Conoces los Fundamentos necesarios para trabajar con Exchange?

  • Relación con Active Directory y DNS
  • Versiones, CALs y Arquitectura
  • Implementación Híbrida
 
 

Cómo acceder al buzón de otro usuario en Exchange?

De forma predeterminada ningún usuario tiene permisos para abrir otra casilla. Esto aplica incluso a la cuenta que se usó para instalar Exchange.

Este permiso no viene asociado a ningún grupo en particular.


Qué error recibimos al intentar abrir la casilla de otro usuario?

Al intentar abrir el buzón de otro usuario utilizando Outlook u OWA nos encontramos con los siguientes errores:

Outlook

“No se puede expandir la carpeta. No se puede abrir el conjunto de carpetas. La operación cliente ha fallado”

No se puede expandir la carpeta. No se puede abrir el conjunto de carpetas. La operacion cliente ha fallado

Si se intenta abrir una carpeta en lugar del buzón entero, el error es muy similar salvo que indica el nombre de la carpeta en cuestión.

Ejemplo abriendo la bandeja de entrada:

“No se puede mostrar la carpeta. No se encuentra la carpeta Bandeja de entrada.” 

No se puede mostrar la carpeta. No se encuentra la carpeta Bandeja de entrada

OWA

“El buzón de correo parece no estar disponible. Intente volver a obtener acceso al mismo en 10 segundos. Si el error persiste, póngase en contacto con el departamento de soporte técnico” 

El buzon de correo parece no estar disponible. Intente volver a obtener acceso al mismo en 10 segundos. Si el error persiste, pongase en contacto con el departamento de soporte tecnico

En general cuando asignamos este permiso lo hacemos a nivel de buzón, base de datos o la organización en su totalidad. Mediante scripting y tareas agendadas sería posible utilizar otro tipo de filtros, por ejemplo membresía de grupos, atributo de departamento, custom attributes, etc.

En este artículo vamos a hacer foco en los escenarios más comunes.


Cómo otorgar permisos para abrir otro buzón usando el shell de Exchange?

Esta opción aplica a Exchange 2010 / 2013 / 2016:

1. Abrir el Shell de Exchange

2. Ejecutar el siguiente comando:

Add-MailboxPermission –identity buzon –User admin –AccessRights FullAccess 

Dar permisos para abrir una casilla de correo en Exchange

Donde “buzón” es el buzón al cual quiero acceder y “admin” es el usuario al que le quiero delegar el permiso de acceso total.

Cabe destacar que esto habilita a abrirle el buzón, etc pero no a “enviar como” (send as) el usuario. Es decir que el usuario delegado no puede enviar correo como el buzón.


Cómo configurar permisos de acceso a otro buzón usando el Centro de Administración de Exchange?

Esta opción aplica a Exchange 2013 / 2016:

1. Abrir el EAC de Exchange 2013 / 2016 (https://servidor/ECP)

2. En el panel de destinatarios, ir a buzones

3. Seleccionar el buzón donde deseemos configurar permisos e ir a las propiedades

4. Hacer clic en delegación de buzones y debajo de Acceso Completo, hacer clic en el “+” para agregar el delegado:

Delegar permisos de acceso completo a otro buzón de Exchange

5. Guardar los cambios


Cómo configurar los permisos de acceso a nivel de base de datos u organización?

El procedimiento aplica a Exchange 2010 / 2013 / 2016:

Viendo el comando utilizado en el primer ejemplo podríamos asumir que para aplicar esto a todos los buzones de la organización ejecutaríamos lo siguiente:

Get-Mailbox | Add-MailboxPermission –User admin –AccessRights FullAccess 

Otorgar permisos para abrir un buzón de Exchange

Si bien esto asignaría los permisos requeridos, no aplicaría en el caso de nuevos buzones, es decir que habría que asignar los permisos correspondientes cada vez que creemos uno nuevo.

El modo más simple y escalable sería utilizando un comando diferente: Add-Adpermission y ejecutarlo a nivel de base de datos:

Get-MailboxDatabase | Add-AdPermission –User admin –AccessRights ExtendedRight –ExtendedRights “receive-as” 

Get-MailboxDatabase | Add-AdPermission –User admin –AccessRights ExtendedRight –ExtendedRights “receive-as

Esto aplica a todas las bases de datos que existen en la organización al momento de la ejecución del comando, si posteriormente se crea una nueva base se debe ejecutar para la base específica (de cualquier modo esto es mucho menos frecuente que la creación de un nuevo buzón).

En caso de querer ejecutar el comando sobre una base individual se puede especificar el nombre de la base de datos

Get-MailboxDatabase nombreDB | Add-AdPermission –User admin –AccessRights ExtendedRight –ExtendedRights receive-as 

Get-MailboxDatabase nombreDB | Add-AdPermission –User admin –AccessRights ExtendedRight –ExtendedRights receive-as


A tener en cuenta que los cambios no se ven reflejados de forma inmediata, es decir que si se ejecuta el comando e inmediatamente se prueba el acceso, probablemente no funcione.

Primero debe replicar Active Directory y expirar el cache del Information Store.

Como alternativa para no esperar por el Information Store es posible bajar y subir el servicio, la desventaja es que desmontaría todas las bases desconectando a los usuarios en el proceso.

En definitiva, antes de ejecutar los comandos saber que hay que tener paciencia :).


Consultor IT especializado en Microsoft Exchange y Active Directory.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist

10 Responses to Cómo acceder al buzón de otro usuario en Exchange?

  1. Ricardo dice:

    Hola muy didáctico, ahora si quiero listar todos los usuarios que tienen delegado el acceso a un tercero como lo hago?

    Saludos

  2. Santiago dice:

    Gracias, tengo una consulta respecto a este tema, se está utilizando una cuenta genérica para un call center y ahi llegan todos los mensajes de los clientes, posterior a esto se desea que a esta cuenta genérica se pueda asociar carpetas con permisos de los diferentes usuarios con cuentas individuales en donde se ha estructurado un esquema de árbol de carpetas para arrastrar ahi los mensajes, se ha probado con ejemplos utilizando una cuenta genérica y varios usuarios asociando a carpeta con los resultados esperados obvio que en ambientes de pruebas por así llamarlo, sin emabargo ya en ambientes donde se desea aplicar la solución al utilizar la cuenta genérica y al dar permisos sobre las carpetas de los diferentes usuarios de cuentas individuales, me muestra el nombre del buzo que deseo compartir pero al abrir el buzo me aparece el mensaje “No se puede expandir la carpeta. La operación cliente ha fallado”, me puedes ayudar indicandome a que se puede deber el problema???

    • Daniel Núñez Banega dice:

      Hola Santiago, daría la impresión de que estas navegando una estructura donde los usuarios no tienen permiso de visibilidad a nivel de la carpeta padre. En definitiva, diría de revisar si a lo largo de la estructura los usuarios tienen este permiso incluso validar los permisos de toda la estructura comparándola con el ambiente de testing.

  3. johann dice:

    Una pregunta, el presidente de la organizacion me pregunta que si el administrador de red puede acceder al buzon , yo le dije que si ya que su cuenta es admin de todo eldominio, si embargo el me dice que no le gusta esa idea porque puede revisar sus correos, como puedo hacer para notificar al usuario si hay un acceso de parte del admin en el buzon? hay algo que alerte al usuario sobre el uso del buzon en otro cliente?

    • Daniel Núñez Banega dice:

      Hola Johann, de forma predeterminada el administrador no puede abrir la casilla de otro usuario. De cualquier modo el administrador podría darse los permisos para obtener este acceso. Para saber quien accede a un buzón es posible habilitar la auditoría. Esto se puede hacer con el comando Set-Mailbox con el parámetro AuditEnabled como se detalla en el siguiente artículo:
      https://technet.microsoft.com/es-es/library/bb123981(v=exchg.150).aspx

  4. armando dice:

    Hola daniel, ya le di los permisos de un buzon a otro usuario de mi empresa, y abre el correo recibe y todo lo puede hacer, menos enviar!! me ayudas?
    Saludos

    • Daniel Núñez Banega dice:

      Hola Armando, para que un usuario pueda enviar correo como otro es necesario asignar otro permiso (distinto al que otorgas para que acceda al buzón). Por ejemplo para que el usuario “usuario_delegado” pueda enviar como “buzonX” podes ejecutar:
      Add-ADPermission “buzonX” -User “usuario_delegado” -Extendedrights “Send As”

      Este cambio puede demorar hasta 2 horas en verse reflejado por cuestiones de cache.

      Por más info podes ver el siguiente artículo:
      https://technet.microsoft.com/en-us/library/bb676368(v=exchg.141).aspx

      saludos

  5. Nicolás dice:

    Hola Daniel! Un gusto en saludarte.

    Aprovecho la ocasión para comentarte, tal vez le haya sucedido a alguien, que ejecutándolo para todas las bases de datos, sobre Exchange 2013 (supongamos que soy jgonzalez y quiero poder acceder a todos los buzones de todas las bases de datos)

    Get-MailboxDatabase | Add-AdPermission –User jgonzalez –AccessRights ExtendedRight –ExtendedRights “receive-as”

    El resultado es que dejás de poder acceder al ECP y al OWA, te tira OWA 400 error.

    Al ejecutar

    Get-MailboxDatabase | Remove-AdPermission –User jgonzalez –AccessRights ExtendedRight –ExtendedRights “receive-as”

    Vuelve a funcionar todo con normalidad. Te pasó algúna vez?

    Muchas gracias!

    • Daniel Núñez Banega dice:

      Hola Nicolás, no me ha pasado lo que comentas. Para ver que está pasando se me ocurre:
      1. Ir con ADSIEDIT y conectarse a la partición de configuración de Active Directory
      2. Expandir Services – Microsoft Exchange – Nombre de Organización – Administrative Groups – Exchange Administrative Group – Databases e ir a las propiedades de cada base
      3. Tomar nota de los permisos
      4. Correr el comando especificando de a 1 base de datos (en lugar de correrlo para todas las bases).
      5. Ver si se reproduce el problema
      6. A partir de este punto si se reproduce el problema ir con ADSIEDIT y comparar la diferencia a nivel de permisos. Si no se reproduce continuar hasta encontrar con cual base se da el problema.

      Saludos!

Responder a Santiago Cancelar respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Registrarse


Mostrar botones
Ocultar botones