Änderungen am Verwaltungs- und Berechtigungsmodell

Letztes Änderungsdatum des Themas: 2007-01-26

Von Kweku Ako-Adjei

Sie sind also bereit, Ihre Microsoft Exchange Server-Organisation von Exchange Server 2003 auf Exchange Server 2007 zu aktualisieren? Großartig. Bevor Sie beginnen, sollten Sie jedoch sicherstellen, dass Sie eine solide Planungsstrategie erarbeitet haben, die die Änderungen berücksichtigt, die am Verwaltungs- und Berechtigungsmodell vorgenommen wurden. Mit Exchange 2007 erlangen nun Sie Flexibilität, wie Sie Administratoren Berechtigungen zuweisen. Es wurden außerdem mehrere Änderungen vorgenommen, um den manuellen Konfigurationsaufwand von Berechtigungen zu verringern, der erforderlich ist, um Exchange-Berechtigungen von anderen Verwaltungsberechtigungen zu trennen.

Um Ihnen das Verständnis dieser Änderungen zu erleichtern, führt Sie dieser Artikel schrittweise durch die empfohlenen Verfahren. Außerdem enthält er Links zu den entsprechenden Dokumenten, die ausführliche Informationen zum neuen Verwaltungs- und Berechtigungsmodell zur Verfügung stellen.

Verstehen der Änderungen

Das das Arbeiten mit Exchange-bezogenen Berechtigungen des Active Directory-Verzeichnisdiensts eine komplexe Aufgabe sein kann, ist es wichtig, zuerst die Änderungen zu verstehen, die in Exchange 2007 implementiert wurden. Lesen Sie die folgenden Themen, um eine tragkräftige Planungsstrategie zu entwickeln:

• Vorbereiten der Bereitstellung von Exchange 2007

• Vorbereiten von Active Directory und Domänen

• Planen des Zugriffs auf Active Directory

• Vorbereiten von Exchange-Legacyberechtigungen

Gründe für die Änderungen

Als Active Directory in Exchange 2000 Server eingeführt wurde, stellte sich heraus, dass viele Organisationen separate Administratoren für Exchange und Active Directory verwenden. Dies bedeutete natürlich, dass Verwaltungsfunktionen delegiert werden mussten. In diesen Szenarien waren die Betriebsvorgänge dezentralisiert, und separate Teams verwalteten verschiedene Aspekte von Exchange und Microsoft Windows (Active Directory).

Als Reaktion auf das Feedback von Exchange 2000-Kunden wurden daher mehrere Änderungen am Vorgang des Verwaltens von Berechtigungen in Exchange 2003 vorgenommen. Insbesondere Exchange 2003 stellte vordefinierte Sicherheitsrollen bereit. Bei diesen Rollen handelt es sich um eine Sammlung von Standardberechtigungen, die auf Organisationsebene oder auf der Ebene administrativer Gruppen angewendet werden können. Es stellte sich jedoch heraus, dass dieses Modell einige Einschränkungen mit sich brachte:

• Mangelnde Genauigkeit. Die Exchange-Administratorgruppe ist zu groß, und einige Kunden möchten ihr Sicherheits- und Berechtigungsmodell auf der Ebene einzelner Server verwalten.

• Der Eindruck, dass sich die Exchange 2003-Sicherheitsrollen nur geringfügig unterscheiden.

• Es gibt keine klare Trennung zwischen der Verwaltung von Benutzern und Gruppen durch die Windows-Administratoren (Active Directory) und Exchange-Empfängeradministratoren. Sie müssen z. B. Exchange-Administratoren Berechtigungen auf hoher Ebene erteilen (z. B. die Berechtigung Konten-Operator für Windows-Domänen), um auf Exchange-Empfänger bezogene Aufgaben durchführen zu können.

Neues Verwaltungsmodell

Um diese Einschränkungen zu beheben, wurden mehrere Änderungen vorgenommen, die die Verwaltung der ExchangeAdministratorrollen verbessert. Exchange 2007 enthält die folgenden neuen oder verbesserten Features für das Exchange-Verwaltungs- und -Berechtigungsmodell:

• Es wurden neue Administratorrollen erstellt, die den integrierten Windows Server-Sicherheitsgruppen ähneln. Weitere Informationen zu diesen Administratorrollen finden Sie im Thema "Administratorrollen in Exchange 2007" unter Überlegungen zu Berechtigungen.

• Mithilfe der Exchange-Verwaltungskonsole (bisher als Exchange-System-Manager bezeichnet) und der Exchange-Verwaltungsshell können Mitglieder einer Administratorrolle angezeigt, hinzugefügt oder entfernt werden.

• Zum Bearbeiten der Mitgliedschaft einer Administratorrolle ist keine ACL-Einstellung (Access Control List, Zugriffssteuerungsliste) erforderlich. Diese Administratorrollen werden den entsprechenden Objekt-ACLs während des Setups statisch hinzugefügt.

Ausführliche Informationen zu den Unterschieden zwischen den Berechtigungsmodellen von Exchange 2007 und Exchange 2003, den neuen Administratorrollen sowie zum Konfigurieren der Exchange 2007-Berechtigungen finden Sie unter den folgenden Themen:

• Überlegungen zu Berechtigungen

• Konfigurieren von Berechtigungen

Neue Verwaltungstools

Zum erteilen von Berechtigungen in Exchange 2003 wurde der Assistent für die Zuweisung von Verwaltungsberechtigungen auf Exchange-Objekte im Exchange-System-Manager verwendet. Damit Ihnen eine größere Anzahl von Optionen zur Verfügung steht, enthält Exchange 2007 zwei Schnittstellen, über die Sie das Berechtigungsmodell konfigurieren und verwalten können:

• Exchange-Verwaltungskonsole

• Exchange-Verwaltungsshell

Exchange-Verwaltungskonsole

Sie können die Exchange-Verwaltungskonsole auf verschiedene Weise zum Konfigurieren und Verwalten von Berechtigungen verwenden. Um Berechtigungen zu erteilen, verwenden Sie den Assistenten Exchange-Administrator hinzufügen. Sie können die Konsole auch zum Anzeigen und Ändern von Administratorrollen und Mitgliedschaften sowie zum Anzeigen und Ändern von Berechtigungen für Benutzer und Gruppen verwenden.

Ausführliche Informationen zu diesen Aufgaben finden Sie unter den folgenden Themen:

• Verwenden der Exchange-Verwaltungskonsole

• Leitfaden für die Exchange-Verwaltungskonsole für neue Benutzer

• Entfernen eines Benutzers oder einer Gruppe aus der Administratorrolle

• Hinzufügen eines Benutzers oder einer Gruppe zu einer Administratorrolle

• Anzeigen der Administratorrollen für Benutzer und Gruppen

• Ändern von Berechtigungen für Benutzer und Gruppen

Exchange-Verwaltungsshell

Sie können nun auch die Exchange-Verwaltungsshell zum Konfigurieren und Verwalten von Berechtigungen verwenden. Die Exchange-Verwaltungsshell ist ein neues Feature in Exchange 2007 und stellt eine leistungsfähige Benutzeroberfläche für die Verwaltung zur Verfügung, die auf Microsoft Windows PowerShell-Technologie basiert. Sie können mit der Exchange-Verwaltungsshell alle Aufgaben, die in der Exchange-Verwaltungskonsole verfügbar sind, sowie andere Aufgaben ausführen.

Ausführliche Informationen zur Exchange-Verwaltungsshell und ihrer Verwendung zum Konfigurieren und Verwalten von Berechtigungen finden Sie unter den folgenden Themen:

• Verwenden der Exchange-Verwaltungsshell

• Grundlagen der Exchange-Verwaltungsshell

• Add-ADPermission

• Get-ADPermission

• Remove-ADPermission

Weitere Informationen

Weitere Informationen zur Delegierung von Berechtigungen in Exchange 2007 sowie zu Eigenschaftenmengen finden Sie in den folgenden Exchange Team-Blogs:

• Recipient Permission Delegation in Exchange Server 2007

• Property Sets in Exchange Server 2007

Kweku Ako-Adjei - Technischer Autor, Microsoft Exchange Server