Cómo acceder al buzón de otro usuario en Exchange?

De forma predeterminada ningún usuario tiene permisos para abrir otra casilla. Esto aplica incluso a la cuenta que se usó para instalar Exchange.

Este permiso no viene asociado a ningún grupo en particular.


Qué error recibimos al intentar abrir la casilla de otro usuario?

Al intentar abrir el buzón de otro usuario utilizando Outlook u OWA nos encontramos con los siguientes errores:

Outlook

“No se puede expandir la carpeta. No se puede abrir el conjunto de carpetas. La operación cliente ha fallado”

No se puede expandir la carpeta. No se puede abrir el conjunto de carpetas. La operacion cliente ha fallado

Si se intenta abrir una carpeta en lugar del buzón entero, el error es muy similar salvo que indica el nombre de la carpeta en cuestión.

Ejemplo abriendo la bandeja de entrada:

“No se puede mostrar la carpeta. No se encuentra la carpeta Bandeja de entrada.”

No se puede mostrar la carpeta. No se encuentra la carpeta Bandeja de entrada

OWA

“El buzón de correo parece no estar disponible. Intente volver a obtener acceso al mismo en 10 segundos. Si el error persiste, póngase en contacto con el departamento de soporte técnico”

El buzon de correo parece no estar disponible. Intente volver a obtener acceso al mismo en 10 segundos. Si el error persiste, pongase en contacto con el departamento de soporte tecnico

En general cuando asignamos este permiso lo hacemos a nivel de buzón, base de datos o la organización en su totalidad. Mediante scripting y tareas agendadas sería posible utilizar otro tipo de filtros, por ejemplo membresía de grupos, atributo de departamento, custom attributes, etc.

En este artículo vamos a hacer foco en los escenarios más comunes.


Cómo otorgar permisos para abrir otro buzón usando el shell de Exchange?

Esta opción aplica a Exchange 2010 / 2013 / 2016:

1. Abrir el Shell de Exchange

2. Ejecutar el siguiente comando:

Add-MailboxPermission –identity buzon –User admin –AccessRights FullAccess

Dar permisos para abrir una casilla de correo en Exchange

Donde “buzón” es el buzón al cual quiero acceder y “admin” es el usuario al que le quiero delegar el permiso de acceso total.

Cabe destacar que esto habilita a abrirle el buzón, etc pero no a «enviar como» (send as) el usuario. Es decir que el usuario delegado no puede enviar correo como el buzón.


Cómo configurar permisos de acceso a otro buzón usando el Centro de Administración de Exchange?

Esta opción aplica a Exchange 2013 / 2016:

1. Abrir el EAC de Exchange 2013 / 2016 (https://servidor/ECP)

2. En el panel de destinatarios, ir a buzones

3. Seleccionar el buzón donde deseemos configurar permisos e ir a las propiedades

4. Hacer clic en delegación de buzones y debajo de Acceso Completo, hacer clic en el «+» para agregar el delegado:

Delegar permisos de acceso completo a otro buzón de Exchange

5. Guardar los cambios


Cómo configurar los permisos de acceso a nivel de base de datos u organización?

El procedimiento aplica a Exchange 2010 / 2013 / 2016:

Viendo el comando utilizado en el primer ejemplo podríamos asumir que para aplicar esto a todos los buzones de la organización ejecutaríamos lo siguiente:

Get-Mailbox | Add-MailboxPermission –User admin –AccessRights FullAccess

Otorgar permisos para abrir un buzón de Exchange

Si bien esto asignaría los permisos requeridos, no aplicaría en el caso de nuevos buzones, es decir que habría que asignar los permisos correspondientes cada vez que creemos uno nuevo.

El modo más simple y escalable sería utilizando un comando diferente: Add-Adpermission y ejecutarlo a nivel de base de datos:

Get-MailboxDatabase | Add-AdPermission –User admin –AccessRights ExtendedRight –ExtendedRights “receive-as”

Get-MailboxDatabase | Add-AdPermission –User admin –AccessRights ExtendedRight –ExtendedRights “receive-as

Esto aplica a todas las bases de datos que existen en la organización al momento de la ejecución del comando, si posteriormente se crea una nueva base se debe ejecutar para la base específica (de cualquier modo esto es mucho menos frecuente que la creación de un nuevo buzón).

En caso de querer ejecutar el comando sobre una base individual se puede especificar el nombre de la base de datos

Get-MailboxDatabase nombreDB | Add-AdPermission –User admin –AccessRights ExtendedRight –ExtendedRights receive-as

Get-MailboxDatabase nombreDB | Add-AdPermission –User admin –AccessRights ExtendedRight –ExtendedRights receive-as


A tener en cuenta que los cambios no se ven reflejados de forma inmediata, es decir que si se ejecuta el comando e inmediatamente se prueba el acceso, probablemente no funcione.

Primero debe replicar Active Directory y expirar el cache del Information Store.

Como alternativa para no esperar por el Information Store es posible bajar y subir el servicio, la desventaja es que desmontaría todas las bases desconectando a los usuarios en el proceso.

En definitiva, antes de ejecutar los comandos saber que hay que tener paciencia :).


Con esto llegamos al final del artículo, por más información teórica y práctica sobre administración de buzones en Exchange, ver el siguiente recurso para miembros VIP del sitio (videos de entrenamiento):


About Daniel Núñez Banega

Consultor IT especializado en Microsoft Exchange, Active Directory y Microsoft 365.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist | Microsoft 365 Certified: Enterprise Administrator Expert | Microsoft 365 Certified: Security Administrator Associate | Microsoft Certified: Cybersecurity Architect Expert | Comptia Pentest+ | EC-Council Certified Ethical Hacker Master

Reader Interactions

Comments

  1. Ricardo says

    Hola muy didáctico, ahora si quiero listar todos los usuarios que tienen delegado el acceso a un tercero como lo hago?

    Saludos

  2. Santiago says

    Gracias, tengo una consulta respecto a este tema, se está utilizando una cuenta genérica para un call center y ahi llegan todos los mensajes de los clientes, posterior a esto se desea que a esta cuenta genérica se pueda asociar carpetas con permisos de los diferentes usuarios con cuentas individuales en donde se ha estructurado un esquema de árbol de carpetas para arrastrar ahi los mensajes, se ha probado con ejemplos utilizando una cuenta genérica y varios usuarios asociando a carpeta con los resultados esperados obvio que en ambientes de pruebas por así llamarlo, sin emabargo ya en ambientes donde se desea aplicar la solución al utilizar la cuenta genérica y al dar permisos sobre las carpetas de los diferentes usuarios de cuentas individuales, me muestra el nombre del buzo que deseo compartir pero al abrir el buzo me aparece el mensaje «No se puede expandir la carpeta. La operación cliente ha fallado», me puedes ayudar indicandome a que se puede deber el problema???

    • Daniel Núñez Banega says

      Hola Santiago, daría la impresión de que estas navegando una estructura donde los usuarios no tienen permiso de visibilidad a nivel de la carpeta padre. En definitiva, diría de revisar si a lo largo de la estructura los usuarios tienen este permiso incluso validar los permisos de toda la estructura comparándola con el ambiente de testing.

  3. johann says

    Una pregunta, el presidente de la organizacion me pregunta que si el administrador de red puede acceder al buzon , yo le dije que si ya que su cuenta es admin de todo eldominio, si embargo el me dice que no le gusta esa idea porque puede revisar sus correos, como puedo hacer para notificar al usuario si hay un acceso de parte del admin en el buzon? hay algo que alerte al usuario sobre el uso del buzon en otro cliente?

    • Daniel Núñez Banega says

      Hola Johann, de forma predeterminada el administrador no puede abrir la casilla de otro usuario. De cualquier modo el administrador podría darse los permisos para obtener este acceso. Para saber quien accede a un buzón es posible habilitar la auditoría. Esto se puede hacer con el comando Set-Mailbox con el parámetro AuditEnabled como se detalla en el siguiente artículo:
      https://technet.microsoft.com/es-es/library/bb123981(v=exchg.150).aspx

  4. armando says

    Hola daniel, ya le di los permisos de un buzon a otro usuario de mi empresa, y abre el correo recibe y todo lo puede hacer, menos enviar!! me ayudas?
    Saludos

    • Daniel Núñez Banega says

      Hola Armando, para que un usuario pueda enviar correo como otro es necesario asignar otro permiso (distinto al que otorgas para que acceda al buzón). Por ejemplo para que el usuario «usuario_delegado» pueda enviar como «buzonX» podes ejecutar:
      Add-ADPermission «buzonX» -User «usuario_delegado» -Extendedrights «Send As»

      Este cambio puede demorar hasta 2 horas en verse reflejado por cuestiones de cache.

      Por más info podes ver el siguiente artículo:
      https://technet.microsoft.com/en-us/library/bb676368(v=exchg.141).aspx

      saludos

  5. Nicolás says

    Hola Daniel! Un gusto en saludarte.

    Aprovecho la ocasión para comentarte, tal vez le haya sucedido a alguien, que ejecutándolo para todas las bases de datos, sobre Exchange 2013 (supongamos que soy jgonzalez y quiero poder acceder a todos los buzones de todas las bases de datos)

    Get-MailboxDatabase | Add-AdPermission –User jgonzalez –AccessRights ExtendedRight –ExtendedRights “receive-as”

    El resultado es que dejás de poder acceder al ECP y al OWA, te tira OWA 400 error.

    Al ejecutar

    Get-MailboxDatabase | Remove-AdPermission –User jgonzalez –AccessRights ExtendedRight –ExtendedRights “receive-as”

    Vuelve a funcionar todo con normalidad. Te pasó algúna vez?

    Muchas gracias!

    • Daniel Núñez Banega says

      Hola Nicolás, no me ha pasado lo que comentas. Para ver que está pasando se me ocurre:
      1. Ir con ADSIEDIT y conectarse a la partición de configuración de Active Directory
      2. Expandir Services – Microsoft Exchange – Nombre de Organización – Administrative Groups – Exchange Administrative Group – Databases e ir a las propiedades de cada base
      3. Tomar nota de los permisos
      4. Correr el comando especificando de a 1 base de datos (en lugar de correrlo para todas las bases).
      5. Ver si se reproduce el problema
      6. A partir de este punto si se reproduce el problema ir con ADSIEDIT y comparar la diferencia a nivel de permisos. Si no se reproduce continuar hasta encontrar con cual base se da el problema.

      Saludos!

  6. Juan Francisco says

    Hola Daniel, consulta:

    Un usuario de AD sin buzón, puede acceder con estos permisos al buzón de otro usuario ?, y como debería acceder en Outlook en caso de poder?.

    • Daniel Núñez Banega says

      Hola Juan Francisco, por lo que tengo entendido no sería un escenario soportado, de cualquier modo no descarto que pueda haber alguna vuelta para lograr parcialmente el requerimiento (pero no sería algo que haya probado).

  7. Gabriel says

    Hola, quisiera hacer una consulta, los accesos a las casillas compartidas las tengo otorgadas a través de grupos de AD, recientemente agregue a un usuario al grupo de AD para que tenga acceso a la Casilla pero no le funciona, solamente le concede el acceso cuando se lo doy directamente al usuario y no a través del grupo.

    • Daniel Núñez Banega says

      Hola Gabriel, tiene alguna diferencia en particular el caso de este usuario que no te funciona respecto a otros ya agregados al grupo?
      Probaste agregando un usuario distinto (recientemente)?. La idea sería confirmar que el procedimiento siga funcionando y ver si solo sucede con un usuario específico. En base a esto cómo avanzar.

  8. Fernando says

    Buenos días, se puede restringir el acceso a ciertos usuario para que solo puedan ver los correos y no elimanlos? Es decir, a algunos usuarios darle acceso full y a otros solo lectura?

    Gracias

    Fernando

  9. Eli says

    Hola Daniel!Estoy haciendo una auditoria sobre usuarios con permisos sobre casillas de terceros (FullAccess y Send as) en Outlook 365. Para las versiones anteriores me funcionaron unos comandos, pero para este no me funciona el mismo. Te indico cuales usaba:
    Get-Mailbox -resultsize unlimited |Get-MailboxPermission | where { ($_.AccessRights –eq «FullAccess,ReadPermission») -or ($_.AccessRights -eq «FullAccess») } | ft @{Name=»Identity»;expression={($_.Identity -split «/»)[-1]}}, User, AccessRights, IsInherited, Deny -wrap | out-file xxxxx

    Get-Mailbox -resultsize unlimited | Get-ADPermission | where {($_.ExtendedRights -like «*Send-As*») -and ($_.Deny -eq $false) -and -not ($_.User -like «NT AUTHORITY\SELF»)}| FT @{Name=»Identity»;expression={($_.Identity -split «/»)[-1]}}, User, Deny, Inherited -Wrap |out-file c:\temp\sendas.xls

  10. Alejandro GV says

    Saludos Daniel.
    Volviendo al tema de permisos, quisiera consultarte si sabes porqué al compartir una carpreta de Outlook en en la versión web O365 todo sale bien pero al tratar de abrir el mismo buzón mediante el cliente de Outlook 365 para Escritorio no funciona y sale el error: No se puede mostrar la carpeta. Microsoft Outlook no puede obtener acceso a la ubicación de carpeta especificada.
    En el cliente de escritorio, yo realicé este procedimiento:
    Go to File > Info > Account Settings > Account Settings.
    Double-click your email address > click More Settings > Advanced tab > click Add.
    Enter user’s name > click OK > select user if several are found > click OK > Next > Finish.
    Reinicié el Outlook pero no pasa nada, el errror sigue apareciendo.
    Qué me recomiendas?

    • Daniel Núñez Banega says

      Hola Alejandro, una diferencia es que el cliente de Outlook usa el servicio de Autodiscover a diferencia del caso de OWA. Lo primero sería verificar que esté todo funcionando ok en este sentido.

  11. Oliver says

    Hola Daniel y si quiero dar permisos a un buzon compartido a varios usuarios?
    el comando -User xx1t@xxx.com,xx2@xxx.com como iria?
    y el -Trustee para varios usuarios a la vez?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *