Wer kennt sie nicht, die Lasten eines Administrators? Ständig auf Mission, sich um die kleinen bis mittelschweren Probleme seiner Kollegen zu kümmern. Zudem reicht es seit dem Zeitalter von Ressourcenpostfächern und administrativen Assistenten oft nicht aus, dass ein Postfach nur von einem Benutzer verwendet wird. Da bietet es sich doch geradezu an, Aufgaben zu delegieren. In folgendem Artikel werde ich deshalb die Rechteübertragung für die Verteilung des vollständigen Postfachzugriffs auf verschiedenen Exchange Servern erläutern.

Des Weiteren ist es wünschenswert, dem auserwählten User möglichst wenige aber ausreichende Rechte zu vergeben. Die Vergabe des vollständigen Postfachzugriffs erfolgt zwischen den Serverversionen Exchange 2003 und Exchange 2007 jedoch auf unterschiedliche Weise.

Exchange 2003

Als Administrator können Sie einem User wie folgt vollständigen Zugriff auf das Postfach eines anderen Users vergeben:

  1. Im Active Directory Users and Computers auf den gewünschten Domänennamen klicken.
  2. Dann auf den Container Users klicken.
  3. Den User mit der rechten Maustaste aus dessen Postfach zugegriffen werden soll auswählen und dann auf Eigenschaften klicken.
  4. Auf Exchange Erweiterungen klicken und dann auf Postfachberechtigungen.

Als nichtberechtigter User erhalten Sie nun die LDAP-Fehlermeldung "Ein solches Objekt ist auf dem Server nicht vorhanden".

error

Ändern Sie hierfür die Rechte im Exchange Manager (siehe Vergabe von Rechten) und fahren  Sie mit den folgenden Schritt fort:

  1. Klicken Sie auf Hinzufügen um Usern den Postfachzugriff zu gewähren.
  2. Aktivieren Sie die Berechtigung Vollständiger Postfachzugriff und das Kontrollkästchen Zulassen

Vergabe von Rechten

  1. Den Exchange System Manager öffnen und dann in den Bereich Servers klicken.
  2. Mit der rechten Maustaste den Namen der gewünschten Domäne auswählen und dann auf Einstellungen klicken. 
  3. Im Tab Sicherheit die Berechtigungseinstellungen ändern. Der User benötigt mindestens das Recht Lesen.

Der User, welcher die Leseberechtigung erhalten hat, sollte nun keine Fehlermeldung bei der Verteilung des vollständigen Postfachzugriffs erhalten.

Exchange 2007

Seit Exchange Server 2007 kann mittels der Verwaltungskonsole oder der Verwaltungsshell der vollständige Postfachzugriff erteilt werden.

Exchange-Verwaltungskonsole

1.    Die Exchange-Verwaltungskonsole starten. 2.    Auf Empfängerkonfiguration klicken und das Postfach auswählen, auf das zugegriffen werden soll. 3.    Im Aktionsbereich unterhalb des Postfachnamens auf Berechtigung "Vollzugriff verwalten" klicken. 4.    In dem nun erschienen Verwaltungsassistenten auf Hinzufügen klicken. 5.    Auf Benutzer oder Gruppen auswählen klicken und den User auswählen, welcher den vollständigen Postfachzugriff erhalten soll. Danach mit OK bestätigen. 6.    Auf Verwalten und dann auf Fertig stellen klicken.

Exchange-Verwaltungsshell

  1. Starten Sie die Exchange-Verwaltungsshell.
  2. Führen Sie folgenden Befehl aus:

Add-MailboxPermission "Postfach" -User "neu berechtigter Nutzer" -AccessRights FullAccess

Um in diesem Bereich Rechte delegieren zu können, wurden mit Exchange 2007 verschiedenen Administratorrollen eingeführt. Näheres zu den Rollen finden Sie unter [1]. Teilen Sie dem User die Exchange-Organisationsadministrator-Rolle zu, damit dieser vollständige Postfachzugriffsberechtigungen erteilen kann.

  1. Starten Sie die Exchange-Verwaltungskonsole
  2. Mit der rechten Maustaste auf Organisationskonfiguration klicken und Exchange-Administrator hinzufügen wählen.
  3. Nun in dem Verwaltungsassistenten auf Hinzufügen klicken und den User auswählen, welcher die Administratorrolle erhalten soll.
  4. Die gewünschte Administratorrolle wählen.
  5. Auf Hinzufügen und danach auf Fertig stellen klicken.

Zusammenfassend haben wir somit eine Einstellung gefunden, mit der ein bestimmter User die Rechte auf die Verteilung des vollständigen Postfachzugriffs erhalten hat, ohne Administrator zu sein.

Hinweis: Bitte beachten Sie, dass Sie auf jeden Fall mit Gruppen arbeiten sollten, damit Sie nicht im Nachhinein nach dem User suchen müssen, dem Sie die Berechtigung erteilt haben.

[1] http://technet.microsoft.com/de-de/library/bb124244(v=exchg.80).aspx