Exchange Postfach Berechtigungen: Auslesen leicht gemacht!

Postfachberechtigungen in Exchange erlauben es Nutzern, Nachrichten an andere Postfรคcher zu lesen und bei Bedarf zu beantworten. Es gibt mehrere Wege, um Benutzer (Delegates) zu einem Exchange-Postfach hinzuzufรผgen. In diesem Beitrag verraten wir, wie man Exchange Postfach Berechtigungen erfolgreich verwaltet und z.B. mit PowerShell auslesen kann.

Exchange Postfach Berechtigungen auslesen

Um Postfachberechtigungen in Exchange zu verwalten benรถtigt man entweder Zugriff auf das Exchange Admin Center (EAC, ehemals Exchange Verwaltungskonsole) oder PowerShell. Seit 2016 ist PowerShell auch plattformรผbergreifend in einer Open-Source-Version fรผr macOS und Linux verfรผgbar.

Bevor wir uns Methoden fรผr das Zuweisen und Auslesen von Mailbox-Berechtigungen ansehen, ist es wichtig, die drei wesentlichen Berechtigungsstufen fรผr die Delegierung des Postfachzugriffs in Exchange zu kennen:

  • Vollzugriff: Mit der Berechtigung Vollzugriff kann ein User das Postfach รถffnen, Nachrichten lesen und neue Elemente wie z.B. Kalendereintrรคge erstellen. Benutzer mit Vollzugriff kรถnnen aber keine Nachrichten von der Mailbox aus versenden.

  • Senden als: Benutzer mit der Senden als Berechtigung kรถnnen E-Mails von der Adresse des Postfachs versenden, aber nicht den Inhalt der Mailbox einsehen.

  • Senden im Auftrag von: ร„hnlich wie Senden als erlaubt auch Senden im Auftrag von einem Benutzer, E-Mails fรผr das jeweilige Postfach zu versenden. Allerdings weist Exchange in diesem Fall darauf hin, dass die Nachricht von einem anderen Benutzer stammt und nur im Auftrag des Postfachs versendet wurde.

Die Berechtigungsstufen schlieรŸen sich nicht gegenseitig aus, Benutzer kรถnnen also gleichzeitig verschiedene Postfach-Rechte besitzen. Um zum Beispiel eingehende Nachrichten lesen und darauf antworten zu kรถnnen, braucht ein Benutzer die Berechtigungen Vollzugriff und Senden als. Hat ein Konto beide Berechtigungen auf einer anderen Mailbox, hat Senden als Prioritรคt รผber Senden im Auftrag von. Nรคhere Informationen zu den Berechtigungstypen finden Sie in der Microsoft-Dokumentation.

Benutzer, die Zugriff auf ein anderes Postfach haben, werden in Exchange als Stellvertretung bzw. Delegate bezeichnet.

Verzweifelter Mann, dem es nicht gelingt, die Berechtigungen in Microsoft Exchange auszulesen.
ร„rger mit Exchange Postfach Berechtigungen? So verwalten Sie Mailbox-Rechte und Stellvertreter! Adobe Stock, (c) TheVisualsYouNeed

Exchange Postfach Berechtigungen verwalten mit EAC

Um Postfachberechtigungen im Exchange Admin Center anzupassen, wรคhlen sie in der linken Navigationsleiste Empfรคnger > Postfรคcher. Wรคhlen Sie das Postfach aus, zu dem Sie einen Stellvertreter hinzufรผgen mรถchten und klicken Sie auf Postfachstellvertretung. AnschlieรŸend geben Sie den Benutzernamen bzw. die E-Mail-Adresse des Stellvertreters ein und wรคhlen die gewรผnschten Berechtigungen aus. Auf dem gleichen Weg lassen sich unter Empfรคnger > Gruppen Stellvertreter fรผr Gruppen hinzufรผgen.

Exchange Postfach Berechtigungen verwalten mit M365 Admin Center

Viele Funktionen des Exchange Admin Center sind auch in dem zentralen Microsoft 365 Admin Center verfรผgbar. Mailbox-Einstellungen finden Sie unter Benutzer > Aktive Benutzer. Wรคhlen Sie das Konto aus, zu dem Sie eine Stellvertretung hinzufรผgen mรถchten, wรคhlen Sie den Reiter Mail und den Menรผpunkt Postfach Berechtigungen verwalten.

Exchange Postfach Berechtigungen verwalten mit PowerShell

Nehmen wir an, ein Administrator mรถchte einem neuen Mitarbeiter Berechtigungen fรผr ein Postfach zuweisen oder eine ganze Gruppe auf einer gemeinsam genutzten Mailbox berechtigen. Dazu muss er zuerst eine Verbindung mit Exchange Online PowerShell herstellen. Je nachdem, welche Berechtigung er zuweisen mรถchte, sind anschlieรŸend unterschiedliche Befehle erforderlich.

Um die Berechtigung Vollzugriff zuzuweisen braucht es das cmdlet Add-MailboxPermission mit Parametern fรผr die Postfach des Empfรคngers, des Stellvertreters sowie der gewรผnschten Berechtigungsstufe. Darรผber hinaus lรคsst sich mithilfe von -InheritanceType die Vererbung festlegen. Um das Postfach automatisch zum Outlook-Profil des Stellvertreters hinzuzufรผgen verwenden Sie -AutoMapping.

  • Add-MailboxPermission -Identity โ€œpostfach@beispiel.comโ€ -User โ€œstellvertreter@beispiel.comโ€ -AccessRights FullAccess -InheritanceType All -AutoMapping $true

Um die Senden Als Berechtigungen hinzufรผgen, verwenden Sie das Add-RecipientPermission cmdlet. Achtung, bei diesem Befehl wird der Stellvertreter als -Trustee bezeichnet.

  • Add-RecipientPermission -Identity โ€œpostfach@beispiel.comโ€ -Trustee โ€œstellvertreter@beispiel.comโ€ -AccessRights SendAs

Um einer anderen Mailbox die Berechtigung Senden im Auftrag von zuzuweisen, braucht es den Befehl Set-Mailbox mit dem Parameter -GrantSendOnBehalfTo. Sie kรถnnen auch mehrere Stellvertreter (mit Komma getrennt) auf einmal hinzufรผgen. Mit der Variable -MessageCopyForSendOnBehalfEnabled kรถnnen Sie einstellen, dass der Stellvertreter Kopien gesendeter Nachrichten erhรคlt.

  • Set-Mailbox -Identity โ€œpostfach@beispiel.comโ€ -GrantSendOnBehalfTo โ€œstellvertreter@beispiel.comโ€

Exchange Postfach Berechtigungen auslesen mit PowerShell

Mithilfe der Befehle Get-Mailbox und Get-MailboxPermission kรถnnen Admins z.B. รผberprรผfen, auf welche Postfรคcher ein Benutzer zugreifen kann oder welche Postfรคcher einen Stellvertreter mit Vollzugriff, Senden als oder Senden im Auftrag von Berechtigung haben. Ein entsprechendes Skript finden Sie z.B. in diesem Blogpost.

Achtung! Fรผr Unternehmen mit zwanzig oder weniger Mitarbeitern funktioniert dieser Prozess gut und nimmt auch nicht รผbermรครŸig viel Zeit in Anspruch. Bei Firmen mit vielen Mitarbeitern entsteht jedoch ein enormer Administrationsaufwand, da die Powershell jedes Postfach einzeln durchsucht und auflistet.

Verbindung von Exchange Postfach und Active Directory

Wie wir bereits gesehen haben, kรถnnen Administratoren via Powershell einsehen, auf welchen Ordnern und Postfรคchern im Exchange bestimmte Berechtigungen vergeben wurden. Theoretisch ist es auch mรถglich, mithilfe des EAC die Verbindung zwischen Postfรคchern in Exchange mit Benutzerkonten im Active Directory herzustellen.

Das ist z.B. erforderlich, wenn Sie wissen mรถchten, รผber welche Berechtigungen ein AD-Benutzerkonto fรผr ein spezifisches Postfach verfรผgt, oder wenn Sie herausfinden wollen, fรผr welche Postfรคcher ein bestimmter Active Directory-Benutzer generell berechtigt ist. Eine รœbersicht รผber die entsprechenden Befehle finden Sie hier.

Veraltete und รผberflรผssige Berechtigungen in Exchange

Das Problem mit Exchange-Postfรคchern ist, dass in den meisten Organisationen Berechtigungen bestehen, die eigentlich nicht erwรผnscht sind. Das liegt oft daran, dass Administratoren immer dann Mailboxpermissions einrichten, wenn diese benรถtigt werden, die Berechtigungen aber nicht entfernen, wenn z.B. jemand die Abteilung wechselt oder das Unternehmen verlรคsst. Ein solcher Privilege Creep ist in vielen Unternehmen verbreitet und vor allem dann problematisch, wenn User mit der Berechtigung Vollzugriff ausgestattet werden.

Natรผrlich weist auch der Benutzer in der Regel nicht darauf hin, dass er zu viele Berechtigungen hat. Dies geschieht nicht aus bรถser Absicht, sondern im Zweifel ist ihm gar nicht bewusst, dass er รผber mehr Berechtigungen verfรผgt als er eigentlich braucht. Ohne einen geregelten Prozess fรผr die Rezertifzierung von Berechtigungen ist es unvermeidlich, dass Zugriffsrechte vergessen oder รผbersehen werden.

Teils mรถchten Benutzer Admins auch einfach nicht mit einer solchen “Belanglosigkeit” belรคstigen. Usern ist meist nicht klar, dass veraltete und รผberflรผssige Berechtigungen auf Mailboxen ein Sicherheitsrisiko darstellen und die Gefahr von Datenlecks, Datendiebstahl und Angriffen mit Ransomware erhรถhen. Nicht ohne Grund fordern moderne Sicherheitsstandards die Einschrรคnkung von Rechten im Rahmen des Least Privilege Prinzips.

Verschachtelte Gruppenberechtigungen

Wenn wir รผber nicht erwรผnschte und/oder veraltete Berechtigungen sprechen, mรผssen wir differenzieren. Natรผrlich ist es nicht optimal, wenn ein Benutzer Zugriff auf zu viele Postfรคcher oder Ordner hat. Aber wie wir gesehen haben, kann der Admin รผber die PowerShell genau diese Information abfragen und bei Bedarf Berechtigungen entziehen. Schwieriger wird es bei Gruppenberechtigungen.

Freigegebene Postfรคcher existieren nur, damit mehrere Personen innerhalb einer Firma ein Postfach gemeinsam nutzen kรถnnen. Diese Mailboxen sind daher keinem konkreten Benutzer zugeordnet, und der Administrator kann verschiedene Gruppen auf ihnen berechtigen. Das Problem: Beim Auslesen in der PowerShell sehe ich zwar, welche Gruppe auf einem geteilten Postfach berechtigt ist, aber ich sehe nicht, welche einzelnen Benutzer in dieser Gruppe sind.

Vorsicht: Bitte beachten Sie den Unterschied zwischen freigegebenen Postfรคchern und Verteilergruppen, einer weiteren Mรถglichkeit um Nachrichten an mehrere Benutzer weiterzuleiten.

Verzweifelter Mann, dem es nicht gelingt, die Berechtigungen im Microsoft Exchange auszulesen. Exchange Postfach Berechtigungen auslesen.
Moment mal: Wie viele User sind eigentlich in dieser Gruppe? Und worauf haben die Zugriff? Adobe Stock, (c) WavebreakMediaMicro

Exchange Reporting fรผr Benutzer

Umgekehrt bedeutet das natรผrlich, dass es fรผr Exchange KEIN vollstรคndiges Reporting gibt. Microsoft bietet aktuell keine Mรถglichkeit, sรคmtliche Exchange-Postfach-Berechtigungen fรผr einen konkreten Benutzer auszulesen. Sagen wir, es geht um Herrn Obermayer. Nach dem entsprechenden Befehl zeigt PowerShell jene Ordner und Postfรคcher an, auf denen Herr Obermayer mit seinem Benutzerkonto Zugriff hat.

Doch dieser Bericht ist nicht vollstรคndig. Denn aufgrund der fehlenden Gruppenauflรถsung kann ich nicht sehen, auf welchen Postfรคchern und/oder Ordnern Herr Obermayer berechtigt ist, weil er Mitglied von Gruppe B, D und Y ist. In Sachen Reporting fรผr Exchange gibt es also drei spezielle Anfragen, fรผr die Microsoft kein Tool zur Verfรผgung stellt:

  • zentrales Reporting mit vollstรคndiger Auflistung, wer wo Zugriff hat

  • Auflรถsung der Gruppen in ihre einzelnen Mitglieder

  • vollstรคndige Dokumentation aller Prozesse

Compliance-Problem durch unvollstรคndiges Reporting

Die Tatsache, dass sich mit Boardmitteln von Microsoft aktuell nicht vollstรคndig herausfinden lรคsst, welcher AD-Benutzer effektiv auf welchen Postfรคchern und Ordnern berechtigt ist, sollten Unternehmen nicht auf die leichte Schulter nehmen. Denn diese Frage interessiert nicht nur den IT-Verantwortlichen. Ein entsprechendes Reporting ist auch erforderlich, um unternehmenseigene und externe Compliance-Richtlinien zu erfรผllen.

Hierzu zรคhlen u.a. die EU-DSGVO, BAIT, PCI DSS, ISO 27001 und die KRITIS-Verordnung des BSI (Bundesamt fรผr Sicherheit in der Informationstechnik), welches von Unternehmen eine lรผckenlose Dokumentation sรคmtlicher Vorgรคnge und Prozesse fordert.

Exchange Postfach Berechtigungen auslesen mit tenfold

Sparen Sie sich den Aufwand, Postfach Berechtigungen in Exchange รผber eigene PowerShell skripten zu verwalten und auszulesen: Die automatische Identity Access Management Lรถsung tenfold bietet Ihnen die volle Integration von Active Directory, Exchange und Exchange Online. รœber vorgefertigte Schnittstellen lassen sich Microsoft-Dienste schnell und einfach in die automatische Benutzerverwaltung mit tenfold einbinden.

tenfold fรผgt Benutzer zu den richtigen Verteilergruppen, Sicherheitsgruppen und freigegebenen Postfรคchern zu. Dabei wird jeder Arbeitsschritt zur spรคteren Kontrolle lรผckenlos dokumentiert. รœber das zentrale Reporting von tenfold kรถnnen Admins jederzeit die effektiven Rechte auf Benutzer- und Objektebenen einsehen, einschlieรŸlich der Mailboxberechtigungen bestimmter User oder Postfรคcher. So sparen Sie nicht nur Zeit in der Verwaltung, sondern verbessern auch Ihre Active Directory Sicherheit.

Darรผber hinaus lรถst tenfold viele der hรคufigen Probleme, die in Unternehmen bei der Nutzung von Exchange und Outlook auftreten. Beispielsweise kรถnnen Team-Mitglieder Outlook Abwesenheitsnachrichten fรผr andere Benutzer festlegen, falls ein Kollege vergisst die automatischen Antworten auf seiner Mailbox zu aktivieren. Auch Templates fรผr Abwesenheitsnotizen lassen sich dabei festlegen.

Exchange Postfach Berechtigungen auslesen โ€“ auf einen Blick

Problem in ExchangeLรถsung in tenfold
Postfรคcher mรผssen hรคndisch angelegt werden (keine Provisionierung)tenfold legt Benutzer vollautomatisiert im AD und in Exchange an (automatische Provisionierung)
Administratoren mรผssen Umweg รผber die PowerShell gehen, wenn sie die Zugriffsberechtigungen einsehen wollen.tenfold zeigt in automatisierten und รผbersichtlichen Berichten an, wer wo berechtigt ist.
Gruppen kรถnnen nicht auf ihre einzelnen Mitglieder heruntergebrochen werden.tenfold lรถst Gruppen automatisch in ihre Mitglieder auf und zeigt sie in einer รผbersichtlichen Baumstruktur an.
kein Self Service (neue Zugriffe mรผssen mรผhsam รผber Umwege eingefordert werden)Mitarbeiter kรถnnen im Self Service selbst neue Zugriffe beantragen.
keine anpassbaren Freigabe-WorkflowsAdmin bekommt im Self Service vorgenommene Antrรคge zur รœberprรผfung und kann diese im Workflow freigeben oder ablehnen.
Unverbindlich testen

รœberzeugen Sie sich selbst: Zugriffsmanagement leicht gemacht mit No-Code IAM!

Verfasst von: Joe Kรถller

Als tenfolds Content Manager verantwortet Joe Kรถller den IAM Blog, wo er Themen rund um Compliance, Cybersecurity und digitale Identitรคten tiefgehend beleuchtet. Komplexe Materie verstรคndlich zu erklรคren ist sein oberstes Ziel, egal, ob es um gesetzliche Regelwerke oder technische Hintergrรผnde der Zugriffssteuerung geht. Vor seiner Rolle bei tenfold hat Joe viele Jahre รผber Games und digitale Medien berichtet.