Exchange: ECP Usermailbox Passwort ändern
Möchte man gewisse Aufgaben, wie beispielsweise das Ändern eines Userpasswortes direkt über das Exchange Control Panel erledigen, ist das standardmäßig nicht möglich. Allerdings besteht die Option durch kleinere Handgriffe die Funktion zu aktivieren. Somit kann man solche Tasks auch auf Personen auslagern, welche keinen direkten Zugriff auf das Active Directory haben. Welche Schritte notwendig sind, werden hier näher erläutert.
RBAC – Role Bases Access Control
Die Management-Berechtigungen seit Exchange 2010 beruhen dabei auf dem Prinzip der Role Based Access Controls. Eine Gruppe, nämlich die „Organization Management“ Role-Group sollte einem jeden Exchange Administrator ein Begriff sein. Das ist die mächtigste Gruppe – wobei auch sie von Haus aus nicht alle Berechtigungen besitzt. Eine Auflistung und Erklärung wie RBACs funktionieren, gibt es übrigens wieder direkt von Microsoft. Damit wir Mitglieder dieser Gruppe die Möglichkeit geben, das Passwort direkt über das ECP zu ändern, müssen wir vorab über die Exchange Management Shell die erweiterten RBACs installieren:
Add-PSSnapin Microsoft* Install-CannedRbacRoles Install-CannedRbacRoleAssignments
Anschließend können wir der Role Group eine zusätzliche Rolle zuweisen. Das funktioniert mit folgendem CMDLET:
New-ManagementRoleAssignment -SecurityGroup "Organization Management" -Role "Reset Password"
Sollte man die Fehlermeldung „You don’t have access to create, change, or remove the ‚Reset Password-Organization Management‘ management role assignment.“ bekommen, müssen wir unseren Benutzer zuvor noch in die „Security Administrator“ Exchange Role-Group hinzufügen. Das können wir entweder über das Active-Directory, dem ECP oder der Management Shell bewerkstelligen:
Add-RoleGroupMember "Security Administrator" -Member "Administrator" -BypassSecurityGroupManagerCheck
Anschließend sollte man sich zur Sicherheit einmal komplett vom Server abmelden (logoff) und den zuvor fehlgeschlagenen Befehl erneut ausführen. Damit hat man es bereits geschafft. Alle AD-Benutzer, welche Mitglied der Gruppe „Organization Management“ sind, haben von nun an über das Exchange Control Panel die Möglichkeit, Passwörter zurücksetzen.
Im nächsten Tutorial möchte ich auf die notwendigen Schritte eingehen, um beispielsweise für den Service Desk eine passende Role-Group zu erstellen. Somit können wir geschickt bestimmte Tasks an eine Gruppe von Personen auslagern, ohne dabei die Kontrolle über die Berechtigungen zu verlieren. Zum Artikel geht es hier: Exchange: ServiceDesk Berechtigungsgruppe erstellen
Danke super Tipp