Shared Mailboxes von einer dynamischen Gruppe ausschließen
Versuchen Sie, Shared Mailboxes automatisch von einer dynamischen Gruppe auszuschließen? Gemeinsame Postfächer sind für die Zusammenarbeit in Teams und Abteilungen unerlässlich. Sie bieten eine einfache Möglichkeit, E-Mails zentral zu verwalten und mehreren Personen zugänglich zu machen.
Shared Mailboxes stellen jedoch auch eine Herausforderung für die IT-Abteilung dar, da sie unbeabsichtigt zu Mitgliedern dynamischer Gruppen werden können. Dynamische Gruppen werden oft auf der Grundlage von Attributen und Regeln erstellt. Shared Mailboxes können versehentlich in diese Gruppen aufgenommen werden, wenn die Filterkriterien nicht präzise genug definiert sind. Mit unserer Lösung DynamicGroup legen Sie Regeln fest, um Shared Mailboxes zuverlässig auszuschließen.
Index
Warum werden Shared Mailboxes ungewollte Mitglieder dynamischer Gruppen?
Shared Mailboxes werden in Active Directory (AD) wie Benutzerobjekte behandelt. Dies bedeutet, dass sie ähnliche Attribute wie normale Benutzerkonten haben.
Dynamische Gruppen in AD basieren auf Regeln, die anhand von Attributen festgelegt werden. Wenn diese Regeln nicht spezifisch genug sind, können Shared Mailboxes automatisch in diese Gruppen aufgenommen werden, obwohl sie für den Zugriff auf bestimmte Ressourcen nicht vorgesehen sind.
Beispielsweise könnte eine Regel, die alle Objekte mit einem bestimmten Attribut wie „Abteilung=Vertrieb“ aufnimmt, auch Shared Mailboxes einschließen, wenn sie dieses Attribut teilen.
Welche Konsequenzen hat dies?
Shared Mailboxes ausschließen ist wichtig, da ihre Aufnahme in falsche dynamische Gruppen zu unerwünschten Effekten führen kann, z. B.:
- Lizenzierung und Ressourcenverbrauch: Shared Mailboxes erfordern oft keine Lizenzen, aber wenn sie in dynamische Gruppen mit regulären Nutzern eingeschlossen werden, kann das zu Lizenzproblemen führen oder zu unnötigem Ressourcenverbrauch.
- Zugriffsrechte und Sicherheit: Shared Mailboxes haben oft andere Berechtigungen als persönliche Postfächer. Wenn sie in einer Gruppe eingeschlossen sind, die für spezifische Zugriffsrechte eingerichtet wurde, können falsche Personen Zugriff erhalten.
- Automatisierungsfehler: Automatisierte Prozesse, die dynamische Gruppen verwenden (z. B. für Mails oder Berechtigungen), können durch das Einschließen von Shared Mailboxes gestört werden.
Praxisbeispiel: Vermeidung fehlerhafter Postfachzuordnungen in dynamischen Gruppen
Ein Unternehmen mit etwa 500 Mitarbeitern, darunter eine Vertriebsabteilung mit 50 Nutzern, stand regelmäßig vor dem Problem, dass freigegebene Postfächer fälschlicherweise zu dynamischen Gruppen hinzugefügt wurden. Besonders kritisch war dies in der Vertriebsabteilung, da dynamische Gruppen dort genutzt wurden, um Zugriffsrechte auf vertrauliche Kundeninformationen in SharePoint und Microsoft Teams zu steuern.
Das Problem trat auf, weil die dynamische Gruppe ursprünglich basierend auf dem Attribut „Department=Sales“ definiert wurde, ohne weitere Einschränkungen. Dadurch wurden nicht nur die Postfächer der Mitarbeiter, sondern auch Shared Mailboxes wie „Sales@company.com“ und „CustomerSupport@company.com“ in die Gruppe aufgenommen.
Manuelle Lösung mit PowerShell
Vor der Implementierung von DynamicGroup musste die IT-Abteilung regelmäßig manuell eingreifen. Dabei haben sie PowerShell genutzt, um regelmäßig nach Shared Mailboxes in den dynamischen Gruppen zu suchen und diese dann manuell zu entfernen.
Ablauf des PS-Skripts:
1. Es ruft alle Benutzer der Gruppe aus.
2. Für jeden Benutzer wird überprüft, ob sie eine Shared Mailbox in Exchange haben.
3. Wenn eine Shared Mailbox gefunden wird, wird der Benutzer aus der dynamischen Gruppe entfernt.
4. User mit User Mailbox bleiben in der Gruppe.
Mit DynamicGroup wurde dieser Prozess automatisiert, was letztendlich viel Zeit sparte und das Risiko von Fehlern bei der manuellen Pflege reduzierte.
Lösung mit DynamicGroup
Schritt 1 – Identifizierung der relevanten Attribute: Definieren Sie zunächst ein eindeutiges Attribut für Shared Mailboxes. Dies könnte beispielsweise ein Attribut sein, das Sie nicht verwenden. In unserem Fall wäre es „FaCustom1=shared“, das alle gemeinsam genutzten Postfächer zum Ausschluss kennzeichnet. Für Shared Mailboxes wird das Attribut mit “Shared” gepflegt.
Schritt 2 – Anpassung der DynamicGroup-Regeln: In DynamicGroup können Sie Regeln so konfigurieren, dass Shared Mailboxes, die das Attribut „FaCustom1=Shared“ haben, von der Gruppenmitgliedschaft automatisch ausgeschlossen werden.
Dank dieser Anpassung wurden nur noch reguläre Nutzer der Vertriebsabteilung in die dynamischen Gruppen aufgenommen, während Shared Mailboxes zuverlässig ausgeschlossen blieben. Die IT-Abteilung konnte dadurch sicherstellen, dass ausschließlich berechtigte Personen Zugriff auf sensible Kundendaten hatten.
Fazit
Mit DynamicGroup können Unternehmen dynamische Gruppen optimal verwalten und Shared Mailboxes ausschließen. Dies führt zu einer effizienteren IT-Verwaltung, geringeren Sicherheitsrisiken und einer schlankeren Struktur, die sich schnell an veränderte Anforderungen anpassen lässt. Durch die präzise Steuerung der Gruppenmitgliedschaften sparen Administratoren wertvolle Zeit und können sicherstellen, dass nur die richtigen Benutzer Zugriff auf die richtigen Ressourcen haben.
Über die FirstAttribute AG
Die FirstAttribute ist ein unabhängiges Cloud Service- und Software-Unternehmen mit Schwerpunkt Identity & Access Management (IAM) für AD und M365/Entra ID. Sie erfahren mehr über unser Team unter Unternehmen.
DynamicGroup ist seit vielen Jahren ein beliebtes Tool für AD Administratoren, um Gruppenmitgliedschaften im AD koordiniert und sicher zu verwalten. Die Anwendung ist weltweit bei Unternehmen unterschiedlichster Branchen im Einsatz. Kontinuierliche Updates sorgen dafür, dass die Anwendung den wachsenden Anforderungen in der IT gerecht bleibt und genau das tut, was sie verspricht.
DynamicSync ist eine Automatisierungs-Software für Cloud-Gruppen. Als reiner Cloud-Dienst (SaaS) spezialisiert sich DynamicSync auf dynamische und automatische Gruppen-Synchronisierungen in Entra ID.