Hierarchien für Exchange-Adresslisten - warum und wie geht es?
Krähe mit Hut
Es ist eine übliche Vorgehensweise, die Organisationsstruktur des eigenen Unternehmens auch in IT-Diensten abzubilden. Während im Active Directory eher davon abgeraten wird (Unternehmen restrukturieren sich gern alle paar Jahre und dies ist im AD meistens nicht so einfach umsetzbar), sind Dienste für Exchange Online und Teams eher dafür geeignet. Dies liegt daran, dass die Einstellungen dort dynamisch gestaltet werden können und sich so automatisch an neue Strukturen anpassen.
Ein Beispiel hierfür sind Adresslisten, die sowohl in Exchange Server/Online als auch in Teams genutzt werden können. Adresslisten können ähnlich wie Telefonbücher dazu verwendet werden, um Benutzer/Postfächer logisch in einer gemeinsamen Übersicht zu gruppieren - bspw. nach Funktion, Unternehmensbereich, Standort, usw. Normalerweise werden Adresslisten flach, d.h. in der gleichen Ebene angelegt. Es entsteht also einfach eine (lange) Liste mit unterschiedlichen Adresslisten.
Adresslisten können jedoch auch aufeinander aufbauen und so beispielsweise der Organisationsstruktur des Unternehmens nachempfunden werden. Hierfür gibt es mehrere Möglichkeiten, die dieser Artikel beleuchtet.
Schon gewusst? Microsoft verwendet die Begriffe "Adressbuch" und "Adressliste" synonym. Auch wenn immer wieder beide Begriffe in Artikeln und Anleitungen auftauchen, handelt es sich um die gleiche Funktion.
Die Container-Variante
Bei der sogenannten Container-Variante werden Adresslisten bei der Erstellung schlicht untereinander eingruppiert. Es ist bei der Erstellung lediglich der Pfad (= Container) der übergeordneten Adressliste einzugeben, wobei die oberste Ebene mit einem "\" gekennzeichnet wird. Dies kann beispielsweise wie folgt aussehen:
- \MICROWSOFT
- \DEUTSCHLAND
- \DE-IT
- \DE-Produktion
- SCHWEIZ
- \CH-Buchhaltung
- \CH-Vertrieb
- \DEUTSCHLAND
Der Pfad zur Adressliste "Buchhaltung" wäre also: \UNTERNEHMEN\STANDORT2\Buchhaltung.
Diese Variante wird entweder über die Exchange Management Shell (PowerShell) oder über das Exchange Admin Center erstellt. In Exchange Online ist nur der Weg über die Exchange Online Management Shell verfügbar. Darüber hinaus muss hierfür zunächst eine spezielle Rollengruppe erstellt und dieser die notwendige Berechtigung (Address Lists) zugewiesen werden.
Die Verteilergruppen-Variante
Exchange Server und Exchange Online bieten darüber hinaus noch eine Variante an, die auf einer Verschachtelung von Verteilergruppen basiert. Hierfür gibt es sogar eine eigene Bezeichnung: Hierarchische Adressbücher (HAB).
Dementsprechend müssen gemäß der Organisationstruktur Verteilergruppen erstellt und einander als Mitglieder zugewiesen werden. Dieses Verfahren wird gemäß bewährten Methoden in Rollen- und Rechtekonzepten verwendet und stellt daher ein gängiges Verfahren dar.
Die Organisationsstruktur wird dann gemäß der Gruppenverschachtelung automatisch abgebildet. Dies kann beispielhaft wie folgt aussehen:
Die Gruppennamen folgen einer einheitlichen Benennungssyntax für alle Objekte und spiegeln die Konfiguration der Gruppe (universale Verteilergruppe) wieder.
UNI = Universal
DIS = DistributionUm den Benutzern die Zuordnung zu erleichtern, kann ein hiervon abweichender Anzeigename gewählt werden (in der Klammer hinter dem Gruppennamen angegeben).
- UNI-DIS-MICROWSOFT-ROOT (MICROWSOFT)
- UNI-DIS-MICROWSOFT-Deutschland (Deutschland)
- UNI-DIS-MICROWSOFT-Deutschland-IT (DE-IT)
- UNI-DIS-MICROWSOFT-Deutschland-Produktion (DE-Produktion)
- UNI-DIS-MICROWSOFT-Schweiz (Schweiz)
- UNI-DIS-MICROWSOFT-Schweiz-Buchhaltung (CH-Buchhaltung)
- UNI-DIS-MICROWSOFT-Schweiz-Vertrieb (CH-Vertrieb)
- UNI-DIS-MICROWSOFT-Oesterreich (Österreich)
- UNI-DIS-MICROWSOFT-Deutschland (Deutschland)
Diese Variante kann ausschließlich über die Exchange (Online) Management Shell (PowerShell) erstellt und verwaltet werden.
Vergleich der beiden Varianten
| Kriterium | Container-basiert | Hierarchische Adressbücher |
|---|---|---|
| Ort zur Erstellung der Adresslisten | Nur in Exchange Server/Online | Bei Verwendung des Modells geteilter Berechtigungen zweistufiger Prozess (Active Directory + Exchange Server/Online) |
| Verfügbare Möglichkeiten zur Erstellung | Exchange Admin Center (nur Exchange Server) Exchange (Online) Management Shell (Exchange Server/Online) | Nur Exchange (Online) Management Shell |
| Sortierung der Adresslisten | Automatisch, alphabetisch | Automatisch, jedoch willkürlich; lässt sich über PowerShell individuell einstellen (sogar bis zur Postfachebene) |
| Verfügbarkeit | Outlook (klassisch + neu), OWA | Outlook (klassisch) |
| Besonderheiten | - | Verteilergruppen dürfen nicht aus GAL ausgeblendet werden und sind daher auch in der GAL-Ansicht verfügbar |
| Synchronisation nach Exchange Online | Nein (müssen mittels Skript separat übertragen werden, ebenso Anpassungen) | Teilweise (Gruppen können synchronisiert werden, HAB muss separat eingerichtet und gepflegt werden) |
HAB erscheinen im Vergleich veraltet. Sie erlauben zwar eine granulare Konfiguration, sind jedoch aufwändiger einzurichten und überdies nicht app-übergreifend nutzbar. Aus diesen Gründen sind die herkömmlichen Adresslisten zu bevorzugen.
Einrichtung
Container-Variante
In der Folge wird der Weg über PowerShell beschrieben, da diese Variante sowohl in Exchange Server als auch in Exchange Online funktioniert. Wichtig: in Exchange Online muss hierfür zunächst eine Rollengruppe mit der notwendigen Berechtigung angelegt werden (in diesem Artikel ist eine Anleitung hierfür verfügbar). Selbst die Rolle Exchange-Administrator verfügt standardmäßig nicht über dieses Recht!
Der folgende Code zeigt beispielhaft, wie die oben genannten Adresslisten erstellt werden können:
# Adresslisten aufeinander aufbauend erstellen
New-AddressList -Name 'MICROWSOFT' -Container '\' -IncludedRecipients AllRecipients -ConditionalCompany 'MicrowSoft' -DisplayName 'MICROWSOFT'
New-AddressList -Name 'DEUTSCHLAND' -Container '\MICROWSOFT' -IncludedRecipients AllRecipients -ConditionalCompany 'MicrowSoft' -RecipientContainer 'OU=DEUTSCHLAND,OU=MICROWSOFT,DC=MICROWSOFT,DC=DE' -DisplayName 'DEUTSCHLAND'
New-AddressList -Name 'DE-IT' -Container '\MICROWSOFT\DEUTSCHLAND' -IncludedRecipients AllRecipients -ConditionalCompany 'MicrowSoft' -ConditionalDepartment 'IT' -DisplayName 'DE-IT'
New-AddressList -Name 'DE-Produktion' -Container '\MICROWSOFT\DEUTSCHLAND' -IncludedRecipients AllRecipients -ConditionalCompany 'MicrowSoft' -ConditionalDepartment 'Produktion' -DisplayName 'DE-Produktion'
New-AddressList -Name 'SCHWEIZ' -Container '\MICROWSOFT' -IncludedRecipients AllRecipients -ConditionalCompany 'MicrowSoft' -RecipientContainer 'OU=SCHWEIZ,OU=MICROWSOFT,DC=MICROWSOFT,DC=DE' -DisplayName 'SCHWEIZ'
New-AddressList -Name 'CH-Buchhaltung' -Container '\MICROWSOFT\SCHWEIZ' -IncludedRecipients AllRecipients -ConditionalCompany 'MicrowSoft' -ConditionalDepartment 'Buchhaltung' -DisplayName 'CH-Buchhaltung'
New-AddressList -Name 'CH-Vertrieb' -Container '\MICROWSOFT\SCHWEIZ' -IncludedRecipients AllRecipients -ConditionalCompany 'MicrowSoft' -ConditionalDepartment 'Vertrieb' -DisplayName 'CH-Vertrieb'Gruppen-Variante
HAB lassen sich nur über PowerShell erstellen und verwalten. Der folgende Code zeigt beispielhaft, wie die oben genannte Struktur erstellt werden kann:
# Verteilergruppen erstellen
# A1 - NUR EXCHANGE SERVER - Im Modell geteilter Berechtigungen müssen zunächst universale Verteilergruppen erstellt werden
New-ADGroup -Name 'UNI-DIS-MICROWSOFT-ROOT' -GroupType Distribution -GroupScope Universal
New-ADGroup -Name 'UNI-DIS-MICROWSOFT-DEUTSCHLAND' -GroupType Distribution -GroupScope Universal
New-ADGroup -Name 'UNI-DIS-MICROWSOFT-DEUTSCHLAND-IT' -GroupType Distribution -GroupScope Universal
New-ADGroup -Name 'UNI-DIS-MICROWSOFT-DEUTSCHLAND-Produktion' -GroupType Distribution -GroupScope Universal
New-ADGroup -Name 'UNI-DIS-MICROWSOFT-OESTERREICH' -GroupType Distribution -GroupScope Universal
New-ADGroup -Name 'UNI-DIS-MICROWSOFT-SCHWEIZ' -GroupType Distribution -GroupScope Universal
New-ADGroup -Name 'UNI-DIS-MICROWSOFT-SCHWEIZ-Buchhaltung' -GroupType Distribution -GroupScope Universal
New-ADGroup -Name 'UNI-DIS-MICROWSOFT-SCHWEIZ-Vertrieb' -GroupType Distribution -GroupScope Universal
# A2 - NUR EXCHANGE SERVER - Verschachtelung der Gruppen
Add-ADGroupMember -Identity 'UNI-DIS-MICROWSOFT-ROOT' -Members 'UNI-DIS-MICROWSOFT-DEUTSCHLAND','UNI-DIS-MICROWSOFT-OESTERREICH','UNI-DIS-MICROWSOFT-SCHWEIZ'
Add-ADGroupMember -Identity 'UNI-DIS-MICROWSOFT-DEUTSCHLAND' -Members 'UNI-DIS-MICROWSOFT-DEUTSCHLAND-IT','UNI-DIS-MICROWSOFT-DEUTSCHLAND-Produktion'
Add-ADGroupMember -Identity 'UNI-DIS-MICROWSOFT-SCHWEIZ' -Members 'UNI-DIS-MICROWSOFT-SCHWEIZ-Buchhaltung','UNI-DIS-MICROWSOFT-SCHWEIZ-Vertrieb'
# B1 - Falls das Modell geteilter Berechtigungen nicht eingesetzt wird, können alle Schritte direkt in Exchange durchgeführt werden
New-DistributionGroup -Name 'UNI-DIS-MICROWSOFT-ROOT'
New-DistributionGroup -Name 'UNI-DIS-MICROWSOFT-DEUTSCHLAND'
New-DistributionGroup -Name 'UNI-DIS-MICROWSOFT-DEUTSCHLAND-IT'
New-DistributionGroup -Name 'UNI-DIS-MICROWSOFT-DEUTSCHLAND-Produktion'
New-DistributionGroup -Name 'UNI-DIS-MICROWSOFT-OESTERREICH'
New-DistributionGroup -Name 'UNI-DIS-MICROWSOFT-SCHWEIZ'
New-DistributionGroup -Name 'UNI-DIS-MICROWSOFT-SCHWEIZ-Buchhaltung'
New-DistributionGroup -Name 'UNI-DIS-MICROWSOFT-SCHWEIZ-Vertrieb'
# B2 - Verschachtelung der Gruppen
Add-DistributionGroupMember 'UNI-DIS-MICROWSOFT-ROOT' -Member 'UNI-DIS-MICROWSOFT-DEUTSCHLAND'
Add-DistributionGroupMember 'UNI-DIS-MICROWSOFT-ROOT' -Member 'UNI-DIS-MICROWSOFT-OESTERREICH'
Add-DistributionGroupMember 'UNI-DIS-MICROWSOFT-ROOT' -Member 'UNI-DIS-MICROWSOFT-SCHWEIZ'
Add-DistributionGroupMember 'UNI-DIS-MICROWSOFT-DEUTSCHLAND' -Member 'UNI-DIS-MICROWSOFT-DEUTSCHLAND-IT'
Add-DistributionGroupMember 'UNI-DIS-MICROWSOFT-DEUTSCHLAND' -Member 'UNI-DIS-MICROWSOFT-DEUTSCHLAND-Produktion'
Add-DistributionGroupMember 'UNI-DIS-MICROWSOFT-SCHWEIZ' -Member 'UNI-DIS-MICROWSOFT-SCHWEIZ-Buchhaltung'
Add-DistributionGroupMember 'UNI-DIS-MICROWSOFT-SCHWEIZ' -Member 'UNI-DIS-MICROWSOFT-SCHWEIZ-Vertrieb'
# Neue Verteilergruppen für Adressbuchhierarchie aktivieren
Get-Group -Filter 'Name -like "UNI-DIS-MICROWSOFT-*"' | Set-Group -IsHierarchicalGroup $true
# Adressbuchhierarchie aktivieren und Stammgruppe hinterlegen
Set-OrganizationConfig -HierarchicalAddressBookRoot 'UNI-DIS-MICROWSOFT-ROOT'
# Reihenfolge der Gruppen festlegen (optional; je höher der Wert, umso höher die Rangfolge)
Set-Group -Identity '<Name der Gruppe>' -SeniorityIndex '<Wert zwischen 1-100>'
Gefällt Dir der Beitrag? Lass es andere wissen!
One thought on “Hierarchien für Exchange-Adresslisten - warum und wie geht es?”