Grundlegendes zu Berechtigungen bei Koexistenz mit Exchange 2007
Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Letztes Änderungsdatum des Themas: 2016-11-28
Das Modell der Berechtigungen in Microsoft Exchange Server 2010 wurde im Vergleich zu Modellen früherer Versionen von Exchange verbessert. Exchange 2010 umfasst Berechtigungen für rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC), die das in Microsoft Active Directory verwendete Autorisierungsmodell basierend auf einem Exchange Server 2007-Zugriffsteuerungseintrag (Access Control Entry, ACE) ersetzen. RBAC steht für den in der Verwaltung von Exchange 2010 am häufigsten verwendeten Autorisierungsmechanismus. Dieser Mechanismus umfasst die folgenden Verwaltungsbereiche:
Exchange-Verwaltungsshell
Exchange-Systemsteuerung
Exchange-Verwaltungskonsole
Exchange-Webdienste
Komponente "MAPI on the Middle Tier (MoMT)"
Weitere Informationen dazu, wie die Koexistenz zwischen Exchange 2010 und früheren Versionen von Exchange geplant werden kann, finden Sie unter Grundlegendes zum Upgrade auf Exchange 2010.
Möchten Sie wissen, welche Verwaltungsaufgaben es im Zusammenhang mit Berechtigungen gibt? Weitere Informationen finden Sie hier: Verwalten von Berechtigungen.
Exchange 2010-Berechtigungen
Das Exchange 2010 RBAC-Berechtigungsmodell besteht aus Verwaltungsrollengruppen, denen eine von mehreren Verwaltungsrollen zugewiesen wurde. Verwaltungsrollen umfassen Berechtigungen, die Administratoren das Ausführen von Aufgaben in der Exchange-Organisation ermöglichen. Administratoren werden als Mitglieder der Rollengruppen hinzugefügt und erhalten sämtliche Berechtigungen der Rollen. Die folgende Tabelle enthält Beispiele für Rollengruppen, den Rollengruppen zugewiesene Rollen sowie eine Beschreibung des Typs von Benutzer, der Mitglied der Rollengruppe sein kann.
Beispiele für Rollengruppen und Rollen in Exchange 2010
| Verwaltungsrollengruppe | Verwaltungsrollen | Mitglieder dieser Rollengruppe |
|---|---|---|
Organisationsverwaltung |
Im Folgenden sind einige Rollen aufgeführt, die dieser Rollengruppe zugewiesen sind:
|
Benutzer, die die gesamte Exchange 2010-Organisation verwalten, sollten Mitglied dieser Rollengruppe sein. Mit einigen Ausnahmen können Mitglieder dieser Rollengruppe praktisch jeden Aspekt der Exchange 2010-Organisation verwalten. Das zur Vorbereitung von Active Directory für Exchange 2010 verwendete Benutzerkonto ist standardmäßig Mitglied dieser Rollengruppe. Weitere Informationen zu dieser Rollengruppe und eine umfassende Liste der Rollen, die dieser Rollengruppe zugewiesen sind, finden Sie unter Organisationsverwaltung. |
Organisationsverwaltung – nur Leserechte |
Im Folgenden sind die Rollen aufgeführt, die dieser Rollengruppe zugewiesen sind:
|
Benutzer, die die Konfiguration der gesamten Exchange 2010-Organisation anzeigen, sollten Mitglied dieser Rollengruppe sein. Diese Benutzer müssen in der Lage sein, Informationen zur Serverkonfiguration und zu Empfängern anzuzeigen und Überwachungsfunktionen auszuführen, ohne die Organisations- oder Empfängerkonfiguration ändern zu können. Weitere Informationen zu dieser Rollengruppe finden Sie unter Organisationsverwaltung – nur Leserechte. |
Empfängerverwaltung |
Im Folgenden sind die Rollen aufgeführt, die dieser Rollengruppe zugewiesen sind:
|
Benutzer, die Empfänger (z. B. Postfächer, Kontakte und Verteilergruppen) in der Exchange 2010-Organisation verwalten, sollten Mitglied dieser Rollengruppe sein. Diese Benutzer können Empfänger erstellen, vorhandene Empfänger ändern oder löschen und Postfächer verschieben. Weitere Informationen zu dieser Rollengruppe und eine umfassende Liste der Rollen, die dieser Rollengruppe zugewiesen sind, finden Sie unter Empfängerverwaltung. |
Serververwaltung |
Im Folgenden sind einige Rollen aufgeführt, die dieser Rollengruppe zugewiesen sind:
|
Benutzer, die die Exchange-Serverkonfiguration (z. B. Empfangsconnectors, Zertifikate, Datenbanken und virtuelle Verzeichnisse) verwalten, sollten Mitglied dieser Rollengruppe sein. Diese Benutzer können die Exchange-Serverkonfiguration ändern, Datenbanken erstellen und Transportwarteschlangen neu starten und bearbeiten. Weitere Informationen zu dieser Rollengruppe und eine umfassende Liste der Rollen, die dieser Rollengruppe zugewiesen sind, finden Sie unter Serververwaltung. |
Discoveryverwaltung |
Im Folgenden sind die Rollen aufgeführt, die dieser Rollengruppe zugewiesen sind:
|
Benutzer, die für juristische Vorgänge Postfächer durchsuchen oder die rechtliche Aufbewahrungspflicht konfigurieren, sollten Mitglied dieser Rollengruppe sein. Dies ist ein Beispiel für eine Rollengruppe, die Mitglieder enthalten kann, bei denen es sich nicht um Exchange-Administratoren handelt (z. B. Mitarbeiter der Rechtsabteilung). Mitarbeiter der Rechtsabteilung können ihre Aufgaben ohne Eingriffe durch Exchange-Administratoren ausführen. Weitere Informationen zu dieser Rollengruppe und eine umfassende Liste der Rollen, die dieser Rollengruppe zugewiesen sind, finden Sie unter Erkennungsverwaltung. |
Diese Tabelle zeigt, dass in Exchange 2010 präzise gesteuert werden kann, welche Berechtigungen Administratoren erteilt werden. In Exchange 2010 sind elf Rollengruppen verfügbar. Eine umfassende Liste der Rollengruppen und der Berechtigungen, die über diese Gruppen bereitgestellt werden, finden Sie unter Integrierte Rollengruppen.
Da in Exchange 2010 viele Rollengruppen bereitgestellt werden und durch die Erstellung von Rollengruppen mit anderen Rollenkombinationen eine zusätzliche Anpassung möglich ist, ist das Bearbeiten von Zugriffssteuerungslisten für Active Directory-Objekte nicht mehr erforderlich und hat keine Auswirkungen. Zugriffssteuerungslisten werden nicht mehr zum Anwenden von Berechtigungen auf einzelne Administratoren oder Gruppen in Exchange 2010 verwendet. Sämtliche Aufgaben, z. B. die Postfacherstellung durch einen Administrator oder der Benutzerzugriff auf ein Postfach, werden über die rollenbasierte Zugriffssteuerung verwaltet. Die Berechtigung für eine Aufgabe wird über die rollenbasierte Zugriffsteuerung festgelegt, und Exchange führt, sofern zulässig, die Aufgabe im Namen des Benutzers aus. Exchange führt die Aufgabe in der universellen Sicherheitsgruppe "Exchange Trusted Subsystem" aus. Mit einigen Ausnahmen werden der universellen Sicherheitsgruppe "Active Directory Trusted Subsystem" sämtliche Berechtigungen in den Zugriffssteuerungslisten für Objekte in Exchange 2010 gewährt, auf die Exchange zugreifen muss. Dies ist eine grundlegende Änderung der Handhabung von Berechtigungen in Exchange 2007.
Die einem Benutzer in Active Directory erteilten Berechtigungen und die Berechtigungen, die dem Benutzer bei Verwendung der Exchange 2010-Verwaltungstools über die rollenbasierte Zugriffssteuerung erteilt werden, werden separat verwaltet.
Weitere Informationen zur rollenbasierten Zugriffssteuerung finden Sie unter Grundlegendes zur rollenbasierten Zugriffssteuerung.
Exchange 2007-Berechtigungen
Das Exchange 2007-Verwaltungsmodell nutzt Active Directory-Gesamtstrukturen zur Definition von Sicherheitsgrenzen. Innerhalb einer bestimmten Gesamtstruktur gibt es keine Isolierung von Sicherheitsberechtigungen. Besitzer von Gesamtstrukturen und Organisationsadministratoren haben immer Zugriff auf alle Ressourcen in jeder Domäne. In Exchange 2007 müssen Sie möglicherweise Organisations- und Domänenadministratorrechte auf oberster Ebene temporär erteilen.
Exchange 2007 bietet die folgenden vordefinierten Administratorrollen:
Exchange-Organisationsadministrator-Rolle Mit dieser Rolle erhält ein Benutzer Berechtigungen zum Steuern aller Aspekte der Exchange 2007-Organisation. Außerdem kann der Administrator, der über diese Rolle verfügt, anderen Exchange-Administratoren Berechtigungen erteilen. Diese Rolle wird dem Konto zugewiesen, mit dem Sie Exchange 2007 installieren.
Rolle "Exchange-Administrator mit Leserechten" Mit dieser Rolle erhält ein Benutzer Berechtigungen zur Anzeige von Exchange-Konfigurationen. Ein Administrator, der über diese Rolle verfügt, kann jedoch keine Objekte in der Exchange 2007-Organisation ändern.
Exchange-Empfängeradministrator-Rolle Mit dieser Rolle erhält ein Benutzer Berechtigungen zur Verwaltung von E-Mail-Empfängern. Ein Administrator, der über diese Rolle verfügt, kann Exchange-bezogene Elemente für Benutzer, Gruppen, Kontakte und Verteilergruppen ändern.
Exchange-Serveradministrator-Rolle Mit dieser Rolle erhält ein Benutzer Berechtigungen zur Verwaltung eines bestimmten Servers. Diese Rolle erteilt jedoch keine Berechtigungen zum Ausführen von Aktionen, die globale Auswirkungen auf die Exchange 2007-Organisation haben.
Rolle "Exchange Öffentlicher Ordner-Administrator" Diese Rolle wurde in Exchange 2007 Service Pack 1 hinzugefügt**.** Mit dieser Rolle erhält ein Benutzer Berechtigungen zur Verwaltung Öffentlicher Ordner in der Exchange 2007-Organisation.
Dieses Berechtigungsmodell verwendet universelle Sicherheitsgruppen für alle Rollen, ausgenommen für die Exchange-Serveradministratorrolle. Wenn Sie den Befehl Exchange 2007Setup /PrepareAD ausführen, erstellt das Setupprogramm die universellen Sicherheitsgruppen in der Stammdomäne und weist den Gruppen einen gesamtstrukturweiten Bereich zu. Den universellen Sicherheitsgruppen werden Zugriffssteuerungslisten zugewiesen, um Exchange-Objekte in Active Directory zu verwalten.
In Exchange 2007 können Sie Administratoren unterscheiden, indem Sie ihnen verschiedene Rollen zuweisen. Die Berechtigungen werden dem Benutzer oder der universellen Sicherheitsgruppe, deren Mitglied der Benutzer ist, direkt zugewiesen. Alle vom Benutzer ausgeführten Aktionen werden im Kontext des Active Directory-Kontos dieses Benutzers ausgeführt. In der folgenden Tabelle sind die Exchange 2007-Administratorrollen und die Exchange-bezogenen Berechtigungen aufgeführt:
Exchange 2007-Administratorrollen
| Administratorrolle | Mitglieder | Mitglied von | Exchange-Berechtigungen |
|---|---|---|---|
Exchange-Organisationsadministrator |
Das Administratorkonto oder das zur Installation des ersten Exchange 2007-Servers verwendete Konto |
Exchange-Empfängeradministrator Administratoren der lokalen Gruppe von <Servername> |
Vollzugriff auf den Microsoft Exchange-Container in Active Directory |
Exchange-Administrator mit Leserechten |
Exchange-Empfängeradministratoren Exchange-Serveradministratoren (<Servername>) |
Exchange-Empfängeradministratoren Exchange-Serveradministratoren |
Lesezugriff auf den Microsoft Exchange-Container in Active Directory Lesezugriff auf alle Windows-Domänen, die über Exchange-Empfänger verfügen |
Exchange-Empfängeradministrator |
Exchange-Organisationsadministratoren |
Exchange-Administratoren mit Leserechten |
Vollzugriff auf die Exchange-Eigenschaften für Active Directory-Benutzerobjekte |
Exchange-Serveradministrator |
Exchange-Organisationsadministratoren |
Exchange-Administratoren mit Leserechten Administratoren der lokalen Gruppe von <Servername> |
Vollzugriff auf Exchange<Servername> |
Exchange-Server |
Jedes Exchange 2007-Computerkonto |
Exchange-Administratoren mit Leserechten |
Sonderfall |
Exchange Öffentlicher Ordner-Administrator |
Exchange-Organisationsadministratoren |
Exchange-Administratoren mit Leserechten |
Vollzugriff auf alle Öffentlichen Ordner (erweitertes Recht "Öffentliche Ordner der obersten Ebene erstellen" erteilt) |
Wenn Sie präzisere Berechtigungszuweisungen erteilen müssen, können Sie die Zugriffssteuerungslisten für einzelne Exchange 2007-Objekte wie Adressen oder Datenbanken ändern. Sie müssen den Benutzer oder die Sicherheitsgruppe, in der der Benutzer Mitglied ist, direkt der Zugriffssteuerungsliste hinzufügen. Dann werden die Aktionen im Kontext des jeweiligen Benutzers ausgeführt.
Weitere Informationen dazu, wie Berechtigungen in Exchange 2007 verwaltet werden können, finden Sie unter Konfigurieren von Berechtigungen in Exchange Server 2007 (möglicherweise in englischer Sprache).
Berechtigungen bei Koexistenz von Exchange 2010 und Exchange 2007
Da sich die Berechtigungsmodelle von Exchange 2010 und Exchange 2007 unterscheiden, sind die Berechtigungszuweisungen von Exchange 2010 getrennt von den Berechtigungszuweisungen von Exchange 2007. Dies gilt sogar dann, wenn beide Versionen von Exchange in derselben Gesamtstruktur installiert sind. Ohne zusätzliche Konfiguration verfügen Exchange 2010-Administratoren nicht über die benötigten Berechtigungen zum Verwalten von Exchange 2007-basierten Servern, und Exchange 2007-Administratoren verfügen nicht über die erforderlichen Berechtigungen zum Verwalten von Exchange 2010-basierten Servern. Sie sollten die folgenden Fragen berücksichtigen:
Möchten Sie Exchange 2010-Administratoren Zugriff auf zu verwaltende Exchange 2007-Server erteilen?
Möchten Sie Exchange 2007-Administratoren Zugriff auf zu verwaltende Exchange 2010-Server erteilen?
Sollen Exchange 2010-Berechtigungen so angepasst werden, dass sie den Anpassungen in Exchange 2007-Zugriffssteuerungslisten entsprechen?
Zuweisen von Exchange 2010-Berechtigungen zu Exchange 2007-Administratoren
Wenn Exchange 2007-Administratoren Exchange 2010-Server verwalten sollen, müssen die Exchange 2007-Administratoren als Mitglieder zu einer oder mehreren Exchange 2010-Rollengruppen hinzugefügt werden. Sie können Benutzer oder universelle Sicherheitsgruppen zu Rollengruppen hinzufügen. Die Berechtigungen der Rollengruppen werden anschließend auf die Benutzer oder universellen Sicherheitsgruppen angewandt, die als Mitglieder hinzugefügt werden.
Wichtig
Bei Verwendung domänenlokaler oder globaler Active Directory-Sicherheitsgruppen müssen diese in universelle Sicherheitsgruppen geändert werden, um als Mitglieder einer Exchange 2010-Rollengruppe hinzugefügt werden zu können. Exchange 2010 unterstützt ausschließlich universelle Sicherheitsgruppen.
Die folgende Tabelle beschreibt eine Zuordnung zwischen Exchange 2007-Administratorrollen und Exchange 2010-Rollengruppen.
Exchange 2007-Administratorrollen und Exchange 2010-Rollengruppen
| Exchange 2007-Administratorrolle | Exchange 2010-Rollengruppe |
|---|---|
Exchange-Organisationsadministrator |
Organisationsverwaltung |
Exchange-Empfängeradministrator |
Empfängerverwaltung |
Exchange-Serveradministrator |
Server Management |
Exchange-Administrator mit Leserechten |
Organisationsverwaltung – nur Leserechte |
Exchange-Server |
Keine entsprechende Rollengruppe in Exchange 2010 (Weitere Informationen zum Erstellen benutzerdefinierter Rollengruppen finden Sie unter Erstellen einer Rollengruppe.) |
Exchange Öffentlicher Ordner-Administrator |
Verwaltung Öffentlicher Ordner |
Wenn sämtliche Exchange 2007-Administratoren Mitglied einer der Exchange 2007-Verwaltungsrollen sind, können Sie die Mitglieder der einzelnen Verwaltungsgruppen zu den entsprechenden Exchange 2010-Rollengruppen hinzufügen. Wenn Sie beispielsweise allen Exchange 2007-Organisationsadministratoren Vollzugriff auf Exchange 2010-Objekte erteilen möchten, fügen Sie die universelle Sicherheitsgruppe "Exchange Organization Administrators" zur Organisationsverwaltung-Rollengruppe hinzu.
Weitere Informationen zum Hinzufügen von Benutzern und universellen Sicherheitsgruppen zu Rollengruppen finden Sie unter Hinzufügen von Mitgliedern zu einer Rollengruppe.
Wenn Sie Zugriffssteuerungslisten für Exchange 2007-Objekte ändern, um die Zuweisung von Berechtigungen für Exchange 2007-Administratoren präziser steuern zu können, und diesen Administratoren ähnliche Berechtigungen für Exchange 2010-Server zugewiesen werden sollen, führen Sie die folgenden Schritte aus:
Überprüfen Sie die Anpassung der Zugriffssteuerungslisten für die Exchange 2007-Objekte, und ermitteln Sie die Administratoren, denen Berechtigungen für jedes Objekt erteilt wurden.
Kategorisieren Sie jedes Exchange 2007-Objekt. Bestimmen Sie beispielsweise, ob das Objekt eine Datenbank, ein Server oder ein Empfängerobjekt ist.
Ordnen Sie die Objekte der entsprechenden Exchange 2010-Rollengruppe zu. Eine Liste mit integrierten Rollengruppen finden Sie unter Integrierte Rollengruppen.
Fügen Sie die universellen Sicherheitsgruppen oder Benutzer für die einzelnen Objektarten zu den entsprechenden Exchange 2010-Rollengruppen hinzu. Weitere Informationen zum Hinzufügen von Benutzern und universellen Sicherheitsgruppen zu Rollengruppen finden Sie unter Hinzufügen von Mitgliedern zu einer Rollengruppe.
Nachdem Sie diese Schritte abgeschlossen haben, sind die Exchange 2007-Administratoren Mitglieder bestimmter Rollengruppen, die den entsprechenden Exchange 2010-Objekten zugewiesen werden. Die Exchange 2007-Administratoren können zum Verwalten der Exchange 2010-Server und -Empfänger die Exchange 2010-Verwaltungstools verwenden.
Wichtig
Im Allgemeinen müssen Exchange 2007-Server und -Empfänger über die Exchange 2007-Verwaltungstools, Exchange 2010-Server und -Empfänger über die Exchange 2010-Verwaltungstools verwaltet werden.
Wenn die integrierten Rollengruppen nicht über die spezifischen Berechtigungen verfügen, die einigen Administratoren zugewiesen werden sollen, können Sie benutzerdefinierte Rollengruppen erstellen. Beim Erstellen einer benutzerdefinierten Rollengruppe können Sie auswählen, welche Rollen dieser Gruppe zugewiesen werden sollen. So können Sie die spezifischen Funktionen definieren, die von den Mitgliedern der Rollengruppe verwaltet werden sollen. Wenn Administratoren z. B. ausschließlich Verteilergruppen verwalten sollen, können Sie eine benutzerdefinierte Rollengruppe erstellen und lediglich die Rolle "Verteilergruppen" auswählen. Anschließend können Mitglieder der benutzerdefinierten Rollengruppe nur Verteilergruppen verwalten. Weitere Informationen zum Erstellen benutzerdefinierter Rollengruppen finden Sie unter Erstellen einer Rollengruppe.
Wenn Sie für bestimmte Exchange 2007-Objekte spezifische Berechtigungen zugewiesen haben, sodass Administratoren z. B. lediglich zur Verwaltung bestimmter Datenbanken berechtigt sind, und Sie dieselbe Konfiguration auf Ihre Exchange 2010-Server anwenden möchten, finden Sie unter "Erneutes Erstellen der Anpassung einer Exchange 2007-Zugriffssteuerungsliste mithilfe von Verwaltungsbereichen in Exchange 2010" später in diesem Thema weitere Informationen.
Zuweisen von Exchange 2007-Berechtigungen zu Exchange 2010-Administratoren
Wenn Sie möchten, dass Exchange 2010-Administratoren Exchange 2007-Server verwalten, müssen Sie Exchange 2010-Administratoren den universellen Sicherheitsgruppen oder der Sicherheitsgruppe, die der bestimmten Exchange 2007-Administratorrolle entspricht, hinzufügen. Alternativ können Sie die Administratoren den geeigneten Zugriffssteuerungslisten hinzufügen, wenn benutzerdefinierte Einstellungen der Zugriffssteuerungslisten vorhanden sind. Rollengruppen sind universelle Sicherheitsgruppen, also können Rollengruppen direkt zu universellen Sicherheitsgruppen der Exchange 2007-Administratorrolle hinzugefügt werden.
Anschließend sind die Exchange 2010-Administratoren Mitglieder der jeweiligen Exchange 2007-Administratorrolle oder -Rollen. Die Exchange 2010-Administratoren können zum Verwalten der Exchange 2007-Server und -Empfänger die Exchange 2007-Verwaltungstools verwenden.
Erneutes Erstellen der Anpassung einer Exchange 2007-Zugriffssteuerungsliste mithilfe von Verwaltungsbereichen in Exchange 2010
Wenn Sie in Exchange 2007 einschränken möchten, welche Benutzer einen bestimmten Postfachspeicher oder bestimmte Benutzer verwalten können bzw. welche Benutzer steuern können, in welchem Postfachspeicher Postfächer erstellt werden, müssen die Zugriffssteuerungslisten für die entsprechenden Objekte geändert werden. Exchange 2010 bietet dieselben Funktionen, jedoch ohne das erforderliche Ändern von Zugriffssteuerungslisten. Stattdessen werden Verwaltungsbereiche verwendet, eine Komponente der rollenbasierten Zugriffssteuerung.
Verwaltungsbereiche stellen integrierte und benutzerdefinierte Bereiche zum Definieren der Objekte bereit, die von Administratoren verwaltet werden können. Durch das Anwenden von Verwaltungsbereichen können Sie definieren, welche Empfänger verwaltet werden können, in welchen Postfachdatenbanken Postfächer erstellt werden können und welche Empfänger oder Server ausschließlich von einer kleinen Gruppe von Administratoren verwaltet werden können.
Sie können die folgenden Arten von Verwaltungsbereichen erstellen:
Vordefinierte relative Bereiche Vordefinierte relative Bereiche sind in Exchange 2010 enthalten. Sie können steuern, welche Informationen ein Benutzer anzeigen und ändern kann. Mithilfe von vordefinierten relativen Bereichen lässt sich z. B. steuern, ob Benutzer nur Informationen zu sich selbst oder zur gesamten Organisation anzeigen können.
Empfängerbereiche Empfängerbereiche steuern, welche Empfänger ein Administrator erstellen, ändern oder löschen kann. Diese Auswahl kann auf einer Organisationseinheit oder einem Empfängerfilter basieren (oder beides). Empfängerfilter geben die Kriterien an, mit denen ein Empfänger übereinstimmen muss, um in den Bereich aufgenommen zu werden. Sie können z. B. einen filterbasierten Empfängerbereich mit allen Benutzern an einem bestimmten Standort oder in einer bestimmten Abteilung erstellen. Organisationseinheiten und Empfängerfilter können sogar kombiniert werden, um nur solche Benutzer zu berücksichtigen, die einer bestimmten Organisationseinheit zugehören und einem bestimmten Vorgesetzten berichten.
Serverbereiche Serverbereiche steuern, welche Server ein Administrator verwalten kann. Sie können entweder Serverlisten oder Serverfilter angeben. Bei Serverlisten definieren Sie eine statische Liste mit Servern, die verwaltet werden können. Die Funktionsweise von Serverfiltern ist mit der Funktionsweise von Empfängerfiltern identisch: Sie geben Kriterien an, die erfüllt werden müssen. Sie können beispielsweise einen Serverbereich für alle Server innerhalb eines bestimmten Active Directory-Standorts erstellen.
Datenbankbereiche Datenbankbereiche steuern, welche Datenbanken ein Administrator verwalten kann. Über diese Bereiche kann zudem gesteuert werden, in welchen Datenbanken Postfächer erstellt bzw. in welche Datenbanken Postfächer verschoben werden können. Wie Serverbereiche können diese Bereiche als Listen oder als Filter definiert werden. Beispielsweise können Sie eine Liste oder einen Filter erstellen, um Administratoren das Erstellen oder Verschieben von Postfächern in bestimmten Postfachdatenbanken zu ermöglichen, die von einer bestimmten Niederlassung verwaltet werden.
Exklusive Bereiche Empfänger-, Server- und Datenbankbereiche können auch als exklusive Bereiche erstellt werden. Exklusive Bereiche funktionieren auf dieselbe Weise wie Zugriffssteuerungseinträge zum Verweigern des Zugriffs in Zugriffssteuerungslisten. Bei Übereinstimmung eines Objekts mit einem exklusiven Bereich können nur einem exklusiven Bereich zugeordnete Administratoren das Objekt verwalten. Dies trifft auch zu, wenn ein anderer, nicht exklusiver Bereich ebenfalls mit diesem Objekt übereinstimmt. Dies ist besonders bei Postfächern von Führungskräften nützlich, deren Verwaltung nur einigen wenigen Personen erlaubt sein sollte. Selbst wenn ein anderer, normaler Empfängerbereich das Postfach der Führungskraft enthält, können die Administratoren des umfangreicheren normalen Empfängerbereichs das Postfach der Führungskraft nur dann verwalten, wenn sie auch dem exklusiven Bereich zugewiesen sind.
Verwaltungsbereiche werden für Verwaltungsrollen, Verwaltungsrollenzuweisungen und Verwaltungsrollengruppen verwendet, um zu steuern, welche Benutzer welche Objekte wie verwalten können. Weitere Informationen hierzu finden Sie in den folgenden Themen:
Um dasselbe Berechtigungsmodell in Exchange 2010 unter Verwendung von Verwaltungsbereichen zu erstellen, die Sie möglicherweise mithilfe von angepassten Zugriffssteuerungslisten definiert haben, müssen Sie die angepassten Zugriffssteuerungslisten überprüfen und Verwaltungsbereiche erstellen, deren Berechtigungen den Berechtigungen dieser Listen entsprechen. Sie können die filterbaren Eigenschaften für Empfänger-, Server- und Datenbankobjekte verwenden, wenn Sie Verwaltungsbereiche erstellen möchten, die die Objekte enthalten, für die der Zugriff über die einzelnen Verwaltungsbereiche gesteuert werden soll. Weitere Informationen zu den Eigenschaften, die mit Verwaltungsbereichsfiltern verwendet werden können, finden Sie unter Grundlegendes zu Bereichsfiltern für Verwaltungsrollen.
Weitere Informationen zum Erstellen von Verwaltungsbereichen finden Sie unter Erstellen eines regulären oder exklusiven Bereichs.
© 2010 Microsoft Corporation. Alle Rechte vorbehalten.