Somebytes SoftwareSomebytes Software Entwicklung

Impersonation mit EEAttachments

Zugriff auf Exchange Postfächer per Servicebenutzer konfigurieren.

In größeren Umgebungen ist es nicht sinnvoll für jedes Postfach einen eigenen Servicezugang zu Exchange anzulegen, da die Konfiguration sonst schnell unübersichtlich wird. Weiterhin kann es bei der Nutzung einer Passwortrichtlinie, die es dem Nutzer vorschreibt, sein Passwort zyklisch zu ändern, zu Problemen kommen. Denn der Nutzer ändert evtl. sein Passwort, jedoch steht in EEAttachments noch das alte.

Die bessere Alternative ist es hier, einen administrativen Servicebenutzer zu konfigurieren, der per Impersonation auf alle anderen Postfächer zugreifen kann. 

Impersonation erlaubt es, einen Benutzer durch einen Servicebenutzer nachzuahmen und damit auf sein Postfach zuzugreifen. 

In EEAttachments aktivieren Sie Impersonation in der Exchangeverbindung und wählen das Postfach anschließend im Exportauftrag durch die Angabe der SMTP Adresse zur Selektion des Postfaches.

Legen Sie nun einen Benutzer an, der die Rechte erhalten soll, auf Postfächer von anderen zuzugreifen, weiterhin sollte dieser Benutzer von der oben genannten Passwortrichtlinie ausgenommen werden. 

Konfigurieren Sie die Berechtigung des Benutzers wie folgt.

für Exchange 2007:

Dem Servicebenutzer muss das Recht ms-Exch-EPI-Impersonation zugewiesen werden. Und die Benutzer auf die zugegriffen werden darf, erhalten das Recht ms-exch-epi-may-impersonate. Auf dieser Seite finden Sie das von Microsoft beschriebene Vorgehen http://msdn.microsoft.com/en-us/library/bb204095(v=exchg.80).aspx


für Exchange 2010 bis 2019 / Exchange Online, Office365:

Option 1 (per Exchange Admin Center):

Legen Sie einen neuen Benutzer an, der in der EEAttachments - Serviceverbindung benutzt werden soll. ( Beispiel: EWSService )

Erzeugen Sie unter Berechtigungen => Administratorrollen eine neue Rollengruppe. 

Beispiel: "ApplicationImpersonation4EEAttachments"

Fügen Sie die Rolle "ApplicationImpersonation" hinzu. 

(Diese ermöglicht es den Administratoren oder dem Servicebenutzer (EWSService), die Identität anderer Benutzer anzunehmen um deren Mailboxinhalte zu bearbeiten.)

Fügen Sie nun im Punkt Mitglieder den neu erstellten Servicebenutzer (EWSService) der Rollengruppe hinzu.

Optional können Sie die oben beschriebene Änderung auch in der "Active Directoy Benutzer und Computerverwaltung" auf dem Server vornehmen.


Option 2 (per Exchange Management Konsole):

Hier müssen die User auf deren Postfach der ServiceUser zugreifen soll, in einem so genannten Scope zusammengefasst werden. "New-ManagementScope" Außerdem muss das Scope einer ManagementRole zugewiesen werden. "New-ManagementRoleAssignment". Bitte sehen Sie sich dieses Beispiel an, bei dem Sie jeden Schritt nachvollziehen können.