Falls mal jemand fragt

IT-Blog und auch total anderes Zeug

Exchange-2013-Logo

Wie ändere ich eine Verteilergruppe zu einer Sicherheitsgruppe?

| Keine Kommentare

Manchmal ist beim Anlegen einer Active-Directory-Gruppe noch nicht ganz sicher, ob diese nur als E-Mail-Verteilergruppe benutzt werden soll oder gegebenenfalls auch Zugriffsrechte damit geregelt werden sollen. Solltest du also eine Gruppe als Verteilergruppe angelegt haben, diese aber später auch für die Vergabe von Berechtigungen nutzen möchtest, kannst du diese Umwandeln. Da das Ändern des Gruppentyps von Verteilung auf Sicherheit unter Exchange 2013 leider oft nicht reibungslos funktioniert zeige ich dir in diesem Beitrag, wie du die Gruppe umwandelst und schließlich auch für Kalender-Freigaben usw. nutzen kannst.

Wenn du versuchst eine Gruppe auf einen Kalender zu berechtigen erscheint die Meldung:

 

Vielleicht hast du auch vorher schon erkannt, dass die Gruppen unterschiedliche Icons haben.2017-04-19_VerteilerIcons

Die Lösung scheint einfach: Die Gruppe in der Active-Directory-Verwaltung von Verteilung auf Sicherheit stellen. Klingt einfach, hat in meinem Fall aber nicht funktioniert, denn bei mir waren die Werte „MemberJoinRestriction“ und „MemberDepartRestriction“ auf „Open“ gesetzt. Also versuchte ich auf dem Server mit Powershell in der Exchange Management Shell das ganze zu ändern:

Wenn ich dies nun mit den folgenden Befehlen ändern wollte, bekam die Meldung „Mitglieder können sich nicht selbst aus Sicherheitsgruppen entfernen.“ und dass ich jeweils den anderen Wert ändern soll, damit ich den eben abgesetzten Befehl ausführen kann. Das macht natürlich wenig Sinn.

Die Lösung hier lautet: Im AD auf „Verteilung“ zurückstellen (oder stehen lassen) und die Powershell-Befehle erneut ausführen. Dieses Mal wirst du keine Fehlermeldung erhalten und die Werte „MemberJoinRestriction“ und „MemberDepartRestriction“ stehen auf Closed. Get-DistributionGroup -Identity <Gruppe> | format-list  zum Überprüfen.

Anschließend die Gruppe wieder in eine Sicherheitsgruppe ändern und einen Moment warten bis der Exchange-Server sich mit den Domain-Controllern synchronisiert hat. Nun kannst du die Gruppe auch für die Rechtevergabe in Outlook-Kalendern oder Exchange-Ressourcen nutzen.

Wichtig ist hierbei, dass du Outlook nicht im Caching-Modus betreibst, denn sonst kann es ewig dauern bis sich das globale Adressbuch bei dir aktualisiert hat. Ein Update-GlobalAddressList -Identity "Default Global Address List" (sofern du dein globales Adressbuch nicht umbenannt hast) kann auf dem Exchange-Server ebenfalls hilfreich sein.

Autor: Florian

Als staatlich geprüfter Techniker für Computer- und Netzwerktechnik berichte ich auf fmjf.de sowohl über den alltäglichen Wahnsinn als IT-Admin, als auch über Apple, Wordpress und – wie im Slogan schon erwähnt – total anderes Zeug.

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.