Somebytes SoftwareSomebytes Software Entwicklung

Impersonation mit ExMixedFolders

Zugriff auf Exchange Postfächer durch einen Servicebenutzer konfigurieren.

In größeren Umgebungen ist es nicht sinnvoll für jedes Postfach einen eigenen Servicezugang zu Exchange anzulegen, da die Konfiguration sonst schnell unübersichtlich wird. Weiterhin kann es bei der Nutzung einer Passwortrichtlinie, die es dem Nutzer vorschreibt, sein Passwort zyklisch zu ändern, zu Problemen kommen. Denn der Nutzer ändert evtl. sein Passwort, jedoch steht in ExMixedFolders noch das alte.

Die bessere Alternative ist es hier, einen administrativen Servicebenutzer zu konfigurieren, der per Impersonation auf alle anderen Postfächer zugreifen kann. 

Impersonation erlaubt es, einen Benutzer durch einen Servicebenutzer nachzuahmen und damit auf sein Postfach zuzugreifen. 

Impersonation aktivieren

Aktivieren Sie in der Exchangeverbindung "Impersonation" und wählen das Postfach anschließend im Auftrag durch die Angabe der SMTP Adresse.

Um das Verhalten zu erreichen, könnten Sie einen Benutzer erzeugen, bei dem die oben genannte Passwortrichtlinie nicht angewendet wird.

Der Administrator muss nun folgende Schritte durchführen um dem Servicebenutzer das Recht einzuräumen, die Identität anderer Benutzer anzunehmen:

für Exchange 2007:

Dem Servicebenutzer muss das Recht ms-Exch-EPI-Impersonation zugewiesen werden. Und die Benutzer auf die zugegriffen werden darf, erhalten das Recht ms-exch-epi-may-impersonate. Auf dieser Seite finden Sie das von Microsoft beschriebene Vorgehen http://msdn.microsoft.com/en-us/library/bb204095(v=exchg.80).aspx


für Exchange 2010 bis 2019 / Exchange Online, Office365:

Option 1 (per Exchange Admin Center):

Legen Sie einen neuen Benutzer an, der in der ExMixedFolders Serviceverbindung benutzt werden soll um auf die Postfächer anderer Benutzer zuzugreifen. ( Beispiel: EWSService )

Erzeugen Sie unter Berechtigungen => Administratorrollen eine neue Rollengruppe. 

Beispiel: "ApplicationImpersonation4ExMixedFolders"

ApplicationImpersonation


Fügen Sie die Rolle "ApplicationImpersonation" hinzu. 

(Diese ermöglicht es den Administratoren oder dem Servicebenutzer (EWSService), die Identität anderer Benutzer anzunehmen um deren Mailboxinhalte zu bearbeiten.)

Fügen Sie nun im Punkt Mitglieder den neu erstellten Servicebenutzer (EWSService) der Rollengruppe hinzu.


Optional können Sie die oben beschriebene Änderung auch in der "Active Directoy Benutzer und Computerverwaltung" auf dem Server vornehmen.

Active Directory Benutzer & Computer



Option 2 (per Exchange Management Konsole):

Hier müssen die User auf deren Postfach der ServiceUser zugreifen soll, in einem so genannten Scope zusammengefasst werden. "New-ManagementScope" Außerdem muss das Scope einer ManagementRole zugewiesen werden. "New-ManagementRoleAssignment". Bitte sehen Sie sich dieses Beispiel an, bei dem Sie jeden Schritt nachvollziehen können.

Um Ihnen die Schreibarbeit etwas zu vereinfachen, kann ExMixedFolders die entsprechenden Befehle für Sie vorbereiten. Dazu müssen Sie mindestens eine Serviceverbindung einrichten und Impersonation aktivieren. Weiterhin benötigen Sie einen MixJob, bei dem Sie den User eintragen deren Identität der Servicebenutzer annehmen möchte. Klicken Sie anschließend mit der rechten Maustaste auf den Service und wählen "Konfigurationshilfe für Impersonation abrufen". Den Inhalt können Sie nun nach Prüfung in der Exchange Management Konsole benutzen.

Im nachfolgenden Video finden Sie auch eine Anleitung, wie Impersonation eingerichtet werden kann.