Self Service IT: functionele mailbox beheren

Naast het beheer van user accounts en distributielijsten hebben we ook te maken met functionele postbussen, ook wel resource mailbox genoemd. Deze postbussen zijn meestal niet direct gerelateerd aan een persoon, maar meer aan een bepaald doel, zoals een vergaderzaal, project of verzamelbak. Op zich is klinkt een dergelijke postbus als redelijk simpele functionaliteit maar in de praktijk blijkt het beheer toch redelijk complex.

In Exchange is een postbus altijd aan een Active Directory account gekoppeld. Aangezien een functionele post niet direct persoonsgebonden is levert dit een vreemde situatie op, je gaat namelijk een account maken voor iets wat niet per definitie persoonsgebonden is. Dit levert in de Active Directory accounts op met namen als “VergaderzaalKamer211” en “Ideenbus”, die je het liefst niet wil laten inloggen op het netwerk. Deze accounts mogen echter niet op disabled worden gezet, dan zou namelijk de postbus ook ontoegankelijk worden. Een mogelijke oplossing is om bij de Active Directory settings van dergelijke accounts een niet bestaande computer op te geven waar ze op in moeten loggen. Dit zorgt ervoor dat het een “normaal” en actief user account blijft, echter zal er geen enkele mogelijkheid zijn om op een werkstation of server in te loggen.
Naast het beheren van het user account wat nodig is voor een functionele postbus blijft natuurlijk het beheer van wie er bij de postbus mag en wat de persoon precies mag doen. Dit is geen eenvoudige beheerstaak, er moeten namelijk security instellingen op het Active Directory account van de postbus worden beheerd om personen toegang te geven. Een bekende instelling is bijvoorbeeld het “verzenden als”, ook wel “send-as” genoemd. Je kunt een persoon de rechten geven om namens de postbus mail te versturen. Voor een IT beheerder is dit echter niet een hele simpele wijziging, je zult in de security settings van het account moeten graven en hier het send-as vinkje toewijzen aan een ander persoon. Bij meer dan 10 personen op 1 functionele mailbox wordt deze lijst ook vrij lang en werkt dit in de praktijk niet erg handig.
Met UMRA bieden we de mogelijkheid om het beheer van functionele postbussen in de organisatie te leggen. Je kunt bijvoorbeeld een aantal mensen aanwijzen die de mogelijkheid hebben om functionele postbussen aan te maken en om rechten te beheren. Deze personen krijgen dan een electronische formulieren interface aangeboden waarbij ze alleen maar een naam voor de postbus kunnen opgeven bij het aanmaken. De UMRA engine zal zelf controleren of de naam vrij is en zal deze formatteren om er een correcte postbus van te maken inclusief alle Active Directory settings. Vervolgens kun je via dezelfde interface een overzicht krijgen van alle bestaande functionele postbussen en de rechten beheren. Het is prima mogelijk om per functionele postbus personen toe te voegen of te verwijderen en om individueel instellingen zoals “send-as” toe te wijzen. Deze beheerstaken worden direct op de Active Directory uitgevoerd zonder tussenkomst van een IT beheerder. De persoon die de taken uitvoert heeft echter niet rechtstreeks rechten op de Active Directory, hij/zij heeft enkel de rechten op die specifieke taak uit te voeren. De daadwerkelijke operatie wordt door UMRA uitgevoerd via een beschermde delegatie laag.

Geschreven door:

Arnout van der Vorst

Arnout van der Vorst is Identity Management Architect bij Tools4ever en al ruim 10 jaar in dienst. Arnout legt zich als Architect toe op het bedenken en ontwikkelen van nieuwe features, oplossingen en diensten van Tools4ever die aansluiten op de vraag uit de markt. Arnout studeerde Hogere Informatica aan de Hogeschool van Utrecht.
Terug