Grundlegendes zu exklusiven Bereichen

Gilt für: Exchange Server 2013

Exklusive Bereiche bezeichnen einen besonderen Typ von Verwaltungsbereich, der Verwaltungsrollenzuweisungen zugeordnet werden kann. Exklusive Bereiche sind für Situationen konzipiert, in denen Sie über Objekte mit hohen Sicherheitsanforderungen, z. B. ein Postfach des Geschäftsführers, verfügen und den Zugriff auf dieses Objekt streng kontrollieren möchten.

Eine Rollenzuweisung mit einem exklusiven Bereich wird als exklusive Rollenzuweisung bezeichnet.

Wenn Sie einen exklusiven Bereich erstellen, können nur diejenigen Benutzer, die diesem exklusiven Bereich oder einem äquivalenten Bereich zugewiesen sind, die Objekte für diesen Bereich ändern. Rollenempfänger, die nicht diesem exklusiven Bereich oder einem äquivalenten Bereich zugewiesen sind, können keine Objekte für diesen Bereich ändern - selbst dann nicht, wenn ihre eigenen Rollen über Bereiche verfügen, die die Objekte ansonsten einschließen würden. Exklusive Bereiche überschreiben andere reguläre Bereiche, die nicht exklusiv sind. Dieses Verhalten ähnelt einem Zugriffsverweigerungseintrag in einer Active Directory-Zugriffssteuerungsliste (Access Control List, ACL).

Ein äquivalenter exklusiver Bereich bezieht sich auf einen anderen exklusiven Bereich, der einige der Objekte des anderen exklusiven Bereichs umfasst. Die Bereiche müssen nicht den gleichen vollständigen Satz von Objekten umfassen. Beide Bereiche können die Änderung einiger oder aller enthaltenen Objekte zulassen.

Erstellen exklusiver Bereiche

Exklusive Bereiche können wie andere explizite Bereiche erstellt werden. Sie können einen vordefinierten relativen Bereich, einen Empfangs-, Datenbank- oder Serverfilter oder eine Datenbank- oder Serverliste angeben. Im Gegensatz zu regulären Bereichen, die erst bei Zuordnung des Bereichs zu einer Verwaltungsrollenzuweisung in Kraft treten, findet der Aspekt der Zugriffsverweigerung für einen exklusiven Bereich sofort Anwendung. Dies bedeutet, dass die beim Erstellen eines exklusiven Bereichs in diesem Bereich enthaltenen Objekte sofort für den Benutzerzugriff gesperrt werden, bis die Rollenzuweisung erstellt wird.

Nach der Erstellung der Zuweisung gewährt der exklusive Bereich denjenigen Benutzern Zugriff, denen die Verwaltungsrolle sowie der Bereich zugewiesen wurde. Wenn ein äquivalenter exklusiver Bereich die gleichen Objekte umfasst, kann über eine diesem exklusiven Bereich zugeordnete Rollenzuweisung weiterhin auf die Objekte zugegriffen werden.

Weitere Informationen zu Verwaltungsbereichsfiltern finden Sie unter Grundlegendes zu Verwaltungsrollenbereichs-Filtern.

Wichtig

Bei der Änderung von Verwaltungsrollenkomponenten, einschließlich exklusiver Bereiche, sollten die Replikationszeiten für Active Directory berücksichtigt werden.

Wenn Sie über Objekte verfügen, die in mehr als einem exklusiven Bereich enthalten sind, wird durch die Zuweisung zu einem beliebigen der exklusiven Bereich Zugriff auf die Objekte gewährt. Weitere Informationen finden Sie weiter unten in diesem Thema im Abschnitt Interaktion exklusiver und regulärer Bereiche.

Exklusive Bereiche steuern nur den expliziten Empfänger- oder Konfigurationsschreibbereich einer Rollenzuweisung. Der implizite Empfänger- oder Konfigurationslesebereich der einem Benutzer oder einer Gruppe zugewiesenen Rolle gilt weiterhin. Dies bedeutet, dass Folgendes zutrifft:

  • Benutzer, denen eine Rolle zugewiesen ist, können weiterhin Objekte anzeigen, die dem impliziten Lesebereich der Rolle entsprechen.
  • Benutzer mit anderen Rollen können Objekte in einem exklusiven Bereich möglicherweise anzeigen, wenn die Lesebereiche der anderen Rollen die Objekte einschließen. Die Objekte können jedoch nur von Benutzern geändert werden, deren Rolle dem exklusiven Bereich zugeordnet ist.

Exklusive Bereiche können nur mit administrativen oder Spezialrollen verwendet werden, eine Verwendung mit Endbenutzerrollen ist nicht möglich. Weitere Informationen zu Rollen finden Sie unter Grundlegendes zu Verwaltungsrollen.

Interaktion exklusiver und regulärer Bereiche

Die Abbildung am Ende dieses Abschnitts verdeutlicht, wie exklusive Bereiche mit anderen exklusiven und mit regulären Bereichen interagieren. Den Benutzern in der Abbildung sind folgende Attribute zugeordnet.

Benutzer Stadt/Ort Titel Abteilung
Terry Vancouver Accountant Accounting
David Vancouver Writer Marketing
Walter Vancouver Manager Marketing
Bob Vancouver CEO Board
Christine Vancouver President Board
Fred Vancouver CFO Executives
Martin Vancouver CIO Executives
Kim Vancouver Vice President, Operations Executives
Jennifer Vancouver Vice President, Technology Executives

Die folgenden drei Verwaltungsrollenzuweisungen in der Abbildung verwalten die Benutzer in der vorstehenden Tabelle. Jede Verwaltungsrollenzuweisung verfügt über einen zugeordneten Bereich, von denen einige exklusive Bereiche sind.

Rollenzuweisung Bereichsfilter Exklusiv oder regulär
Empfängeradministratoren Ort = Vancouver Regulär
VIP-Administratoren Titel = CEO oder CFO oder CIO oder President Exklusiv
Führungskräfte-Administratoren Abteilung = Executives Exklusiv

Die Rollenzuweisung "Empfängeradministratoren" weist einen Bereich auf, der alle Benutzer umfasst, da sich alle Benutzer in Vancouver befinden. Ohne exklusive Bereiche würde dies bedeuten, dass mit der Rollenzuweisung "Empfängeradministratoren" alle Benutzer verwaltet werden können. Diese Organisation hat jedoch zwei exklusive Bereiche erstellt: "VIP-Administratoren" und "Führungskräfte-Administratoren". Diese exklusiven Bereiche schränken ein, wer die Benutzer verwalten kann, die mit dem jeweiligen Bereichsfilter übereinstimmen. Die Rollenzuweisung "VIP-Administratoren" ist mit einem Bereichsfilter versehen, der alle Benutzer mit den Titeln "CEO", "CFO", "CIO" oder "President" umfasst. Die Rollenzuweisung "Führungskräfte-Administratoren" ist mit einem Bereichsfilter versehen, der alle Benutzer in der Abteilung "Executives" umfasst.

Die Auswertung der regulären und exklusiven Bereiche führt zu dem folgenden Ergebnis:

  • Mit der Rollenzuweisung "Empfängeradministratoren" können die Benutzer Terry, David und Walter verwaltet werden. Anhand dieser Rollenzuweisung können keine weiteren Benutzer verwaltet werden, da diese mit den exklusiven Bereichsfiltern der Rollenzuweisungen "VIP-Administratoren" und "Führungskräfte-Administratoren" übereinstimmen.

  • Mit der Rollenzuweisung "VIP-Administratoren" können die Benutzer Bob, Christine, Fred und Martin verwaltet werden. Die Ursache ist, dass der exklusive Bereichsfilter, der dieser Rollenzuweisung zugeordnet ist, mit den Attributen dieser Objekte übereinstimmt. Mit dieser Rollenzuweisung können die Benutzer Kim und Jennifer nicht verwaltet werden, da ihre Attribute nicht mit dem exklusiven Bereich übereinstimmen.

  • Mit der Rollenzuweisung "Führungskräfte-Administratoren" können die Benutzer Kim, Jennifer, Fred und Martin verwaltet werden. Die Ursache ist, dass der exklusive Bereichsfilter, der dieser Rollenzuweisung zugeordnet ist, mit den Attributen dieser Objekte übereinstimmt. Mit dieser Rollenzuweisung können die Benutzer Bob und Christine nicht verwaltet werden, da ihre Attribute nicht mit dem exklusiven Bereich übereinstimmen.

Beachten Sie, dass Fred und Martin durch beide exklusiven Bereiche zugänglich sind. Die Ursache ist, dass die Attribute dieser Benutzer mit beiden exklusiven Filtern übereinstimmen.

Exklusive und reguläre Bereichsinteraktion.

Weitere Informationen zu Verwaltungsbereichen finden Sie unter Grundlegendes zu Verwaltungsrollenbereichen.