De forma predeterminada ningún usuario tiene permisos para abrir otra casilla. Esto aplica incluso a la cuenta que se usó para instalar Exchange.
Este permiso no viene asociado a ningún grupo en particular.
Qué error recibimos al intentar abrir la casilla de otro usuario?
Al intentar abrir el buzón de otro usuario utilizando Outlook u OWA nos encontramos con los siguientes errores:
Outlook
“No se puede expandir la carpeta. No se puede abrir el conjunto de carpetas. La operación cliente ha fallado”
Si se intenta abrir una carpeta en lugar del buzón entero, el error es muy similar salvo que indica el nombre de la carpeta en cuestión.
Ejemplo abriendo la bandeja de entrada:
“No se puede mostrar la carpeta. No se encuentra la carpeta Bandeja de entrada.”
OWA
“El buzón de correo parece no estar disponible. Intente volver a obtener acceso al mismo en 10 segundos. Si el error persiste, póngase en contacto con el departamento de soporte técnico”
En general cuando asignamos este permiso lo hacemos a nivel de buzón, base de datos o la organización en su totalidad. Mediante scripting y tareas agendadas sería posible utilizar otro tipo de filtros, por ejemplo membresía de grupos, atributo de departamento, custom attributes, etc.
En este artículo vamos a hacer foco en los escenarios más comunes.
Cómo otorgar permisos para abrir otro buzón usando el shell de Exchange?
Esta opción aplica a Exchange 2010 / 2013 / 2016:
1. Abrir el Shell de Exchange
2. Ejecutar el siguiente comando:
Add-MailboxPermission –identity buzon –User admin –AccessRights FullAccess
Donde “buzón” es el buzón al cual quiero acceder y “admin” es el usuario al que le quiero delegar el permiso de acceso total.
Cabe destacar que esto habilita a abrirle el buzón, etc pero no a «enviar como» (send as) el usuario. Es decir que el usuario delegado no puede enviar correo como el buzón.
Cómo configurar permisos de acceso a otro buzón usando el Centro de Administración de Exchange?
Esta opción aplica a Exchange 2013 / 2016:
1. Abrir el EAC de Exchange 2013 / 2016 (https://servidor/ECP)
2. En el panel de destinatarios, ir a buzones
3. Seleccionar el buzón donde deseemos configurar permisos e ir a las propiedades
4. Hacer clic en delegación de buzones y debajo de Acceso Completo, hacer clic en el «+» para agregar el delegado:
5. Guardar los cambios
Cómo configurar los permisos de acceso a nivel de base de datos u organización?
El procedimiento aplica a Exchange 2010 / 2013 / 2016:
Viendo el comando utilizado en el primer ejemplo podríamos asumir que para aplicar esto a todos los buzones de la organización ejecutaríamos lo siguiente:
Get-Mailbox | Add-MailboxPermission –User admin –AccessRights FullAccess
Si bien esto asignaría los permisos requeridos, no aplicaría en el caso de nuevos buzones, es decir que habría que asignar los permisos correspondientes cada vez que creemos uno nuevo.
El modo más simple y escalable sería utilizando un comando diferente: Add-Adpermission y ejecutarlo a nivel de base de datos:
Get-MailboxDatabase | Add-AdPermission –User admin –AccessRights ExtendedRight –ExtendedRights “receive-as”
Esto aplica a todas las bases de datos que existen en la organización al momento de la ejecución del comando, si posteriormente se crea una nueva base se debe ejecutar para la base específica (de cualquier modo esto es mucho menos frecuente que la creación de un nuevo buzón).
En caso de querer ejecutar el comando sobre una base individual se puede especificar el nombre de la base de datos
Get-MailboxDatabase nombreDB | Add-AdPermission –User admin –AccessRights ExtendedRight –ExtendedRights receive-as
A tener en cuenta que los cambios no se ven reflejados de forma inmediata, es decir que si se ejecuta el comando e inmediatamente se prueba el acceso, probablemente no funcione.
Primero debe replicar Active Directory y expirar el cache del Information Store.
Como alternativa para no esperar por el Information Store es posible bajar y subir el servicio, la desventaja es que desmontaría todas las bases desconectando a los usuarios en el proceso.
En definitiva, antes de ejecutar los comandos saber que hay que tener paciencia :).
Con esto llegamos al final del artículo, por más información teórica y práctica sobre administración de buzones en Exchange, ver el siguiente recurso para miembros VIP del sitio (videos de entrenamiento):
Hola muy didáctico, ahora si quiero listar todos los usuarios que tienen delegado el acceso a un tercero como lo hago?
Saludos
Hola Ricardo, podrías usar el comando Get-MailboxPermission, te dejo un link con la sintaxis y ejemplos de uso:
https://technet.microsoft.com/es-es/library/aa998218(v=exchg.141).aspx
saludos!
Gracias, tengo una consulta respecto a este tema, se está utilizando una cuenta genérica para un call center y ahi llegan todos los mensajes de los clientes, posterior a esto se desea que a esta cuenta genérica se pueda asociar carpetas con permisos de los diferentes usuarios con cuentas individuales en donde se ha estructurado un esquema de árbol de carpetas para arrastrar ahi los mensajes, se ha probado con ejemplos utilizando una cuenta genérica y varios usuarios asociando a carpeta con los resultados esperados obvio que en ambientes de pruebas por así llamarlo, sin emabargo ya en ambientes donde se desea aplicar la solución al utilizar la cuenta genérica y al dar permisos sobre las carpetas de los diferentes usuarios de cuentas individuales, me muestra el nombre del buzo que deseo compartir pero al abrir el buzo me aparece el mensaje «No se puede expandir la carpeta. La operación cliente ha fallado», me puedes ayudar indicandome a que se puede deber el problema???
Hola Santiago, daría la impresión de que estas navegando una estructura donde los usuarios no tienen permiso de visibilidad a nivel de la carpeta padre. En definitiva, diría de revisar si a lo largo de la estructura los usuarios tienen este permiso incluso validar los permisos de toda la estructura comparándola con el ambiente de testing.
Una pregunta, el presidente de la organizacion me pregunta que si el administrador de red puede acceder al buzon , yo le dije que si ya que su cuenta es admin de todo eldominio, si embargo el me dice que no le gusta esa idea porque puede revisar sus correos, como puedo hacer para notificar al usuario si hay un acceso de parte del admin en el buzon? hay algo que alerte al usuario sobre el uso del buzon en otro cliente?
Hola Johann, de forma predeterminada el administrador no puede abrir la casilla de otro usuario. De cualquier modo el administrador podría darse los permisos para obtener este acceso. Para saber quien accede a un buzón es posible habilitar la auditoría. Esto se puede hacer con el comando Set-Mailbox con el parámetro AuditEnabled como se detalla en el siguiente artículo:
https://technet.microsoft.com/es-es/library/bb123981(v=exchg.150).aspx
Hola daniel, ya le di los permisos de un buzon a otro usuario de mi empresa, y abre el correo recibe y todo lo puede hacer, menos enviar!! me ayudas?
Saludos
Hola Armando, para que un usuario pueda enviar correo como otro es necesario asignar otro permiso (distinto al que otorgas para que acceda al buzón). Por ejemplo para que el usuario «usuario_delegado» pueda enviar como «buzonX» podes ejecutar:
Add-ADPermission «buzonX» -User «usuario_delegado» -Extendedrights «Send As»
Este cambio puede demorar hasta 2 horas en verse reflejado por cuestiones de cache.
Por más info podes ver el siguiente artículo:
https://technet.microsoft.com/en-us/library/bb676368(v=exchg.141).aspx
saludos
Hola Daniel! Un gusto en saludarte.
Aprovecho la ocasión para comentarte, tal vez le haya sucedido a alguien, que ejecutándolo para todas las bases de datos, sobre Exchange 2013 (supongamos que soy jgonzalez y quiero poder acceder a todos los buzones de todas las bases de datos)
Get-MailboxDatabase | Add-AdPermission –User jgonzalez –AccessRights ExtendedRight –ExtendedRights “receive-as”
El resultado es que dejás de poder acceder al ECP y al OWA, te tira OWA 400 error.
Al ejecutar
Get-MailboxDatabase | Remove-AdPermission –User jgonzalez –AccessRights ExtendedRight –ExtendedRights “receive-as”
Vuelve a funcionar todo con normalidad. Te pasó algúna vez?
Muchas gracias!
Hola Nicolás, no me ha pasado lo que comentas. Para ver que está pasando se me ocurre:
1. Ir con ADSIEDIT y conectarse a la partición de configuración de Active Directory
2. Expandir Services – Microsoft Exchange – Nombre de Organización – Administrative Groups – Exchange Administrative Group – Databases e ir a las propiedades de cada base
3. Tomar nota de los permisos
4. Correr el comando especificando de a 1 base de datos (en lugar de correrlo para todas las bases).
5. Ver si se reproduce el problema
6. A partir de este punto si se reproduce el problema ir con ADSIEDIT y comparar la diferencia a nivel de permisos. Si no se reproduce continuar hasta encontrar con cual base se da el problema.
Saludos!
Hola Daniel, consulta:
Un usuario de AD sin buzón, puede acceder con estos permisos al buzón de otro usuario ?, y como debería acceder en Outlook en caso de poder?.
Hola Juan Francisco, por lo que tengo entendido no sería un escenario soportado, de cualquier modo no descarto que pueda haber alguna vuelta para lograr parcialmente el requerimiento (pero no sería algo que haya probado).
Hola, quisiera hacer una consulta, los accesos a las casillas compartidas las tengo otorgadas a través de grupos de AD, recientemente agregue a un usuario al grupo de AD para que tenga acceso a la Casilla pero no le funciona, solamente le concede el acceso cuando se lo doy directamente al usuario y no a través del grupo.
Hola Gabriel, tiene alguna diferencia en particular el caso de este usuario que no te funciona respecto a otros ya agregados al grupo?
Probaste agregando un usuario distinto (recientemente)?. La idea sería confirmar que el procedimiento siga funcionando y ver si solo sucede con un usuario específico. En base a esto cómo avanzar.
Buenos días, se puede restringir el acceso a ciertos usuario para que solo puedan ver los correos y no elimanlos? Es decir, a algunos usuarios darle acceso full y a otros solo lectura?
Gracias
Fernando
Hola Fernando, si, el cmdlet es distinto. Para otorgar permisos de forma más granular utilizarías el Add-MailboxFolderPermission.
Te dejo un artículo de Microsoft donde se detalla el comando con varios ejemplos:
https://docs.microsoft.com/en-us/powershell/module/exchange/add-mailboxfolderpermission?view=exchange-ps
Hola Daniel!Estoy haciendo una auditoria sobre usuarios con permisos sobre casillas de terceros (FullAccess y Send as) en Outlook 365. Para las versiones anteriores me funcionaron unos comandos, pero para este no me funciona el mismo. Te indico cuales usaba:
Get-Mailbox -resultsize unlimited |Get-MailboxPermission | where { ($_.AccessRights –eq «FullAccess,ReadPermission») -or ($_.AccessRights -eq «FullAccess») } | ft @{Name=»Identity»;expression={($_.Identity -split «/»)[-1]}}, User, AccessRights, IsInherited, Deny -wrap | out-file xxxxx
Get-Mailbox -resultsize unlimited | Get-ADPermission | where {($_.ExtendedRights -like «*Send-As*») -and ($_.Deny -eq $false) -and -not ($_.User -like «NT AUTHORITY\SELF»)}| FT @{Name=»Identity»;expression={($_.Identity -split «/»)[-1]}}, User, Deny, Inherited -Wrap |out-file c:\temp\sendas.xls
Hola Eli, te paso el link a un script que está armado para Office 365 que te puede ser de utilidad:
https://gallery.technet.microsoft.com/office/Export-Office-365-Mailbox-d5c8c85f
Saludos Daniel.
Volviendo al tema de permisos, quisiera consultarte si sabes porqué al compartir una carpreta de Outlook en en la versión web O365 todo sale bien pero al tratar de abrir el mismo buzón mediante el cliente de Outlook 365 para Escritorio no funciona y sale el error: No se puede mostrar la carpeta. Microsoft Outlook no puede obtener acceso a la ubicación de carpeta especificada.
En el cliente de escritorio, yo realicé este procedimiento:
Go to File > Info > Account Settings > Account Settings.
Double-click your email address > click More Settings > Advanced tab > click Add.
Enter user’s name > click OK > select user if several are found > click OK > Next > Finish.
Reinicié el Outlook pero no pasa nada, el errror sigue apareciendo.
Qué me recomiendas?
Hola Alejandro, una diferencia es que el cliente de Outlook usa el servicio de Autodiscover a diferencia del caso de OWA. Lo primero sería verificar que esté todo funcionando ok en este sentido.
Hola Daniel y si quiero dar permisos a un buzon compartido a varios usuarios?
el comando -User xx1t@xxx.com,xx2@xxx.com como iria?
y el -Trustee para varios usuarios a la vez?