GMSGSLAB.DE

Ein Blog über Microsoft Exchange

Anpassen von Postfachordner Berechtigungen

In meinem heutigen Artikel beschäftigen wir uns mit der Verwaltung von Berechtigungen auf Postfachordnern. In meinem aktuellen Projekt z.B. ist ein Task das Verwalten von Berechtigungen auf dem Ordner „Kalender“ in den Postfächern von Besprechungsräumen für den Benutzer „Default“. Eine Anforderung des Unternehmens gibt vor, dass die Standardberechtigung für den Benutzer „Default“ auf „LimitedDetails“ gesetzt sein muss. Bevor wir hierauf eingehen, ein kurzer Überblick über das Verwalten von Postfachordner Berechtigungen.

Um z.B. allen Benutzern in der Organisation das Recht zu geben, den Kalender eines ausgewählten Postfaches anzeigen lassen zu können, wird folgender Befehl verwendet:

Set-MailboxFolderPermission -Identity srm01:\Calendar -User Default -AccessRights Reviewer

Insgesamt gibt es vier CMDLet`s zum Verwalten von Postfach Berechtigungen:

Get-MailboxFolderPermission
Add-MailboxFolderPermission
Set-MailboxFolderPermission
Remove-MailboxFolderPermission

Mit den CMDLet`s Add und Set-MailboxFolderPermission kann ich über den Parameter -AccessRights die verschiedenen Berechtigungen auf den jeweiligen Ordner vergeben (jeder Ordner im Postfach kann verwaltet werden). Im vorherigen Beispiel hätte der Benutzer „Default“ auch das Recht Editor bekommen können um dann alle Objekte im Kalender komplett verwalten zu können. Die möglichen Werte für den Parameter -AccessRights sind im einzelnen:

Benutzer mit den folgenden Berechtigungen können … / sind …

ReadItems:
… Objekte im jeweiligen Ordner lesen.

CreateItems:
… Objekte im jeweiligen Ordner erstellen.

EditOwnedItems:
… Objekte im jeweiligen Ordner bearbeiten, für die der Benutzer Besitzer ist.

DeleteOwnedItems:
… Objekte im jeweiligen Ordner löschen, für die der Benutzer Besitzer ist.

EditAllItems:
… alle Objekte im jeweiligen Ordner bearbeiten.

DeleteAllItems:
… alle Objekte im jeweiligen Ordner löschen.

CreateSubfolders:
… Unterordner im jeweiligen Ordner erstellen.

FolderOwner:
… Ordner einsehen und verschieben sowie Unterordner erstellen. Der Benutzer kann keine Objekte lesen, bearbeiten, löschen oder neue Objekte erstellen.

FolderContact:
… die Kontaktpersonen für diesen Ordner.

FolderVisible:
… den jeweiligen Ordner sehen, aber die darin vorhandenen Objekte weder sehen noch bearbeiten.

Die folgenden Rollen können ebenfalls mit dem Parameter -AccessRights verwendet werden, da sie eine Zusammenstellung verschiedener Berechtigungen der zuvor genannten Rechte sind:

None:
FolderVisible

Owner:
CreateItems, ReadItems, CreateSubfolders, FolderOwner, FolderContact, FolderVisible, EditOwnedItems, EditAllItems, DeleteOwnedItems, DeleteAllItems

PublishingEditor:
CreateItems, ReadItems, CreateSubfolders, FolderVisible, EditOwnedItems, DeleteOwnedItems, DeleteAllItems

Editor:
CreateItems, ReadItems, FolderVisible, EditOwnedItems, EditAllItems, DeleteOwnedItems, DeleteAllItems

PublishingAuthor:
CreateItems, ReadItems, CreateSubfolders, FolderVisible, EditOwnedItems, DeleteOwnedItems

Author:
CreateItems, ReadItems, FolderVisible, EditOwnedItems, DeleteOwnedItems

NonEditingAuthor:
CreateItems, ReadItems, FolderVisible

Reviewer:
ReadItems, FolderVisible

Contributor:
CreateItems, FolderVisible

Dem Parameter -AccessRights können ebenso die folgenden Eigenschaften mitgegeben werden, um die Veröffentlichungeinstellungen eines Kalenders anzupassen.

AvailabilityOnly
Nur die Anzeige von Daten zur Verfügbarkeit

LimitedDetails
Die Anzeige von Daten zur Verfügbarkeit mit Betreff und Ort

Nach diesem kurzen Ausflug in das Reich der Berechtigungen komme ich wieder zurück zu meinem am Anfang genannten Beispiel aus der Praxis. Nachdem man ja in einem Unternehmen meistens mehr wie einen Besprechungsraum hat, macht es Sinn, diese über ein Script komplett zu verwalten als jeden einzeln. Gut, wenn es die Zeit zulässt, dann kann man das gerne machen. Meistens aber sucht man nach einer Möglichkeit, dies automatisiert zu machen, vor allem wenn die Anzahl der zu bearbeitenden Besprechungsräume mehr wie 50 ist. Für mein Beispiel verwende ich folgendes Script, um die vorhandenen Berechtigungen auf dem Kalender zu prüfen und u.U. anzupassen:

Script_Set_MFP_User_Default

Hier nun eine kurze Beschreibung des Scripts.

Zu Beginn füllen wir die Variable „$mailboxes“ mit den im Unternehmen vorhandenen Postfächern vom Typ „RoomMailbox“. Anschließend füllen wir die Variable „$calendar“ mit den Postfachberechtigungen des Benutzers „Default“ von jedem Besprechungsraum, den wir zuvor ausgelesen hatten. Im folgenden Schritt wird geprüft, ob überhaupt Berechtigungen für den Benutzer „Default“ gesetzt sind und setzen diese, wenn benötigt, für den Benutzer „Default“ auf „LimitedDetails“. Der letzte Schritt prüft nun alle vorhandenen Berechtigungen und ändert, falls anders gesetzt, diese wiederum beim Benutzer „Default“ auf „LimitedDetails“.

Hier noch kurz die Berechtigungen vor und nach dem Bearbeiten mit dem Script:

Updated_MFP_User_Default

Das war es dann wieder für heute.

Servus. Bis zum nächsten Mal.

Schreibe einen Kommentar