Hallo zusammen,
Dieses Problem ist etwas komplexer, weshalb ich schon so einige Foren abgegrast habe und mir leider nirgendwo geholfen werden konnte.
Mein Problem:
Ich möchte es Usern mit Outlook ermöglichen ihre Outlook Ordner und Unterordner komfortabel in einem Menü freizugeben, quasi als SelfService Tool. Das Tool was ich gebastelt habe sieht gut aus, funktioniert wie es soll und alles ist bestens, wenn nicht das Problem mit den Rechten wäre. Alle User sollten es ausführen können, es wird allerdings ein Zugriff auf sehr mächtige Commandlets (set-mailboxfolderpermission usw) und das default scope benötigt, weshalb jeder User auf sämtliche Postfächer zugreifen könnte. Um dies zu verhindern habe ich nun eine unscoped managementrole erstellt und mehrere eigen erstellte Scripte hinzugefügt, die zwar diese mächtigen Commandlets set-mailboxfolderpermission usw ausführen, allerdings eine Validierung die für den User uneinsichtig ist ausführen, weshalb der User nicht in der Lage ist diese Funktionen außerhalb des Tools zu nutzen. Um den gesamten Prozess für den User uneinsichtig zu machen darf das Powershellscript allerdings auch nicht mehr durchsuchbar sein, weshalb ich mich entschlossen habe die .ps1 Datei in eine .exe Datei umzuwandeln(habe das mit Sapiens PowershellStudio2012 und PS2EXE 0.4.0.0 versucht). Dort ist nun das Problem, dass normale Commandlets und die Snapins verfügbar sind, allerdings nicht meine Skripte, die ich in der Unscoped Role definiert habe. In der normalen Shell lassen sie sich super aufrufen, liegt also nicht an den Skripten selber. Es wird nur angezeigt "Die Benennung "Mein-Skript.ps1" wurde nicht als Name eines Cmdlets, einer Funktion, einer Skriptdatei oder eines ausführbaren Programms erkannt. Überprüfen Sie die Schreibweise des Namens, oder ob der Pfad korrekt ist und wiederholen Sie den Vorgang".
Die Frage:
Wie könnte man dieses Problem beheben? Hat jemand schon mit einer ähnlichen Situation zu kämpfen gehabt? Wo werden die eigen erstellten Skripte gespeichert? Gibt es da ein PSSnapin, was man einbinden kann? Kann man ein separates PSSnapin erstellen, was dann den Aufruf und die Rückgabewerte an die selbst erstellten Skripte durchpiped? Bin für sämtliche Lösungsansätze offen, Hauptsache die User können nur für ihr eigenes Postfach Berechtigungen auslesen und setzen und haben keinen generellen Zugriff auf diese mächtigen Cmdlets. Es handelt sich außerdem um nicht wenige User(über 17k), weshalb es auch auszuschließen ist für jeden einen eigenen Scope und eine eigene RBAC Rolle zu erstellen.
Mit freundlichen Grüßen Christian