Somebytes SoftwareSomebytes Software Entwicklung

Impersonation mit ExMixedFolders

Passwortrichtlinie, und Impersonation mit ExMixedFolders

Wenn Sie bei Ihren Benutzerkonten monatlich einen Passwortwechsel vornehmen müssen, dann wäre das ebenfalls bei ExMixedFolders notwendig. Um dieses Problem zu umgehen, können Sie "Impersonation" einsetzen. Impersonation erlaubt es, einem Benutzer auf Postfächer von anderen zuzugreifen und dort Aktionen durchzuführen. Um das Verhalten zu erreichen, könnten Sie einen Servicebenutzer erzeugen, bei dem die Passwortrichtlinie aufgehoben wird. Der Administrator muss nun folgende Schritte durchführen um dem Servicebenutzer das Recht einzuräumen, die Identität anderer Benutzer anzunehmen.

für Exchange 2007:

Dem Servicebenutzer muss das Recht ms-Exch-EPI-Impersonation zugewiesen werden. Und die Benutzer auf die zugegriffen werden darf, erhalten das Recht ms-exch-epi-may-impersonate. Auf dieser Seite finden Sie das von Microsoft beschriebene Vorgehen http://msdn.microsoft.com/en-us/library/bb204095(v=exchg.80).aspx

für Exchange 2010/2013/2016/Exchange Online, Office365:

Option 1 (per Exchange Admin Center):

ApplicationImpersonation Organisation Management



Legen Sie einen neuen Benutzer an, der in der ExMixedFolders Serviceverbindung benutzt werden soll um auf die Postfächer anderer Benutzer zuzugreifen. ( Beispiel: EWSService )

Fügen Sie diesen Benutzer der Verwaltungsrollengruppe "Organzation Management" hinzu. Mitglieder dieser Gruppe haben im nächsten Schritt das Recht auf andere Benutzerpostfächer zuzugreifen.




ApplicationImpersonation

Sie finden im Exchange Admin Center unter Berechtigung=>Administratorrollen eine Rolle namens "ApplicationImpersonation" welche es den Administratoren oder dem Benutzer für ExMixedFolders (EWSService) erlaubt, die Identität anderer Benutzer anzunehmen um deren Mailboxinhalte zu bearbeiten.

Gehen Sie wie folgt vor um auf Benutzerpostfächer zugreifen zu können.

  1. Erzeugen Sie eine neue Administratorrollengruppe oder öffnen die bereits vorhandene.
  2. Fügen Sie bei Rolle die Rolle "ApplicationImpersonation" aus der Liste hinzu.
  3. Tragen Sie nun unter Mitglieder den Namen des Servicebenutzers ein. (EWSService)

Sie können das oben beschriebene Änderung auch in der Active Directoy Benutzer und Computerverwaltung auf dem Server vornehmen.

Active Directory Benutzer & Computer



Option 2 (per Exchange Management Konsole):

Hier müssen die User auf deren Postfach der ServiceUser zugreifen soll, in einem so genannten Scope zusammengefasst werden. "New-ManagementScope" Außerdem muss das Scope einer ManagementRole zugewiesen werden. "New-ManagementRoleAssignment". Bitte sehen Sie sich dieses Beispiel an, bei dem Sie jeden Schritt nachvollziehen können.

Um Ihnen die Schreibarbeit etwas zu vereinfachen, kann ExMixedFolders die entsprechenden Befehle für Sie vorbereiten. Dazu müssen Sie mindestens eine Serviceverbindung einrichten und Impersonation aktivieren. Weiterhin benötigen Sie einen MixJob, bei dem Sie den User eintragen deren Identität der Servicebenutzer annehmen möchte. Klicken Sie anschließend mit der rechten Maustaste auf den Service und wählen "Konfigurationshilfe für Impersonation abrufen". Den Inhalt können Sie nun nach Prüfung in der Exchange Management Konsole benutzen.

Im nachfolgenden Video finden Sie auch eine Anleitung, wie Impersonation eingerichtet werden kann.