solisto99

@massaraksch SUPER INPUT *DANKE*! Das war die Lösung, zumindest aus meiner Sicht  Jetzt brauch ich nur noch den Sanktus aus der Abteilung. Skript sah so in der Art aus, denn die Gruppe wurde mit "Set-ADGroup EU-AT-V-S...." zuerst nicht gefunden.

Set-ADGroup -Identity "CN=EU-AT-V-S,OU=Exchange Gruppen,OU=Exchange,OU=Company,DC=usw..." -Replace @{department='Meine Beschreibung'}

Hallo, ich beiße mir gerade an einer recht sinnvoll klingenden Useranfrage die Zähne aus, eventuell habt ihr hier Lösungsansätze für mich.

Die Verteilerlisten im GAL sind mit spezifischen Abkürzungen benannt, wie etwa "EU-AT-V-S" im Feld NAME & Alias und die E-Mail sieht auch nicht viel besser aus, also etwa "EU-AT-W-S@contoso.com".

Das ist eine Konzernrichtlinie. Einige User würden sich jetzt im Sinne der Lesbarkeit wünschen, dass eine Beschreibung, z.B. "AT Salesteam Vienna" in der GAL sichtbar wäre. Die Spalten "Position", "Telefon geschäftl...", "Büro", "Abteilung", "Firma" können aber meines Wissens für diese Security Groups nicht befüllt werden.

-> Kann man diese Felder/Attribute doch irgendwie bei Gruppen befüllen?

-> Kann man die im GAL angezeigten Spalten ändern, sodass die Beschreibung in der Liste angezeigt wird?

-> Ist die Anforderung "absurd" und kann deshalb nicht gelöst werden?

Hallo, danke für euren Input - ich habs gelöst und es ist sogar recht performant. Gerne teile ich den Lösungsansatz mit euch:

1) Da alle Dyn. Distr. Groups (DDG) in nur einer bestimmten OU zu Security Groups (SG) führen sollen, werden diese Gruppen in ein CSV ausgelesen:

Get-DynamicDistributionGroup -OrganizationalUnit <OU> -ResultSize <Unlimited oder Anzahl> | Select-Object DisplayName,Alias | Sort-Object DisplayName | Export-CSV $env:TEMP\DDG-to-SG.csv -NoTypeInformation -Encoding UTF8

2) Danach wird diese CSV-Liste an DDGs abgearbeitet, es werden dabei auch neue SGs - in diesem Fall mit einem Prefix - erzeugt und die bestehenden aktualisiert, damit bleiben die Berechtigungen der SG erhalten. Bei der Neuanlage einer SG muss man natürlich seine eigenen Parameter verwenden.

Import-Csv $env:TEMP\DDG-to-SG.csv | ForEach-Object {
$SecGroupDisplayName = -join("PREFIX-SG_", $($_.DisplayName))
$SecGroupAlias = -join("PREFIX-SG_", $($_.Alias))

if (Get-DistributionGroup -Identity $SecGroupAlias) {
Write-Host -ForegroundColor Green "+++ Verteilerliste $SecGroupAlias ist bereits vorhanden, Synchronisation startet... +++"
}
else {
Write-Host -ForegroundColor Red "+++ Verteilerliste $SecGroupAlias wird neu angelegt..."
New-DistributionGroup -Name $SecGroupDisplayName -Alias $SecGroupAlias -Type 'Security' -OrganizationalUnit <OU> -ManagedBy <Username fürs Mgmnt> 
$PrimSmtpAdr = -join($SecGroupAlias, "<Domain der primären E-Mail-Adr>")
Set-DistributionGroup $SecGroupAlias -HiddenFromAddressListsEnabled $true -EmailAddressPolicyEnabled $false -PrimarySmtpAddress $PrimSmtpAdr -BypassSecurityGroupManagerCheck
Write-Host -ForegroundColor Red "+++ Sicherheitsgruppe $SecGroupAlias neu angelegt, Synchronisation startet..."
}

$FTE = Get-DynamicDistributionGroup $($_.Alias)
$DynMembers = (Get-Recipient -RecipientPreviewFilter $FTE.RecipientFilter -OrganizationalUnit $FTE.RecipientContainer).Alias | where {$_ -ne ""}
Update-DistributionGroupMember -Identity $SecGroupAlias -Members $DynMembers -Confirm:$false -BypassSecurityGroupManagerCheck
Write-Host -ForegroundColor Yellow "Der dynamische Verteiler '$($_.DisplayName)' wurde in die Sicherheitsgruppe $SecGroupDisplayName synchronisiert."
}

Mit dieser Lösung genießt man den administrativen Komfort eine DDG und den Nutzen eine SG, das Skript muss dann natürlich regelmäßig anwenden.

Alles natürlich ohne Gewähr  Freu mich über euer Feedback!

Am 24.5.2022 um 15:30 schrieb cj_berlin:

Moin,

 

wie die Vorredner schon angedeutet haben: Einfach eine normale Mail-Enabled Security Group nach einer gewissen Vorschrift mit Mitgliedern bestücken. Alles, was ein Recipient Filter einer DDG abbilden kann, kannst Du auch mit PowerShell abbilden. Aber zwei Exchange-Empfänger für das gleiche haben ergibt in der Regel nicht so viel Sinn.

Servus nach Berlin! Hintergrund meiner Anfrage ist, dass wir die Gruppen dynamisch aufbauen (möchten), diese dynamischen Gruppen jedoch leider *nicht* für die Vergabe von Mailboxberechtigungen für z.B. Shared Mailboxes herangezogen werden dürfen. Daher war die erste Idee, die dynamischen Gruppen in statische zu synchronisieren. 

Dein Ansatz, statische Gruppen via PS-Script direkt zu erstellen ist wahrscheinlich einfacher, aber auch hier gilt -> wenn man weiß wie  

Ein Membership-Filter einer dyn. Gruppe sieht zB so aus

• "Only the follwoing recipient types:" -> "Users with Exchange mailboxes"
• Weiters
  • "Recipient container" -> eine OU im AD
  • "Department" -> 'Marketing' or 'Sales'

Offen ist dann noch, was passiert wenn ein User dem Filter nicht mehr entspricht - wie fliegt der per Script dann wieder aus dem Verteiler?

Am 24.5.2022 um 13:12 schrieb testperson:

Hi, die erste Frage wäre, warum benötigen die User "normale Verteilergruppen"?...

Dynamischen Gruppen können leider nicht für die Vergabe von Mailboxberechtigungen für z.B. Shared Mailboxes herangezogen werden.

Wir arbeiten auf unserem internen Exchange-Server in der Administration mit dynamischen Verteilergruppen (Group type "Dynamic Distribution Group", z.B. dyn_verteiler1@firma.com).

Unsere User benötigen im Exchange aber "normale" Verteilergruppen (Group type "Security Group"), daher müssen wir einen Weg finden, die Members aus der dynamischen Verteilergruppe verteiler1@firma.com mit einem statischen Verteiler verteiler1@firma.com zu synchronisieren. Diese Synchronisation soll alle zB 30min stattfinden und soll neue hinzufügen und User die nicht mehr im dyn. Verteiler sind natürlich entfernen.

Habt ihr da bitte Ansätze, ob und wie so etwas funktionieren kann? Wie könnte so ein PowerShell aufgebaut sein?

Danke für eure Ansätze bzw. für die Bestätigung, dass wir das Verhalten von Exchange+AD nicht in unserem Sinne beeinflussen können und wir unsere Integrationen an dieses Verhalten anpassen müssen. Der Berg kommt hier halt leider nicht zum Propheten 

Danke Mirko für die superschnelle Antwort! *top*  

Zum Hintergrund meiner Frage - die Situation ist, dass am AD-User im Netzwerk noch viel mehr hängt als nur Exchange, u.a. Synchronisation mit dem ERP (Login), Fileserver-Geschichten usw. Daher hätten wir gerne die Exchange-Mailbox vom AD-User in den täglichen Workflows entkoppelt, dass also Exchange möglichst *nicht* den AD-User ändert. Vielleicht gibts ja Kniffe über z.B. Registry-Eintrag o.ä.

Zusatzfrage zu 2) Der Inhalt im Feld "E-Mail" (AD-Benutzer/Eigenschaften/Allgemein) bleibt also unangetastet von einer Mailbox-Deaktivierung?

Hallo, wir betreiben einen on-prem MS Exchange 2019 Server mit Microsoft Active Directory, also "klassisch". Dazu habe ich 2 Fragen, wäre super wenn mir wer weiterhelfen könnte!

1) Kann man verhindern, dass der verknüpfte AD-User gelöscht wird, wenn man ein Postfach löscht?

2) Kann man verhindern, dass die E-Mail-Adresse aus dem verknüpften AD-User gelöscht wird, wenn man ein Postfach deaktiviert?