Somebytes SoftwareSomebytes Software Entwicklung

Impersonation mit ExMixedFolders

Zugriff auf Exchange Postfächer durch einen Servicebenutzer konfigurieren.

In größeren Umgebungen ist es nicht sinnvoll für jedes Postfach einen eigenen Servicezugang zu Exchange anzulegen, da die Konfiguration sonst schnell unübersichtlich wird. Weiterhin kann es bei der Nutzung einer Passwortrichtlinie, die es dem Nutzer vorschreibt, sein Passwort zyklisch zu ändern, zu dem Problem kommen, dass der Nutzer sein Passwort ändert und dieses in ExMixedFolders noch nicht vorgenommen wurde.

Die bessere Alternative ist es hier, einen administrativen Servicebenutzer zu konfigurieren, der per Impersonation auf alle anderen Postfächer zugreifen kann. Impersonation erlaubt es, einem Benutzer durch einen anderen nachzuahmen. Um das Verhalten zu erreichen, könnten Sie einen Benutzer erzeugen, bei dem die oben genannte Passwortrichtlinie aufgehoben wird. 

Impersonation aktivieren

Aktivieren Sie in der Exchangeverbindung "Impersonation" und wählen das Postfach anschließend im Auftrag durch die Angabe der SMTP Adresse.


Der Administrator muss nun folgende Schritte durchführen um dem Servicebenutzer das Recht einzuräumen, die Identität anderer Benutzer anzunehmen.

für Exchange 2007:

Dem Servicebenutzer muss das Recht ms-Exch-EPI-Impersonation zugewiesen werden. Und die Benutzer auf die zugegriffen werden darf, erhalten das Recht ms-exch-epi-may-impersonate. Auf dieser Seite finden Sie das von Microsoft beschriebene Vorgehen http://msdn.microsoft.com/en-us/library/bb204095(v=exchg.80).aspx

für Exchange 2010/2013/2016/Exchange Online, Office365:

Option 1 (per Exchange Admin Center):

ApplicationImpersonation Organisation Management



Legen Sie einen neuen Benutzer an, der in der ExMixedFolders Serviceverbindung benutzt werden soll um auf die Postfächer anderer Benutzer zuzugreifen. ( Beispiel: EWSService )

Fügen Sie diesen Benutzer der Verwaltungsrollengruppe "Organzation Management" hinzu. Mitglieder dieser Gruppe haben im nächsten Schritt das Recht auf andere Benutzerpostfächer zuzugreifen.




ApplicationImpersonation

Sie finden im Exchange Admin Center unter Berechtigung=>Administratorrollen eine Rolle namens "ApplicationImpersonation" welche es den Administratoren oder dem Benutzer für ExMixedFolders (EWSService) erlaubt, die Identität anderer Benutzer anzunehmen um deren Mailboxinhalte zu bearbeiten.

Gehen Sie wie folgt vor um auf Benutzerpostfächer zugreifen zu können.

  1. Erzeugen Sie eine neue Administratorrollengruppe oder öffnen die bereits vorhandene.
  2. Fügen Sie bei Rolle die Rolle "ApplicationImpersonation" aus der Liste hinzu.
  3. Tragen Sie nun unter Mitglieder den Namen des Servicebenutzers ein. (EWSService)

Sie können das oben beschriebene Änderung auch in der Active Directoy Benutzer und Computerverwaltung auf dem Server vornehmen.

Active Directory Benutzer & Computer



Option 2 (per Exchange Management Konsole):

Hier müssen die User auf deren Postfach der ServiceUser zugreifen soll, in einem so genannten Scope zusammengefasst werden. "New-ManagementScope" Außerdem muss das Scope einer ManagementRole zugewiesen werden. "New-ManagementRoleAssignment". Bitte sehen Sie sich dieses Beispiel an, bei dem Sie jeden Schritt nachvollziehen können.

Um Ihnen die Schreibarbeit etwas zu vereinfachen, kann ExMixedFolders die entsprechenden Befehle für Sie vorbereiten. Dazu müssen Sie mindestens eine Serviceverbindung einrichten und Impersonation aktivieren. Weiterhin benötigen Sie einen MixJob, bei dem Sie den User eintragen deren Identität der Servicebenutzer annehmen möchte. Klicken Sie anschließend mit der rechten Maustaste auf den Service und wählen "Konfigurationshilfe für Impersonation abrufen". Den Inhalt können Sie nun nach Prüfung in der Exchange Management Konsole benutzen.

Im nachfolgenden Video finden Sie auch eine Anleitung, wie Impersonation eingerichtet werden kann.