Exchange Mailbox Delegation Automapping

Bei der Delegation von FullAccess-Berechtigungen auf einer Mailbox oder einer Shared Mailbox ist dem einen oder anderen sicher bereits aufgefallen, dass sich das Automapping nicht konsistent verhält. Untersucht man dies genauer, so fällt auf, dass lediglich die beim Erstellen der Mailbox vergebenen Delegationen auch Automapping aktiviert haben, nachträglich hinzugefügte haben dies nicht, zumindest sofern sie per Exchange Control Panel erteilt wurden.

Für das Automapping ist das Attribut „msExchDelegateListLink“ auf dem Active-Directory-Konto der freizugebenen Mailbox verantwortlich. Dieses Attribut beinhaltet die DistinguishedNames aller Mailboxen, welche beim Start von Outlook dieses Postfach automatisch eingebunden kriegen sollen. Das Attribut an sich hat zuerst jedoch nichts mit der eigentlichen FullAccess-Berechtigung zu tun, es reicht also nicht, die zu autorisierenden DistinguishedNames dort einzutragen. Möchte man alle Mailboxen, die nachträglich mit FullAccess für ein Postfach über das Exchange Control Panel autorisiert wurden, auf Automapping umstellen, so schafft einem PowerShell wie gewohnt Abhilfe.

Hier könnte man meinen, dass der Befehl „Get-Mailbox -Identity „xyz“ | Get-MailboxPermission“ auch ein Attribut zurückliefert, welches die Automapping Einstellungen pro Freigabe anzeigt – tja, das wäre wohl auch zu einfach. Der einfachste Weg, sich per Powershell alle auf Automapping gestellten Freigaben eines Postfaches anzuzeigen, ist der folgende Befehl:

Get-ADUser -Identity (Get-Mailbox -Identity „xyz“ | Select-Object -ExpandProperty userPrincipalName) -Properties msExchDelegateListLink | Select-Object -ExpandProperty msExchDelegateListLink

Möchte man nun alle bereits erteilten FullAccess-Berechtigungen auf Automapping umstellen, so hilft dieses von mir geschriebene Script aus:

https://github.com/RobinBeismann/PowerShell-Scripts/blob/master/Scripts/MS-Exchange/Fix-Automapping.ps1

Eine kleine Schwierigkeit ist, dass Get-MailboxPermission lediglich die objectSID der berechtigten Mailboxes anzeigt. Über Get-ADUser kann man diese aber auf ihre Mailboxes auflösen und die DistinguishedNames für das msExchDelegateListLink Attribut sammeln. Wichtig zu wissen ist, dass es sich um die SID des tatsächlichen Postfaches handelt, im Falle einer Linked Mailbox ist dies also nicht die ObjectSID sondern die msExchMasterAccountSid, diese Besonderheit wird von dem oben verlinkten Script bereits berücksichtigt.

Noch eine Randnotiz: Erstellt man die Mailbox Berechtigungen direkt per Add-MailboxPermission, so kann man das Automapping über den Parameter „-AutoMapping <$true | $false>“ steuern.