Verwalten von Berechtigungen für Empfänger
In Exchange Server können Sie das Exchange Admin Center (EAC) oder die Exchange-Verwaltungsshell verwenden, um einem Postfach oder einer Gruppe Berechtigungen zuzuweisen, sodass andere Benutzer auf das Postfach zugreifen können (Vollzugriffsberechtigung) oder E-Mail-Nachrichten senden können, die vom Postfach oder der Gruppe stammen (Berechtigungen Senden als oder Senden im Auftrag). Benutzer, denen diese Berechtigungen für andere Postfächer oder Gruppen zugewiesen sind, werden als Stellvertretungen bezeichnet.
Die Berechtigungen, die Sie Delegaten für Postfächer und Gruppen in Exchange Server zuweisen können, werden in der folgenden Tabelle beschrieben:
Hinweis: Obwohl Sie die Exchange-Verwaltungsshell verwenden können, um anderen Delegattypen für andere Arten von Empfängerobjekten einige oder alle dieser Berechtigungen zuzuweisen, konzentriert sich dieses Thema auf die Delegat- und Empfängerobjekttypen, die nützliche Ergebnisse liefern.
| Berechtigung | Beschreibung | Empfängertypen im EAC | Zusätzliche Empfängertypen in PowerShell | Delegieren von Typen im EAC | Zusätzliche Delegattypen in PowerShell |
|---|---|---|---|---|---|
| Vollzugriff | Ermöglicht es der Stellvertretung, das Postfach zu öffnen und die Inhalte im Postfach anzuzeigen, hinzuzufügen und zu entfernen. Ermöglicht es der Stellvertretung nicht, Nachrichten aus dem Postfach zu senden. Wenn Sie einem Postfach, das in Adresslisten ausgeblendet ist, die Vollzugriffsberechtigung zuweisen, kann der Delegat das Postfach nicht öffnen. Standardmäßig werden Vermittlungspostfächer und Discoverypostfächer aus Adresslisten ausgeblendet. Standardmäßig verwendet die Funktion für die automatische Zuordnung von Postfächern AutoErmittlung, um das Postfach automatisch im OutlookProfil der Stellvertretung zu öffnen (zusätzlich zu dem eigenen Postfach). Beachten Sie, dass die automatische Zuordnung nur für einzelne Benutzer funktioniert, denen die richtigen Berechtigungen erteilt wurden, und dass sie für keine Art von Gruppe funktioniert. Wenn Postfächer nicht automatisch zugeordnet werden sollen, müssen Sie eine der folgenden Aktionen ausführen:
|
Benutzerpostfächer Verknüpfte Postfächer Ressourcenpostfächer Freigegebene Postfächer |
Vermittlungspostfächer Discoverypostfächer |
Postfächer mit Benutzerkonten E-Mail-Benutzer mit Konten E-Mail-aktivierte Sicherheitsgruppen |
Benutzerkonten, die nicht für E-Mail aktiviert sind. Universelle, globale und Domänensicherheitsgruppen, die nicht E-Mail-aktiviert sind. |
| Senden als | Ermöglicht der Stellvertretung das Senden von Nachrichten, so als würden Sie direkt von dem Postfach oder der Gruppe stammen. Es gibt keine Hinweise darauf, dass die Nachricht durch eine Stellvertretung gesendet wurde. Ermöglicht der Stellvertretung nicht, die Postfachinhalte zu lesen. Wenn Sie die Berechtigung „Senden als“ für ein Postfach zuweisen, das aus Adresslisten ausgeblendet ist, kann die Stellvertretung keine Nachrichten von diesem Postfach aus senden. |
Benutzerpostfächer Verknüpfte Postfächer Ressourcenpostfächer Freigegebene Postfächer Verteilergruppen Dynamische Verteilergruppen E-Mail-aktivierte Sicherheitsgruppen |
k. A. | Postfächer mit Benutzerkonten E-Mail-Benutzer mit Konten E-Mail-aktivierte Sicherheitsgruppen |
k. A. |
| Senden im Auftrag von | Ermöglicht es der Stellvertretung, Nachrichten im Namen des Postfachs oder der Gruppe zu senden. Die From-Adresse dieser Nachrichten zeigt deutlich, dass die Nachricht vom Delegaten gesendet wurde (" <Delegate> im Namen von <MailboxOrGroup>"). Antworten auf diese Nachrichten werden jedoch an das Postfach oder die Gruppe gesendet, nicht an die Stellvertretung. Ermöglicht der Stellvertretung nicht, die Postfachinhalte zu lesen. Wenn Sie die Berechtigung „Senden im Auftrag von“ für ein Postfach zuweisen, das aus Adresslisten ausgeblendet ist, kann die Stellvertretung keine Nachrichten von diesem Postfach aus senden. |
Benutzerpostfächer Verknüpfte Postfächer Ressourcenpostfächer Verteilergruppen Dynamische Verteilergruppen E-Mail-aktivierte Sicherheitsgruppen |
Freigegebene Postfächer | Postfächer mit Benutzerkonten E-Mail-Benutzer mit Konten E-Mail-aktivierte Sicherheitsgruppen Verteilergruppen |
n/v |
Hinweis
Wenn ein Benutzer sowohl über die Berechtigungen Senden als als auch Senden im Auftrag für ein Postfach oder eine Gruppe verfügt, wird immer die Berechtigung Senden als verwendet.| Benutzerpostfächer
Was sollten Sie wissen, bevor Sie beginnen?
Geschätzte Zeit bis zum Abschließen der einzelnen Verfahren: 2 Minuten.
Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Thema ausführen können. Informationen dazu, welche Berechtigungen Sie benötigen, finden Sie im Thema Empfängerberechtigungen im Eintrag "Empfängerbereitstellungsberechtigungen ".
Informationen über das Öffnen der Exchange-Verwaltungsshell in Ihrer lokalen Exchange-Organisation finden Sie unter Open the Exchange Management Shell.
Für die Verfahren in diesem Thema sind bestimmte Berechtigungen erforderlich. Informationen zu den Berechtigungen finden Sie in den einzelnen Verfahren.
Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.
Tipp
Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren auf: Exchange Server.
Verwenden des EAC zum Zuweisen von Berechtigungen für einzelne Postfächer
Klicken Sie im EAC auf Empfänger im Bereich „Funktion“. Klicken Sie je nach Postfachtyp, für das Sie Berechtigungen zuweisen möchten, auf eine der folgenden Registerkarten:
Postfächer: Benutzer- oder verknüpfte Postfächer
Ressourcen: Raum- oder Gerätepostfächer
Freigegeben: Freigegebene Postfächer
Wählen Sie in der Liste der Postfächer das Postfach aus, für das Sie Berechtigungen zuweisen möchten, und klicken Sie dann auf
.Klicken Sie auf der Seite mit Postfacheigenschaften, die geöffnet wird, auf Postfachstellvertretung, und konfigurieren Sie die folgenden Berechtigungen:
Senden als: Nachrichten, die von einer Stellvertretung gesendet werden, werden so angezeigt, als würden sie aus dem Postfach stammen.
Im Auftrag senden: Nachrichten, die von einer Stellvertretung gesendet werden, weisen in der Von-Adresse den Wert " <Delegate on behalf of Mailbox" (Stellvertretung> im Namen des <Postfachs>) auf. Beachten Sie, dass diese Berechtigung nicht im EAC für freigegebene Postfächer verfügbar ist.
Vollzugriff: Die Stellvertretung kann das Postfach öffnen und alle Aktionen ausführen, bis auf das Senden von Nachrichten.
Um Stellvertretungen Berechtigungen zuzuweisen, klicken Sie auf
unter der entsprechenden Berechtigung. Es wird ein Dialogfeld angezeigt, in dem die Benutzer oder Gruppen aufgeführt werden, denen die Berechtigung zugewiesen werden kann. Wählen Sie den Benutzer oder die Gruppe aus der Liste aus, und klicken Sie auf Hinzufügen. Wiederholen Sie diesen Vorgang so oft wie nötig. Sie können auch nach Benutzern oder Gruppen im Suchfeld suchen, indem Sie den Namen ganz oder teilweise eingeben und dann auf 
klicken. Wenn Sie mit der Auswahl von Delegaten fertig sind, klicken Sie auf OK.Um eine Berechtigung von einem Delegaten zu entfernen, wählen Sie den Delegaten in der Liste unter der entsprechenden Berechtigung aus, und klicken Sie dann auf
Klicken Sie nach Abschluss des Vorgangs auf Speichern.
Verwenden des EAC zum Zuweisen von Berechtigungen für mehrere Postfächer gleichzeitig
Navigieren Sie im EAC zu Empfänger>Postfächer.
Wählen Sie die Postfächer aus, für die Sie Berechtigungen zuweisen möchten. Verwenden Sie Klicken+Umschalttaste+Klicken zum Auswählen eines Bereichs von Postfächern oder STRG+Klicken zum Auswählen mehrerer einzelner Postfächer. Der Titel des Detailbereichs wechselt zu Massenbearbeitung wie im folgenden Diagramm dargestellt.
Beachten Sie, dass die von Ihnen ausgewählten Postfächer vom gleichen Typ sein müssen. Wenn Sie beispielsweise Benutzerpostfächer und verknüpfte Postfächer auswählen, erhalten Sie eine Warnung im Detailbereich mit dem Hinweis, dass die Massenbearbeitung nicht möglich ist.
Klicken Sie unten im Detailbereich auf Weitere Optionen. Wählen Sie unter der Option Postfachstellvertretung die Option Hinzufügen oder Entfernen. Führen Sie abhängig von Ihrer Auswahl einen der folgenden Schritte aus:
Hinzufügen: Klicken Sie im daraufhin angezeigten Dialogfeld Massendelegierung auf
unter der entsprechenden Berechtigung (Senden als, Im Auftrag senden oder Vollzugriff). Klicken Sie, nachdem Sie die Benutzer oder Gruppen ausgewählt haben, die Sie als Stellvertretungen hinzufügen möchten, auf Speichern.Entfernen: Klicken Sie im daraufhin angezeigten Dialogfeld Massendelegierung auf
Unter der entsprechenden Berechtigung (Senden als, Im Auftrag senden oder Vollzugriff). Wenn Sie die Auswahl von Benutzern oder Gruppen abgeschlossen haben, die aus den vorhandenen Delegaten entfernt werden sollen, klicken Sie auf Speichern.
Verwenden des EAC zum Zuweisen von Berechtigungen für Gruppen
Navigieren Sie im EAC zu Empfänger>Gruppen.
Wählen Sie in der Liste der Gruppen die Gruppe aus, der Sie Berechtigungen zuweisen möchten, und klicken Sie dann auf
.Klicken Sie auf der Seite mit Gruppeneigenschaften, die geöffnet wird, auf Gruppendelegierung, und konfigurieren Sie die folgenden Berechtigungen:
Senden als: Nachrichten, die von einer Stellvertretung gesendet werden, werden so angezeigt, als würden sie von der Gruppe stammen.
Im Auftrag senden: Nachrichten, die von einer Stellvertretung gesendet werden, haben " <Delegate on behalf of Group" (Stellvertretung> im Namen der <Gruppe>) in der Von-Adresse.
Um Stellvertretungen Berechtigungen zuzuweisen, klicken Sie auf
unter der entsprechenden Berechtigung. Es wird ein Dialogfeld angezeigt, in dem die Benutzer oder Gruppen aufgeführt werden, denen die Berechtigung zugewiesen werden kann. Wählen Sie den Benutzer oder die Gruppe aus der Liste aus, und klicken Sie auf Hinzufügen. Wiederholen Sie diesen Vorgang so oft wie nötig. Sie können auch nach Benutzern oder Gruppen im Suchfeld suchen, indem Sie den Namen ganz oder teilweise eingeben und dann auf klicken. Wenn Sie mit der Auswahl von Delegaten fertig sind, klicken Sie auf OK.Um eine Berechtigung von einem Delegaten zu entfernen, wählen Sie den Delegaten in der Liste unter der entsprechenden Berechtigung aus, und klicken Sie dann auf
Klicken Sie nach Abschluss des Vorgangs auf Speichern.
Verwenden der Exchange-Verwaltungsshell zum Zuweisen der Berechtigung „Vollzugriff" für Postfächer
Verwenden Sie die Add-MailboxPermission - und Remove-MailboxPermission -Cmdlets zum Verwalten der Berechtigung „Vollzugriff" für Postfächer. Für diese Cmdlets wird die gleiche grundlegende Syntax verwendet:
Add-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All [-AutoMapping $false]
Weitere Informationen finden Sie unter Add-MailboxPermission.
Remove-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All
Weitere Informationen finden Sie unter Remove-MailboxPermission.
Bei diesem Beispiel wird der Stellvertretung Raymond Sam die Berechtigung "Vollzugriff" für das Postfach von Terry Adams zugewiesen.
Add-MailboxPermission -Identity "Terry Adams" -User raymonds -AccessRights FullAccess -InheritanceType All
Bei diesem Beispiel wird Esther Valle die Berechtigung „Vollzugriff" für das Standardpostfach für die Discoverysuche der Organisation zugewiesen. Des Weiteren wird verhindert, dass das Postfach automatisch im Outlook-Profil von Esther Valle geöffnet wird.
Add-MailboxPermission -Identity "DiscoverySearchMailbox{D919BA05-46A6-415f-80AD-7E09334BB852}" -User estherv -AccessRights FullAccess -InheritanceType All -AutoMapping $false
Bei diesem Beispiel wird Mitgliedern der E-Mail-aktivierten Sicherheitsgruppe „Helpdesk" die Berechtigung „Vollzugriff" für das freigegebene Postfach „Helpdesk Tickets" zugewiesen.
Add-MailboxPermission -Identity "Helpdesk Tickets" -User Helpdesk -AccessRights FullAccess -InheritanceType All
In diesem Beispiel wird die Berechtigung „Vollzugriff" von Jim Hance für das Postfach von Ayla Kol entfernt.
Remove-MailboxPermission -Identity ayla -User "Jim Hance" -AccessRights FullAccess -InheritanceType All
Woher wissen Sie, dass dieses Verfahren erfolgreich war?
Um sicherzustellen, dass Sie die Berechtigung „Vollzugriff" für eine Stellvertretung für ein Postfach erfolgreich zugewiesen oder entfernt haben, gehen Sie wie folgt vor:
Überprüfen Sie in den Eigenschaften des Postfachs im EAC, ob der Delegat unter Postfachdelegierung>Vollzugriff aufgeführt ist oder nicht.
Ersetzen Sie <MailboxIdentity> durch die Identität des Postfachs, und führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell aus, um zu überprüfen, ob der Delegat aufgeführt ist oder nicht.
Get-MailboxPermission <MailboxIdentity> | where {$_.AccessRights -like 'Full*'} | Format-Table -Auto User,Deny,IsInherited,AccessRightsWeitere Informationen finden Sie unter Get-MailboxPermission.
Verwenden der Exchange-Verwaltungsshell zum Zuweisen der Berechtigung „Senden als" für Postfächer und Gruppen
Sie verwenden die Cmdlets Add-AdPermission und Remove-AdPermission , um die Berechtigung Senden als für Postfächer zu verwalten. Für diese Cmdlets wird die gleiche grundlegende Syntax verwendet:
<Add-AdPermission | Remove-AdPermission> -Identity <MailboxOrGroupNameOrDN> -User <DelegateIdentity> [-AccessRights ExtendedRight] -ExtendedRights "Send As"
Weitere Informationen finden Sie unter Add-AdPermission und Remove-AdPermission.
Hinweise:
Für den Identity-Parameter müssen Sie den Wert Name oder DistinguishedName (DN) des Postfachs oder der Gruppe verwenden.
- Name: Dieser Wert kann mit dem Anzeigenamen identisch sein. Beispiel:
Felipe Apodaca. - DistinguishedName: Dieser Wert enthält immer den Wert Name und verwendet die Active Directory-LDAP-Syntax. Beispiel:
CN=Felipe Apodaca,CN=Users,DC=contoso,DC=com.
Um diese Werte für ein Postfach oder eine Gruppe zu finden, können Sie das Cmdlet Get-Recipient verwenden, das viele verschiedene Werte für den Identity-Parameter akzeptiert. Beispiel:
Get-Recipient -Identity helpdesk@contoso.com | Format-List Name,DistinguishedName- Name: Dieser Wert kann mit dem Anzeigenamen identisch sein. Beispiel:
Die Befehle funktionieren mit oder ohne
-AccessRights ExtendedRight, weshalb sie in der Syntax als optional angezeigt werden.
Bei diesem Beispiel wird die Berechtigung „Senden als" der E-Mail-aktivierten Sicherheitsgruppe „Helpdesk" für das freigegebene Postfach „Helpdesk Support Team" zugewiesen.
Add-ADPermission -Identity "Helpdesk Support Team" -User Helpdesk -ExtendedRights "Send As"
Bei diesem Beispiel wird die Berechtigung "Senden als" der Benutzerin Pilar Pinilla für das Postfach von James Alvord entzogen.
Remove-ADPermission -Identity "James Alvord" -User pilarp -ExtendedRights "Send As"
Woher wissen Sie, dass dieses Verfahren erfolgreich war?
Um sicherzustellen, dass Sie die Berechtigung „Senden als" für eine Stellvertretung für ein Postfach oder eine Gruppe erfolgreich zugewiesen oder entfernt haben, gehen Sie wie folgt vor:
Vergewissern Sie sich in den Eigenschaften des Postfachs oder der Gruppe im EAC, dass der Delegat unter Postfachdelegierung>senden als oder Gruppendelegierung>senden als aufgeführt ist.
Ersetzen Sie <MailboxOrGroupNameOrDN> durch den Namen oder Distinguished Name des Postfachs oder der Gruppe, und führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell aus, um zu überprüfen, ob der Delegat aufgeführt ist oder nicht.
Get-ADPermission -Identity <MailboxOrGroupNameOrDN> | where {$_.ExtendedRights -like 'Send*'} | Format-Table -Auto User,Deny,ExtendedRightsWeitere Informationen finden Sie unter Get-AdPermission.
Verwenden der Exchange-Verwaltungsshell zum Zuweisen der Berechtigung „Senden im Auftrag von" für Postfächer und Gruppen
Verwenden Sie den GrantSendOnBehalfTo-Parameter für die verschiedenen Postfach- und GruppenSet-Cmdlets zum Verwalten der Berechtigung „Senden im Auftrag von" für Postfächer und Gruppen:
Set-Mailbox
Set-DistributionGroup: Verteilergruppen und für E-Mails aktivierte Sicherheitsgruppen
Set-DynamicDistributionGroup
Die grundlegende Syntax für diese Cmdlets lautet:
<Cmdlet> -Identity <MailboxOrGroupIdentity> -GrantSendOnBehalfTo <Delegates>
Der GrantSendOnBehalfTo-Parameter verfügt über die folgenden Optionen für Stellvertretungswerte:
Vorhandene Stellvertretungen ersetzen:
<DelegateIdentity>oder"<DelegateIdentity1>","<DelegateIdentity2>",...Stellvertretungen ohne Auswirkung auf andere Stellvertretungen hinzufügen oder entfernen:
@{Add="\<value1\>","\<value2\>"...; Remove="\<value1\>","\<value2\>"...}Alle Stellvertretungen entfernen: Verwenden Sie den Wert
$null.
Bei diesem Beispiel wird der Stellvertretung Holly Holt die Berechtigung "Senden im Auftrag von" für das Postfach von Sean Chai zugewiesen.
Set-Mailbox -Identity seanc@contoso.com -GrantSendOnBehalfTo hollyh
In diesem Beispiel wird die Gruppe tempassistants@contoso.com der Liste der Stellvertretungen hinzugefügt, die über die Berechtigung Senden im Auftrag für das freigegebene Postfach der Contoso-Führungskräfte verfügen.
Set-Mailbox "Contoso Executives" -GrantSendOnBehalfTo @{Add="tempassistants@contoso.com"}
Bei diesem Beispiel wird der Stellvertretung Sara Davis die Berechtigung "Senden im Auftrag von" für die Verteilergruppe "Printer Support" zugewiesen.
Set-DistributionGroup -Identity printersupport@contoso.com -GrantSendOnBehalfTo sarad
Bei diesem Beispiel wird die Berechtigung „Senden im Auftrag von“ für die dynamische Verteilergruppe „All Employees“ dem Administrator entzogen.
Set-DynamicDistributionGroup "All Employees" -GrantSendOnBehalfTo @{Remove="Administrator"}
Woher wissen Sie, dass dieses Verfahren erfolgreich war?
Um sicherzustellen, dass Sie die Berechtigung „Senden im Auftrag von" für eine Stellvertretung für ein Postfach oder eine Gruppe erfolgreich zugewiesen oder entfernt haben, gehen Sie wie folgt vor:
Vergewissern Sie sich in den Eigenschaften des Postfachs oder der Gruppe im EAC, dass der Delegat unter Postfachdelegierung>senden als oder Gruppendelegierung>senden als aufgeführt ist.
Ersetzen Sie <MailboxIdentity> oder <GroupIdentity> durch die Identität des Postfachs oder der Gruppe, und führen Sie einen der folgenden Befehle in der Exchange-Verwaltungsshell aus, um zu überprüfen, ob der Delegat aufgeführt ist oder nicht.
Postfach:
Get-Mailbox -Identity <MailboxIdentity> | Format-List GrantSendOnBehalfToGruppe:
Get-DistributionGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfToDynamische Verteilergruppe:
Get-DynamicDistributionGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo
Nächste Schritte
Weitere Informationen zur Verwendung der Berechtigungen für Postfächer oder Gruppen durch Stellvertretungen finden Sie unter den folgenden Themen: