Überlegungen zu Berechtigungen
Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Letztes Änderungsdatum des Themas: 2007-07-12
Berücksichtigen Sie beim Planen der Integration von Microsoft Exchange Server 2007 in Ihre Active Directory-Verzeichnisdienststruktur das Verwaltungsmodell in Ihrem Unternehmen. Mit Exchange 2007 erlangen Sie Flexibilität, wie Sie Administratoren Berechtigungen zuweisen. Es empfiehlt sich im Allgemeinen, zu überlegen, wie die folgenden Funktionen von Active Directory und Exchange 2007 die Art der Organisation der Verwaltungsrollen beeinflussen:
Ein einzelner Administrator kann Aufgaben sowohl für Microsoft Windows Server 2003 als auch für Exchange ausführen.
Sie können Berechtigungen zwischen Exchange-Administratoren und Windows-Administratoren aufteilen.
Sie können die Exchange-Administratorrollen und die Windows-Administratorrollen mithilfe einer Exchange-Ressourcengesamtstruktur trennen.
Die Abschnitte in diesem Thema beschreiben die Flexibilität der Berechtigungskonfiguration und die Administratorrollen, die in Exchange 2007 verfügbar sind.
Grundlegendes zum geteilten Berechtigungsmodell von Exchange und Active Directory
In zahlreichen Microsoft Exchange-Organisationen, insbesondere in mittelgroßen und großen Organisationen, gibt es mehrere Exchange-Administratoren. Da diese Administratoren einen bestimmten Satz von Verwaltungsaufgaben ausführen können, stellt Exchange Server 2007 vordefinierte Administratorrollen sowie ein Modell mit getrennten Berechtigungen zur Verfügung, das Sie zum Konfigurieren bestimmter Berechtigungen in Active Directory für verschiedene administrative Funktionen in Ihrer Organisation verwenden können. In Exchange 2007 werden Berechtigungen für Exchange-Empfängerattribute gruppiert. Dadurch wird die manuelle Konfiguration von Berechtigungen minimiert, die zum Trennen von Exchange-Berechtigungen von anderen Verwaltungsberechtigungen vorgenommen werden muss. Weitere Informationen zum Planen und Implementieren Ihres Berechtigungsmodells finden Sie unter den folgende Themen:
Änderungen am Sicherheits- und Berechtigungsmodell
Das Sicherheits- und Berechtigungsmodell aus Exchange Server 2003 wurde für Exchange 2007 geändert. Dieser Abschnitt stellt Informationen zu den Änderungen des Exchange-Berechtigungsmodells zur Verfügung und beschreibt die Unterschiede.
Eigenschaftensätze
Ein Eigenschaftensatz ist eine Gruppierung von Active Directory-Attributen. Der Zugriff auf diese Gruppierung von Active Directory-Attributen kann durch das Festlegen eines gemeinsamen Zugriffssteuerungseintrags (Access Control Entry, ACE) gesteuert werden, anstatt für jede Eigenschaft einen eigenen ACE festzulegen. Der Eigenschaftensatz, der alle Exchange-Empfängerattribute zusammenfasst, wird als E-Mail-Informationen bezeichnet.
Hinweis
Exchange Server 2003-Sicherheitsgruppen, die zum Zugriff auf Empfängereigenschaften auf Servern mit Exchange Server 2003 berechtigt waren, verfügen auch weiterhin über die Zugriffsberechtigung für den Eigenschaftensatz Exchange 2007-E-Mail-Informationen, solange das Active Directory-Schema mithilfe von Exchange Server 2007 Setup.com oder Setup.com mit dem Parameter /PrepareAD aktualisiert wird.
Weitere Informationen zu Eigenschaftenmengen finden Sie unter Eigenschaftenmengen in Exchange Server 2007.
Sicherheits- und Berechtigungsmodell von Exchange 2003
Um die Verwaltung von Berechtigungen zu vereinfachen, wurden in Exchange Server 2003 vordefinierte Sicherheitsrollen bereitgestellt, die im Assistenten für die Zuweisung von Verwaltungsberechtigungen von Exchange 2003 verfügbar sind. Bei diesen Rollen handelt es sich um eine Sammlung von Standardberechtigungen, die auf Organisationsebene oder auf der Ebene administrativer Gruppen angewendet werden können.
In Exchange 2003 sind die folgenden Sicherheitsrollen über den Assistenten für die Zuweisung von Verwaltungsberechtigungen in Exchange-System-Manager verfügbar:
Exchange-Administrator – Vollständig
Exchange-Administrator
Exchange-Exchange-Administrator mit Leserechten
Dieses Modell weist die folgenden Einschränkungen auf:
Mangelnde Genauigkeit. Die Exchange-Administratorgruppe ist zu groß, und einige Kunden möchten ihr Sicherheits- und Berechtigungsmodell auf der Ebene einzelner Server verwalten.
Der Eindruck, dass sich die Exchange Server 2003-Sicherheitsrollen nur geringfügig unterscheiden.
Es gibt keine klare Trennung zwischen der Verwaltung von Benutzern und Gruppen durch die Windows-Administratoren (Active Directory) und Exchange-Empfängeradministratoren. Sie müssen z. B. Exchange-Administratoren Berechtigungen auf hoher Ebene erteilen (z. B. die Berechtigung Konten-Operator für Windows-Domänen), um auf Exchange-Empfänger bezogene Aufgaben durchführen zu können.
Sicherheits- und Berechtigungsmodell von Exchange 2007
Um die Verwaltung der Exchange-Administratorrollen (die in Exchange 2003 als "Sicherheitsgruppen" bezeichnet werden) zu verbessern, wurden die folgenden neuen oder verbesserten Features in das Sicherheits- und Berechtigungsmodell von Exchange aufgenommen:
Neue Administratorrollen, die den integrierten Windows Server-Sicherheitsgruppen ähneln. Weitere Informationen zu diesen Administratorrollen finden Sie unter "Administratorrollen in Exchange 2007" weiter unten in diesem Thema.
Mithilfe der Exchange-Verwaltungskonsole (bisher als Exchange-System-Manager bekannt) und der Exchange-Verwaltungsshell können Mitglieder einer Administratorrolle angezeigt, hinzugefügt oder entfernt werden.
Administratorrollen in Exchange 2007
Exchange 2007 verfügt über die folgenden vordefinierten Gruppen, die die Exchange-Konfigurationsdaten verwalten:
Exchange-Organisationsadministratoren
Exchange-Empfängeradministratoren
Exchange-Administrator mit Leserechten
Exchange-Administratoren - Öffentliche Ordner (neu in Exchange Server 2007 Service Pack 1)
Während der Setup /PrepareAD-Phase in Exchange 2003 (die Organisationsvorbereitungsphase, die mit ForestPrep von Exchange 2003 vergleichbar ist) werden diese Exchange-Administratorrollen (ausgenommen die Exchange-Serveradministratoren) in einer neuen Organisationseinheit der Microsoft Exchange-Sicherheitsgruppe erstellt, die sich in der Domäne befindet, in der /PrepareAD ausgeführt wurde.
Wenn Sie einem Benutzer eine Administratorrolle hinzufügen, erbt dieser Benutzer die Berechtigungen, die die betreffende Rolle besitzt. Diese Administratorrollen sind berechtigt, Exchange-Daten in Active Directory zu verwalten. Drei Arten von Exchange-Daten können von diesen Gruppen verwaltet werden:
Globale Daten Dies sind die Daten in einem Active Directory-Konfigurationscontainer, die keinem bestimmten Server zugeordnet sind. Diese Daten sind z. B. Postfachrichtlinien, Adresslisten und die Exchange Unified Messaging-Konfiguration. Globale Daten wirken sich im Allgemeinen auf die gesamte Organisation und potenziell auf alle Benutzer aus. Als bewährte Methode sollten Sie nur wenigen vertrauenswürdigen Benutzern das Konfigurieren oder Ändern globaler Daten gestatten.
Empfängerdaten Empfänger in Exchange sind Active Directory-Benutzerobjekte, die E-Mail-Nachrichten senden oder empfangen können. Beispiel für Empfängerdaten sind E-Mail-aktivierte Kontakte, Verteilergruppen, Postfächer sowie bestimmte Empfängertypen wie etwa Proxyobjekte Öffentlicher Ordner.
Serverdaten Exchange-Serverdaten sind in Active Directory unter dem Knoten des angegebenen Servers enthalten. Beispiele für diese Daten sind Empfangsconnectors, virtuelle Verzeichnisse, Einstellungen pro Server sowie Postfach- und Speichergruppendaten.
Rolle "Exchange-Organisationsadministratoren"
Die Rolle Exchange-Organisationsadministratoren erteilt Administratoren Vollzugriff auf alle Exchange-Eigenschaften und -Objekte in der Exchange-Organisation. Während des Exchange-Setups erstellt Setup /PrepareAD in der Stammdomäne die Active Directory-Sicherheitsgruppe namens Exchange-Organisationsadministratoren im Container Microsoft Exchange-Sicherheitsgruppen von Active Directory-Benutzer und -Computer.
Wenn Sie der Rolle Exchange-Organisationsadministratoren einen Benutzer hinzufügen, wird dieser Benutzer ein Mitglied der Administratorrolle namens Exchange-Organisationsadministratoren. Exchange 2007 erstellt diese Rolle während der Active Directory-Vorbereitung. Mitglieder der Rolle Exchange-Organisationsadministratoren verfügen über die folgenden Berechtigungen:
Besitzer der Exchange-Organisation im Konfigurationscontainer von Active Directory. Als Besitzer verfügen die Mitglieder der Rolle über Vollzugriff auf die Exchange-Organisationsdaten im Konfigurationscontainer in Active Directory und die lokale Gruppe Exchange-Serveradministrator.
Lesezugriff auf alle Domänenbenutzercontainer in Active Directory. Exchange erteilt diese Berechtigung beim Einrichten des ersten Servercomputers mit Exchange 2007 in der Domäne für jede Domäne in der Organisation. Diese Berechtigungen ergeben sich durch die Mitgliedschaft bei der Rolle Exchange-Empfängeradministrator.
Lesezugriff auf alle Exchange-Spezifischen Attribute in allen Domänenbenutzercontainer in Active Directory. Exchange erteilt diese Berechtigung beim Einrichten des ersten Servercomputers mit Exchange 2007 in der Domäne für jede Domäne in der Organisation. Diese Berechtigungen ergeben sich durch die Mitgliedschaft bei der Rolle Exchange-Empfängeradministrator.
Besitzer aller Konfigurationsdaten des lokalen Servers. Als Besitzer verfügen die Mitglieder über Vollzugriff auf den lokalen Servercomputer mit Exchange. Exchange 2007 erteilt diese Berechtigung während des Setups jedes Servercomputers mit Exchange.
Benutzer, die Mitglieder der Rolle Exchange-Organisationsadministratoren sind, verfügen über den höchsten Berechtigungsgrad in der Exchange-Organisation. Für alle Aufgaben, die sich auf die gesamte Exchange-Organisation auswirken, ist die Mitgliedschaft in dieser Gruppe erforderlich. Beispiele für Aufgaben, die die Berechtigung Exchange-Organisationsadministrator erfordern, sind das Erstellen oder Löschen von Connectors, das Ändern der Serverrichtlinien sowie das Ändern globaler Konfigurationseinstellungen.
Hinweis
Bei der Installation von Exchange 2007 wird die Rolle Exchange-Organisationsadministratoren als Mitglied der lokalen Gruppe Administratoren von Setup auf dem Computer hinzugefügt, auf dem Exchange installiert wird. Beachten Sie, dass die lokale Gruppe Administratoren auf einem Domänencontroller über andere Berechtigungen verfügt als die lokale Gruppe Administratoren auf einem Mitgliedsserver. Wenn Exchange 2007 auf einem Domänencontroller installiert wird, verfügen die Benutzer der Rolle Exchange-Organisationsadministratoren über zusätzliche Windows-Berechtigungen, über die sie nicht verfügen, wenn Exchange 2007 auf einem Computer installiert wird, der kein Domänencontroller ist.
Rolle "Exchange-Empfängeradministratoren"
Die Rolle Exchange-Empfängeradministratoren ist berechtigt, beliebige Exchange-Eigenschaften für einen Active Directory-Benutzer, einen Kontakt, eine Gruppe, dynamische Verteilerlisten oder Objekte Öffentlicher Ordner zu ändern. Während der Ausführung von Setup /PrepareAD in Exchange wird die Rolle Exchange-Empfängeradministrator im Microsoft Exchange-Sicherheitsgruppencontainer in Active Directory erstellt. Mit dieser Rolle können Sie Unified Messaging-Postfacheinstellungen und ClientAccess-Postfacheinstellungen verwalten. Mitglieder der Rolle Exchange-Organisationsempfängeradministratoren verfügen über die folgenden Berechtigungen:
Lesezugriff auf alle Domänenbenutzercontainer in Active Directory, für die Setup /PrepareDomain in diesen Domänen ausgeführt wurde.
Schreibzugriff auf alle Exchange-spezifischen Attribute für alle Domänenbenutzercontainer in Active Directory, für die Setup /PrepareDomain in diesen Domänen ausgeführt wurde.
Mitgliedschaft bei der Rolle Exchange-Administratoren mit Leserechten.
Benutzer, die Mitglied der Rolle Exchange-Empfängeradministratoren sind, besitzen keine Berechtigungen für Domänen, auf denen Setup /PrepareDomain nicht ausgeführt wurde. Wenn Sie eine neue Exchange-Domäne hinzufügen, stellen Sie sicher, dass Setup /PrepareDomain in der neuen Domäne ausgeführt wird, um den Exchange-Administratorrollen in dieser Domäne Berechtigungen zu erteilen.
Rolle "Exchange Server-Administratoren"
Die Rolle Exchange-Serveradministratoren besitzt ausschließlich Zugriff auf die Exchange-Konfigurationsdaten des lokalen Servers – entweder in Active Directory oder auf dem physikalischen Computer, auf dem Exchange 2007 installiert ist. Benutzer, die Mitglieder der Rolle Exchange-Serveradministratoren sind, sind berechtigt, einen bestimmten Server zu verwalten. Sie sind jedoch nicht berechtigt, Vorgänge auszuführen, die globale Auswirkungen in der Exchange-Organisation besitzen.
Exchange 2007 erstellt diese Administratorrolle während des Setups. Mitglieder der Rolle Exchange-Serveradministratoren verfügen über die folgenden Berechtigungen:
Besitzer aller Konfigurationsdaten des lokalen Servers. Als Besitzer verfügen die Mitglieder der Rolle über Vollzugriff auf die Konfigurationsdaten des lokalen Servers.
Lokaler Administrator des Computers, auf dem Exchange installiert ist.
Mitglieder der Rolle Exchange-Administratoren mit Leserechten.
Exchange-Administratoren mit Leserechten
Die Rolle Exchange-Administratoren mit Leserechten besitzt Lesezugriff auf die gesamte Struktur der Exchange-Organisation im Active Directory-Konfigurationscontainer sowie Lesezugriff auf alle Windows-Domänencontainer, die über Exchange-Empfänger verfügen.
Während des Exchange-Setups erstellt der Schalter /PrepareAD die Rolle Exchange-Administrator mit Leserechten im Microsoft Exchange-Sicherheitsgruppencontainer in Active Directory.
Exchange-Administratoren - Öffentliche Ordner
Neues in Exchange 2007 Service Pack 1 (SP1)
Die Rolle Exchange-Administratoren - Öffentliche Ordner besitzt Verwaltungsberechtigungen zum Verwalten aller Öffentlichen Ordner. Dieser Administratorrolle wird das erweiterte Recht "Öffentliche Ordner der obersten Ebene erstellen" erteilt. Mitglieder dieser Rolle können Öffentliche Ordner erstellen und löschen und die Einstellungen Öffentlicher Ordner wie etwa Replikate, Kontingente, Verfallszeiten, Verwaltungsberechtigungen und Clientberechtigungen verwalten. Diese Administratorrolle kann Öffentliche Ordner für E-Mail aktivieren, jedoch keine auf Nachrichtenempfänger bezogenen Eigenschaften für Öffentliche Ordner wie etwa die Proxyadressen ändern. Zu diesem Zweck ist die Mitgliedschaft in der Rolle Exchange-Empfängeradministratoren erforderlich.
Zusammenfassung der Administratorrollen und Berechtigungen
In der folgenden Tabelle sind die Exchange 2007-Administratorrollen und die zugehörigen Exchange-Berechtigungen aufgeführt:
| Administratorrolle | Mitglieder | Mitglied von | Exchange-Berechtigungen |
|---|---|---|---|
Exchange-Organisationsadministratoren |
Administrator, oder das Konto wurde zum Installieren des ersten Servercomputers mit Exchange 2007 verwendet |
Exchange-Empfängeradministrator Administratoren der lokalen Gruppe von <Servername> |
Vollzugriff auf den Microsoft Exchange-Container in Active Directory |
Exchange-Empfängeradministratoren |
Exchange-Organisationsadministratoren |
Exchange-Administrator mit Leserechten |
Vollzugriff auf die Exchange-Eigenschaften für das Active Directory-Benutzerobjekt |
Exchange-Serveradministratoren |
|
Exchange-Administrator mit Leserechten Administratoren der lokalen Gruppe von <Servername> |
Vollzugriff auf Exchange <Servername> |
Exchange-Administrator mit Leserechten |
Exchange-Empfängeradministratoren Exchange-Administratoren - Öffentliche Ordner |
Exchange-Empfängeradministratoren Exchange-Serveradministratoren |
Lesezugriff auf den Microsoft Exchange-Container in Active Directory Lesezugriff auf alle Windows-Domänen, die über Exchange-Empfänger verfügen. |
Server mit Exchange |
Jedes Exchange 2007-Computerkonto |
Exchange-Administrator mit Leserechten |
Sonderfall |
Exchange-Administratoren - Öffentliche Ordner |
Exchange-Organisationsadministratoren |
Exchange-Administratoren mit Leserechten |
Möglichkeit der administrativen Verwaltung Öffentlicher Ordner. |
Adressbuchattribute
Exchange verwendet zahlreiche Attribute, um Exchange-Daten zu speichern. Exchange verwendet außerdem andere Empfängerattribute, die von anderen verzeichnisaktivierten Anwendungen, die die Exchange-Daten verwenden, verwendet werden können. Auf diesem Grund wurden diese Attribute den Exchange-spezifischen Eigenschaftenmengen nicht hinzugefügt. Diese Attribute sind ggf. in anderen Eigenschaftenmengen gespeichert, die während der Active Directory-Installation erstellt werden, oder sie gehören zu keiner Eigenschaftenmenge.
Die in der folgenden Tabelle aufgeführten Attribute sind die Daten, die für Endbenutzer über Microsoft Office Outlook in der globalen Adressliste (GAL) bereitgestellt werden. Wenn ein Exchange-Administrator diese Attribute aktualisieren können muss und nicht Mitglied einer domänenprivilegierten Sicherheitsgruppe wie z. B. der Gruppe Konten-Operatoren ist, muss der Active Directory-Administrator Lese/Schreibberechtigung erteilen.
| Gilt für Objekt | Oberflächenelement der Exchange-Verwaltungskonsole | Attribut | Beschreibung |
|---|---|---|---|
Benutzer, Kontakt |
Registerkarte Benutzerinformationen oder Kontaktinformationen in den Eigenschaften des Benutzer oder Kontakts |
givenName |
Vorname |
Benutzer, Kontakt |
Registerkarte Benutzerinformationen oder Kontaktinformationen in den Eigenschaften des Benutzer oder Kontakts |
initials |
Mittelinitial |
Benutzer, Kontakt |
Registerkarte Benutzerinformationen oder Kontaktinformationen in den Eigenschaften des Benutzer oder Kontakts |
sn |
Nachname |
Benutzer, Kontakt |
Registerkarte Benutzerinformationen oder Kontaktinformationen in den Eigenschaften des Benutzer oder Kontakts |
info |
Anmerkungsfeld |
Benutzer, Kontakt |
Registerkarte Adresse und Telefon in den Eigenschaften des Benutzers oder Kontakts |
streetAddress |
Straße |
Benutzer, Kontakt |
Registerkarte Adresse und Telefon in den Eigenschaften des Benutzers oder Kontakts |
l |
Ort |
Benutzer, Kontakt |
Registerkarte Adresse und Telefon in den Eigenschaften des Benutzers oder Kontakts |
st |
Bundesland/Kanton |
Benutzer, Kontakt |
Registerkarte Adresse und Telefon in den Eigenschaften des Benutzers oder Kontakts |
postalCode |
PLZ |
Benutzer, Kontakt |
Registerkarte Adresse und Telefon in den Eigenschaften des Benutzers oder Kontakts |
countryCode |
Land/Region |
Benutzer, Kontakt |
Registerkarte Adresse und Telefon in den Eigenschaften des Benutzers oder Kontakts |
telephoneNumber |
Telefonnummer (geschäftlich) |
Benutzer, Kontakt |
Nur in der Exchange-Verwaltungsshell verfügbar |
otherTelephoneNumber |
Alternative Telefonnummer (geschäftlich) |
Benutzer, Kontakt |
Registerkarte Adresse und Telefon in den Eigenschaften des Benutzers oder Kontakts |
pager |
Pager |
Benutzer, Kontakt |
Registerkarte Adresse und Telefon in den Eigenschaften des Benutzers oder Kontakts |
facsimileTelephoneNumber |
Fax |
Benutzer, Kontakt |
Registerkarte Adresse und Telefon in den Eigenschaften des Benutzers oder Kontakts |
homePhone |
Telefon (privat) |
Benutzer, Kontakt |
Nur in der Exchange-Verwaltungsshell verfügbar |
otherHomePhone |
Alternative Telefonnummer (privat) |
Benutzer, Kontakt |
Registerkarte Adresse und Telefon in den Eigenschaften des Benutzers oder Kontakts |
mobile |
Mobiltelefon |
Benutzer, Kontakt |
Nur in der Exchange-Verwaltungsshell verfügbar |
otherfacsimileTelephoneNumber |
Alternative Faxnummer |
Kontakt |
Nur in der Exchange-Verwaltungsshell verfügbar |
telephoneAssistant |
Telefonnummer des Sekretariats |
Kontakt |
Active Directory Service Interfaces-Bearbeitung (ADSI)/LDAP |
telephoneAssistant |
Telefonnummer des Sekretariats |
Benutzer, Kontakt |
Registerkarte Organisation in den Eigenschaften des Benutzers oder Kontakts |
title |
Position |
Benutzer, Kontakt |
Registerkarte Organisation in den Eigenschaften des Benutzers oder Kontakts |
company |
Firma |
Benutzer, Kontakt |
Registerkarte Organisation in den Eigenschaften des Benutzers oder Kontakts |
department |
Abteilung |
Benutzer, Kontakt |
Registerkarte Organisation in den Eigenschaften des Benutzers oder Kontakts |
physicalDeliveryOfficeName |
Büro |
Benutzer, Kontakt |
Registerkarte Organisation in den Eigenschaften des Benutzers oder Kontakts |
manager |
Vorgesetzter |
Benutzer, Kontakt |
Registerkarte Organisation in den Eigenschaften des Benutzers oder Kontakts |
directReports |
Direkt unterstellt |
Benutzer, Kontakt |
Nur in der Exchange-Verwaltungsshell verfügbar |
msExchAssistantName |
Name des Assistenten |
Gruppe |
Registerkarte Gruppeninformationen in den Eigenschaften der Gruppe |
managedBy |
Besitzer der Gruppe |
Gruppe |
Registerkarte Gruppeninformationen in den Eigenschaften der Gruppe |
info |
Anmerkungsfeld |
Weitere Informationen
Weitere Informationen zum Delegieren von Berechtigungen mithilfe der Exchange-Verwaltungsfunktionen finden Sie unter Add-ExchangeAdministrator.
Weitere Informationen zum Vorbereiten von Active Directory und von Domänen für Exchange 2007 finden Sie unter Vorbereiten von Active Directory und Domänen.