Exchange 2016: Verhindern das Benutzer ihr AD Konto verändern

Die folgende E-Mail hat mich erreicht und wer so nett fragt, dem bin ich auch eine Antwort schuldig:

Lieber Frank, ich hab folgendes Problem: User in unserer Exchange-Orga, sollen Ihren Adressbucheintrag nicht selbst anpassen können. Also die Bearbeitung von „Optionen – Allgemein – Mein Konto“, wo sie z.B. Adresse, Telefonnummer, etc. ändern könnten. Ich habe ganz dunkel in Erinnerung, dass man das über Policies unterbinden konnte, aber finde die Bohne keine Infos mehr dazu. :( Es wäre gaaaanz ganz ganz dolle lieb, wenn Du mir einen Tipp geben könntest

Gemeint ist folgendes: Benutzer können via OWA einige persönliche Einstellungen verändern, zum Beispiel Adresse, Telefon und Mobilfunknummer:

Exchange 2016: Verhindern das Benutzer ihr AD Konto verändern

In manchen Umgebungen kann das Verändern der Daten durch den Benutzer allerdings Probleme verursachen. Etwa wenn die Adresse für automatische E-Mail Signaturen verwendet wird und der Benutzer anstatt seiner Firmenadresse, die private Adresse einträgt. Die Daten die ein Benutzer hier einträgt werden in das Active Directory Benutzerobjekt geschrieben, dies könnte daher auch andere Anwendungen verwirren, die auf das Active Directory zugreifen:

Exchange 2016: Verhindern das Benutzer ihr AD Konto verändern

Das Ändern der eigenen Daten durch den Benutzer lässt sich allerdings einfach verhindern, dazu muss nur die “Default Role Assignment Policy” entsprechend geändert werden:

Exchange 2016: Verhindern das Benutzer ihr AD Konto verändern

Innherhalb der “Default Role Assignment Policy” kann nun die Option “MyContactInformation” und deren Unterpunkte deaktiviert werden:

Exchange 2016: Verhindern das Benutzer ihr AD Konto verändern

Die “” wirkt gilt für alle Benutzer. Wenn nun versucht wird, die eigenen Daten zu ändern, erscheint beim Speichern die Meldung, dass der Benutzer nicht berechtigt ist seine Daten zu ändern:

Exchange 2016: Verhindern das Benutzer ihr AD Konto verändern

Wenn man schonmal dabei ist, kann auch das Hochladen oder Ändern des eines eigenen Fotos deaktiviert werden:

Exchange 2016: Verhindern das Benutzer ihr AD Konto verändern

Damit Anwender nicht irgendwelche lustigen Fotos hochladen und diese in verschiedenen anderen Systemen ebenfalls angezeigt werden, kann auch diese Funktion abgeschaltet werden. Dazu kann der folgende Befehl verwendet werden:

1
Set-OwaMailboxPolicy -Identity Default -SetPhotoEnabled:$false

Hier muss allerdings beachtet werden, dass die OwaMailboxPolicy auch den Postfächern zugewiesen wird. In der Standardeinstellung ist den Postfächern keine Policy zugewiesen:

Exchange 2016: Verhindern das Benutzer ihr AD Konto verändern

Die folgende Befehl kann verwendet werden, um die OwaMailboxPolicy an ein einzelnen Postfach zu binden:

1
Set-CASMailbox Frank -OwaMailboxPolicy default

Mit dem folgenden Befehl lässt sich die Policy an alle Postfächer binden:

1
Get-CASMailbox -ResultSize unlimited | Set-CASMailbox -OwaMailboxPolicy default

Bei neuen Postfächern muss also bedacht werden, dass auch die OwaMailboxPolicy zugewiesen wird.

Nachdem die Policy zugewiesen wurde, funktioniert die Schaltfläche zum Ändern des Fotos nicht mehr:

Exchange 2016: Verhindern das Benutzer ihr AD Konto verändern

5 Gedanken zu „Exchange 2016: Verhindern das Benutzer ihr AD Konto verändern“

  1. Hallo Frank,

    gibt es auch eine Möglichkeit, dass der User im OWA nur das Kennwort ändern kann und sonst nichts?
    Am besten wäre es, dass der User die anderen Einträge / Einstellungen erst gar nicht sieht?
    Bin schon mit Benutzerrollen und OWA Richtlinien in der ECP am ausprobieren, aber irgendwie werden immer alle Optionen im OWA angezeigt.

    Hast Du eine Idee wie ich das lösen kann?

    VG
    Dirk

    Antworten

Schreibe einen Kommentar