Planen und Implementieren eines geteilten Berechtigungsmodells

  • Artikel

 

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2008-02-05

Organisationen, die ein geteiltes Berechtigungsmodell implementieren, möchten normalerweise bestimmte Berechtigungen einschränken, die Administratoren erteilt wurden, um die Verantwortlichkeiten und die Sicherheit zu optimieren. In Microsoft Exchange Server 2007 werden Berechtigungen für Exchange-Empfängerattribute gruppiert. Dadurch wird die manuelle Konfiguration von Berechtigungen minimiert, die zum Trennen von Exchange-Berechtigungen von anderen Verwaltungsberechtigungen vorgenommen werden muss.

Standardmäßig können nur Exchange-Organisationsadministratoren Exchange-Empfänger- und Konfigurationsdaten verwalten. Um die Objekterstellung, -änderung und -löschung innerhalb einer bestimmten Domäne zu verwalten, müssen diese Administratoren jedoch auch Mitglieder der Sicherheitsgruppe Windows-Konten-Operatoren oder einer Sicherheitsgruppe auf höherer Ebene sein. Weitere Informationen zum Erteilen von Konten-Operatorenberechtigungen finden Sie in der Produkthilfe zu Windows Server 2003.

Zugriffssteuerung

Zum Verwalten von Exchange betreffenden Attributen für Objekte im Domänennamenskontext der Gesamtstruktur muss die Gruppe Exchange-Serveradministratoren über Änderungsberechtigungen verfügen. Dies geschieht durch Ändern der Sicherheitsbeschreibung für das Objekt, das die Attribute enthält.

Eine Sicherheitsbeschreibung enthält zwei Zugriffssteuerungslisten (Access Control Lists, ACLs). Eine ACL ist eine Liste von Benutzer- oder Sicherheitsgruppenobjekten, deren Zugriff auf eine Ressource oder ein Objekt gewährt oder verweigert wird. Über ACLs können bestimmte Berechtigungen für ein gesamtes Objekt, einen Teil der Eigenschaften des Objekts oder eine einzelne Eigenschaft eines Objekts eingerichtet werden. In der Sicherheitsbeschreibung eines Objekts befinden sich zwei Arten von Zugriffssteuerungslisten:

  • Freigegebene Zugriffssteuerungslisten (DACLs, Discretionary Access Control Lists)   In DACLs werden die Benutzer und Gruppen bestimmt, denen Zugriffsberechtigungen auf ein Objekt gewährt oder verweigert werden. Wenn ein Benutzer oder eine Gruppe, in der ein Benutzer Mitglied ist, in einer DACL nicht ausdrücklich genannt ist, wird dem Benutzer der Zugriff auf dieses Objekt verweigert. In der Standardeinstellung wird eine DACL vom Eigentümer des Objekts gesteuert oder von der Person, die das Objekt erstellt hat. Sie enthält Zugriffssteuerungseinträge (Access Control Entries, ACEs), durch die der Benutzerzugriff auf das Objekt festgelegt wird.

  • System-Zugriffssteuerungslisten (SACLs, System Access Control Lists)   In SACLs werden die Benutzer und Gruppen bestimmt, die überwacht werden sollen, wenn sie erfolgreich auf ein Objekt zugreifen oder ein Zugriffsfehler auftritt. In der Standardeinstellung wird eine SACL durch den Eigentümer des Objekts gesteuert oder durch die Person, die das Objekt erstellt hat. Eine SACL enthält Zugriffssteuerungseinträge (ACEs), durch die festgelegt wird, ob ein erfolgreicher oder fehlerhafter Zugriff eines Benutzers auf ein Objekt mit einer bestimmten Berechtigung (z. B. Vollzugriff oder Lesen) aufgezeichnet werden soll.

Ein Zugriffssteuerungseintrag (Access Control Entry, ACE) ist ein Eintrag in der DACL eines Objekts, durch den einem Benutzer oder einer Gruppe Berechtigungen erteilt werden. Ein ACE ist außerdem ein Eintrag in der SACL eines Objekts, in dem die zu überwachenden Sicherheitsereignisse für einen Benutzer oder eine Gruppe angegeben werden.

Ebenen für die Anwendung von Berechtigungen

Eine Gesamtstruktur des Active Directory-Verzeichnisdiensts besteht aus einer oder mehreren Domänen, die eine gemeinsame Konfiguration und eine gemeinsame Schemagrenze aufweisen. Innerhalb dieser Domänen können Objekte auch in Containern geordnet sein, die als Organisationseinheiten bezeichnet werden. Die Administratoren jeder Organisation müssen eine Struktur von Organisationseinheiten entwickeln, die ihren geschäftlichen Anforderungen entspricht und eine optimale Delegierung der administrativen Berechtigungen ermöglicht.

Weitere Informationen zum Entwurf einer Struktur von Organisationseinheiten finden Sie in den Dokumentationen Bewährte Methoden für den Active Directory-Entwurf zum Verwalten von Windows-Netzwerken und Bewährte Methoden zum Delegieren der Active Directory-Verwaltung.

Bei der Entwicklung eines Delegierungsmodells gibt es verschiedene Methoden zum Anwenden von Berechtigungen. In diesem Thema werden jedoch nur die folgenden beiden Methoden behandelt:

  • Anwenden von Berechtigungen auf Domänenebene

  • Anwenden von Berechtigungen auf Organisationseinheitenebene

Anwenden von Berechtigungen auf Domänenebene

Wenn Sie delegierte Berechtigungen auf Domänenebene anwenden, werden die Berechtigungen von allen Objekten geerbt. Dies beinhaltet Benutzer, Kontakte, Gruppen, Domänen-DNS und Computer. Auf Domänencontrollern mit Microsoft Windows 2000 Server führt das Hinzufügen einer vererbbaren ACE auf Domänenebene dazu, dass die DACL für jedes Objekt innerhalb der Domäne geändert wird. Je nach der Anzahl der hinzugefügten ACEs und der Anzahl von Objekten innerhalb der Domäne können diese Änderungen zu einer Übersättigung der ACLs führen, d. h. zu unnötigen ACEs für Objekte, durch die die Größe der ACL erhöht wird. Durch die ACL-Übersättigung wird die physikalische Größe der Datei Ntds.dit für alle Domänencontroller in der Domäne erhöht. Dies kann Active Directory-Leistungsprobleme verursachen.

Auf Domänencontrollern mit Microsoft Windows Server 2003 wird eine eindeutige Sicherheitsbeschreibung nur einmal gespeichert. Sie wird nicht für jedes Objekt gespeichert, das sie erbt. Durch diese Änderung wird die Datenredundanz verringert sowie das Datenbankwachstum reduziert, das aus Änderungen vererbbarer ACEs entstehen kann.

Anwenden von Berechtigungen auf Organisationseinheitenebene

Die empfohlene Methode für die Anwendung von Berechtigungen besteht in der Anwendung der Berechtigungen auf eine übergeordnete Organisationseinheit. Durch diese Vorgehensweise wird die Anwendung der Berechtigungen auf bestimmte Klassenobjekte in der Organisationseinheit und deren untergeordneten Containern isoliert. Für diese Methode ist es erforderlich, dass alle verwalteten Objekte unterhalb einer übergeordneten Organisationseinheit gespeichert werden. Durch Geschäftsanforderungen wird möglicherweise verhindert, dass Ihre Organisation diese Methode anwenden kann. Sollte dies der Fall sein, können Sie die Berechtigungen auf mehrere Organisationseinheiten anwenden.

Anwenden von Berechtigungen

Microsoft stellt zwei Tools zum Anwenden von Berechtigungen zur Verfügung:

  • ADSI-Bearbeitung (AdsiEdit.msc)

  • DSACLS (Dsacls.exe)

Beide Tools sind auf der Windows Server 2003-CD im Verzeichnis Support\Tools enthalten. Berechtigungen können auch mit verschiedenen Produkten von Drittanbietern angewendet werden.

Hinweis

Wenn Sie die Attribute von Active Directory-Objekten nicht ordnungsgemäß ändern, wenn Sie die Active Directory-Dienstschnittstellen ADSI Edit, DSACLS, das LDP-Tool (Ldp.exe) oder einen anderen LDAP-Client (Lightweight Directory Access Protocol) der Version 3 verwenden, können schwerwiegende Probleme auftreten. Bei Auftreten dieser Probleme müssen Sie ggf. Windows Server, Exchange 2007 oder beide Anwendungen erneut installieren. Das Ändern von Active Directory-Attributen geschieht daher auf eigenes Risiko.

Weitere Informationen zur Verwendung von ADSI Edit finden Sie unter Verwenden von ADSI zum Anwenden von Berechtigungen.

Das empfohlene Verfahren zum Anwenden von Berechtigungen in Exchange 2007 ist die Verwendung des Cmdlets Add-ADPermission in der Exchange-Verwaltungsshell. Weitere Informationen finden Sie unter Add-ADPermission. Weitere Informationen zur Exchange-Verwaltungsshell finden Sie unter Verwenden der Exchange-Verwaltungsshell.

Beispiele für das Anwenden von Berechtigungen

Aufgrund der Implementierung von Eigenschaftenmengen in Exchange 2007 sind für die Implementierung eines geteilten Berechtigungsmodells weitaus weniger ACEs als in früheren Versionen von Exchange Server erforderlich.

Damit ein Exchange 2007-Administrator alle nachrichtenbezogenen Eigenschaften verwalten kann, muss der Administrator innerhalb der Domänenpartition über die folgenden Berechtigungen verfügen:

  • Schreibzugriff auf die folgenden Eigenschaftenmengen:

    • Persönliche Exchange-Informationen

    • Exchange-Informationen

  • Schreibzugriff auf die folgenden Attribute:

    • legacyExchangeDN

    • displayName

    • adminDisplayName

    • displayNamePrintable

    • publicDelegates

    • garbageCollPeriod

    • textEncodedORAddress

    • showInAddressBook

    • proxyAddresses

    • mail

  • Berechtigung zum Erstellen für msExchDynamicDistributionList-Objekte.

  • Berechtigung zum Löschen für msExchDynamicDistributionList-Objekte.

  • Vollzugriff auf msExchDynamicDistributionList-Objekte.

  • Generische Leseberechtigung. Dies beinhaltet die Berechtigung Lesen, Inhalt auflisten. Objekt auflisten und Alle Eigenschaften lesen.

Neben diesen Berechtigungen muss der Empfängeradministrator über die folgenden Berechtigungen in der Exchange-Organisation verfügen:

  • Rolle Exchange-Administrator mit Leserechten oder höher

    Hinweis

    Für bestimmte Vorgänge, z. B. das Verschieben von Postfächern, ist die Exchange-Serveradministrator-Rolle oder eine höhere Rolle erforderlich.

  • Schreibzugriff auf die Attribute msExchLastAppliedRecipientFilter und msExchRecipientFilterFlags für den Adresslistencontainer in der Exchange-Organisation. Diese Berechtigungen sind erforderlich, damit der Empfängeradministrator das Cmdlet Update-AddressList ausführen kann.

  • Schreibzugriff auf die Attribute msExchLastAppliedRecipientFilter und msExchRecipientFilterFlags für den Empfängerrichtliniencontainer in der Exchange-Organisation. Diese Berechtigungen sind erforderlich, damit der Empfängeradministrator das Cmdlet Update-EmailAddressPolicy ausführen kann.

  • Das erweiterte Recht Access Recipient Update Service für die administrative Exchange 2007-Gruppe. Dieses erweiterte Recht ist erforderlich, weil der Empfänger in Exchange 2007 während des Bereitstellungsvorgangs mit den adressbezogenen Informationen gestempelt wird.

Hinweis

Diese Berechtigungen sind für die Verwaltung der Attribute erforderlich, die für Exchange spezifisch sind. Exchange-Administratoren können nur dann Attribute verwalten, die außerhalb von Exchange erstellt wurden, wenn an diese Administratoren die entsprechenden Berechtigungen delegiert wurden.

Anwenden von Berechtigungen mithilfe der Exchange-Verwaltungsshell

In diesem Abschnitt finden Sie ein Beispiel für die Verwendung der Exchange-Verwaltungsshell zum Delegieren von Berechtigungen.

Mithilfe der Befehle in diesem Beispiel können die Administratoren in der Sicherheitsgruppe OU1AdminGroup Empfänger für E-Mail aktivieren bzw. deaktivieren, E-Mail-Adressen verwalten und Namen für alle Benutzer, Gruppen und Kontakte anzeigen, die in Container1 in der Organisationseinheithierarchie in der Gesamtstruktur Contoso.com enthalten sind, die die Exchange-Organisation ContosoOrg enthält. 

Wenn Sie diese Aufgaben für Ihre Organisation ausführen möchten, führen Sie die folgenden Befehle für jeden Container aus, auf den Sie Zugriff erteilen möchten. Ersetzen Sie den Domänennamen, die Exchange-Organisation und die Kontoinformationen durch die Informationen für Ihre Domäne.

Sie müssen die folgenden Befehle in der angegebenen Reihenfolge ausführen, um die Berechtigungen zu erteilen.

  1. Führen Sie den folgenden Befehl aus, um Exchange-bezogene Attribute für Objekte innerhalb der Organisationseinheit zu verwalten.

    Add-ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights ReadProperty, WriteProperty -Properties Exchange-Information, Exchange-Personal-Information, legacyExchangeDN, displayName, adminDisplayName, displayNamePrintable, publicDelegates, garbageCollPeriod, textEncodedORAddress, showInAddressBook, proxyAddresses, mail

  2. Führen Sie den folgenden Befehl aus, um generische Leseberechtigung für Objekte alle innerhalb der Organisationseinheit zu erteilen.

    Add-ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights GenericRead

  3. Führen Sie die folgenden Befehle aus, um die entsprechende Berechtigung zum Verwalten dynamischer Verteilergruppen innerhalb der Organisationseinheit zu erteilen:

    Add-ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights GenericAll -InheritanceType Descendents -InheritedObjectType msExchDynamicDistributionList
Add-ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights CreateChild, DeleteChild -ChildObjectTypes msExchDynamicDistributionList

    Führen Sie für Exchange 2007 Service Pack 1 (SP1) den folgenden Befehl aus:

    ADPermission -Identity "ou=Container1,dc=Contoso,dc=com" -User "Contoso\OU1AdminGroup" -AccessRights GenericAll -ChildObjectTypes msExchDynamicDistributionList

  4. Führen Sie den folgenden Befehl aus, um der Sicherheitsgruppe OU1AdminGroup das erweiterte Recht für den Zugriff auf den Empfängeraktualisierungsdienst zu erteilen.

    Add-ADPermission -Identity "CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" -User "Contoso\OU1AdminGroup " -InheritedObjectType ms-Exch-Exchange-Server -ExtendedRights ms-Exch-Recipient-Update-Access -InheritanceType Descendents

  5. Führen Sie die folgenden Befehle aus, um der Sicherheitsgruppe OU1AdminGroup die Berechtigung zum Aktualisieren der Adresslisten und E-Mail-Adressenrichtlinien zu erteilen.

    Add-ADPermission -Identity "CN=Address Lists Container,CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" -User "company\OU1AdminGroup" -AccessRights WriteProperty -Properties msExchLastAppliedRecipientFilter, msExchRecipientFilterFlags
Add-ADPermission -Identity "CN=Recipient Policies,CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" -User "company\OU1AdminGroup" -AccessRights WriteProperty -Properties msExchLastAppliedRecipientFilter, msExchRecipientFilterFlags

Wenn dieser Vorgang erfolgreich ist, gibt jeder Befehl die ACEs aus, die dem Objekt hinzugefügt wurden.

Anwenden von Berechtigungen mithilfe von DSACLS

In diesem Abschnitt finden Sie ein Beispiel für die Verwendung von DSACLS (Dsacls.exe) zum Anwenden von Berechtigungen.

Bei DSACLS handelt es sich um ein Befehlszeilentool, das zum Anfordern und Ändern von Berechtigungen und Sicherheitsattributen von Active Directory-Objekten verwendet wird. DSACLS ist im Lieferumfang der Windows Server 2003-Supporttools enthalten. Es handelt sich um die Befehlszeilenentsprechung der Registerkarte Sicherheit in Windows 2000 Server Active Directory-Snap-In-Tools, z. B. Active Directory-Benutzer und -Computer sowie Active Directory-Standorte und -Dienste.

Mithilfe der Befehle in diesem Beispiel können die Administratoren in der Sicherheitsgruppe OU1AdminGroup Empfänger für E-Mail aktivieren bzw. deaktivieren, E-Mail-Adressen verwalten und Namen für alle Benutzer, Gruppen und Kontakte anzeigen, die in OUContainer1 in der Organisationseinheithierarchie in der Gesamtstruktur Contoso.com enthalten sind, die die Exchange-Organisation ContosoOrg enthält. 

Hinweis

Bei DSACLS wird zwischen Groß- und Kleinschreibung unterschieden. Daher müssen Sie in der an DSACLS übermittelten Syntax genau vorgehen, da alle Zeichen als Literale übermittelt werden. Dies schließt Leerzeichen und Wagenrücklaufzeichen ein. Wenn von DSACLS Fehler ausgegeben werden, überprüfen Sie den Befehl auf seine Richtigkeit, oder unterteilen Sie den Befehl in kleinere Segmente. Weitere Informationen zum Verwenden von DSACLS finden Sie im Microsoft Knowledge Base-Artikel 281146 Verwenden von "Dsacls.exe" in Windows Server 2003 und Windows 2000.

Sie müssen die folgenden Befehle in der angegebenen Reihenfolge ausführen, um die Berechtigungen zu erteilen.

  1. Melden Sie sich an einem Computer in der Gesamtstruktur an, auf dem die Windows-Supporttools installiert sind. Verwenden Sie dazu ein Konto, über das dies Aufgaben durchgeführt werden können (z. B. Domänen-Admin). Ersetzen Sie den Domänennamen, die Exchange-Organisation und die Kontoinformationen durch Ihre Domäneninformationen.

  2. Öffnen Sie ein Eingabeaufforderungsfenster, und geben Sie den folgenden Befehl ein, um Exchange-bezogene Attribute für Objekte innerhalb der Organisationseinheit zu verwalten.

    dsacls "OU=OUContainer1,DC=Contoso,DC=com" /I:T /G "Contoso\OU1AdminGroup:RPWP;legacyExchangeDN" "Contoso\OU1AdminGroup:RPWP;displayName" "Contoso\OU1AdminGroup:RPWP;adminDisplayName" "Contoso\OU1AdminGroup:RPWP;displayNamePrintable" "Contoso\OU1AdminGroup:RPWP;publicDelegates" "Contoso\OU1AdminGroup:RPWP;garbageCollPeriod" "Contoso\OU1AdminGroup:RPWP;textEncodedORAddress" "Contoso\OU1AdminGroup:RPWP;showInAddressBook" "Contoso\OU1AdminGroup:RPWP;proxyAddresses" "Contoso\OU1AdminGroup:RPWP;mail" "Contoso\OU1AdminGroup:RPWP;Exchange Personal Information" "Contoso\OU1AdminGroup:RPWP;Exchange Information" "Contoso\OU1AdminGroup:CCDC;msExchDynamicDistributionList" "Contoso\OU1AdminGroup:GR;"

  3. Öffnen Sie ein Eingabeaufforderungsfenster, und geben Sie den folgenden Befehl ein, um die entsprechende Rechte zum Verwalten dynamischer Verteilergruppen innerhalb der Organisationseinheit zu erteilen.

    dsacls "OU=OUContainer1,DC=Contoso,DC=com" /I:S /G "Contoso\OU1AdminGroup:GA;; msExchDynamicDistributionList"

  4. Öffnen Sie ein Eingabeaufforderungsfenster, und geben Sie den folgenden Befehl ein, um der Sicherheitsgruppe OU1AdminGroup das erweiterte Recht für den Zugriff auf den Empfängeraktualisierungsdienst zu erteilen.

    dsacls "CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" /I:S /G "Contoso\OU1AdminGroup:CA;Access Recipient Update Service;msExchExchangeServer"

  5. Öffnen Sie ein Eingabeaufforderungsfenster, und geben Sie die folgenden Befehle ein, um der Sicherheitsgruppe OU1AdminGroup die Berechtigung zum Aktualisieren der Adresslisten und E-Mail-Adressenrichtlinien zu erteilen.

    dsacls "CN=Address Lists Container, CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" /I:T /G "company\OU1AdminGroup:WP;msExchLastAppliedRecipientFilter" "company\OU1AdminGroup:WP;msExchRecipientFilterFlags"
dsacls "CN=Recipient Policies, CN=ContosoOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Contoso,DC=com" /I:T /G "company\OU1AdminGroup:WP;msExchLastAppliedRecipientFilter" "company\OU1AdminGroup:WP;msExchRecipientFilterFlags"

Wenn dieser Vorgang erfolgreich war, gibt der Befehl die überarbeitete Windows-Sicherheitsbeschreibung aus und zeigt in der Eingabeaufforderung The command completed successfully an.

Skript zum Konfigurieren geteilter Berechtigungen

Im Verzeichnis \Exchange Server\Scripts finden Sie ein Skript, das Sie bei der Konfiguration des geteilten Berechtigungsmodells unterstützen kann.

Mithilfe der Exchange-Verwaltungsshell können Sie das folgende Skript ausführen:

  • ConfigureSplitPerms.ps1   Sie können das Skript ConfigureSplitPerms.ps1 zum Konfigurieren der erforderlichen Berechtigungen verwenden, die in diesem Thema beschrieben werden.

Weitere Informationen zum Skripting finden Sie unter Verwenden der Exchange-Verwaltungsshell.

Weitere Informationen

Weitere Informationen über geteilte Berechtigungen, Exchange-spezifische Attribute sowie benutzer-, kontakt- und gruppenbezogene Aufgaben finden Sie unter Referenz zu geteilten Berechtigungsmodellen.