Stellvertreter mit Outlook und Exchange

Die meisten Mailserver, die auf POP3 oder Dateifreigaben (MHS, MSMAIL) basieren kommen schnell an ihre Grenzen, wenn mehr als nur ein Postfach gefordert ist. Sie können Outlook und damit die Möglichkeit Termine, Kontakte etc zu verwalten. Aber es gibt noch einen weiteren Aspekt bei der Zusammenarbeit in Firmen: Mitarbeiter haben auch mal Urlaub, sind krank oder unterwegs. Auch dann sollte es möglich sein, dass der Arbeitsfluss nicht unterbrochen wird. Und hierzu dienen Stellvertreter, Regeln, gemeinsame Ordner und mehr. Serverbasierte Regeln und Stellvertreter sind Möglichkeiten, die Sie erst durch den Exchange Server bereitstellen können. Erst die zentrale Ablage von Daten auf dem Server, anstelle lokaler PST-Dateien erlaubt einen effektiven Zugriff auf diese Daten unter Berücksichtigung der Berechtigungen. So können Mitarbeiter den Kollegen oder Vertrauten den Zugriff auf das Postfach oder Teile davon erlauben. Und damit Sie die "richtige" Wahl treffen, finden Sie hier die verschiedenen Möglichkeiten für die Zusammenarbeit. Wählen Sie die passende für ihren Einsatzzweck aus.

Bei Exchange hat jeder Benutzer sein eigenes Postfach, in dem er alle Elemente anlegen, lesen, schreiben und löschen kann und mit dessen Namen er Mails versenden darf. Der Benutzer ist zugleich Besitzer des Postfachs. In den meisten Firmen gibt es die Anforderung für die Einrichtung von "Stellvertretern", was Outlook und Exchange auf drei Arten bereitstellt.

  • SendAs
    Ein Administrator kann auf einem Postfach einem anderen Benutzer das "SENDAS"-Recht geben, so dass diese Anwender eine Mail "Im Auftrag" des Postfachs versenden kann. Ein Zugriff auf Inhalte des Postfachs ist aber nicht möglich. Das Postfach kann nicht eingebunden werden.
    Details hier finden Sie auf Senden als
  • Full Mailbox Access
    Über dieses Recht kann ein anderer Benutzer das Postfach so nutzen, als wenn es das eigene Postfach wäre inklusive dem Zugriff auf als Privat gekennzeichnete Objekte. Der Anwender muss einfach nur ein Profil mit diesem Postfach und seiner Anmeldung anlegen. Alternative kann er das Postfach als zusätzliches Postfach einbinden.
    Siehe dazu auch Mailboxrechte
  • Stellvertreter über Outlook
    Outlook unterstützt die einfache Konfiguration von Stellvertretern. Über das Menü kann der Anwender selbst auf die Systemordner Berechtigungen vergeben, die der Stellvertreter dann über "Ordner eines anderen Benutzers öffnen" ausüben kann. Er kann aber das andere Postfach nicht komplett einbinden, was in gewissem Maße nicht elegant ist.

Genau genommen gibt es noch die Möglichkeit, direkt auf Ordner die Berechtigungen zu pflegen, so dass ein anderer Mitarbeiter zwar das Postfach wie beim "Full Access" einbinden kann, aber dennoch keine Mails versenden kann und auch nicht zwingend alle Inhalte sieht. Der Benutzer muss nur ausgehend vom Postfach auf jedem gewünschten Ordner dem Anwender die Rechte vergeben. Leider vererbt Outlook die Berechtigungen nur im Moment der Neuanlage eines Ordners und nicht nachträglich. Insofern ist dieser Weg möglich aber nicht praktikabel.

Stellvertreter

Der erste Schritt ist die Einrichtung eines Stellvertreters mit Outlook. Sie als Anwender bestimmen damit, welcher andere Anwender Rechte auf ausgewählte Ordner bei ihnen hat: Outlook bietet ihnen hierzu je Benutzer folgende Ordner an:

So können Sie als Benutzer jedem einzelnen anderen Anwender gezielt Rechte auf die Systemorder in ihrem Posteingang geben.  Beachten Sie hier auch die Option "Stellvertretung kann private Elemente sehen". Outlook erlaubt es bei Terminen und Kontakten ein Flag "privat" zu setzen. Damit zeigt ein anderes Outlook diese Objekte nicht mehr an (obwohl der Stellvertreter anhand der Rechte doch zugreifen könnte).

Ihr Stellvertreter kann sich dann diesen Ordner zusätzlich in Outlook über "Datei - öffnen - Ordner eines anderen Benutzers" öffnen.

Allerdings funktioniert dies nur mit den Systemordnern von Outlook so einfach.

Das Feld "Privat" ist kein echter Schutz, denn nur Outlook wertete diese Information aus und versteckt die entsprechenden Objekte beim Zugriff auf ein anderes Postfach. Damit sind aber keine Berechtigungen verbunden, die einen Zugriff mit anderen Tools unterbinden.
Das MAPI-Feld PR_Sensitivity wird dazu gesetzt (0=Standard, 2=Privat, 3=Vertraulich)

Das Privat-Feature ist kein zuverlässiges Mittel, um den Zugriff anderer Personen auf die Details eines Termins, Kontakts oder einer Aufgabe zu verhindern. Sie können sicherstellen, dass andere Personen ein als privat markiertes Element nicht lesen können, wenn Sie diesen Personen keine Leseberechtigung für Ihren Ordner Kalender, Kontakte oder Aufgaben gewähren. Eine Person, der über Leseberechtigung für Ihre Ordner verfügt, kann mithilfe programmseitiger Methoden oder anderer E-Mail-Anwendungen Details zu einem privaten Element anzeigen. Verwenden Sie das Privat-Feature nur, wenn Sie Ordner für vertrauenswürdige Personen freigeben.
http://office.microsoft.com/de-de/outlook-help/festlegen-der-berechtigung-fur-eine-stellvertretung-private-termine-anzuzeigen-HP005251643.aspx

Siehe dazu auch Vertraulich

publicdelegates im Active Directory

Stellvertreter werden aber nicht nur mit Outlook innerhalb des Postfachs vergeben. Diese Einträge werden auch in einem Feld im Active Directory hinterlegt.

  • publicdelegates
    Enthält die DNs aller Objekte, die Recht auf das Postfach haben.
  • publicdelegatesBL
    Enthält die DNs der Objekte, auf die dieser Benutzer berechtigt ist.

Der Inhalte der Fehler kann daher auch ideal zu Auswertungen heran gezogen werden. Folgende kurze Kommandozeile liefert ihnen die gewünschten Inhalte als Textdatei:

LDIFDE.EXE -F DELEGATES.TXT -D "DC=msxfaq,DC=de" -L NAME,PUBLICDELEGATES,PUBLICDELEGATESBL -R (|(PUBLICDELEGATES=*)(PUBLICDELEGATESBL))"

Weitere Informationen finden Sie dazu auch

  • MSDN Information
    http://msdn.Microsoft.com/library/default.asp?URL=/library/en-us/wss/wss/_cdo_schema_exchange_publicdelegates.asp
  • 282496 Considerations and best practices when resetting an Exchange mailbox database
  • 912918 Users cannot send e-mail messages from a mobile device or from a shared mailbox in Exchange 2000 Server and in Exchange Server 2003

MsExchDelegateListLink

Bei der Einrichtung von Stellvertretern sind immer zwei Parteien involviert:

  • Administrator
    Diese vergibt in der Regel per "Add-MailboxPermission" die Berechtigungen, dass ein anderer Anwender "Full Mailbox Address" auf ein anderes Postfach hat.
  • Anwender
    Der Stellvertreter musste dann aber in Outlook immer noch das andere Postfach, auf welches er nun berechtigt ist, in Outlook einbinden.

Seit Exchange 2007SP2 gibt es aber schon eine Schemaerweiterung (msexchdelegatelistlink) und seit Exchange 2010 SP1 wurde auf dem Server nun auch der entsprechende Code hinterlegt, um dieses Feld zu zu nutzen. Das wirkt sich wie folgt aus:

  1. Admin vergibt Berechtigungen
    Mit dem Commandlet "Add-Mailboxpermission" wird seit Exchange 2010 SP1 nicht mehr nur aus dem Zielpostfach das Recht addiert, sondern der Stellvertreter wird auch im Feld msexchdelegatelistlink eingetragen.

    Exchange kann dann über das "Backlink-Feld" msExchDelegateListLinkBL schnell ermitteln, welche Stellvertretungen jemand hat (Siehe auch LinkID)
  2. Autodiscover liefert Liste
    Mit der nächsten Anfrage von Outlook 2010 an den Exchange Server per Autodiscover bekommt dieser die neuen Postfächer mitgeteilt.

    Aus Sicht von Exchange ist dies übrigens genau so eine ""Alternative Mailbox" wie mein Online Archiv
  3. Outlook addiert die Postfächer
    Und schon erscheinen die Postfächer im Outlook des Clients

Sicher macht dies in vielen Fällen die Arbeit leichter, da nun kein Anwender oder Helpdesk auf dem Client das MAPI-Profil anpassen muss. Allerdings kann es ja sein, dass jemand zwar Rechte auf ein Postfach hat, aber dennoch nicht automatisch all die Postfächer eingebunden wehen will. Stellen Sie sich vor, sie starten einmal Outlook mit einem Blackberry oder Archiv Dienstkonto, um eine Funktion zu prüfen...

Da die Information über Postfächer, auf die ein Anwender berechtigt ist, im Feld "msexchdelegatelistlink" des Benutzers steht und diese Feld editierbar ist, können Sie die die Einträge dort natürlich auch wieder anpassen.

Die die Berechtigungen auf einer Mailbox sind nicht mit dem Feld beim Stellvertreter verbunden. Bei der Änderung der Postfachberechtigungen setzen die Exchange Commandlets daher das Feld immer komplett. Damit wird verhindert, dass z.B. jemand nicht auf der Liste ist, nur weil er die Rechte vor SP1 bekommen hat.

Da es aber auch keinen RUS o.ä. mehr gibt, bedeutet dies umgekehrt auch, dass die Stellvertreter bei den Mitarbeitern erst dann "plötzlich" erscheinen, wenn jemand an dem Hauptpostfach die Berechtigungen ändert. Umgekehrt könnten sie ja nun darauf verfallen, diese Feld anderweitig zu pflegen. Leider würde dies durch die nächste Änderung der Rechte wieder überschrieben.

$ADUser=[ADSI]"LDAP://$($DomainController)/$($Mailbox.DistinguishedName)"
$ADUser.msExchDelegateListLink.Remove(((Get-Mailbox $DelegateUser).DistinguishedName))
$ADUser.SetInfo()

Einzelne Ordner freigeben und Postfach öffnen

Wenn Sie weitere Ordner in ihrem Posteingang haben, dann können Sie diese natürlich auch freigeben. Sie können dazu die Eigenschaften des Ordners bearbeiten und die anderen Anwender eintragen:

Allerdings ist dies nur die halbe Wahrheit: Ein Anwender kann nicht so einfach diesen Ordner erreichen, sondern muss sich ihr "Postfach" in seinem MAPI-Profil zusätzlich einbinden:

Das funktioniert aber nur, wenn der andere Anwender auch das "Leserecht" auf ihrem Postfach hat (Eigenschaften des Postfachs) und alle Ordner dazwischen, bis er ihren eigentlich freigegebenen Ordner erreicht. Daher ist dieser Weg gefährlich, da andere Anwender "zu viel" sehen könnten und sie sollten sich überlegen, ob sie ihr Postfach über das Maß der Stellvertreter hinaus öffnen wollen.

Wenn Sie aber nun die Aufgabe haben, z.B. ein Postfach für andere Benutzer "nur lesend" bereit zu stellen und daher die Berechtigungen auf alle vorhandenen Ordner einzeln zu setzen, dann könnte ihnen das Skript FolderPermission weiter helfen, welches dies auf dem Server durchführt.

Es ist wichtig, dass Sie Stellvertreter "richtig" in ihrem Profil einbinden. Sie können seit Outlook 2013 theoretisch auch zwei Postfächer eigenständig im Profil einbringen. Das ist durchaus sinnvoll um z.B: zwei Postfächer in unterschiedlichen Organisationen einzubinden, aber es ist nicht supported.

„Outlook 2010, Outlook 20 13, and Outlook 2016 let you add your delegate’s account to your own profile and lets your delegate add your account to their profile. However, although there is no w arning message or error, this profile configuration is not supported.“ ;

“In Exchange Server 2010 Service Pack 1 (SP1), the new Auto Mapping feature automatically adds mailb oxes to the Outlook Navigation Pane if you have Full Access permission to t he mailboxes. Outlook manages these additional mailboxes by using a specific permissions set. If you previously configure d these same mailboxes as multiple Exchange accounts in Das neue Outlook profile , you may experience unexpected behavior when you send mail by using those other mailboxes. This is because mailboxes that are accessed by using the Outlook multiple Exchange account s functionality use a different permissions set from those mailboxes that a re added by Exchange Auto Mapping. Outlook tries to use both permission set s at the same time. This profile configuration is not supported.“
Quelle: Issues that can occur when you add multiple Exchange accounts in the same Outlook profile https://support.microsoft.com/en-us/help/981245/issu es-that-can-occur-when-you-add-multiple-exchange-accounts-in-the-same-outlo ok-profile

Nur weil etwas von der Software nicht verhindert wird, sollten Sie nicht drauf vertrauen, dass es auch erlaubt ist.

Rechte per Skript

Fast alles, was man per GUI in Outlook machen kann, kann man auch per Skript auf dem Server machen. für CDO/MAPI habe ich ein Beispiel auf FolderPermission beschrieben. Allerdings ist der umgang mit CDO und Exchange 2010 nicht mehr optional. Hier gibt es mit EWS und PowerShell mittlerweile viel einfachere Optionen.

Offline und nun ?

Wenn Sie "offline" sind, dann haben Sie in der OST-Datei natürlich nur die Informationen, die aus ihrem Postfach oder ausgewählten öffentlichen Ordnern ihrer Favoriten. Ein Zugriff auf andere Postfächer, auf die Sie Stellvertreterrechte haben, ist im Offlinebetrieb nicht möglich. Haben Sie anderen Personen das Recht zur Stellvertretung eingerichtet, können diese jedoch weiterhin auf die Informationen, die auf dem Exchange Server liegen, zugreifen. Sobald Sie ihre Informationen repliziert haben, sind beide wieder aktuell. Überlegen Sie daher genau, was im Postfach eines Benutzers liegen soll und was besser in öffentlichen Ordnern untergebracht wird, auch wenn nur zwei oder wenig mehr Personen damit arbeiten.

Hinweis:
Mit Outlook 2010 und Outlook 2007 SP1 Hotfix Sep2008 hat sich das Verhalten geändert. Hier können auch Postfächer von Stellvertretern "offline" mitgenommen werden. Siehe auch Outlook Cached Mode

Eventuell sollten Sie auch über den Einsatz von Regeln nachdenken, um Nachrichten automatisch anderen Personen zugänglich zu machen.

Stellvertreter über mehrere Sites und Server

Ein Stellvertreter öffnet das Postfach des Vertretenen mit. Dazu muss er an den Server mit dem Postfach gelangen. Je nachdem wo der Client ist, kann dies etwas schwieriger werden. Sind beide Personen in der gleichen Domäne und am gleichen Standort, dann reicht es, wenn ein Anwender dem anderen die notwendigen Rechte einräumt.

Sind die Personen aber in verschiedenen Domänen oder die Server verteilt, dann ist es notwendig, dass der Client über das Verzeichnis das Postfach und den dazugehörigen Server des zu Vertretenden finden kann, dass der Client dann den anderen Server auch im Netzwerk finden (Namensauflösung) und erreichen (Protokolle) kann und dass der Benutzer sich an dem Server anmelden kann (Die Domäne des Zielservers muss der Domäne des Anwenders vertrauen). Erst dann funktioniert dies auch.

Wenn Verzeichnisdienst, Namensauflösung und Netzwerkverbindung geklärt sind, aber trotzdem keine Anmeldung möglich ist, dann sollten Sie auf dem Zielserver im Benutzermanager die Überwachung für An und Abmeldevorgänge aktivieren. Im Sicherheitseventlog sehen Sie dann recht genau, warum die Anmeldung fehlschlägt.

Löschen von Mails

Nun sind sie Stellvertreter und können in das Postfach ihres Kollegen schauen und dort vielleicht sogar Elemente löschen. Was glauben Sie, wohin diese Elemente beim Löschen verschoben werden? Leider löscht Outlook die Elemente in ihren eigenen "Gelöschte Objekte"-Ordner. Demnach kann der Stellvertreter nicht mehr die Elemente aus dem Papierkorb zurückholen. Aber seit Outlook 97 gibt es auch hier Abhilfe. Durch das Setzen einer Einstellung in der Registrierung auf dem PC des Stellvertreters können Sie Outlook anweisen, die Mails in den Papierkorb des vertretenen Mitarbeiters zu legen.

Je nach Outlook Version ist einer der Schlüssel zu setzen:

HKEY_CURRENT_User\Software\Microsoft\Office\11.0\Outlook\Options\General\
HKEY_CURRENT_User\Software\Microsoft\Office\10.0\Outlook\Options\General\
HKEY_CURRENT_User\Software\Microsoft\Office\9.0\Outlook\Options\General\
Value: DelegateWastebasketStyle
Type: DWORD
Inhalt:
8 = Gelöschte Objekte im eigenem Ordner ablegen
4 = Gelöschte Objekte im original Postfach in den Papierkorb legen

Wie sie aber unschwer erkennen, ist diese Einstellung nur für den Stellvertreter gültig. Es bietet sich also an, dies z.B.: per Gruppenrichtlinien zu konfigurieren. Zudem ist die Einstellung "Global" für die Outlookinstallation, d.h. wenn Sie mehrere Postfächer vertreten, können Sie dieses Verhalten nicht je Postfach einstellen.

Zudem müssen Sie im Stellvertreterpostfach natürlich Schreibrechte im Ordner "Gelöschte Objekte" haben,  um die Objekte dort abzulegen.

  • 202517 Items deleted from a shared mailbox go to the wrong folder in Outlook

Weitere Rechte

Wenn Sie nicht mit diesem vereinfachten Stellvertretern auskommen, dann sollten Sie auf Mailboxrechte die weiteren Möglichkeiten nachlesen, Rechte auf eine Mailbox zu erhalten.

Stellvertreter und NDR

So schön die Funktion der Stellvertreter ist, so beschwerlich kann es für einen Administrator auch sein, Probleme damit zu beheben. Stellen Sie ich folgendes Szenario vor:

  • Es gibt zwei Benutzer "Abteilungsleiter" und "Stellvertreter"
    Das sind zwei ganz normale AD-Konten mit Exchange Eigenschaften.
  • Stellvertretung
    Nun trägt "Abteilungsleiter" den Benutzer "Stellvertreter" als Stellvertreter ein
    Herr "Stellvertreter" kann damit den Kalender und das Postfach einsehen, aber bekommt auch die Terminanfragen und Mails "als Kopie".
  • Business as usual
    Der Betrieb geht problemlos einige Monate gut und andere Personen senden Mails und Terminanfragen an den Abteilungsleiter.
  • "Stellvertreter" kündigt
    Wie im normalen Leben verändern sich Positionen und der bisherige "Stellvertreter" scheidet aus dem unternehmen aus. Der Administrator löscht das Postfach und das AD-Konto.
  • Rätselhafte NDRs
    Sendet nun jemand eine Mail an "Abteilungsleiter", dann versendet Exchange NDRs, da es die Weiterleitung zum nicht mehr vorhandenen Stellvertreter nicht ausführen kann.
Your message did not reach some or all of the intended recipients.

Subject: Testnachricht
Sent: 04/12/2006 06:05 PM

The following recipient(s) could not be reached:

Stellvertreter on 04/12/2006 06:05 PM

The e-mail account does not exist at the organization this message was sent to. Check the e-mail address, or contact the recipient directly to find out the correct address.

<srv01.msxfaq.de #5.1.1>

Wie Sie sehen können, erhält der Absender einen NDR für die Weiterleitung an den nicht mehr vorhandenen Stellvertreter. Der Absender wundert sich natürlich, da er ja nie eine Mail an den Stellvertreter sondern an den Abteilungsleiter gesendet hat. Sie als Admin erkennen aber ja nicht, an wen die Mail originär gegangen ist.

  • 253557 XCLN: Outlook (CW) Meeting Request Going to Someone Else

Wie kann ein Administrator hier nun das Problem lösen ?. Der einfachste Weg ist sicher, anhand des Nachrichtentracking die Originalmail samt dem Empfänger ausfindig zu machen. Damit ist auch das Postfach bekannt, in dem die Stellvertreterfunktion konfiguriert ist.

Wenn sie "Vorbeugen" möchten, kann können Sie mit folgender Kommandozeile einen Report der Stellvertreter erstellen:

ldifde -f stellvertreter.txt -d "dc=yourdomain,dc=com" -l name,publicDelegates,publicDelegatesBL -r "(|(publicDelegates=*)(publicDelegatesBL=*))"

Mit Exchange 5.5 können Sie das durch den Exchange Admin exportieren, wenn Sie vorher mit HEADER.EXE eine CSV-Datei anlegen, die auch die beiden Felder "public-delegates" und "public-delegates-bl" enthält.

Allerdings ist dies nur die halbe Wahrheit. Zusätzlich werden in den entsprechenden Ordnern im Postfach (Posteingang, Kalender etc.) noch MAPI-Berechtigungen für den Stellvertreter auf "EDIT" eingetragen und eine versteckte Regel für die Weiterleitung angelegt. Weder die Rechte noch die Regel werden durch eine Änderung der Felder im AD korrigiert. Sie können daher die Auflistung nur als Anhaltspunkt für Stellvertreter nutzen, ehe Sie einen solchen löschen.

Fatalerweise kann der Anwender diese Regel und Stellvertretereinstellungen nicht mehr mit Outlook löschen, wenn der Stellvertreter bereits gelöscht wurde.

Sie sollten Outlook nicht Outlook 2003 Cached Mode  betreiben, um die folgenden Änderungen durchzuführen.

Dann hilft nur noch MDBVU32 oder MFCMAPI, um im Postfach um diese Regeln zu bereinigen. Suchen Sie mit dem Programm nach einer Nachricht namens "Schedule+ EMS Interface" im Posteingang und entfernen diese. Zudem müssen Sie auch noch "Schedule + EMS Interface Base Rule" entfernen. Siehe dazu auch folgenden KB-Artikel:

  • 252800 XCLN: Meeting Request Goes to Former Delegate

Es gibt noch eine "harte Methode" und die lautet:

"outlook.exe /cleanserverrules"

Damit werden aber alle Serveregeln entfernt. Der Anwender sollte also vorher seine Regeln exportieren und hinterher wieder importieren.

Fehler "Einstellungen wurden nicht korrekt gespeichert"

Manchmal passiert es, dass ein Outlook Client Änderungen an Stellvertretern nicht richtig speichern kann. Dies passiert immer in "Multi Domain Umgebungen" wenn Outlook sich mit einem DC verbindet, der nicht beschreibbar ist, d.h. aus einer anderen Domäne als ihr Benutzerkonto ist und nur eine ReadOnly-Kopie ihrer Daten vorliegen. Die Fehlermeldung lautet:

"Die Einstellungen auf der Registerkarte "Stellvertretungen" wurden nicht korrekt gespeichert. Frei/Gebucht-Informationen kann/können nicht aktiviert werden."

Der Fehler kann bei Outlook 2007 mit einem Hotfix vom 25. März 2008 oder einem aktuelleren Office Servicepack und einem Registrierungseintrag umgangen werden.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_User\Software\Microsoft\Office\14.0\Outlook\Preferences]
"IgnoreSOBError"=dword:00000001

Stellvertreter mit Lync/Skype für Business

Einstellungen von Outlook in Exchange können auch auf Lync/Skype für Business durchschlagen. Hier ist aber nicht Exchange oder Outlook schuld, sondern der Communicator Client kontrolliert regelmäßig über EWS diese Einstellung und aktualisiert entsprechend die Stellvertretungen in Lync/Skype für Business,

In den Client Policies gibt es die Einstellung "EnableExchangeDelegateSync", über die ein Admin dieses Verhalten auf dem Client einstellen kann. Bei Festlegung auf „True“ kann ein in Outlook konfigurierter Benutzer Besprechungen im Lync-Kalender online planen. (Dies erfolgt über die Lync-UCMAPI-Delegierung. Die Enterprise-VoIP-Funktion wird nicht benötigt.

Weitere Links