Scharping-FVB 13 Geschrieben 16. April Melden Geschrieben 16. April Liebes Forum, ich möchte für eine AD-Gruppe das Recht vergeben für alle on prem Exchange 2019 Mailboxen das Senden-Als-Recht verwalten zu können. Die Gruppe soll also verwalten, wer Senden-Als-Rechte für Mailboxen bekommt. Ich habe es schon über eine Admin Role versucht und für die Management Role, die der Admin Role zugewiesen wurde, die Rechte versucht zu vergeben (Copilot hat das so vorgeschlagen): Set-ManagementRoleEntry "Custom-Mailbox-Change\Add-MailboxPermission" -Parameters "Identity", "User", "AccessRights" In der EAC wird für Mitglieder der AD-Gruppe, die Mitglied der Admin Role ist, unter Mailboxes in den Eigenschaften einer Mailbox bei Mailbox delegation kein Send-As sichtbar, das fehlt völlig. Hab ihr eine Idee? Viele Grüße Davorin
NorbertFe 2.283 Geschrieben 16. April Melden Geschrieben 16. April Send as sind meines Wissens nach AD Permissions. Also müsstest du das vermutlich eher über eine Schleife über alle Mailboxen laufen lassen. https://www.active-directory-faq.de/2017/09/exchange-senden-als-berechtigung-mit-powershell/ Bye Norbert vor 24 Minuten schrieb Scharping-FVB: Copilot hat das so vorgeschlagen): Also ich bin mir relativ sicher, dass Copilot das Problem nicht verstanden hat. Vielleicht musst du deinen prompt etwas optimieren ;) 1
cj_berlin 1.508 Geschrieben 16. April Melden Geschrieben 16. April Moin, es geht ja nicht darum, die Einstellung zu verwalten, sondern darum, die Verwaltung dieser Einstellung zu delegieren Im AD wäre das einfach, aber in Exchange RBAC müsste man recht tief reingehen, sofern man der jeweiligen Gruppe nicht generell die Berechtigungsverwaltung, sondern nur Send-As erlauben möchte.
Scharping-FVB 13 Geschrieben 17. April Autor Melden Geschrieben 17. April Also, detaillierter und konkreter: Nach dem Least Priviledge Rechte soll die AD-Gruppe das Recht haben, Mailboxen zu verwalten. Dazu gehört anlegen, bearbeiten, löschen, Rechte vergeben (Send-As, Send-on-behalf, fullAccess). Bis auf die Delegation des Send-As Rechts hat alles funktioniert. Nun möchte ich noch das Verwalten des Send-As Rechts an die AD-Gruppe delegieren. Ob über die Exchange Management Role oder über AD-Permissions ist mir gleich, ich dokumentiere das ja, so ist das nachvollziehbar.
NorbertFe 2.283 Geschrieben 17. April Melden Geschrieben 17. April Sollte dafür nicht die recipient Administrators Gruppe ausreichen?
Beste Lösung Scharping-FVB 13 Geschrieben 17. April Autor Beste Lösung Melden Geschrieben 17. April (bearbeitet) Hui, man muss halt mehrere KI durch probieren (und mit einem ausführlichen Prompt neu anfangen). Claude hat die Lösung gefunden, das Send-As-Recht über eine Management Role zu delegieren. Sein Ansatz: Ermittlung der vorhandenen Rollen mit Add-ADPermission: Das Script überprüft jede Rolle einzeln, ob sie das Add-ADPermission-Cmdlet enthält Erstellung einer neuen Management-Rolle: Basierend auf einer geeigneten Parent-Rolle (vorzugsweise "Organization Management") Die neue Rolle "Custom-SendAs-Management" erhält automatisch alle Cmdlets der Parent-Rolle Zuweisung der neuen Rolle: Die neue Rolle wird der Administrationsrolle "1_Administration-Mailboxes" zugewiesen Das Script versucht sowohl die Zuweisung mit SecurityGroup als auch mit RoleGroup Damit hat es funktioniert, nun sieht die AD-Gruppe in der EAC den Eintrag Send-As". Die Lösung soll für "Nachkommende" zur Verfügung stehen, das PS-Skript habe ich als TXT angehängt. vor 3 Minuten schrieb NorbertFe: Sollte dafür nicht die recipient Administrators Gruppe ausreichen? Die ADS-Gruppe "Recipient Management" kann, laut der Description: "Members of this management role group have rights to create, manage, and remove Exchange recipient objects in the Exchange organization." Klingt für mich erst mal nicht so, wie Verwalten des Send-AS Rechts. Aber ich habe eher wenig Ahnung, was sich MS unter diesen Rechten vorstellt. Zudem war die AD-Gruppe bereits Mitglied. Set-delegation-send-as.txt bearbeitet 17. April von Scharping-FVB Skript angehängt 1
NorbertFe 2.283 Geschrieben 17. April Melden Geschrieben 17. April vor 25 Minuten schrieb Scharping-FVB: Nach dem Least Priviledge Rechte soll die AD-Gruppe das Recht haben, Mailboxen zu verwalten. Dazu gehört anlegen, bearbeiten, löschen, Rechte vergeben (Send-As, Send-on-behalf, fullAccess). vor 15 Minuten schrieb Scharping-FVB: Die ADS-Gruppe "Recipient Management" kann, laut der Description: "Members of this management role group have rights to create, manage, and remove Exchange recipient objects in the Exchange organization." Stimmt, klingt komplett unterschiedlich. ;) vor 15 Minuten schrieb Scharping-FVB: Klingt für mich erst mal nicht so, wie Verwalten des Send-AS Rechts. Hab ich nicht ausprobiert, aber alles andere solltenja eigentlich passen. Aber deine Lösung ist dann ja genau passend. 👍
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden