(0) exportieren Drucken
Alle erweitern

Grundlegendes zu geteilten Berechtigungen

Exchange 2010
 

Gilt für: Exchange Server 2010 SP3, Exchange Server 2010 SP2

Letztes Änderungsdatum des Themas: 2010-11-24

Organisationen, in denen die Verwaltung von Microsoft Exchange Server 2010-Objekten und Active Directory-Objekten getrennt wird, verwenden ein sogenanntes Modell mit geteilten Berechtigungen. Über geteilte Berechtigungen können Organisationen bestimmte Berechtigungen und zugehörige Aufgaben bestimmten Gruppen innerhalb der Organisationen zuweisen. Diese Arbeitsteilung hilft, Standards zu wahren und Workflows aufrechtzuerhalten sowie Änderungen in der Organisation zu steuern.

Die höchste Stufe geteilter Berechtigungen besteht in der Trennung von Exchange-Verwaltung und Active Directory-Verwaltung. Zahlreiche Organisationen verfügen über zwei Gruppen: Administratoren, die die Exchange-Infrastruktur der Organisation, wie Server und Empfänger, verwalten, und Administratoren, die die Active Directory-Infrastruktur verwalten. Für viele Organisationen ist diese Trennung wichtig, da die Active Directory-Infrastruktur sich häufig über mehrere Standorte, Domänen, Anwendungen und auch Active Directory-Gesamtstrukturen erstreckt. Active Directory-Administratoren müssen sicherstellen, dass an Active Directory vorgenommene Änderungen sich nicht negativ auf andere Dienste auswirken. Deshalb ist im Allgemeinen nur eine kleine Gruppe Administratoren zur Verwaltung dieser Infrastruktur berechtigt.

Darüber hinaus kann auch die Infrastruktur für Exchange mit Servern und Empfängern komplex sein und besondere Fachkenntnisse erfordern. Außerdem speichert Exchange streng vertrauliche Informationen über die Geschäftstätigkeiten der Organisation. Exchange-Administratoren könnten auf diese Informationen zugreifen. Durch die Beschränkung der Anzahl von Exchange-Administratoren begrenzt die Organisation die Anzahl der Personen, die Änderungen an der Exchange-Konfiguration vornehmen und auf sensible Informationen zugreifen können.

Bei geteilten Berechtigungen wird üblicherweise zwischen der Erstellung von Sicherheitsprinzipalen in Active Directory, wie Benutzern und Sicherheitsgruppen, und der anschließenden Konfiguration dieser Objekte unterschieden. Auf diese Weise lässt sich das Risiko eines unberechtigten Zugriffs auf das Netzwerk verringern, da gesteuert wird, wer Objekte, die den Zugriff gewähren, erstellen kann. Meist können nur Active Directory-Administratoren Sicherheitsprinzipale erstellen, während andere Administratoren, beispielsweise Exchange-Administratoren, bestimmte Attribute für vorhandene Active Directory-Objekte verwalten können.

Zur Unterstützung der unterschiedlichen Anforderungen an die getrennte Verwaltung von Exchange und Active Directory können Sie in Exchange 2010 auswählen, ob Sie ein Modell mit gemeinsamen Berechtigungen oder ein Modell mit geteilten Berechtigungen verwenden möchten. Microsoft Exchange Server 2010 Service Pack 1 (SP1) stellt zwei Arten von Modellen mit geteilten Berechtigungen bereit: RBAC und Active Directory. In Exchange 2010 SP1 wird standardmäßig ein Modell mit gemeinsamen Berechtigungen verwendet.

Inhalt

Erläuterung von rollenbasierter Zugriffssteuerung und Active Directory

Gemeinsame Berechtigungen

Geteilte Berechtigungen

Geteilte RBAC-Berechtigungen

Geteilte Active Directory-Berechtigungen

Damit die Funktionsweise geteilter Berechtigungen klar wird, müssen Sie verstehen, wie das Berechtigungsmodell für die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC) in Exchange 2010 mit Active Directory zusammenarbeitet. Das RBAC-Modell steuert, wer welche Aktionen durchführen kann und an welchen Objekten diese Aktionen durchgeführt werden können. Weitere Informationen zu den verschiedenen in diesem Thema erläuterten RBAC-Komponenten finden Sie unter Grundlegendes zur rollenbasierten Zugriffssteuerung.

In Exchange 2010 müssen alle an Exchange-Objekten durchgeführten Aufgaben über die Exchange-Verwaltungskonsole, die Exchange-Verwaltungsshell oder die Exchange-Webverwaltungsschnittstelle erfolgen. All diese Verwaltungstools verwenden RBAC zur Autorisierung sämtlicher durchgeführten Tasks.

RBAC ist eine Komponente, die auf jedem Server mit Exchange 2010, außer auf Edge-Transport-Servern, vorhanden ist. RBAC prüft, ob der Benutzer, der eine Aktion durchführt, auch dazu berechtigt ist:

  • Ist der Benutzer nicht berechtigt, die Aktion durchzuführen, lässt RBAC nicht zu, dass die Aktion fortgesetzt wird.

  • Ist der Benutzer berechtigt, die Aktion durchzuführen, prüft RBAC, ob der Benutzer berechtigt ist, die Aktion für das jeweilige angeforderte Objekt durchzuführen:

    • Wenn der Benutzer berechtigt ist, lässt RBAC zu, dass die Aktion fortgesetzt wird.

    • Wenn der Benutzer nicht berechtigt ist, lässt RBAC nicht zu, dass die Aktion fortgesetzt wird.

Wenn RBAC zulässt, dass eine Aktion fortgesetzt wird, wird die Aktion im Kontext von "Exchange Trusted Subsystem" und nicht im Kontext des Benutzers ausgeführt. "Exchange Trusted Subsystem" ist eine universelle Sicherheitsgruppe (USG) mit umfangreichen Berechtigungen, die Lese- und Schreibzugriff auf jedes Exchange-bezogene Objekt in der Exchange-Organisation besitzt. Außerdem gehört sie zur lokalen Sicherheitsgruppe "Administrators" und zur USG "Exchange Windows Permissions", sodass Exchange das Erstellen und Verwalten von Active Directory-Objekten ermöglicht ist.

VorsichtVorsicht:
Nehmen Sie keine manuellen Änderungen an der Mitgliedschaft der Sicherheitsgruppe "Exchange Trusted Subsystem" vor. Fügen Sie sie außerdem nicht zu Zugriffssteuerungslisten (Access Control Lists, ACLs) von Objekten hinzu, und entfernen Sie sie nicht aus diesen. Wenn Sie manuell Änderungen an der USG "Exchange Trusted Subsystem" vornehmen, können Sie irreparable Schäden an Ihrer Exchange-Organisation verursachen.

Sie sollten wissen, dass es bei der Verwendung der Exchange-Verwaltungstools keine Rolle spielt, über welche Active Directory-Berechtigungen ein Benutzer verfügt. Ist der Benutzer via RBAC berechtigt, eine Aktion in den Exchange-Verwaltungstools auszuführen, kann der Benutzer die Aktion unabhängig von seinen Active Directory-Berechtigungen ausführen. Ebenso gilt, dass die Aktion eines Benutzers, der Organisationsadministrator in Active Directory ist, jedoch nicht über die Berechtigung zum Ausführen einer Aktion wie das Erstellen eines Postfachs in den Exchange-Verwaltungstools verfügt, nicht erfolgreich ist, da der Benutzer laut RBAC nicht die erforderlichen Berechtigungen besitzt.

WichtigWichtig:
Obwohl das RBAC-Berechtigungsmodell nicht für das Active Directory-Benutzer- und -Computer-Verwaltungstool gilt, können Active Directory-Benutzer und -Computer die Exchange-Konfiguration nicht verwalten. Ein Benutzer kann somit durchaus über den Zugriff verfügen, um einige Attribute für Active Directory-Objekte wie den Anzeigenamen eines Benutzers zu ändern, er muss allerdings die Exchange-Verwaltungstools verwenden und somit durch RBAC zum Verwalten von Exchange-Attributen autorisiert sein.

Zurück zum Seitenanfang

Das Modell mit gemeinsamen Berechtigungen ist das Standardmodell für Exchange 2010. Sie müssen nichts ändern, wenn Sie dieses Berechtigungsmodell verwenden möchten. Bei diesem Modell erfolgt die Verwaltung von Exchange- und Active Directory-Objekten in den Exchange-Verwaltungstools nicht getrennt. Es ermöglicht Administratoren, die die Exchange-Verwaltungstools verwenden, Sicherheitsprinzipale in Active Directory zu erstellen.

In der folgenden Tabelle sind die Rollen aufgeführt, die das Erstellen von Sicherheitsprinzipalen in Exchange ermöglichen, sowie die Verwaltungsrollengruppen, denen sie standardmäßig zugewiesen sind.

Sicherheitsprinzipal-Verwaltungsrollen

Verwaltungsrolle Rollengruppe

Rolle "Erstellung von E-Mail-Empfängern"

Organisationsverwaltung

Empfängerverwaltung

Rolle "Sicherheitsgruppenerstellung und -mitgliedschaft"

Organisationsverwaltung

Nur Rollengruppen, Benutzer oder USGs, denen die Rolle "Erstellung von E-Mail-Empfängern" zugewiesen wurde, können Sicherheitsprinzipale wie Active Directory-Benutzer erstellen. Standardmäßig ist diese Rolle den Rollengruppen Organisationsverwaltung und Empfängerverwaltung zugewiesen. Daher können Mitglieder dieser Rollengruppen Sicherheitsprinzipale erstellen.

Nur Rollengruppen, Benutzer oder USGS, denen die Rolle "Sicherheitsgruppenerstellung und -mitgliedschaft" zugewiesen ist, können Sicherheitsgruppen erstellen oder ihre Mitgliedschaften verwalten. Standardmäßig ist diese Rolle nur der Rollengruppe Organisationsverwaltung zugewiesen. Daher können nur Mitglieder der Rollengruppe Organisationsverwaltung die Mitgliedschaft von Sicherheitsgruppen erstellen oder verwalten.

Sie können die Rollen "Erstellung von E-Mail-Empfängern" und "Sicherheitsgruppenerstellung und -verwaltung" anderen Rollengruppen, Benutzern oder USGs zuweisen, wenn Sie möchten, dass andere Benutzer Sicherheitsprinzipale erstellen können.

Um die Verwaltung vorhandener Sicherheitsprinzipale in Exchange 2010 zu ermöglichen, ist die Rolle "E-Mail-Empfänger" standardmäßig den Rollengruppen Organisationsverwaltung und Empfängerverwaltung zugewiesen. Nur Rollengruppen, Benutzer oder USGs, denen die Rolle "E-Mail-Empfänger" zugewiesen wurde, können vorhandene Sicherheitsprinzipale verwalten. Wenn Sie möchten, dass andere Rollengruppen, Benutzer oder USGs vorhandene Sicherheitsprinzipale verwalten können, müssen Sie ihnen die Rolle "E-Mail-Empfänger" zuweisen.

Weitere Informationen zum Hinzufügen von Rollen zu Rollengruppen, Benutzern oder USGs finden Sie in den folgenden Themen:

Weitere Informationen zum Zurückwechseln zu einem Modell mit gemeinsamen Berechtigungen nach dem Wechseln zu einem Modell mit geteilten Berechtigungen finden Sie unter Konfigurieren von Exchange 2010 für Freigabeberechtigungen.

Zurück zum Seitenanfang

Wenn in Ihrer Organisation die Exchange-Verwaltung und die Active Directory-Verwaltung getrennt sind, müssen Sie Exchange so konfigurieren, dass das Modell mit geteilten Berechtigungen unterstützt wird. Bei einer ordnungsgemäßen Konfiguration können nur die von Ihnen festgelegten Administratoren, z. B. Active Directory-Administratoren, Sicherheitsprinzipale erstellen, und nur Exchange-Administratoren können die Exchange-Attribute für vorhandene Sicherheitsprinzipale ändern. Diese Teilung der Berechtigungen entspricht auch ungefähr der Teilung in Domänen- und Konfigurationspartitionen in Active Directory. Partitionen werden auch als Namenskontexte bezeichnet. In der Domänenpartition werden die Benutzer, Gruppen und sonstigen Objekte für eine bestimmte Domäne gespeichert. In der Konfigurationspartition werden die gesamtstrukturweiten Konfigurationsinformationen für die Dienste gespeichert, die Active Directory verwenden, z. B. Exchange. In der Domänenpartition gespeicherte Daten werden im Allgemeinen von Active Directory-Administratoren verwaltet, obwohl Objekte Exchange-spezifische Attribute enthalten können, die von Exchange-Administratoren verwaltet werden können. In der Konfigurationspartition gespeicherte Daten werden von den Administratoren für die jeweiligen Dienste verwaltet, die Daten in dieser Partition speichern. Bei Exchange sind dies in der Regel Exchange-Administratoren.

Exchange 2010 SP1 unterstützt die folgenden zwei Arten von geteilten Berechtigungen:

  • Geteilte RBAC-Berechtigungen   Die Berechtigungen zum Erstellen von Sicherheitsprinzipalen in der Active Directory-Domänenpartition werden von RBAC gesteuert. Nur Exchange-Server und -Dienste sowie Mitglieder der entsprechenden Rollengruppen können Sicherheitsprinzipale erstellen.

  • Geteilte Active Directory-Berechtigungen   Die Berechtigungen zum Erstellen von Sicherheitsprinzipalen in der Active Directory-Domänenpartition werden von allen Exchange-Benutzern, -Diensten und -Servern vollständig entfernt. In RBAC wird keine Option zum Erstellen von Sicherheitsprinzipalen bereitgestellt. In Active Directory müssen Sicherheitsprinzipale mithilfe von Active Directory-Verwaltungstools erstellt werden.

    WichtigWichtig:
    Während geteilte Berechtigungen von Active Directory nur aktiviert oder deaktiviert werden können, indem Setup auf einem Computer mit vorhandener Installation von Exchange 2010 SP1 ausgeführt wird, gilt die Konfiguration für geteilte Berechtigungen von Active Directory sowohl für Server mit Exchange 2010 RTM als auch für Server mit Exchange 2010 SP1. Sie hat jedoch keine Auswirkungen auf Server mit Microsoft Exchange Server 2003 oder Microsoft Exchange Server 2007.

Wenn Ihre Organisation ein Modell mit geteilten Berechtigungen statt eines Modells mit gemeinsamen Berechtigungen auswählt, sollten Sie das RBAC-Modell mit geteilten Berechtigungen verwenden. Das RBAC-Modell mit geteilten Berechtigungen ist deutlich flexibler und ermöglicht beinahe die gleiche administrative Trennung wie geteilte Active Directory-Berechtigungen, mit der Ausnahme, dass im RBAC-Modell mit geteilten Berechtigungen Exchange-Server und -Dienste Sicherheitsprinzipale erstellen können.

Sie werden während der Installation gefragt, ob Sie geteilte Active Directory-Berechtigungen aktivieren möchten. Wenn Sie geteilte Active Directory-Berechtigungen aktivieren und dann zu gemeinsamen Berechtigungen oder geteilten RBAC-Berechtigungen wechseln möchten, müssen Sie Setup erneut ausführen und die geteilten Active Directory-Berechtigungen deaktivieren. Diese Auswahl gilt für die gesamte Exchange 2010-Organisation.

In den folgenden Abschnitten werden RBAC und geteilte Active Directory-Berechtigungen detaillierter beschrieben.

Zurück zum Seitenanfang

Im RBAC-Sicherheitsmodell werden die standardmäßigen Verwaltungsrollenzuweisungen geändert, um die Benutzer, die Sicherheitsprinzipale in der Active Directory-Domänenpartition erstellen können, von den Benutzern zu trennen, die die Exchange-Organisationsdaten in der Active Directory-Konfigurationspartition verwalten. Sicherheitsprinzipale, beispielsweise Benutzer mit Postfächern und Verteilergruppen, können von Administratoren erstellt werden, die Mitglieder der Rollen "Erstellung von E-Mail-Empfängern" und "Sicherheitsgruppenerstellung und -mitgliedschaft" sind. Diese Berechtigungen sind von den Berechtigungen getrennt, die zum Erstellen von Sicherheitsprinzipalen außerhalb der Exchange-Verwaltungstools erforderlich sind. Auch Exchange-Administratoren, denen nicht die Rollen "Erstellung von E-Mail-Empfängern" und "Sicherheitsgruppenerstellung und -mitgliedschaft" zugewiesen wurden, können Exchange-bezogene Attribute für Sicherheitsprinzipale ändern. Active Directory-Administratoren können außerdem die Exchange-Verwaltungstools verwenden, um Active Directory-Sicherheitsprinzipale zu erstellen.

Exchange-Server und "Exchange Trusted Subsystem" verfügen über die Berechtigung, in Active Directory Sicherheitsprinzipale im Auftrag von Benutzern und in RBAC integrierten Drittanbieterprogrammen zu erstellen.

Geteilte RBAC-Berechtigungen sind für Ihre Organisation geeignet, wenn Folgendes zutrifft:

  • In Ihrer Organisation ist es nicht erforderlich, dass Sicherheitsprinzipale nur mit Active Directory-Verwaltungstools und nur durch Benutzer mit speziellen Active Directory-Berechtigungen erstellt werden.

  • In Ihrer Organisation ist es zulässig, dass Dienste, wie Exchange-Server, Sicherheitsprinzipale erstellen.

  • Sie möchten das Erstellen von Postfächern, E-Mail-aktivierten Benutzern, Verteilergruppen und Rollengruppen vereinfachen, indem Sie ihre Erstellung über die Exchange-Verwaltungstools zulassen.

  • Sie möchten die Mitgliedschaft in Verteilergruppen und Rollengruppen über die Exchange-Verwaltungstools verwalten.

  • Sie verfügen über Drittanbieterprogramme, für die es erforderlich ist, dass Exchange-Server Sicherheitsprinzipale in ihrem Auftrag erstellen können.

Wenn in Ihrer Organisation eine vollständige Trennung der Exchange- und der Active Directory-Verwaltung erforderlich ist, bei der Active Directory nicht mit Exchange-Verwaltungstools oder Exchange-Diensten verwaltet werden darf, lesen Sie den Abschnitt Geteilte Active Directory-Berechtigungen weiter unten in diesem Thema.

Der Wechsel von gemeinsamen Berechtigungen zu geteilten RBAC-Berechtigungen ist ein manueller Vorgang, bei dem Sie die erforderlichen Erstellungsberechtigungen für Sicherheitsprinzipale von den Rollengruppen entfernen, denen sie standardmäßig gewährt werden. In der folgenden Tabelle sind die Rollen aufgeführt, die das Erstellen von Sicherheitsprinzipalen in Exchange ermöglichen, sowie die Verwaltungsrollengruppen, denen sie standardmäßig zugewiesen sind.

Sicherheitsprinzipal-Verwaltungsrollen

Verwaltungsrolle Rollengruppe

Rolle "Erstellung von E-Mail-Empfängern"

Organisationsverwaltung

Empfängerverwaltung

Rolle "Sicherheitsgruppenerstellung und -mitgliedschaft"

Organisationsverwaltung

Standardmäßig können Mitglieder der Rollengruppen Organisationsverwaltung und Empfängerverwaltung Sicherheitsprinzipale erstellen. Sie müssen die Möglichkeit zum Erstellen von Sicherheitsprinzipalen von den integrierten Rollengruppen an eine neue, von Ihnen erstellte Rollengruppe übertragen.

Gehen Sie wie folgt vor, um geteilte RBAC-Berechtigungen zu konfigurieren:

  1. Deaktivieren Sie geteilte Active Directory-Berechtigungen, wenn diese aktiviert sind.

  2. Erstellen Sie eine Rollengruppe mit den Active Directory-Administratoren, die Sicherheitsprinzipale erstellen können sollen.

  3. Erstellen Sie reguläre und delegierende Rollenzuweisungen zwischen der Rolle "Erstellung von E-Mail-Empfängern" und der neuen Rollengruppe.

  4. Erstellen Sie reguläre und delegierende Rollenzuweisungen zwischen der Rolle "Sicherheitsgruppenerstellung und -verwaltung" und der neuen Rollengruppe.

  5. Entfernen Sie die regulären und die delegierenden Verwaltungsrollenzuweisungen zwischen der Rolle "Erstellung von E-Mail-Empfängern" und den Rollengruppen Organisationsverwaltung und Empfängerverwaltung.

  6. Entfernen Sie die regulären und die delegierenden Rollenzuweisungen zwischen der Rolle "Sicherheitsgruppenerstellung und -verwaltung" und der Rollengruppe Organisationsverwaltung.

Danach können nur die Mitglieder der von Ihnen erstellten neuen Rollegruppe Sicherheitsprinzipale, z. B. Postfächer, erstellen. Die neue Gruppe kann Objekte nur erstellen. Sie kann keine Exchange-Attribute für das neue Objekt konfigurieren. Ein Active Directory-Administrator, der Mitglied der neuen Gruppe ist, muss das Objekt erstellen, und danach muss ein Exchange-Administrator die Exchange-Attribute des Objekts konfigurieren. Exchange-Administratoren können die folgenden Cmdlets nicht verwenden:

  • New-Mailbox

  • New-MailContact

  • New-MailUser

  • New-RemoteMailbox

  • Remove-Mailbox

  • Remove-MailContact

  • Remove-MailUser

  • Remove-RemoteMailbox

Exchange-Administratoren können jedoch Exchange-spezifische Objekte erstellen und verwalten, beispielsweise Transportregeln, Verteilergruppen usw., und sie können Exchange-bezogene Attribute für beliebige Objekte verwalten.

Außerdem stehen die zugeordneten Funktionen in der Exchange-Verwaltungskonsole und in der Exchange-Systemsteuerung, beispielsweise der Assistent für neue Postfächer, nicht mehr zur Verfügung, oder ihre Verwendung führt zu einem Fehler.

Wenn Sie möchten, dass die neue Rollengruppe auch die Exchange-Attribute für das neue Objekt verwalten kann, muss die Rolle "E-Mail-Empfänger" ebenfalls dieser neuen Rollengruppe zugewiesen werden.

Weitere Informationen zum Konfigurieren eines geteilten Berechtigungsmodells finden Sie unter Konfigurieren von Exchange 2010 für geteilte Berechtigungen.

Zurück zum Seitenanfang

Mit geteilten Active Directory-Berechtigungen muss die Erstellung von Sicherheitsprinzipalen in der Active Directory-Domänenpartition, z. B. von Postfächern und Verteilergruppen, mithilfe der Active Directory-Verwaltungstools durchgeführt werden. Es werden mehrere Änderungen an den Berechtigungen vorgenommen, die "Exchange Trusted Subsystem" und Exchange-Servern erteilt werden, um die Möglichkeiten von Exchange-Administratoren und -Servern einzuschränken. Die folgenden funktionalen Änderungen treten auf, wenn Sie geteilte Active Directory-Berechtigungen aktivieren:

  • Das Erstellen von Postfächern, E-Mail-aktivierten Benutzern, Verteilergruppen und sonstigen Sicherheitsprinzipalen wird aus den Exchange-Verwaltungstools entfernt.

  • Verteilergruppenmitglieder können nicht über die Exchange-Verwaltungstools hinzugefügt und entfernt werden.

  • Alle Berechtigungen zum Erstellen von Sicherheitsprinzipalen, die "Exchange Trusted Subsystem" und Exchange-Servern erteilt wurden, werden entfernt.

  • Exchange-Server und die Exchange-Verwaltungstools können nur die Exchange-Attribute vorhandener Sicherheitsprinzipale in Active Directory ändern.

Wenn Sie beispielsweise ein Postfach erstellen möchten, für das geteilte Active Directory-Berechtigungen aktiviert sind, muss zuerst ein Benutzer, der über die erforderlichen Active Directory-Berechtigungen verfügt, mithilfe der Active Directory-Tools einen Benutzer erstellen. Anschließend kann der Benutzer mithilfe der Exchange-Verwaltungstools für das Postfach aktiviert werden. Nur die Exchange-bezogenen Attribute des Postfachs können von Exchange-Administratoren mithilfe der Exchange-Verwaltungstools geändert werden.

Geteilte Active Directory-Berechtigungen sind für Ihre Organisation geeignet, wenn Folgendes zutrifft:

  • In Ihrer Organisation ist es erforderlich, dass Sicherheitsprinzipale nur mithilfe der Active Directory-Verwaltungstools oder nur von Benutzern mit bestimmten Berechtigungen in Active Directory erstellt werden.

  • Sie möchten die Möglichkeit zum Erstellen von Sicherheitsprinzipalen vollständig von den Benutzern trennen, die die Exchange-Organisation verwalten.

  • Sie möchten die gesamte Verwaltung von Verteilergruppen, einschließlich der Erstellung von Verteilergruppen und des Hinzufügens und Entfernens von Mitgliedern dieser Gruppen, mithilfe der Active Directory-Verwaltungstools durchführen.

  • Sie möchten nicht, dass Exchange-Server oder Drittanbieterprogramme, die Exchange in ihrem Auftrag verwenden, Sicherheitsprinzipale erstellen.

WichtigWichtig:
Sie können den Wechsel zu geteilten Active Directory-Berechtigungen bei der Installation von Exchange 2010 SP1 auswählen, indem Sie den Setup-Assistenten verwenden oder indem Sie bei der Ausführung von setup.com über die Befehlszeile den Parameter ActiveDirectorySplitPermissions verwenden. Sie können geteilte Active Directory-Berechtigungen außerdem nach der Installation von Exchange 2010 aktivieren oder deaktivieren, indem Sie setup.com erneut über die Befehlszeile ausführen. Legen Sie den Parameter ActiveDirectorySplitPermissions auf true fest, um geteilte Active Directory-Berechtigungen zu aktivieren. Legen Sie ihn auf false fest, um geteilte Berechtigungen zu deaktivieren. Sie müssen stets die Option PrepareAD zusammen mit dem Parameter ActiveDirectorySplitPermissions angeben.
Wenn Sie über mehrere Domänen in derselben Gesamtstruktur verfügen, müssen Sie entweder die Option PrepareAllDomains angeben, wenn Sie geteilte Active Directory-Berechtigungen anwenden, oder das Setupprogramm mit der Option PrepareDomain in jeder Domäne ausführen. Wenn Sie sich dafür entscheiden, das Setupprogramm mit der Option PrepareDomain in jeder Domäne auszuführen, anstatt die Option PrepareAllDomains zu verwenden, müssen Sie jede Domäne vorbereiten, die Exchange-Server, E-Mail-aktivierte Objekte oder globale Katalogserver enthält, auf die von einem Exchange-Server zugegriffen werden kann.
WichtigWichtig:
Sie können geteilte Active Directory-Berechtigungen nicht aktivieren, wenn Sie Exchange 2010 auf einem Domänencontroller installiert haben.
Nach dem Aktivieren oder Deaktivieren von geteilten Active Directory-Berechtigungen sollten Sie die Exchange 2010-Server in Ihrer Organisation neu starten, um zu erzwingen, dass sie das neue Active Directory-Zugriffstoken mit den aktualisierten Berechtigungen einlesen.

In Exchange 2010 SP1 werden geteilte Active Directory-Berechtigungen implementiert, indem Berechtigungen und die Mitgliedschaft von der Sicherheitsgruppe "Exchange Windows Permissions" entfernt werden. Dieser Sicherheitsgruppe werden bei Verwendung von gemeinsamen Berechtigungen oder von geteilten RBAC-Berechtigungen die Berechtigungen für zahlreiche Objekte und Attribute, die nicht zu Exchange gehören, im gesamten Active Directory-Verzeichnis erteilt. Indem Sie die Berechtigungen und die Mitgliedschaft von dieser Sicherheitsgruppe entfernen, verhindern Sie, dass Exchange-Administratoren und -Dienste diese nicht zu Exchange gehörenden Active Directory-Objekte erstellen oder ändern.

Eine Liste der Änderungen an der Sicherheitsgruppe "Exchange Windows Permissions" und an anderen Exchange-Komponenten, die bei der Aktivierung oder Deaktivierung geteilter Active Directory-Berechtigungen vorgenommen werden, finden Sie in der folgenden Tabelle.

HinweisAnmerkung:
Rollenzuweisungen zu Rollengruppen, mit denen Exchange-Administratoren die Möglichkeit zum Erstellen von Sicherheitsprinzipalen erhalten, werden entfernt, wenn geteilte Active Directory-Berechtigungen aktiviert werden. Dies dient dazu, den Zugriff auf Cmdlets zu entfernen, bei deren Ausführung andernfalls ein Fehler generiert würde, da sie nicht über Berechtigungen zum Erstellen des zugeordneten Active Directory-Objekts verfügen.

Änderungen bei geteilten Active Directory-Berechtigungen

Aktion Von Exchange durchgeführte Änderungen

Aktivieren geteilter Active Directory-Berechtigungen bei der Installation des ersten Servers mit Exchange 2010 SP1

Folgende Aktionen werden ausgeführt, wenn Sie geteilte Active Directory-Berechtigungen über den Setup-Assistenten oder durch Ausführen von setup.com mit den Parametern /PrepareAD und /ActiveDirectorySplitPermissions:true aktivieren:

  • Eine Organisationseinheit (OU) mit dem Namen Microsoft Exchange Protected Groups wird erstellt.

  • Die Sicherheitsgruppe Exchange Windows Permissions wird in der Organisationseinheit Microsoft Exchange Protected Groups erstellt.

  • Die Sicherheitsgruppe Exchange Trusted Subsystem wird der Sicherheitsgruppe Exchange Windows Permissions nicht hinzugefügt.

  • Die Erstellung nicht delegierender Verwaltungsrollenzuweisungen zu Verwaltungsrollen mit den folgenden Verwaltungsrollentypen wird übersprungen:

    • MailRecipientCreation

    • SecurityGroupCreationandMembership

  • Zugriffssteuerungseinträge (Access Control Entries, ACEs), die der Sicherheitsgruppe Exchange Windows Permissions zugewiesen worden wären, werden dem Active Directory-Domänenobjekt nicht hinzugefügt.

Wenn Sie das Setupprogramm mit den Optionen PrepareAllDomains oder PrepareDomain ausführen, geschieht in jeder vorbereiteten untergeordneten Domäne Folgendes:

  • Alle ACEs, die der Sicherheitsgruppe Exchange Windows Permissions zugewiesen sind, werden vom Domänenobjekt entfernt.

  • In jeder Domäne werden ACEs gemäß Definition in Berechtigungsreferenz für die Exchange 2010-Bereitstellung festgelegt. Ausgenommen hiervon sind alle ACEs, die der Sicherheitsgruppe Exchange Windows Permissions zugewiesen sind.

Wechseln von gemeinsamen Berechtigungen oder geteilten RBAC-Berechtigungen zu geteilten Active Directory-Berechtigungen

Folgende Aktionen werden ausgeführt, wenn Sie den Befehl setup.com mit den Parametern /PrepareAD und /ActiveDirectorySplitPermissions:true ausführen:

  • Eine Organisationseinheit mit dem Namen Microsoft Exchange Protected Groups wird erstellt.

  • Die Sicherheitsgruppe Exchange Windows Permissions wird in die Organisationseinheit Microsoft Exchange Protected Groups verschoben.

  • Die Sicherheitsgruppe Exchange Trusted Subsystem wird aus der Sicherheitsgruppe Exchange Windows Permissions entfernt.

  • Alle nicht delegierenden Rollenzuweisungen zu Verwaltungsrollen mit den folgenden Rollentypen werden entfernt:

    • MailRecipientCreation

    • SecurityGroupCreationandMembership

  • Alle ACEs, die der Sicherheitsgruppe Exchange Windows Permissions zugewiesen sind, werden vom Domänenobjekt entfernt.

Wenn Sie das Setupprogramm mit den Optionen PrepareAllDomains oder PrepareDomain ausführen, geschieht in jeder vorbereiteten untergeordneten Domäne Folgendes:

  • Alle ACEs, die der Sicherheitsgruppe Exchange Windows Permissions zugewiesen sind, werden vom Domänenobjekt entfernt.

  • In jeder Domäne werden ACEs gemäß Definition in Berechtigungsreferenz für die Exchange 2010-Bereitstellung festgelegt. Ausgenommen hiervon sind alle ACEs, die der Sicherheitsgruppe Exchange Windows Permissions zugewiesen sind.

Wechseln von geteilten Active Directory-Berechtigungen zu gemeinsamen Berechtigungen oder geteilten RBAC-Berechtigungen

Folgende Aktionen werden ausgeführt, wenn Sie den Befehl setup.com mit den Parametern /PrepareAD und /ActiveDirectorySplitPermissions:false ausführen:

  • Die Sicherheitsgruppe Exchange Windows Permissions wird in die Organisationseinheit Microsoft Exchange Security Groups verschoben.

  • Die Organisationseinheit Microsoft Exchange Protected Groups wird entfernt.

  • Die Sicherheitsgruppe Exchange Trusted Subsystem wird der Sicherheitsgruppe Exchange Windows Permissions hinzugefügt.

  • ACEs werden dem Domänenobjekt für die Sicherheitsgruppe Exchange Windows Permissions hinzugefügt.

Wenn Sie das Setupprogramm mit den Optionen PrepareAllDomains oder PrepareDomain ausführen, geschieht in jeder vorbereiteten untergeordneten Domäne Folgendes:

  • ACEs werden dem Domänenobjekt für die Sicherheitsgruppe Exchange Windows Permissions hinzugefügt.

  • In jeder Domäne werden ACEs gemäß Definition in Berechtigungsreferenz für die Exchange 2010-Bereitstellung festgelegt. Dies schließt ACEs ein, die der Sicherheitsgruppe Exchange Windows Permissions zugewiesen sind.

Rollenzuweisungen für die Rollen "Erstellung von E-Mail-Empfängern" und "Sicherheitsgruppenerstellung und -verwaltung" werden beim Wechsel von geteilten Active Directory-Berechtigungen zu gemeinsamen Berechtigungen nicht automatisch erstellt. Wenn delegierende Rollenzuweisungen vor der Aktivierung der geteilten Active Directory-Berechtigungen angepasst wurden, bleiben diese Anpassungen erhalten. Informationen zum Erstellen von Rollenzuweisungen zwischen diesen Rollen und der Rollengruppe Organisationsverwaltung finden Sie unter Konfigurieren von Exchange 2010 für Freigabeberechtigungen.

Nach dem Aktivieren der geteilten Active Directory-Berechtigungen sind die folgenden Cmdlets nicht mehr verfügbar:

  • New-Mailbox

  • New-MailContact

  • New-MailUser

  • New-RemoteMailbox

  • Remove-Mailbox

  • Remove-MailContact

  • Remove-MailUser

  • Remove-RemoteMailbox

Nach dem Aktivieren der geteilten Active Directory-Berechtigungen können Sie auf die folgenden Cmdlets zugreifen, aber mit ihnen keine Verteilergruppen erstellen und nicht die Mitgliedschaft in Verteilergruppen ändern:

  • Add-DistributionGroupMember

  • New-DistributionGroup

  • Remove-DistributionGroup

  • Remove-DistributionGroupMember

  • Update-DistributionGroupMember

Einige Cmdlets stehen bei Verwendung von geteilten Active Directory-Berechtigungen zwar noch zur Verfügung, bieten aber möglicherweise nur begrenzte Funktionalität. Grund hierfür ist, dass sie möglicherweise das Konfigurieren von Empfängerobjekten ermöglichen, die sich in der Active Directory-Domänenpartition befinden, sowie von Exchange-Konfigurationsobjekten, die sich in der Active Directory-Konfigurationspartition befinden. Außerdem können sie das Konfigurieren von Exchange-bezogenen Attributen für Objekte ermöglichen, die in der Domänenpartition gespeichert sind. Versuche, in der Domänenpartition mit den Cmdlets Objekte zu erstellen oder nicht auf Exchange bezogene Objektattribute zu ändern, führen zu einem Fehler. Wenn Sie beispielsweise versuchen, mit dem Cmdlet Add-ADPermission einem Postfach Berechtigungen hinzuzufügen, wird ein Fehler zurückgegeben. Beim Konfigurieren von Berechtigungen für einen Empfangsconnector wird das Cmdlet Add-ADPermission jedoch erfolgreich ausgeführt. Dies ist darauf zurückzuführen, dass ein Postfach in der Domänenpartition gespeichert wird, Empfangsconnectors jedoch in der Konfigurationspartition.

Außerdem stehen die zugeordneten Funktionen an der Exchange-Verwaltungskonsole und in der Exchange-Systemsteuerung, beispielsweise der Assistent für neue Postfächer, nicht mehr zur Verfügung, oder ihre Verwendung führt zu einem Fehler.

Exchange-Administratoren können jedoch Exchange-spezifische Objekte wie Transportregeln erstellen und verwalten.

Weitere Informationen zum Konfigurieren eines Active Directory-Modells mit geteilten Berechtigungen finden Sie unter Konfigurieren von Exchange 2010 für geteilte Berechtigungen.

Zurück zum Seitenanfang

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft