(0) exportieren Drucken
Alle erweitern

Überlegungen zu Berechtigungen

 

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2007-07-12

Berücksichtigen Sie beim Planen der Integration von Microsoft Exchange Server 2007 in Ihre Active Directory-Verzeichnisdienststruktur das Verwaltungsmodell in Ihrem Unternehmen. Mit Exchange 2007 erlangen Sie Flexibilität, wie Sie Administratoren Berechtigungen zuweisen. Es empfiehlt sich im Allgemeinen, zu überlegen, wie die folgenden Funktionen von Active Directory und Exchange 2007 die Art der Organisation der Verwaltungsrollen beeinflussen:

  • Ein einzelner Administrator kann Aufgaben sowohl für Microsoft Windows Server 2003 als auch für Exchange ausführen.
  • Sie können Berechtigungen zwischen Exchange-Administratoren und Windows-Administratoren aufteilen.
  • Sie können die Exchange-Administratorrollen und die Windows-Administratorrollen mithilfe einer Exchange-Ressourcengesamtstruktur trennen.

Die Abschnitte in diesem Thema beschreiben die Flexibilität der Berechtigungskonfiguration und die Administratorrollen, die in Exchange 2007 verfügbar sind.

In zahlreichen Microsoft Exchange-Organisationen, insbesondere in mittelgroßen und großen Organisationen, gibt es mehrere Exchange-Administratoren. Da diese Administratoren einen bestimmten Satz von Verwaltungsaufgaben ausführen können, stellt Exchange Server 2007 vordefinierte Administratorrollen sowie ein Modell mit getrennten Berechtigungen zur Verfügung, das Sie zum Konfigurieren bestimmter Berechtigungen in Active Directory für verschiedene administrative Funktionen in Ihrer Organisation verwenden können. In Exchange 2007 werden Berechtigungen für Exchange-Empfängerattribute gruppiert. Dadurch wird die manuelle Konfiguration von Berechtigungen minimiert, die zum Trennen von Exchange-Berechtigungen von anderen Verwaltungsberechtigungen vorgenommen werden muss. Weitere Informationen zum Planen und Implementieren Ihres Berechtigungsmodells finden Sie unter den folgende Themen:

Das Sicherheits- und Berechtigungsmodell aus Exchange Server 2003 wurde für Exchange 2007 geändert. Dieser Abschnitt stellt Informationen zu den Änderungen des Exchange-Berechtigungsmodells zur Verfügung und beschreibt die Unterschiede.

Ein Eigenschaftensatz ist eine Gruppierung von Active Directory-Attributen. Der Zugriff auf diese Gruppierung von Active Directory-Attributen kann durch das Festlegen eines gemeinsamen Zugriffssteuerungseintrags (Access Control Entry, ACE) gesteuert werden, anstatt für jede Eigenschaft einen eigenen ACE festzulegen. Der Eigenschaftensatz, der alle Exchange-Empfängerattribute zusammenfasst, wird als E-Mail-Informationen bezeichnet.

noteHinweis:
Exchange Server 2003-Sicherheitsgruppen, die zum Zugriff auf Empfängereigenschaften auf Servern mit Exchange Server 2003 berechtigt waren, verfügen auch weiterhin über die Zugriffsberechtigung für den Eigenschaftensatz Exchange 2007-E-Mail-Informationen, solange das Active Directory-Schema mithilfe von Exchange Server 2007 Setup.com oder Setup.com mit dem Parameter /PrepareAD aktualisiert wird.

Weitere Informationen zu Eigenschaftenmengen finden Sie unter Eigenschaftenmengen in Exchange Server 2007.

Um die Verwaltung von Berechtigungen zu vereinfachen, wurden in Exchange Server 2003 vordefinierte Sicherheitsrollen bereitgestellt, die im Assistenten für die Zuweisung von Verwaltungsberechtigungen von Exchange 2003 verfügbar sind. Bei diesen Rollen handelt es sich um eine Sammlung von Standardberechtigungen, die auf Organisationsebene oder auf der Ebene administrativer Gruppen angewendet werden können.

In Exchange 2003 sind die folgenden Sicherheitsrollen über den Assistenten für die Zuweisung von Verwaltungsberechtigungen in Exchange-System-Manager verfügbar:

  • Exchange-Administrator – Vollständig
  • Exchange-Administrator
  • Exchange-Exchange-Administrator mit Leserechten

Dieses Modell weist die folgenden Einschränkungen auf:

  • Mangelnde Genauigkeit. Die Exchange-Administratorgruppe ist zu groß, und einige Kunden möchten ihr Sicherheits- und Berechtigungsmodell auf der Ebene einzelner Server verwalten.
  • Der Eindruck, dass sich die Exchange Server 2003-Sicherheitsrollen nur geringfügig unterscheiden.
  • Es gibt keine klare Trennung zwischen der Verwaltung von Benutzern und Gruppen durch die Windows-Administratoren (Active Directory) und Exchange-Empfängeradministratoren. Sie müssen z. B. Exchange-Administratoren Berechtigungen auf hoher Ebene erteilen (z. B. die Berechtigung Konten-Operator für Windows-Domänen), um auf Exchange-Empfänger bezogene Aufgaben durchführen zu können.

Um die Verwaltung der Exchange-Administratorrollen (die in Exchange 2003 als "Sicherheitsgruppen" bezeichnet werden) zu verbessern, wurden die folgenden neuen oder verbesserten Features in das Sicherheits- und Berechtigungsmodell von Exchange aufgenommen:

  • Neue Administratorrollen, die den integrierten Windows Server-Sicherheitsgruppen ähneln. Weitere Informationen zu diesen Administratorrollen finden Sie unter "Administratorrollen in Exchange 2007" weiter unten in diesem Thema.
  • Mithilfe der Exchange-Verwaltungskonsole (bisher als Exchange-System-Manager bekannt) und der Exchange-Verwaltungsshell können Mitglieder einer Administratorrolle angezeigt, hinzugefügt oder entfernt werden.

Exchange 2007 verfügt über die folgenden vordefinierten Gruppen, die die Exchange-Konfigurationsdaten verwalten:

  • Exchange-Organisationsadministratoren
  • Exchange-Empfängeradministratoren
  • Exchange-Administrator mit Leserechten
  • Exchange-Administratoren - Öffentliche Ordner (neu in Exchange Server 2007 Service Pack 1)

Während der Setup /PrepareAD-Phase in Exchange 2003 (die Organisationsvorbereitungsphase, die mit ForestPrep von Exchange 2003 vergleichbar ist) werden diese Exchange-Administratorrollen (ausgenommen die Exchange-Serveradministratoren) in einer neuen Organisationseinheit der Microsoft Exchange-Sicherheitsgruppe erstellt, die sich in der Domäne befindet, in der /PrepareAD ausgeführt wurde.

Wenn Sie einem Benutzer eine Administratorrolle hinzufügen, erbt dieser Benutzer die Berechtigungen, die die betreffende Rolle besitzt. Diese Administratorrollen sind berechtigt, Exchange-Daten in Active Directory zu verwalten. Drei Arten von Exchange-Daten können von diesen Gruppen verwaltet werden:

  • Globale Daten   Dies sind die Daten in einem Active Directory-Konfigurationscontainer, die keinem bestimmten Server zugeordnet sind. Diese Daten sind z. B. Postfachrichtlinien, Adresslisten und die Exchange Unified Messaging-Konfiguration. Globale Daten wirken sich im Allgemeinen auf die gesamte Organisation und potenziell auf alle Benutzer aus. Als bewährte Methode sollten Sie nur wenigen vertrauenswürdigen Benutzern das Konfigurieren oder Ändern globaler Daten gestatten.
  • Empfängerdaten   Empfänger in Exchange sind Active Directory-Benutzerobjekte, die E-Mail-Nachrichten senden oder empfangen können. Beispiel für Empfängerdaten sind E-Mail-aktivierte Kontakte, Verteilergruppen, Postfächer sowie bestimmte Empfängertypen wie etwa Proxyobjekte Öffentlicher Ordner.
  • Serverdaten   Exchange-Serverdaten sind in Active Directory unter dem Knoten des angegebenen Servers enthalten. Beispiele für diese Daten sind Empfangsconnectors, virtuelle Verzeichnisse, Einstellungen pro Server sowie Postfach- und Speichergruppendaten.

Die Rolle Exchange-Organisationsadministratoren erteilt Administratoren Vollzugriff auf alle Exchange-Eigenschaften und -Objekte in der Exchange-Organisation. Während des Exchange-Setups erstellt Setup /PrepareAD in der Stammdomäne die Active Directory-Sicherheitsgruppe namens Exchange-Organisationsadministratoren im Container Microsoft Exchange-Sicherheitsgruppen von Active Directory-Benutzer und -Computer.

Wenn Sie der Rolle Exchange-Organisationsadministratoren einen Benutzer hinzufügen, wird dieser Benutzer ein Mitglied der Administratorrolle namens Exchange-Organisationsadministratoren. Exchange 2007 erstellt diese Rolle während der Active Directory-Vorbereitung. Mitglieder der Rolle Exchange-Organisationsadministratoren verfügen über die folgenden Berechtigungen:

  • Besitzer der Exchange-Organisation im Konfigurationscontainer von Active Directory. Als Besitzer verfügen die Mitglieder der Rolle über Vollzugriff auf die Exchange-Organisationsdaten im Konfigurationscontainer in Active Directory und die lokale Gruppe Exchange-Serveradministrator.
  • Lesezugriff auf alle Domänenbenutzercontainer in Active Directory. Exchange erteilt diese Berechtigung beim Einrichten des ersten Servercomputers mit Exchange 2007 in der Domäne für jede Domäne in der Organisation. Diese Berechtigungen ergeben sich durch die Mitgliedschaft bei der Rolle Exchange-Empfängeradministrator
  • Lesezugriff auf alle Exchange-Spezifischen Attribute in allen Domänenbenutzercontainer in Active Directory. Exchange erteilt diese Berechtigung beim Einrichten des ersten Servercomputers mit Exchange 2007 in der Domäne für jede Domäne in der Organisation. Diese Berechtigungen ergeben sich durch die Mitgliedschaft bei der Rolle Exchange-Empfängeradministrator
  • Besitzer aller Konfigurationsdaten des lokalen Servers. Als Besitzer verfügen die Mitglieder über Vollzugriff auf den lokalen Servercomputer mit Exchange. Exchange 2007 erteilt diese Berechtigung während des Setups jedes Servercomputers mit Exchange.

Benutzer, die Mitglieder der Rolle Exchange-Organisationsadministratoren sind, verfügen über den höchsten Berechtigungsgrad in der Exchange-Organisation. Für alle Aufgaben, die sich auf die gesamte Exchange-Organisation auswirken, ist die Mitgliedschaft in dieser Gruppe erforderlich. Beispiele für Aufgaben, die die Berechtigung Exchange-Organisationsadministrator erfordern, sind das Erstellen oder Löschen von Connectors, das Ändern der Serverrichtlinien sowie das Ändern globaler Konfigurationseinstellungen.

noteHinweis:
Bei der Installation von Exchange 2007 wird die Rolle Exchange-Organisationsadministratoren als Mitglied der lokalen Gruppe Administratoren von Setup auf dem Computer hinzugefügt, auf dem Exchange installiert wird. Beachten Sie, dass die lokale Gruppe Administratoren auf einem Domänencontroller über andere Berechtigungen verfügt als die lokale Gruppe Administratoren auf einem Mitgliedsserver. Wenn Exchange 2007 auf einem Domänencontroller installiert wird, verfügen die Benutzer der Rolle Exchange-Organisationsadministratoren über zusätzliche Windows-Berechtigungen, über die sie nicht verfügen, wenn Exchange 2007 auf einem Computer installiert wird, der kein Domänencontroller ist.

Die Rolle Exchange-Empfängeradministratoren ist berechtigt, beliebige Exchange-Eigenschaften für einen Active Directory-Benutzer, einen Kontakt, eine Gruppe, dynamische Verteilerlisten oder Objekte Öffentlicher Ordner zu ändern. Während der Ausführung von Setup /PrepareAD in Exchange wird die Rolle Exchange-Empfängeradministrator im Microsoft Exchange-Sicherheitsgruppencontainer in Active Directory erstellt. Mit dieser Rolle können Sie Unified Messaging-Postfacheinstellungen und ClientAccess-Postfacheinstellungen verwalten. Mitglieder der Rolle Exchange-Organisationsempfängeradministratoren verfügen über die folgenden Berechtigungen:

  • Lesezugriff auf alle Domänenbenutzercontainer in Active Directory, für die Setup /PrepareDomain in diesen Domänen ausgeführt wurde.
  • Schreibzugriff auf alle Exchange-spezifischen Attribute für alle Domänenbenutzercontainer in Active Directory, für die Setup /PrepareDomain in diesen Domänen ausgeführt wurde.
  • Mitgliedschaft bei der Rolle Exchange-Administratoren mit Leserechten.

Benutzer, die Mitglied der Rolle Exchange-Empfängeradministratoren sind, besitzen keine Berechtigungen für Domänen, auf denen Setup /PrepareDomain nicht ausgeführt wurde. Wenn Sie eine neue Exchange-Domäne hinzufügen, stellen Sie sicher, dass Setup /PrepareDomain in der neuen Domäne ausgeführt wird, um den Exchange-Administratorrollen in dieser Domäne Berechtigungen zu erteilen.

Die Rolle Exchange-Serveradministratoren besitzt ausschließlich Zugriff auf die Exchange-Konfigurationsdaten des lokalen Servers – entweder in Active Directory oder auf dem physikalischen Computer, auf dem Exchange 2007 installiert ist. Benutzer, die Mitglieder der Rolle Exchange-Serveradministratoren sind, sind berechtigt, einen bestimmten Server zu verwalten. Sie sind jedoch nicht berechtigt, Vorgänge auszuführen, die globale Auswirkungen in der Exchange-Organisation besitzen.

Exchange 2007 erstellt diese Administratorrolle während des Setups. Mitglieder der Rolle Exchange-Serveradministratoren verfügen über die folgenden Berechtigungen:

  • Besitzer aller Konfigurationsdaten des lokalen Servers. Als Besitzer verfügen die Mitglieder der Rolle über Vollzugriff auf die Konfigurationsdaten des lokalen Servers.
  • Lokaler Administrator des Computers, auf dem Exchange installiert ist.
  • Mitglieder der Rolle Exchange-Administratoren mit Leserechten.

Die Rolle Exchange-Administratoren mit Leserechten besitzt Lesezugriff auf die gesamte Struktur der Exchange-Organisation im Active Directory-Konfigurationscontainer sowie Lesezugriff auf alle Windows-Domänencontainer, die über Exchange-Empfänger verfügen.

Während des Exchange-Setups erstellt der Schalter /PrepareAD die Rolle Exchange-Administrator mit Leserechten im Microsoft Exchange-Sicherheitsgruppencontainer in Active Directory.

Neues in Exchange 2007 Service Pack 1 (SP1)

Die Rolle Exchange-Administratoren - Öffentliche Ordner besitzt Verwaltungsberechtigungen zum Verwalten aller Öffentlichen Ordner. Dieser Administratorrolle wird das erweiterte Recht "Öffentliche Ordner der obersten Ebene erstellen" erteilt. Mitglieder dieser Rolle können Öffentliche Ordner erstellen und löschen und die Einstellungen Öffentlicher Ordner wie etwa Replikate, Kontingente, Verfallszeiten, Verwaltungsberechtigungen und Clientberechtigungen verwalten. Diese Administratorrolle kann Öffentliche Ordner für E-Mail aktivieren, jedoch keine auf Nachrichtenempfänger bezogenen Eigenschaften für Öffentliche Ordner wie etwa die Proxyadressen ändern. Zu diesem Zweck ist die Mitgliedschaft in der Rolle Exchange-Empfängeradministratoren erforderlich.

In der folgenden Tabelle sind die Exchange 2007-Administratorrollen und die zugehörigen Exchange-Berechtigungen aufgeführt:

 

Administratorrolle Mitglieder Mitglied von Exchange-Berechtigungen

Exchange-Organisationsadministratoren

Administrator, oder das Konto wurde zum Installieren des ersten Servercomputers mit Exchange 2007 verwendet

Exchange-Empfängeradministrator

Administratoren der lokalen Gruppe von <Servername>

Vollzugriff auf den Microsoft Exchange-Container in Active Directory

Exchange-Empfängeradministratoren

Exchange-Organisationsadministratoren

Exchange-Administrator mit Leserechten

Vollzugriff auf die Exchange-Eigenschaften für das Active Directory-Benutzerobjekt

Exchange-Serveradministratoren

 

Exchange-Administrator mit Leserechten

Administratoren der lokalen Gruppe von <Servername>

Vollzugriff auf Exchange <Servername>

Exchange-Administrator mit Leserechten

Exchange-Empfängeradministratoren

Exchange-Administratoren - Öffentliche Ordner

Exchange-Empfängeradministratoren

Exchange-Serveradministratoren

Lesezugriff auf den Microsoft Exchange-Container in Active Directory

Lesezugriff auf alle Windows-Domänen, die über Exchange-Empfänger verfügen.

Server mit Exchange

Jedes Exchange 2007-Computerkonto

Exchange-Administrator mit Leserechten

Sonderfall

Exchange-Administratoren - Öffentliche Ordner

Exchange-Organisationsadministratoren

Exchange-Administratoren mit Leserechten

Möglichkeit der administrativen Verwaltung Öffentlicher Ordner.

Exchange verwendet zahlreiche Attribute, um Exchange-Daten zu speichern. Exchange verwendet außerdem andere Empfängerattribute, die von anderen verzeichnisaktivierten Anwendungen, die die Exchange-Daten verwenden, verwendet werden können. Auf diesem Grund wurden diese Attribute den Exchange-spezifischen Eigenschaftenmengen nicht hinzugefügt. Diese Attribute sind ggf. in anderen Eigenschaftenmengen gespeichert, die während der Active Directory-Installation erstellt werden, oder sie gehören zu keiner Eigenschaftenmenge.

Die in der folgenden Tabelle aufgeführten Attribute sind die Daten, die für Endbenutzer über Microsoft Office Outlook in der globalen Adressliste (GAL) bereitgestellt werden. Wenn ein Exchange-Administrator diese Attribute aktualisieren können muss und nicht Mitglied einer domänenprivilegierten Sicherheitsgruppe wie z. B. der Gruppe Konten-Operatoren ist, muss der Active Directory-Administrator Lese/Schreibberechtigung erteilen.

 

Gilt für Objekt Oberflächenelement der Exchange-Verwaltungskonsole Attribut Beschreibung

Benutzer, Kontakt

Registerkarte Benutzerinformationen oder Kontaktinformationen in den Eigenschaften des Benutzer oder Kontakts

givenName

Vorname

Benutzer, Kontakt

Registerkarte Benutzerinformationen oder Kontaktinformationen in den Eigenschaften des Benutzer oder Kontakts

initials

Mittelinitial

Benutzer, Kontakt

Registerkarte Benutzerinformationen oder Kontaktinformationen in den Eigenschaften des Benutzer oder Kontakts

sn

Nachname

Benutzer, Kontakt

Registerkarte Benutzerinformationen oder Kontaktinformationen in den Eigenschaften des Benutzer oder Kontakts

info

Anmerkungsfeld

Benutzer, Kontakt

Registerkarte Adresse und Telefon in den Eigenschaften des Benutzers oder Kontakts

streetAddress

Straße

Benutzer, Kontakt

Registerkarte Adresse und Telefon in den Eigenschaften des Benutzers oder Kontakts

l

Ort

Benutzer, Kontakt

Registerkarte Adresse und Telefon in den Eigenschaften des Benutzers oder Kontakts

st

Bundesland/Kanton

Benutzer, Kontakt

Registerkarte Adresse und Telefon in den Eigenschaften des Benutzers oder Kontakts

postalCode

PLZ

Benutzer, Kontakt

Registerkarte Adresse und Telefon in den Eigenschaften des Benutzers oder Kontakts

countryCode

Land/Region

Benutzer, Kontakt

Registerkarte Adresse und Telefon in den Eigenschaften des Benutzers oder Kontakts

telephoneNumber

Telefonnummer (geschäftlich)

Benutzer, Kontakt

Nur in der Exchange-Verwaltungsshell verfügbar

otherTelephoneNumber

Alternative Telefonnummer (geschäftlich)

Benutzer, Kontakt

Registerkarte Adresse und Telefon in den Eigenschaften des Benutzers oder Kontakts

pager

Pager

Benutzer, Kontakt

Registerkarte Adresse und Telefon in den Eigenschaften des Benutzers oder Kontakts

facsimileTelephoneNumber

Fax

Benutzer, Kontakt

Registerkarte Adresse und Telefon in den Eigenschaften des Benutzers oder Kontakts

homePhone

Telefon (privat)

Benutzer, Kontakt

Nur in der Exchange-Verwaltungsshell verfügbar

otherHomePhone

Alternative Telefonnummer (privat)

Benutzer, Kontakt

Registerkarte Adresse und Telefon in den Eigenschaften des Benutzers oder Kontakts

mobile

Mobiltelefon

Benutzer, Kontakt

Nur in der Exchange-Verwaltungsshell verfügbar

otherfacsimileTelephoneNumber

Alternative Faxnummer

Kontakt

Nur in der Exchange-Verwaltungsshell verfügbar

telephoneAssistant

Telefonnummer des Sekretariats

Kontakt

Active Directory Service Interfaces-Bearbeitung (ADSI)/LDAP

telephoneAssistant

Telefonnummer des Sekretariats

Benutzer, Kontakt

Registerkarte Organisation in den Eigenschaften des Benutzers oder Kontakts

title

Position

Benutzer, Kontakt

Registerkarte Organisation in den Eigenschaften des Benutzers oder Kontakts

company

Firma

Benutzer, Kontakt

Registerkarte Organisation in den Eigenschaften des Benutzers oder Kontakts

department

Abteilung

Benutzer, Kontakt

Registerkarte Organisation in den Eigenschaften des Benutzers oder Kontakts

physicalDeliveryOfficeName

Büro

Benutzer, Kontakt

Registerkarte Organisation in den Eigenschaften des Benutzers oder Kontakts

manager

Vorgesetzter

Benutzer, Kontakt

Registerkarte Organisation in den Eigenschaften des Benutzers oder Kontakts

directReports

Direkt unterstellt

Benutzer, Kontakt

Nur in der Exchange-Verwaltungsshell verfügbar

msExchAssistantName

Name des Assistenten

Gruppe

Registerkarte Gruppeninformationen in den Eigenschaften der Gruppe

managedBy

Besitzer der Gruppe

Gruppe

Registerkarte Gruppeninformationen in den Eigenschaften der Gruppe

info

Anmerkungsfeld

Weitere Informationen zum Delegieren von Berechtigungen mithilfe der Exchange-Verwaltungsfunktionen finden Sie unter Add-ExchangeAdministrator.

Weitere Informationen zum Vorbereiten von Active Directory und von Domänen für Exchange 2007 finden Sie unter Vorbereiten von Active Directory und Domänen.

Um zu gewährleisten, dass Sie die neuesten Informationen lesen, und zusätzliche Exchange Server 2007-Dokumentation zu finden, besuchen Sie das Exchange Server TechCenter.
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft