Exchange Postfach: Berechtigungen auslesen leicht gemacht!

Die Verwaltung von Exchange® Mailboxen und Berechtigungen ist nur mithilfe eines zusätzlichen Portals, der Exchange Verwaltungskonsole bzw. PowerShell oder Exchange-Verwaltungs-Shell, möglich. PowerShell ist plattformübergreifend und als Open-Source-Projekt nicht nur für Windows, sondern auch für Linux und macOS verfügbar. Die Windows PowerShell gibt es seit 2016 auch als Core Edition.

Nehmen wir an, der Administrator möchte einem neuen Mitarbeiter Berechtigungen für ein Postfach zuweisen oder eine ganze Gruppe auf einer gemeinsam genutzten Mailbox berechtigen. Hierfür kann er eine Verbindung mit Exchange Online PowerShell herstellen und über Befehle wie z.B. Add-MailboxPermission neue Berechtigungen setzen.

In der PowerShell-Umgebung arbeitet der Admin ausschließlich mit Befehlen bzw. Scripten. Eine andere Möglichkeit ist der Zugriff über die Exchange Verwaltungskonsole (kurz: EAC für Exchange Admin Center). Bei der EAC handelt es sich um eine grafische Weboberfläche, die das Zuweisen von Berechtigungen (und alle anderen administrativen Aufgaben im Exchange) enorm vereinfacht, da sie sich mit der Maus bedienen lässt.

Der Admin kann also einfach per Rechtsklick jene Postfächer auswählen, für die er Berechtigungen zuweisen möchten. Wie Sie Berechtigungen für Gruppen oder für mehrere Postfächer gleichzeitig zuweisen, können Sie hier nachlesen.

Wer z.B. wissen möchte, auf welche Postfächer innerhalb der Exchange Organisation Vollzugriffsberechtigungen erteilt wurden, kann diese Information über die Powershell abfragen. Ein entsprechender Befehl an die Verwaltungskonsole resultiert in einer Übersicht, auf welche Postfächer aktuell ein Vollzugriff gesetzt ist.

Für das Auslesen anderer Berechtigungen wie ‘Senden im Auftrag von’ ist dieser Vorgang ebenfalls möglich. Welcher Befehl in der PowerShell welche Aktion auslöst, erfahren Sie in dieser übersichtlichen Darstellung.

Wie wir bereits gesehen haben, können Administratoren via Powershell einsehen, auf welchen Ordnern und Postfächern im Exchange bestimmte Berechtigungen vergeben wurden. Theoretisch ist es auch möglich, mithilfe des EAC die Verbindung zwischen Postfächern in Exchange mit Benutzerkonten im Active Directory herzustellen.

Das ist z.B. erforderlich, wenn Sie wissen möchten, über welche Berechtigungen ein AD-Benutzerkonto für ein spezifisches Postfach verfügt, oder wenn Sie herausfinden wollen, für welche Postfächer ein bestimmter Active Directory-Benutzer generell berechtigt ist. Eine Übersicht über die entsprechenden Befehle finden Sie hier.

Das Problem mit Exchange-Postfächern ist, dass in den meisten Organisationen Berechtigungen bestehen, die eigentlich nicht erwünscht sind. Das liegt zum Teil daran, dass die Administratoren natürlich immer dann Mailboxpermissions einrichten, wenn diese benötigt werden, die Berechtigungen in der Regel aber nicht entfernen, wenn z.B. jemand die Abteilung wechselt oder das Unternehmen verlässt. Das ist v.a. dann problematisch, wenn User mit der Berechtigung ‘Vollzugriff’ ausgestattet werden.

Natürlich weist auch der Benutzer in der Regel nicht darauf hin, dass er zu viele Berechtigungen hat. Dies geschieht nicht aus böser Absicht, sondern im Zweifel ist ihm gar nicht bewusst, dass er über mehr Berechtigungen verfügt als er eigentlich braucht.

Den Usern ist in der Regel nicht klar, dass veraltete und überflüssige Berechtigungen auf Mailboxen ein Sicherheitsrisiko sein und unter Umständen das Risiko für internen Datendiebstahl und -missbrauch sowie für Angriffe durch Ransomware erhöhen können.

Wenn wir über nicht erwünschte und/oder veraltete Berechtigungen sprechen, müssen wir differenzieren. Natürlich ist es nicht optimal, wenn ein Benutzer Zugriff auf zu viele Postfächer oder Ordner hat. Aber wie wir gesehen haben, kann der Admin über die PowerShell genau diese Information abfragen und bei Bedarf Berechtigungen entziehen. Schwieriger wird es bei Gruppenberechtigungen.

Freigegebene Postfächer existieren nur, damit mehrere Personen innerhalb einer Firma ein Postfach gemeinsam nutzen können. Diese Mailboxen sind daher keinem konkreten Benutzer zugeordnet, und der Administrator kann verschiedene Gruppen auf ihnen berechtigen. Das Problem: Beim Auslesen in der PowerShell sehe ich zwar, welche Gruppe auf einem geteilten Postfach berechtigt ist, aber ich sehe nicht, welche einzelnen Benutzer in dieser Gruppe sind.

Umgekehrt bedeutet das natürlich, dass es für Exchange KEIN vollständiges Reporting gibt. Microsoft bietet aktuell keine Möglichkeit, sämtliche Exchange-Postfach-Berechtigungen für einen konkreten Benutzer auszulesen. Sagen wir, es geht um Herrn Obermayer. Nach dem entsprechenden Befehl zeigt PowerShell jene Ordner und Postfächer an, auf denen Herr Obermayer mit seinem Benutzerkonto Zugriff hat.

Doch dieser Bericht ist nicht vollständig. Denn aufgrund der fehlenden Gruppenauflösung kann ich nicht sehen, auf welchen Postfächern und/oder Ordnern Herr Obermayer berechtigt ist, weil er Mitglied von Gruppe B, D und Y ist. In Sachen Reporting für Exchange gibt es also drei spezielle Anfragen, für die Microsoft kein Tool zur Verfügung stellt:

Die Tatsache, dass sich mit Boardmitteln von Microsoft aktuell nicht vollständig herausfinden lässt, welcher AD-Benutzer effektiv auf welchen Postfächern und Ordnern berechtigt ist, sollten Unternehmen nicht auf die leichte Schulter nehmen. Denn diese Frage interessiert nicht nur den IT-Verantwortlichen. Ein entsprechendes Reporting ist auch erforderlich, um unternehmenseigene und externe Compliance-Richtlinien zu erfüllen.

Hierzu zählen u.a. die EU-DSGVO, KRITIS, BAIT, PCI DSS sowie die Richtlinien des BSI (Bundesamt für Sicherheit in der Informationstechnik), welches von Unternehmen eine lückenlose Dokumentation sämtlicher Vorgänge und Prozesse fordert.

Das Risiko der unvollständigen Dokumentation können Unternehmen aushebeln, indem sie eine Software für Berechtigungsmanagement einsetzen, die eine Schnittstelle zu Active Directory bietet. Häufig benötigte Funktionen laufen durch die Software automatisiert ab und werden gleichzeitig lückenlos dokumentiert. Zu diesen Funktionen zählt z.B. die Anlage neuer Benutzer, das Setzen der richtigen Attribute im AD, sowie die Zuordnung von Berechtigungsgruppen und Verteilergruppen auf Basis von Abteilung, Position oder Standort des Benutzers.

Im Berechtigungs-Reporting zeigt tenfold Berechtigungsmanagement Exchange einfach und übersichtlich an, wer auf einer bestimmten Mailbox oder einem Postfachordner berechtigt ist. Active-Directory-Gruppen löst tenfold automatisch in ihre Mitglieder auf und zeigt sie in einer übersichtlichen Baumstruktur an. Dadurch erleichtert tenfold nicht nur die Verwaltung und Kontrolle von Berechtigungen, sondern verbessert auch die Active Directory Sicherheit.

Die Automatisierung lässt sich mithilfe des Exchange^®Mailbox Lifecycle Plugins auch auf die Administration der Exchange-Postfächer ausweiten. Eine Berechtigungsmanagement-Software wie tenfold legt beim Eintritt eines neuen Mitarbeiters automatisch eine neue Mailbox an und legt Postfachdatenbanken und Richtlinien abhängig vom Standort des Mitarbeiters fest.

Wechselt der Mitarbeiter zu einem anderen Standort, verschiebt tenfold das Postfach automatisch in die richtige Postfachdatenbank. Verlässt ein Mitarbeiter das Unternehmen, schließt die Software das Postfach automatisch und richtet eine passende Weiterleitung ein.

Aber das ist noch nicht alles! Die Administration von Exchange Postfächern kann u.a. deshalb aufwändig sein, weil der Hersteller für bestimmte Abläufe keine Möglichkeit eingerichtet hat.

Dies gilt beispielsweise für die Outlook Abwesenheitsnotiz: Vergisst ein Mitarbeiter, die automatisierte Antwort vor seinem Urlaub einzurichten, so hat sein Vorgesetzter normalerweise keine Möglichkeit, auf das Mitarbeiter-Postfach zuzugreifen und die Antwort selbst einzurichten. Mit tenfold ist das kein Problem mehr.

Problem in Exchange	Lösung in tenfold
Postfächer müssen händisch angelegt werden (keine Provisionierung)	tenfold legt Benutzer vollautomatisiert im AD und in Exchange an (automatische Provisionierung)
Administratoren müssen Umweg über die PowerShell gehen, wenn sie die Zugriffsberechtigungen einsehen wollen.	tenfold zeigt in automatisierten und übersichtlichen Berichten an, wer wo berechtigt ist.
Gruppen können nicht auf ihre einzelnen Mitglieder heruntergebrochen werden.	tenfold löst Gruppen automatisch in ihre Mitglieder auf und zeigt sie in einer übersichtlichen Baumstruktur an.
kein Self Service (neue Zugriffe müssen mühsam über Umwege eingefordert werden)	Mitarbeiter können im Self Service selbst neue Zugriffe beantragen.
keine Workflows	Admin bekommt im Self Service vorgenommene Anträge zur Überprüfung und kann diese im Workflow freigeben oder ablehnen.

Quellen:

https://docs.microsoft.com/de-de/exchange/recipients-in-exchange-online/manage-permissions-for-recipients

https://docs.microsoft.com/de-de/exchange/recipients-in-exchange-online/manage-user-mailboxes/use-powershell-to-display-mailbox-information

https://docs.microsoft.com/de-de/microsoft-365/admin/add-users/add-users?view=o365-worldwide

https://www.it-administrator.de/themen/server_client/92840.html