ist es nur noch halb so aufregend… ;-)

Verwandte Artikel:
→ Verteilergruppe anlegen und freischalten bzw entfernen
→ »Nicht universelle Verteilergruppen« konvertieren
→ Zeige alle Verteilergruppen an, wo ein Benutzer Mitglied ist
→ Zeige alle Mitglieder einer Verteilergruppe
→ Liste alle Verteilergruppen ohne/mit Mitglieder auf
→ Mitglied einer Verteilergruppe hinzufügen / entfernen

pronto 2013/08/30 13:22

win/exc2010_managed_distributiongroups.txt (17020 views) · Zuletzt geändert: 2017/01/17 21:38 von pronto
CC Attribution-Share Alike 3.0 Unported
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0