Keine Ahnung, was mit dem Forum los ist aber ständig bekomme ich "forbidden" beim erstellen eines Themas....
Hallo,
wir haben uns intern dazu entschlossen, unsere Verteilergruppe für eine info[at] Email zu einer Shared Mailbox zu machen. Ich wollte nur meine Vorgehensweise niederschreiben. Vielleicht habe ich etwas übersehen oder vergessen. Vielleicht hat jemand ein paar Tipps oder Anregungen.
Kurz zum relevanten Setup:
Exchange 2016 kein DAG
2x Server 2016 DCs
Anmerkung: Wir sind ein kleines Büro. Darum würde ich die Schritte manuell durchführen.
Vorgehen:
- Verteilergruppe im EAC löschen. Wird hier auch die Gruppe in der AD gelöscht oder beleibt diese bestehen?
- Wenn sie bestehen bleibt: Email Adresse der Gruppe als temporäres Backup in eine andere ändern und die info[at] "freigeben". Auf Synchronisation warten oder manuell am zweiten DC ändern.
- Alternativ: Verteilergruppe in der AD sofort löschen. Auf Synchronisation warten oder manuell am zweiten DC löschen.
- Shared Mailbox für info[at] erstellen und User mit Full Access hinzufügen.
- Mailbox bei einem User in Outlook hinzufügen.
- Interner Emailtest an Shared Mailbox.
- Externer Emailtest an Shared Mailbox.
Wird das so funktionieren oder habe ich ein paar Stolpersteine übersehen?
Vielen Dank schon mal.
Grüße
Verteilergruppe im EAC löschen. Wird hier auch die Gruppe in der AD gelöscht oder beleibt diese bestehen?
Die ist dann weg. Wenn du sie behalten willst, gib ihr doch einfach eine andere Mailadresse. Dann kannst du darüber sogar den Zugriff auf die neue Shared mailbox steuern.
Auf Synchronisation warten oder manuell am zweiten DC ändern.
was willst du denn da warten? Bei zwei dcs ist das quasi sofort.
ansonsten ja passt soweit.
Moin Carsten,
bin zwar kein "Experte" aber zu einem Punkt hätte ich dann doch eine Anmerkung mit der ich seit geraumer Zeit ganz gut fahre...
- Shared Mailbox für info[at] erstellen und User mit Full Access hinzufügen.
Ich habe mir angewöhnt den Mitarbeitern/Usern KEINE Vollzugriffsrechte mehr auf freigegebene Postfächer zu vergeben oder wenigstens (wenn es denn unbedingt sein muss) das automapping zu deaktivieren. Wir haben bei uns einige User die auf mehreren Partys mitspielen wollen und dadurch dann in Ihrem Outlook mehrere Postfächer eingebunden haben (ich glaube Outlook streikt ab 25 und die Grenze haben eine Handvoll bei uns bereits erreicht...). Über Vollzugriff erhalten diese dann aber ALLE Postfachordner inkl. Aufgaben, Kalender, JunkMails, Synchronisierungsprobleme, usw, usw...
Ich bevorzuge hier die Variante den Usern nur die Rechte zu geben welche Sie auch wirklich benötigen. So z.B. "Prüfer-Recht" auf die Root Ebene des Postfachs (um das Postfach in Outlook dauerhaft einzubinden) und z.B. Editor, Author, ... auf die jeweiligen Unterordner wie Posteingang, Gesendete Elemente, usw. (Hier fehlt mir leider noch ein Rekursiver Befehl, daher bin ich bemüht dies immer zu Beginn so umzusetzen, damit die neuen Unterordner die Rechte von oben erben. Wenn es das Postfach schon gibt und die User haben da schon 35 Ordner angelegt, wird´s müßig die Rechte zu setzen)
Die Vorteile (meiner persönlichen Ansicht nach):
- weniger Vollzugriffe vergeben
- Die User sehen nur die Ordner des Postfachs welche Sie auch wirklich benötigen und der Rest bleibt ihnen verborgen (Übersichtlicher bei mehreren eingebundenen Postfächern - das löst aber nicht das Problem mit der Obergrenze der einzubindenen Postfächer)
- Möglichkeit der Vergabe spezielle Berechtigungen, z.B. dürfen nur die Gruppenleiter neue Unterordner im Posteingang anlegen, "neben" dem Posteingang darf z.B. keiner etwas anlegen, in manchen Postfächern sollen die User die Mails nicht löschen dürfen, für´s aufräumen wurden dort dann 2 User bestimmt die das Recht dann explizit bekommen haben.
- ich erstelle in der Regel 2 Sicherheitsgruppen für jedes Postfach. Die eine für das normale Bearbeiten und die zweite für die die als diese Adresse Senden können sollen. Letztere erhalten dann z.B. auch Einsicht in den "Gesendete Elemente" Ordner. Hierbei ist allerdings noch zu beachten, dass du die Gesendeten auch in das Postfach und nicht in das des Senders ablegst.
- Wenn du einem Vollzugriff erteilst und Ihnen eine Anleitung erstellst, können die die Berechtigungen auch selber vergeben wie bei Ihrem eigenen Postfach auch (wichtig ist halt nur das Prüfer Recht auf oberster Ebene)
Nachteile (sollten auch erwähnt werden, obwohl dies meiner Ansicht nach Jammern auf hohem Niveau ist):
- Postfächer müssen manuell eingebunden werden (Automapping wird meines Wissens nur bei Vollzugriff über die ECP oder mit -automapping:$True gesetzt)
- Postfachregeln können nur durch uns Admins gesetzt werden
- Abwesenheitsnachrichten (ja klingt verrückt aber den Fall gibt es auch) können nur durch uns Admins gesetzt werden
PS-Befehle:
#Vollzugriff ohne Automapping
Add-MailboxPermission -Identity „mail-adresse“ -User „mail-adresse_User“ -AccessRights FullAccess -AutoMapping:$false
#Zugriff auf Root Ebene (zwingend erforderlich zum Einbinden des Postfachs in Outlook):
Add-MailboxFolderPermission -Identity "mail-adresse" -User „mail-adresse_User“ -AccessRights Reviewer
#Zugriff auf z.B. Posteingang, Kalender, Gesendete Elemente
Add-MailboxFolderPermission -Identity "mail-adresse:\Posteingang" -User „mail-adresse_User“ -AccessRights Author
Add-MailboxFolderPermission -Identity "mail-adresse:\Gesendete Elemente" -User „mail-adresse_User“ -AccessRights Editor
Add-MailboxFolderPermission -Identity "mail-adresse:\Kalender" -User „mail-adresse_User“ -AccessRights Editor
#Gesendete Elemente in das freigegebene Postfach und nicht in das des Users ablegen:
set-mailbox "mail-adresse" -MessageCopyForSendOnBehalfEnabled:$true -MessageCopyForSentAsEnabled:$true
PS: ich glaube bei dem -Identity Parameter kannst du auch den Benutzernamen bzw. den Alias anstelle der Mail-Adresse verwenden.
Kannst ja mal ne Nacht drüber schlafen ob das beschriebene Vorgehen auch für deine Umgebung/User passend ist.
PPS: Wenn einer der hier anwesenden Experten Einwände bzgl. dieser Vorgehensweise hat, nehme ich diese gerne entgegen ;-)
Gruß Andreas
Super, vielen Dank euch beiden ?
So z.B. "Prüfer-Recht" auf die Root Ebene des Postfachs (um das Postfach in Outlook dauerhaft einzubinden)
dafür reicht „Ordner sichtbar“. :)
Hi,
ich wollte hier kurz anknüpfen, da gerade eine weitere Frage mit der Shared Mailbox aufkam.
Wir würden gerne die Nachrichten in der Mailbox kategorisieren nach Farben. Hier wollte ich mal ganz simpel ausprobieren, ob neue Emails automatisch rot markiert werden können. Leider hatte ich hier aber bisher kein Glück.
Zuerst habe ich die Regel in Outlook Desktop erstellt. Ganz simpel Empfangen von mir -> gesendet an Shared Mailbox Adresse -> rot markieren. Kein Glück.
Dann habe ich die Regeln noch einmal in OWA erstellt um eine Client-Seitige zuordnung zu vermeiden. Immer noch nichts.
Ist das so eine Limitierung von M$, welche bei On-Prem nicht möglich ist? Oder wie lässt sich so eine Regel doch auf die Shared Mailbox anwenden?
Danke schon mal.
Moin Carsten,
die gleiche Frage kam bei mir auch schon des Öfteren an (und ich hoffe mit dir hier eine passende Lösung zu bekommen;-)). Im Grunde bin ich zu der Erkenntnis gekommen, dass diese Einstellungen nicht an "deinem Outlook" vorgenommen werden können, da du das Postfach vermutlich nicht mit Benutzername und Kennwort eingebunden hast, oder? Nach meinem Kenntnisstand gelten diese Einstellungen, wie auch Posteingangsregeln, nur für mit Benutzername und Kennwort eingebundene Postfächer in deinem Outlook (das dies auch über OWA gehen könnte, darauf bin ich gar nicht gekommen) ... hmm aber vielleicht ist das noch eine Lösung, das Konto mal eben aktivieren, in Outlook einbinden, die Einstellungen vornehmen und anschließend wieder deaktivieren... werd ich glaube ich mal probieren...
Wir haben das bei uns ein wenig "manueller" gelöst. Nicht ganz perfekt, aber die Anwender sind zufrieden. Dummerweise ist dies ein Lösung pro Anwender. Hab´s also anschließend mit ein paar Screenshots als Anleitung verteilt.
Als erstes haben wir in der Ansicht des Posteingangs eine zusätzliche Spalte eingefügt (Bemerkung). Anschließend in den Ansichtseinstellungen eine Bedingte Formatierung auf Basis des Inhalts dieses Feldes (das Feld muss dafür natürlich editierbar sein).
Wenn demnach einer der Kollegen in dieses Feld bei einer Mail z.B. das Wort "Eilt" einträgt, wird die ganze Zeile rot.
Wie gesagt, ist nicht perfekt und leider manuell gelöst, aber vielleicht verschafft dir das ein wenig Zeit die Anwender zufrieden zu stellen und nebenbei nach der perfekten Lösung zu suchen ;-)
Gruß und angenehme Vorweihnachtszeit
Andreas
da du das Postfach vermutlich nicht mit Benutzername und Kennwort eingebunden hast, oder? Nach meinem Kenntnisstand gelten diese Einstellungen, wie auch Posteingangsregeln, nur für mit Benutzername und Kennwort eingebundene Postfächer in deinem Outlook (das dies auch über OWA gehen könnte, darauf bin ich gar nicht gekommen) ... hmm aber vielleicht ist das noch eine Lösung, das Konto mal eben aktivieren,
Da man ja Fullaccess auf die Shared Mailbox hat, braucht man da auch kein Konto aktivieren, sondern kann das direkt ins bestehende Profile als weiteres Exchangepostfach oder in ein neues Profil als einziges Postfach einbinden.
Bye
Norbert