Scharping-FVB 13 Geschrieben Mittwoch um 18:36 Melden Geschrieben Mittwoch um 18:36 Liebes Forum, ich möchte für eine AD-Gruppe das Recht vergeben für alle on prem Exchange 2019 Mailboxen das Senden-Als-Recht verwalten zu können. Die Gruppe soll also verwalten, wer Senden-Als-Rechte für Mailboxen bekommt. Ich habe es schon über eine Admin Role versucht und für die Management Role, die der Admin Role zugewiesen wurde, die Rechte versucht zu vergeben (Copilot hat das so vorgeschlagen): Set-ManagementRoleEntry "Custom-Mailbox-Change\Add-MailboxPermission" -Parameters "Identity", "User", "AccessRights" In der EAC wird für Mitglieder der AD-Gruppe, die Mitglied der Admin Role ist, unter Mailboxes in den Eigenschaften einer Mailbox bei Mailbox delegation kein Send-As sichtbar, das fehlt völlig. Hab ihr eine Idee? Viele Grüße Davorin Zitieren
NorbertFe 2.195 Geschrieben Mittwoch um 18:49 Melden Geschrieben Mittwoch um 18:49 Send as sind meines Wissens nach AD Permissions. Also müsstest du das vermutlich eher über eine Schleife über alle Mailboxen laufen lassen. https://www.active-directory-faq.de/2017/09/exchange-senden-als-berechtigung-mit-powershell/ Bye Norbert vor 24 Minuten schrieb Scharping-FVB: Copilot hat das so vorgeschlagen): Also ich bin mir relativ sicher, dass Copilot das Problem nicht verstanden hat. Vielleicht musst du deinen prompt etwas optimieren ;) 1 Zitieren
cj_berlin 1.416 Geschrieben Mittwoch um 20:10 Melden Geschrieben Mittwoch um 20:10 Moin, es geht ja nicht darum, die Einstellung zu verwalten, sondern darum, die Verwaltung dieser Einstellung zu delegieren Im AD wäre das einfach, aber in Exchange RBAC müsste man recht tief reingehen, sofern man der jeweiligen Gruppe nicht generell die Berechtigungsverwaltung, sondern nur Send-As erlauben möchte. Zitieren
NorbertFe 2.195 Geschrieben Mittwoch um 20:16 Melden Geschrieben Mittwoch um 20:16 Ah jetzt… hat’s klick gemacht 😁 Zitieren
Scharping-FVB 13 Geschrieben Donnerstag um 04:27 Autor Melden Geschrieben Donnerstag um 04:27 Also, detaillierter und konkreter: Nach dem Least Priviledge Rechte soll die AD-Gruppe das Recht haben, Mailboxen zu verwalten. Dazu gehört anlegen, bearbeiten, löschen, Rechte vergeben (Send-As, Send-on-behalf, fullAccess). Bis auf die Delegation des Send-As Rechts hat alles funktioniert. Nun möchte ich noch das Verwalten des Send-As Rechts an die AD-Gruppe delegieren. Ob über die Exchange Management Role oder über AD-Permissions ist mir gleich, ich dokumentiere das ja, so ist das nachvollziehbar. Zitieren
NorbertFe 2.195 Geschrieben Donnerstag um 04:37 Melden Geschrieben Donnerstag um 04:37 Sollte dafür nicht die recipient Administrators Gruppe ausreichen? Zitieren
Beste Lösung Scharping-FVB 13 Geschrieben Donnerstag um 04:37 Autor Beste Lösung Melden Geschrieben Donnerstag um 04:37 (bearbeitet) Hui, man muss halt mehrere KI durch probieren (und mit einem ausführlichen Prompt neu anfangen). Claude hat die Lösung gefunden, das Send-As-Recht über eine Management Role zu delegieren. Sein Ansatz: Ermittlung der vorhandenen Rollen mit Add-ADPermission: Das Script überprüft jede Rolle einzeln, ob sie das Add-ADPermission-Cmdlet enthält Erstellung einer neuen Management-Rolle: Basierend auf einer geeigneten Parent-Rolle (vorzugsweise "Organization Management") Die neue Rolle "Custom-SendAs-Management" erhält automatisch alle Cmdlets der Parent-Rolle Zuweisung der neuen Rolle: Die neue Rolle wird der Administrationsrolle "1_Administration-Mailboxes" zugewiesen Das Script versucht sowohl die Zuweisung mit SecurityGroup als auch mit RoleGroup Damit hat es funktioniert, nun sieht die AD-Gruppe in der EAC den Eintrag Send-As". Die Lösung soll für "Nachkommende" zur Verfügung stehen, das PS-Skript habe ich als TXT angehängt. vor 3 Minuten schrieb NorbertFe: Sollte dafür nicht die recipient Administrators Gruppe ausreichen? Die ADS-Gruppe "Recipient Management" kann, laut der Description: "Members of this management role group have rights to create, manage, and remove Exchange recipient objects in the Exchange organization." Klingt für mich erst mal nicht so, wie Verwalten des Send-AS Rechts. Aber ich habe eher wenig Ahnung, was sich MS unter diesen Rechten vorstellt. Zudem war die AD-Gruppe bereits Mitglied. Set-delegation-send-as.txt bearbeitet Donnerstag um 04:42 von Scharping-FVB Skript angehängt 1 Zitieren
NorbertFe 2.195 Geschrieben Donnerstag um 04:54 Melden Geschrieben Donnerstag um 04:54 vor 25 Minuten schrieb Scharping-FVB: Nach dem Least Priviledge Rechte soll die AD-Gruppe das Recht haben, Mailboxen zu verwalten. Dazu gehört anlegen, bearbeiten, löschen, Rechte vergeben (Send-As, Send-on-behalf, fullAccess). vor 15 Minuten schrieb Scharping-FVB: Die ADS-Gruppe "Recipient Management" kann, laut der Description: "Members of this management role group have rights to create, manage, and remove Exchange recipient objects in the Exchange organization." Stimmt, klingt komplett unterschiedlich. ;) vor 15 Minuten schrieb Scharping-FVB: Klingt für mich erst mal nicht so, wie Verwalten des Send-AS Rechts. Hab ich nicht ausprobiert, aber alles andere solltenja eigentlich passen. Aber deine Lösung ist dann ja genau passend. 👍 Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.