Exchange 2010 - Eigene Gruppen in Outlook verwalten

Dieser Artikel gilt für: Exchange 2010, Exchange 2013

Beim Wechsel zu Exchange 2010 oder Exchange 2013 gibt es häufig das Problem, dass die Verwalter einer Verteilergruppe eben diese nicht mehr verwalten dürfen. Dies liegt an der mit Exchange 2010 neu eingeführten Role-Based-Access-Controll (RBAC). In meinen Blogeinträgen [1], [2] und [3] habe ich hier erste Einführungen dazu gegeben.

Das Fehlende Recht

Der Verwalter der Gruppe muss die Befehle Set-DistributionGroup, Add-DistributionGroupMember sowie Remove-DistributionGroupMember ausführen dürfen.

Diese und weitere Befehle werden über die Rolle MyDistributionGroup verwaltet.

Die feinere Einstellung

Da die Rolle MyDistributionGroups leider auch den Befehl New-DistributionGroup enthält, ist es besser sich eine eigene Rolle zu erstellen und hier den Befehl New-DistributionGroup nicht mit aufzunehmen.

Hierzu erstellen wir eine neue Rolle und erben von MyDistributionGroups:

New-ManagementRole DistributionManagement -Parent MyDistributionGroups

Nun entfernen wir den ungewünschten Befehl:

Remove-ManagementRoleEntry DistributionManagement\New-DistributionGroup

Die Rechtevergabe

Da jeder Verwalter einer Verteilergruppe diese auch verwalten können soll, fügen wir die eben erstellte Rolle zur Default Role AssignmentPolicy hinzu:

New-ManagementRoleAssignment -Role DistributionManagement-Policy "Default Role Assignment Policy"

Nun können alle Verwalter einer Gruppe wieder wie gewünscht handeln.

[1] https://www.escde.net/blog/exchange-2010-administration-abgeben-oder-behalten?rq=Exchange%202010%20Administration
[2] https://www.escde.net/blog/exchange-2010-verwaltung-in-der-subdomane-teil1?rq=Verwaltung
[3] https://www.escde.net/blog/exchange-2010-verwaltung-in-der-subdomane-teil2?rq=Verwaltung