Hoe verberg je een gebruiker of groep in de Exchange GAL (Global Address List)?
Soms is het vervelend als bepaalde gebruikers of groepen zichtbaar zijn in de GAL (Global Address List) terwijl dat eigenlijk niet de bedoeling is. Of het nu gaat om een serviceaccount, een testaccount of een willekeurige distributiegroep die je liever geheim houdt, ze verbergen in het adresboek kan het leven een stuk makkelijker maken. Het probleem is dat, afhankelijk van of je Exchange Online (Microsoft 365) of een lokale on-premises installatie gebruikt, de stappen niet altijd even duidelijk zijn en het synchronisatieproces soms tegenwerkt. Deze handleiding is daarom een beetje een mengelmoes van wat voor anderen heeft gewerkt en wat je zeker niet over het hoofd moet zien. Waar je echt naar op zoek bent: een betrouwbare manier om gebruikers of groepen te verbergen, zodat ze niet verschijnen in adreszoekopdrachten in Outlook. Houd er rekening mee dat het even kan duren voordat de wijzigingen zijn doorgevoerd, vooral in een grote organisatie, en soms is een herstart of synchronisatie nodig. Het is niet altijd perfect, maar met deze aanpassingen kun je de zichtbaarheid beter beheren.
Hoe verberg je gebruikers en groepen in de Exchange- of Office 365 GAL?
Allereerst verschijnen nieuwe gebruikers en groepen in zowel Exchange Online als on-premises omgevingen automatisch in de adreslijst. Als u het zat bent dat sommige accounts worden weergegeven en u niet wilt dat iedereen ze ziet, is het inschakelen van de optie ‘Verbergen in adreslijst’ in het Exchange Admin Center (EAC) meestal de meest voor de hand liggende oplossing. Maar bij grotere projecten, of als u liever de opdrachtregel gebruikt, is PowerShell de beste optie. Het komt er in feite op neer dat u het kenmerk ` HiddenFromAddressListsEnabled` in- of uitschakelt. Wanneer u dit doet, verschijnt het object niet meer in Outlook, OWA of andere client-apps na updates van de Global Address List (GAL).Dit is handig omdat het instellen van Set-Mailbox -Identity jsmith -HiddenFromAddressListsEnabled $truedit kenmerk de mailbox markeert als verborgen. Op sommige machines kan het tot een dag duren voordat dit in de GAL verschijnt, vooral als uw organisatie veel gegevens in de cache heeft. Op andere machines kan een snelle vernieuwing of een heropbouw van de GAL het proces versnellen. Om alle verborgen mailboxen te bekijken: powershell Get-Mailbox -ResultSize Unlimited | Where {$_. HiddenFromAddressListsEnabled -eq $true} | Selecteer DisplayName, UserPrincipalName, HiddenFromAddressListsEnabled. Het verbergen van contactpersonen of groepen gebeurt met vergelijkbare opdrachten: powershell Set-MailContact ext24Support -HiddenFromAddressListsEnabled $true Set-DistributionGroup global_support -HiddenFromAddressListsEnabled $true Set-DynamicDistributionGroup nySales -HiddenFromAddressListsEnabled $true Set-UnifiedGroup groupname1 -HiddenFromAddressListsEnabled:$true Houd er rekening mee dat het na het aanvinken van deze optie enige tijd kan duren (meestal tot 24 uur) voordat de wijzigingen zichtbaar zijn, afhankelijk van het updateschema van uw GAL. Soms kan een geforceerde vernieuwing of een herstart van Outlook het proces versnellen. Om te controleren wie er verborgen is in uw GAL: powershell Get-Recipient -ResultSize unlimited -Filter ‘HiddenFromAddressListsEnabled -eq $true’ En om de lijst naar een CSV-bestand te exporteren: powershell Get-Recipient -RecipientPreviewFilter $filter | Where-Object {$_. HiddenFromAddressListsEnabled -ne $true} | Select-Object Name, PrimarySmtpAddress, Phone | Export-CSV c:\ps\GAL_except_hidden.csv –NoTypeInformation Een handige truc: het automatisch verbergen van uitgeschakelde mailboxen met een script kan later veel gedoe voorkomen, vooral als u veel inactieve gebruikers hebt. Zoiets als: powershell $mailboxes = get-user | where {$_. UserAccountControl -like ‘*AccountDisabled*’ -and $_. RecipientType -eq ‘UserMailbox’ } | get-mailbox | waar {$_. HiddenFromAddressListsEnabled -eq $false} voor elke ($mailbox in $mailboxes) {Set-Mailbox -HiddenFromAddressListsEnabled $true -Identity $mailbox} —
Wat als uw gebruikers worden gesynchroniseerd vanuit Active Directory via Azure AD Connect?
Hier wordt het lastig. Als uw postvakken in de cloud worden gehost, maar gebruikersaccounts worden gesynchroniseerd vanuit een on-premises Active Directory, werkt het niet om HiddenFromAddressListsEnabled rechtstreeks in Office 365 te wijzigen. U krijgt een foutmelding dat u buiten het bereik bent omdat het object on-premises wordt beheerd. Dat komt omdat het kenmerk wordt gesynchroniseerd vanuit uw lokale Active Directory, dus u moet het account daar eerst verbergen. De oplossing: stel het kenmerk msExchHideFromAddressLists in uw lokale Active Directory in met PowerShell, als volgt: powershell Set-ADUser jsmith -Add @{msExchHideFromAddressLists=”TRUE”} Wacht vervolgens tot de synchronisatiecyclus is voltooid. Normaal gesproken wordt de gebruiker verborgen in de Global Address List (GAL) wanneer de kenmerken terug naar Azure worden gesynchroniseerd. Om te zien wie nog niet verborgen is: powershell Get-ADUser -Filter {(enabled -eq “false”) -and (msExchHideFromAddressLists -notlike “*”)} -Properties enabled, msExchHideFromAddressLists Opmerking: als uw Active Directory niet is geconfigureerd met Exchange-kenmerken, heeft u mogelijk schema-extensies nodig, wat lastig kan zijn om in te stellen.
Hoe verberg ik gebruikers voor het lidmaatschap van distributiegroepen in het adresboek?
Standaard kan iedereen de ledenlijst van een distributiegroep zien. Als u de leden van bepaalde groepen wilt verbergen (bijvoorbeeld om gevoelige leden af te schermen), kunt u het kenmerk hideDLMembership in Active Directory in- of uitschakelen. Zo doet u dat: open Active Directory-gebruikers en -computers (voer dit uit dsa.msc), schakel Geavanceerde functies in via het menu *Weergave* en zoek uw groep handmatig (gebruik niet de automatische zoekfunctie, omdat het kenmerk daar niet zichtbaar is).Ga vervolgens naar het tabblad Kenmerkeditor, zoek hideDLMembership en wijzig de waarde in True. Sla de wijzigingen op en wacht even. Deze wijziging wordt pas van kracht nadat Exchange de GAL (Global Address List) heeft bijgewerkt, wat enkele uren of langer kan duren. In plaats van de grafische gebruikersinterface te gebruiken, kunt u dit instellen met PowerShell: `powershell Set-ADGroup –id yourgroupname -replace @{hideDLMembership=$true}`.Wanneer dit kenmerk actief is, worden de leden niet meer weergegeven wanneer u de groep uitvouwt in Outlook of OWA. Elke poging hiertoe resulteert in een foutmelding: “De gevraagde bewerking kan niet worden uitgevoerd. De geselecteerde opdracht is niet geldig voor deze ontvanger.”
Samenvatting
Het beheren van wat er in de GAL (Global Address List) verschijnt, is niet altijd even eenvoudig, vooral niet in gemengde omgevingen. Meestal is het inschakelen van het attribuut HiddenFromAddressListsEnabled via PowerShell voldoende, maar geduld is geboden, aangezien updates niet direct worden doorgevoerd. Voor on-premises gebruikers die vanuit Active Directory worden gesynchroniseerd, is het attribuut in Active Directory de echte gamechanger. Hopelijk besparen deze tips u wat frustratie bij het organiseren van het adresboek van uw organisatie, zodat het weer rustig en overzichtelijk wordt.
- Controleer of de wijziging behouden blijft na het vernieuwen van de GAL.
- Gebruik PowerShell om meerdere items tegelijk te verbergen.
- Houd er rekening mee dat het bij grote organisaties even kan duren voordat updates zijn doorgevoerd.