Rolle „Sicherheitsgruppenerstellung und -mitgliedschaft“

  • Artikel

Gilt für: Exchange Server 2013

Mit Security Group Creation and Membership der Verwaltungsrolle können Administratoren universelle Sicherheitsgruppen (UNIVERSAL Security Groups, USGs) und ihre Mitgliedschaften in einem organization erstellen und verwalten.

Wenn Ihr organization ein rollenbasiertes Access Control-Berechtigungsmodell (Role Based Access Control, RBAC) verwaltet, bei dem die Erstellung und Verwaltung von USG von einer anderen Gruppe durchgeführt wird, die keine Server mit Exchange verwaltet, weisen Sie diese Rolle dieser Gruppe zu.

Wenn Ihr organization geteilte Active Directory-Berechtigungen aktiviert, wurden alle nicht delegierenden Verwaltungsrollenzuweisungen an diese Verwaltungsrolle entfernt. Wenn geteilte Active Directory-Berechtigungen aktiviert sind, können nur Active Directory-Administratoren, die Active Directory-Verwaltungstools verwenden, neue Sicherheitsprinzipale wie Benutzer und Sicherheitsgruppen erstellen.

Weitere Informationen finden Sie unter Grundlegendes zu geteilten Berechtigungen.

Standard-Verwaltungsrollenzuweisungen

Diese Rolle verfügt über Rollenzuweisungen an mindestens einen Rollenempfänger. Die folgende Tabelle gibt an, ob die Rollenzuweisung regelmäßig oder delegiert ist, und gibt auch die Verwaltungsbereiche an, die auf die einzelnen Zuweisungen angewendet werden. In der folgenden Liste werden die einzelnen Spalten beschrieben:

  • Diese Rolle verfügt über Rollenzuweisungen für einen oder mehrere Rollenempfänger. Die folgende Tabelle zeigt, ob diese Rollenzuweisung regulär oder delegierend ist. Außerdem gibt sie die auf die einzelnen Zuweisungen angewendeten Verwaltungsbereiche an. Die folgende Liste beschreibt jede Spalte:
  • Reguläre Zuweisung: Reguläre Rollenzuweisungen ermöglichen dem Rollenempfänger den Zugriff auf die von den Verwaltungsrolleneinträgen dieser Rolle bereitgestellten Berechtigungen.
  • Empfängerlesebereich: Der Empfängerlesebereich bestimmt, welche Empfängerobjekte der Rollenempfänger aus Active Directory lesen darf.
  • Empfängerschreibbereich: Der Empfängerschreibbereich bestimmt, welche Empfängerobjekte der Rollenempfänger in Active Directory ändern darf.
  • Lesebereich der Konfiguration: Der Lesebereich der Konfiguration bestimmt, welche Konfigurations- und Serverobjekte der Rollenempfänger aus Active Directory lesen darf.
  • Konfigurationsschreibbereich: Der Konfigurationsschreibbereich bestimmt, welche Organisations- und Serverobjekte der Rollenempfänger in Active Directory ändern darf.

Standard-Verwaltungsrollenzuweisungen für diese Rolle

Rollengruppe Reguläre Zuweisung Delegierende Zuweisung Empfängerlesebereich Empfängerschreibbereich Konfigurationslesebereich Konfigurationsschreibbereich
Organisationsverwaltung X X Organization Organization OrganizationConfig OrganizationConfig