Exchange Security Group Permission does not work after Exchange Online Migration
Hallo zusammen,
Seit ein paar Wochen beschäftige ich mich mit Exchange Online. Dabei habe ich mich gefragt, wie das mit den FullAccess Berechtigungen auf Postfächern mittels Security Groups funktioniert.
Also erst mal ein bisschen Theorie. Ich habe jede Kombination von Gruppen Typ (Security Group / Distribution Group) und Group Scope (Domain Local / Global / Universal) angelegt. Die Gruppen weilche mit "_M" enden habe ich über die Exchange 2010 Konsole versucht für Email zu aktivieren. Ab Exchange 2010 geht das nur noch bei Universal Groups.
Unter Exchange 2010 habe ich auf einer Mailbox den Dialog für die FullAccess Permissions aufgerufen.
Wie man sieht, kann man nur Global oder Universal Security Groups hinzufügen. Egal ob MailEnabled oder nicht.
Unter Exchange 2013 kann man im Exchange Admin Center nur noch Benutzer hinzufügen, jedoch keine Security Groups.
Mit der Exchange Management Shell (EMS) geht das aber immer noch.
Add-MailboxPermission -Identity j.brown -User SecGroupG-Brown -AccessRights FullAccess
Get-MailboxPermission -Identity j.Brown
Hier noch die Details der Security Gruppe
K.Klammer ist Member und hat somit FullAccess Rights auf der Mailbox von J.Brown.
Merkt euch die SID, die wird später noch wichtig...
Im Exchange Admin Center sieht man die Security Gruppe, man kann einfach keine Security Gruppe hinzufügen.
Da bei der Mailbox Permission via Groups das Automapping nicht funktioniert, muss man die Mailbox manuell als zusätzliches Postfach hinzufügen.
Das sieht dann so aus. Der Zugriff auf das Postfach ist also so möglich.
Nun habe ich die Mailbox auf Office 365 / Exchange Online migriert. Und mit der Exchange Online Powershell die Berechtigungen angezeigt. Dort sieht man eine SID, welche nicht aufgelöst werden kann...
Get-MailboxPermission -Identity j.brown
Schauen wir uns das doch ein bisschen genauer an. Die SID ist von der On Premise Active Directory Gruppe
Get-MailboxPermission -Identity j.brown | where isinherited -eq $false | fl
Der Zugriff auf die Mailbox ist so nicht mehr möglich.
Und nun noch die gute Nachricht. Gibt man einem Benutzer anstatt einer Gruppe die Berechtigung auf die Mailbox, so funktioniert der Zugriff auch nach der Migration auf Office 365 / Exchange Online
Hat man das vor der Migration vergessen, so kann man einen Benutzer über Exchange Online auch folgendermassen Berechtigen
Add-MailboxPermission -identity j.brown -User k.klammer -AccessRights FullAccess