Delegieren der Serververwaltung

  • Artikel

 

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2007-02-20

Microsoft Exchange Server 2007 bietet Exchange-Administratoren die Möglichkeit, administrative und Verwaltungsverantwortlichkeiten für einen Server an eine Einzelperson oder eine Gruppe von Personen zu delegieren, wenn der Betrieb in einem verteilten Betriebsverwaltungsszenario erfolgt. In diesem Thema wird erläutert, wie administrative und Verwaltungsverantwortlichkeiten für einen Server mithilfe der Exchange-Verwaltungskonsole oder der Exchange-Verwaltungsshell delegiert werden.

Die delegierte Rolle Exchange-Serveradministratoren besitzt ausschließlich Zugriff auf die Exchange-Konfigurationsdaten des lokalen Servers – entweder im Active Directory-Verzeichnisdienst oder auf dem physikalischen Computer, auf dem Exchange 2007 installiert ist. Benutzer, die Mitglieder der Rolle Exchange-Serveradministratoren sind, sind berechtigt, einen bestimmten Server zu verwalten. Sie sind jedoch nicht berechtigt, Vorgänge auszuführen, die globale Auswirkungen in der Exchange-Organisation besitzen.

Außerdem können Exchange-Serveradministratoren dem Servercomputer mit Exchange Serverfunktionen hinzufügen oder von diesem entfernen. Sie können jedoch nicht die letzte Serverfunktion vom Server entfernen. Daher können Exchange-Serveradministratoren einen Server mit Exchange nicht deinstallieren.

Wenn Sie die Exchange-Serveradministrator-Rolle an einen Benutzer oder eine Gruppe delegieren, werden diesem Benutzer oder dieser Gruppe Berechtigungen zugewiesen, durch die er oder sie zum Besitzer der gesamten lokalen Serverkonfigurationsdaten wird. Als Besitzer besitzt der Serveradministrator Vollzugriff auf die lokalen Serverkonfigurationsdaten für das Serverobjekt in der Konfigurationspartition.

Die folgenden Zugriffssteuerungseinträge werden dem delegierten Konto für das Serverobjekt in der Konfigurationspartition erteilt:

  • Vollzugriff auf das Serverobjekt und seine untergeordneten Objekte

  • DENY-Zugriffssteuerungseintrag für das erweiterte Recht "Senden als"

  • DENY-Zugriffssteuerungseintrag für das erweiterte Recht "Empfangen als"

  • DENY CreateChild- und DeleteChild-Berechtigung für Objekte des Öffentlichen Ordner-Informationsspeichers von Exchange. Öffentliche Ordner sind eine Organisationsverantwortlichkeit, daher sind das Erstellen und das Löschen Öffentlicher Ordner-Informationsspeicher bzw. beide Vorgänge auf Exchange-Organisationsadministratoren beschränkt.

Das delegierte Konto wird automatisch der lokalen Gruppe Administratoren des Zielservers auf dem Computer hinzugefügt, auf dem Microsoft Exchange installiert ist.

Das delegierte Konto wird außerdem als Mitglied der Sicherheitsgruppe Exchange-Organisationsadministratoren mit Leserechten hinzugefügt.

Sie können die Serververwaltung mithilfe der Exchange-Verwaltungskonsole oder der Exchange-Verwaltungsshell delegieren.

Wichtig

Wie bereits an früherer Stelle in diesem Thema erläutert wurde, ist die Exchange-Serveradministrator-Rolle eine delegierte Berechtigungssammlung, durch die ein Benutzer oder eine Gruppe einen bestimmten Servercomputer mit Exchange verwalten kann. Verwechseln Sie die Exchange-Serveradministrator-Rolle nicht mit der Sicherheitsgruppe Exchange Server in Active Directory. Die Sicherheitsgruppe Exchange Server enthält die Computerobjekte, die Exchange in Ihrer Organisation ausführen.

Bevor Sie beginnen

Dieses Verfahren muss mithilfe eines Kontos ausgeführt werden, dem die Rolle Exchange-Organisationsadministrator zugewiesen wurde.

Weitere Informationen zu Berechtigungen, zum Delegieren von Rollen und zu den Rechten, die für die Verwaltung von Exchange 2007 erforderlich sind, finden Sie unter Überlegungen zu Berechtigungen.

Verfahren

So verwenden Sie die Exchange-Verwaltungskonsole zum Delegieren der Serveradministrator-Rolle an einen Benutzer oder eine Gruppe

  1. Wählen Sie in der Exchange-Verwaltungskonsole die Option Organisationskonfiguration aus.

  2. Wählen Sie im Aktionsbereich den Link Exchange-Administrator hinzufügen aus.

  3. Klicken Sie auf der Seite Exchange-Administrator hinzufügen auf Durchsuchen, und wählen Sie den Benutzer oder die Gruppe aus, an den bzw. die die Steuerung delegiert werden soll, und wählen Sie dann die Rolle Exchange-Serveradministrator aus.

  4. Klicken Sie unter Wählen Sie mindestens einen Server aus, auf den diese Funktion zugreifen darf auf Hinzufügen, und wählen Sie dann den Server aus, an den Sie die Steuerung delegieren möchten. Klicken Sie auf OK. Klicken Sie auf Hinzufügen.

  5. Klicken Sie auf der Seite Fertigstellung auf Fertig stellen.

So verwenden Sie die Exchange-Verwaltungsshell zum Delegieren der Serveradministrator-Rolle an einen Benutzer oder eine Gruppe

  • Führen Sie den folgenden Befehl aus:

    Add-ExchangeAdministrator -Identity "contoso.com/Users/KwekuA" -Role ServerAdmin -Scope server1.contoso.com

    Dabei ist "contoso.com/Users/KwekuA" der vollständige Pfad des Benutzers oder der Gruppe, an den bzw. die Sie Berechtigungen delegieren möchten, und server1.contoso.com ist der vollqualifizierte Domänenname (FQDN) des Servers, den Sie bereitstellen möchten.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Add-ExchangeAdministrator.

Weitere Informationen

Weitere Informationen hierzu finden Sie unter den folgenden Themen: