Exchange Postfach Berechtigungen: Auslesen leicht gemacht!

Um Postfachberechtigungen in Exchange zu verwalten benötigt man entweder Zugriff auf das Exchange Admin Center (EAC, ehemals Exchange Verwaltungskonsole) oder PowerShell. Seit 2016 ist PowerShell auch plattformübergreifend in einer Open-Source-Version für macOS und Linux verfügbar.

Bevor wir uns Methoden für das Zuweisen und Auslesen von Mailbox-Berechtigungen ansehen, ist es wichtig, die drei wesentlichen Berechtigungsstufen für die Delegierung des Postfachzugriffs in Exchange zu kennen:

Die Berechtigungsstufen schließen sich nicht gegenseitig aus, Benutzer können also gleichzeitig verschiedene Postfach-Rechte besitzen. Um zum Beispiel eingehende Nachrichten lesen und darauf antworten zu können, braucht ein Benutzer die Berechtigungen Vollzugriff und Senden als. Hat ein Konto beide Berechtigungen auf einer anderen Mailbox, hat Senden als Priorität über Senden im Auftrag von. Nähere Informationen zu den Berechtigungstypen finden Sie in der Microsoft-Dokumentation.

Um Postfachberechtigungen im Exchange Admin Center anzupassen, wählen sie in der linken Navigationsleiste Empfänger > Postfächer. Wählen Sie das Postfach aus, zu dem Sie einen Stellvertreter hinzufügen möchten und klicken Sie auf Postfachstellvertretung. Anschließend geben Sie den Benutzernamen bzw. die E-Mail-Adresse des Stellvertreters ein und wählen die gewünschten Berechtigungen aus. Auf dem gleichen Weg lassen sich unter Empfänger > Gruppen Stellvertreter für Gruppen hinzufügen.

Viele Funktionen des Exchange Admin Center sind auch in dem zentralen Microsoft 365 Admin Center verfügbar. Mailbox-Einstellungen finden Sie unter Benutzer > Aktive Benutzer. Wählen Sie das Konto aus, zu dem Sie eine Stellvertretung hinzufügen möchten, wählen Sie den Reiter Mail und den Menüpunkt Postfach Berechtigungen verwalten.

Nehmen wir an, ein Administrator möchte einem neuen Mitarbeiter Berechtigungen für ein Postfach zuweisen oder eine ganze Gruppe auf einer gemeinsam genutzten Mailbox berechtigen. Dazu muss er zuerst eine Verbindung mit Exchange Online PowerShell herstellen. Je nachdem, welche Berechtigung er zuweisen möchte, sind anschließend unterschiedliche Befehle erforderlich.

Um die Berechtigung Vollzugriff zuzuweisen braucht es das cmdlet Add-MailboxPermission mit Parametern für die Postfach des Empfängers, des Stellvertreters sowie der gewünschten Berechtigungsstufe. Darüber hinaus lässt sich mithilfe von -InheritanceType die Vererbung festlegen. Um das Postfach automatisch zum Outlook-Profil des Stellvertreters hinzuzufügen verwenden Sie -AutoMapping.

Um die Senden Als Berechtigungen hinzufügen, verwenden Sie das Add-RecipientPermission cmdlet. Achtung, bei diesem Befehl wird der Stellvertreter als -Trustee bezeichnet.

Um einer anderen Mailbox die Berechtigung Senden im Auftrag von zuzuweisen, braucht es den Befehl Set-Mailbox mit dem Parameter -GrantSendOnBehalfTo. Sie können auch mehrere Stellvertreter (mit Komma getrennt) auf einmal hinzufügen. Mit der Variable -MessageCopyForSendOnBehalfEnabled können Sie einstellen, dass der Stellvertreter Kopien gesendeter Nachrichten erhält.

Mithilfe der Befehle Get-Mailbox und Get-MailboxPermission können Admins z.B. überprüfen, auf welche Postfächer ein Benutzer zugreifen kann oder welche Postfächer einen Stellvertreter mit Vollzugriff, Senden als oder Senden im Auftrag von Berechtigung haben. Ein entsprechendes Skript finden Sie z.B. in diesem Blogpost.

Wie wir bereits gesehen haben, können Administratoren via Powershell einsehen, auf welchen Ordnern und Postfächern im Exchange bestimmte Berechtigungen vergeben wurden. Theoretisch ist es auch möglich, mithilfe des EAC die Verbindung zwischen Postfächern in Exchange mit Benutzerkonten im Active Directory herzustellen.

Das ist z.B. erforderlich, wenn Sie wissen möchten, über welche Berechtigungen ein AD-Benutzerkonto für ein spezifisches Postfach verfügt, oder wenn Sie herausfinden wollen, für welche Postfächer ein bestimmter Active Directory-Benutzer generell berechtigt ist. Eine Übersicht über die entsprechenden Befehle finden Sie hier.

Das Problem mit Exchange-Postfächern ist, dass in den meisten Organisationen Berechtigungen bestehen, die eigentlich nicht erwünscht sind. Das liegt oft daran, dass Administratoren immer dann Mailboxpermissions einrichten, wenn diese benötigt werden, die Berechtigungen aber nicht entfernen, wenn z.B. jemand die Abteilung wechselt oder das Unternehmen verlässt. Ein solcher Privilege Creep ist in vielen Unternehmen verbreitet und vor allem dann problematisch, wenn User mit der Berechtigung Vollzugriff ausgestattet werden.

Natürlich weist auch der Benutzer in der Regel nicht darauf hin, dass er zu viele Berechtigungen hat. Dies geschieht nicht aus böser Absicht, sondern im Zweifel ist ihm gar nicht bewusst, dass er über mehr Berechtigungen verfügt als er eigentlich braucht. Ohne einen geregelten Prozess für die Rezertifzierung von Berechtigungen ist es unvermeidlich, dass Zugriffsrechte vergessen oder übersehen werden.

Teils möchten Benutzer Admins auch einfach nicht mit einer solchen “Belanglosigkeit” belästigen. Usern ist meist nicht klar, dass veraltete und überflüssige Berechtigungen auf Mailboxen ein Sicherheitsrisiko darstellen und die Gefahr von Datenlecks, Datendiebstahl und Angriffen mit Ransomware erhöhen. Nicht ohne Grund fordern moderne Sicherheitsstandards die Einschränkung von Rechten im Rahmen des Least Privilege Prinzips.

Wenn wir über nicht erwünschte und/oder veraltete Berechtigungen sprechen, müssen wir differenzieren. Natürlich ist es nicht optimal, wenn ein Benutzer Zugriff auf zu viele Postfächer oder Ordner hat. Aber wie wir gesehen haben, kann der Admin über die PowerShell genau diese Information abfragen und bei Bedarf Berechtigungen entziehen. Schwieriger wird es bei Gruppenberechtigungen.

Freigegebene Postfächer existieren nur, damit mehrere Personen innerhalb einer Firma ein Postfach gemeinsam nutzen können. Diese Mailboxen sind daher keinem konkreten Benutzer zugeordnet, und der Administrator kann verschiedene Gruppen auf ihnen berechtigen. Das Problem: Beim Auslesen in der PowerShell sehe ich zwar, welche Gruppe auf einem geteilten Postfach berechtigt ist, aber ich sehe nicht, welche einzelnen Benutzer in dieser Gruppe sind.

Umgekehrt bedeutet das natürlich, dass es für Exchange KEIN vollständiges Reporting gibt. Microsoft bietet aktuell keine Möglichkeit, sämtliche Exchange-Postfach-Berechtigungen für einen konkreten Benutzer auszulesen. Sagen wir, es geht um Herrn Obermayer. Nach dem entsprechenden Befehl zeigt PowerShell jene Ordner und Postfächer an, auf denen Herr Obermayer mit seinem Benutzerkonto Zugriff hat.

Doch dieser Bericht ist nicht vollständig. Denn aufgrund der fehlenden Gruppenauflösung kann ich nicht sehen, auf welchen Postfächern und/oder Ordnern Herr Obermayer berechtigt ist, weil er Mitglied von Gruppe B, D und Y ist. In Sachen Reporting für Exchange gibt es also drei spezielle Anfragen, für die Microsoft kein Tool zur Verfügung stellt:

Die Tatsache, dass sich mit Boardmitteln von Microsoft aktuell nicht vollständig herausfinden lässt, welcher AD-Benutzer effektiv auf welchen Postfächern und Ordnern berechtigt ist, sollten Unternehmen nicht auf die leichte Schulter nehmen. Denn diese Frage interessiert nicht nur den IT-Verantwortlichen. Ein entsprechendes Reporting ist auch erforderlich, um unternehmenseigene und externe Compliance-Richtlinien zu erfüllen.

Hierzu zählen u.a. die EU-DSGVO, BAIT, PCI DSS, ISO 27001 und die KRITIS-Verordnung des BSI (Bundesamt für Sicherheit in der Informationstechnik), welches von Unternehmen eine lückenlose Dokumentation sämtlicher Vorgänge und Prozesse fordert.

Sparen Sie sich den Aufwand, Postfach Berechtigungen in Exchange über eigene PowerShell skripten zu verwalten und auszulesen: Die automatische Identity Access Management Lösung tenfold bietet Ihnen die volle Integration von Active Directory, Exchange und Exchange Online. Über vorgefertigte Schnittstellen lassen sich Microsoft-Dienste schnell und einfach in die automatische Benutzerverwaltung mit tenfold einbinden.

tenfold fügt Benutzer zu den richtigen Verteilergruppen, Sicherheitsgruppen und freigegebenen Postfächern zu. Dabei wird jeder Arbeitsschritt zur späteren Kontrolle lückenlos dokumentiert. Über das zentrale Reporting von tenfold können Admins jederzeit die effektiven Rechte auf Benutzer- und Objektebenen einsehen, einschließlich der Mailboxberechtigungen bestimmter User oder Postfächer. So sparen Sie nicht nur Zeit in der Verwaltung, sondern verbessern auch Ihre Active Directory Sicherheit.

Darüber hinaus löst tenfold viele der häufigen Probleme, die in Unternehmen bei der Nutzung von Exchange und Outlook auftreten. Beispielsweise können Team-Mitglieder Outlook Abwesenheitsnachrichten für andere Benutzer festlegen, falls ein Kollege vergisst die automatischen Antworten auf seiner Mailbox zu aktivieren. Auch Templates für Abwesenheitsnotizen lassen sich dabei festlegen.

Problem in Exchange	Lösung in tenfold
Postfächer müssen händisch angelegt werden (keine Provisionierung)	tenfold legt Benutzer vollautomatisiert im AD und in Exchange an (automatische Provisionierung)
Administratoren müssen Umweg über die PowerShell gehen, wenn sie die Zugriffsberechtigungen einsehen wollen.	tenfold zeigt in automatisierten und übersichtlichen Berichten an, wer wo berechtigt ist.
Gruppen können nicht auf ihre einzelnen Mitglieder heruntergebrochen werden.	tenfold löst Gruppen automatisch in ihre Mitglieder auf und zeigt sie in einer übersichtlichen Baumstruktur an.
kein Self Service (neue Zugriffe müssen mühsam über Umwege eingefordert werden)	Mitarbeiter können im Self Service selbst neue Zugriffe beantragen.
keine anpassbaren Freigabe-Workflows	Admin bekommt im Self Service vorgenommene Anträge zur Überprüfung und kann diese im Workflow freigeben oder ablehnen.