Freigeben über

Administratorrollengruppen

  • Artikel

Gilt für: Office 365 for enterprises, Live@edu

Letztes Änderungsdatum des Themas: 2011-11-23

Rollengruppen vereinfachen das Zuweisen von Administratorberechtigungen. Um einem Benutzer Berechtigungen zum Ausführen bestimmter Verwaltungsaufgaben zuzuweisen, fügen Sie den Benutzer als Mitglied der Rollengruppe für diese Verwaltungsaufgaben hinzu. Wenn Sie z. B. einen Helpdeskmitarbeiter einstellen, fügen Sie den neuen Mitarbeiter einfach der Rollengruppe "Helpdesk" hinzu.

Im Folgenden erfahren Sie, wie Rollengruppen funktionieren und welche Rollengruppen standardmäßig verfügbar sind:

  • Anatomie einer Rollengruppe
  • Integrierte Rollengruppen

Anatomie einer Rollengruppe

Eine Administratorrollengruppe ist eine universelle Sicherheitsgruppe, der Administratorrechte zugewiesen sind. Diese Administratorrechte werden durch integrierte Verwaltungsrollen festgelegt, die Teil des Berechtigungsmodells der rollenbasierten Zugriffssteuerung (Role Based Access Control, RBAC) sind. Eine Verwaltungsrolle (auch als RBAC-Rolle oder einfach als Rolle bezeichnet) definiert, auf welche Funktionen ein Benutzer Zugriff hat und welche Aufgaben er ausführen kann.**

Woraus setzt sich eine Rollengruppe zusammen?

Administratorrollengruppen

Rollengruppenmitglieder   Wie Verteilergruppen oder öffentliche Gruppen haben auch Administratorrollengruppen Mitglieder. Die der Rollengruppe zugewiesenen Rollen werden auf jedes Mitglied angewendet, das der Rollengruppe hinzugefügt wird. Somit erhält jeder Benutzer alle Berechtigungen, die gemäß den der Rollengruppe zugewiesenen Rollen zulässig sind.

So zeigen Sie die Mitglieder einer Rollengruppe an

  • In der Exchange-Systemsteuerung

    1. Wählen Sie "Organisation verwalten > Rollen und Überwachung > Administratorrollen" aus.
    2. Wählen Sie eine Rollengruppe aus, um die Mitgliedschaft der Rollengruppe im Detailbereich anzuzeigen.

  • Führen Sie in Windows PowerShell den folgenden Befehl aus:

    Get-RoleGroupMember "<name of role group>"

Rollengruppe   Der Rollengruppe werden Rollen zugewiesen. Die Kombination aller zugewiesenen Rollen der Rollengruppe definiert die Verwaltungsaufgaben, die Rollengruppenmitglieder in ihrer Organisation durchführen können.

So zeigen Sie die Rollengruppen für die Organisation an

  • In der Exchange-Systemsteuerung
    Wählen Sie "Organisation verwalten > Rollen und Überwachung > Administratorrollen" aus.

  • Führen Sie in Windows PowerShell den folgenden Befehl aus:

    Get-RoleGroup

Rollenzuweisungen   Eine Rollenzuweisung ordnet einer Rollengruppe eine Verwaltungsrolle zu. Wenn einer Rollengruppe eine Rolle zugewiesen wird, wird den Mitgliedern der Rollengruppe die Berechtigung erteilt, die in der Rolle definierten Windows PowerShell-Cmdlets und Parameter zu verwenden. Rollenzuweisungen verwenden auch Verwaltungsbereiche, um zu steuern, wo die Zuweisung verwendet werden kann.

Da eine Rolle verschiedenen Rollengruppen zugewiesen sein kann, identifiziert eine Rollenzuweisung eine bestimmte Zuweisung, und der Name dieser Zuweisung ist innerhalb der Organisation eindeutig. Der Gruppe "Organisationsverwaltung" und der Rollengruppe "Helpdesk" ist z. B. die Rolle "Benutzeroptionen" zugewiesen, der Name der Zuweisungen ist jedoch unterschiedlich und identifiziert die Zuweisung für jede Gruppe eindeutig: "Benutzeroptionen-Helpdesk" und "Benutzeroptionen-Organisationsverwaltung".

So zeigen Sie die zugewiesenen Rollen einer bestimmten Rollengruppe an

  • In der Exchange-Systemsteuerung

    1. Wählen Sie "Organisation verwalten > Rollen und Überwachung > Administratorrollen" aus.
    2. Wählen Sie eine Rollengruppe aus, um die der Rollengruppe zugewiesenen Rollen im Detailbereich anzuzeigen.
      Hinweis   Nicht alle zugewiesenen Rollen einer Rollengruppe sind in allen cloudbasierten Organisationen anwendbar oder verfügbar.

  • Führen Sie in Windows PowerShell den folgenden Befehl aus:

    Get-ManagementRoleAssignment -RoleAssignee "<name of role group>"

    Führen Sie den folgenden Befehl aus, um alle Rollenzuweisungen in der Organisation anzuzeigen:

    Get-ManagementRoleAssignment

Rollenschreibbereiche:   Der Schreibbereich definiert die administrativen Grenzen der Rollen, die der Rollengruppe zugewiesen sind. Der Schreibbereich definiert also, wo Mitglieder der Rollengruppe Änderungen vornehmen können. Für integrierte Administratorrollen, die Benutzern das Ändern von Objekten ermöglichen, ist der Standardschreibbereich die ganze Organisation.

Sie können auch benutzerdefinierte Schreibbereiche auf Grundlage von Empfängerfiltern erstellen, z. B. "Alle Benutzer, deren Abteilung gleich 'Finanzen' ist". Wenn Sie eine neue Rollengruppe erstellen und die Rolle "Benutzeroptionen" mithilfe des benutzerdefinierten Schreibbereichs zuweisen, können Mitglieder der Rollengruppe Kontoeinstellungen auf der Seite "Optionen" eines Postfachs nur für die Postfächer anzeigen und ändern, deren Abteilung "Finanzen" lautet. Benutzerdefinierte Schreibbereiche werden mit dem New-ManagementScope-Cmdlet erstellt.

So zeigen Sie die Schreibbereiche für jede zugewiesene Rolle einer bestimmten Rollengruppe an

  • In der Exchange-Systemsteuerung

    1. Wählen Sie "Organisation verwalten > Rollen und Überwachung > Administratorrollen" aus.
    2. Wählen Sie eine Rollengruppe aus, und klicken Sie auf "Details", um den Schreibbereich für alle zugewiesenen Rollen anzuzeigen.
      Hinweis   Wenn eine der folgenden Bedingungen zutrifft, können Sie den Schreibbereich nicht in der Exchange-Systemsteuerung anzeigen:
      •  Der Rollengruppe ist eine Endbenutzerrolle zugewiesen.
      •  Der Rollengruppe ist eine Rolle zugewiesen, für die ein anderer Schreibbereich verwendet wird als für die anderen Rollen.
      •  Der Rollengruppe sind Rollen mit exklusiven Schreibbereichen zugewiesen. Ein exklusiver Schreibbereich isoliert bestimmte Postfächer, sodass sie nur von festgelegten Administratoren verwaltet werden können. Weitere Informationen finden Sie unter Erstellen exklusiver Schreibbereiche.

  • Führen Sie in Windows PowerShell den folgenden Befehl aus:

    Get-ManagementRoleAssignment -RoleAssignee "<name of role group>" | Format-List Role,RecipientWriteScope

Rollen   Eine RBAC-Rolle ist ein Container für eine Gruppierung von Verwaltungsrolleneinträgen. Rollen definieren die spezifischen Aufgaben, die von den Mitgliedern einer Rollengruppe ausgeführt werden können, der die Rolle zugewiesen ist.

So zeigen Sie die Administratorrollen in der Organisation an

  • In der Exchange-Systemsteuerung

    1. Wählen Sie "Organisation verwalten > Rollen und Überwachung > Administratorrollen" aus.
    2. Klicken Sie auf "Neu", oder wählen Sie eine vorhandene Rollengruppe aus, und klicken Sie auf "Details".
    3. Klicken Sie auf der Seite "Rollengruppe" im Abschnitt "Rollen" auf "Hinzufügen". Im Folgenden ändern wir die zugewiesenen Rollen der Rollengruppe nicht. Stattdessen zeigen wir lediglich die Liste der Administratorrollen an.
    4. Auf der Seite "Rolle auswählen" können Sie die Namen und Beschreibungen der Rollen anzeigen.
    5. Klicken Sie abschließend auf dieser Seite und dann nochmals auf der Seite "Rollengruppe" auf "Abbrechen".

  • Führen Sie in Windows PowerShell den folgenden Befehl aus:

    Get-ManagementRole | Where {$_.IsEndUserRole -eq $false}

Rolleneinträge   Rolleneinträge sind die einzelnen Einträge in einer Verwaltungsrolle. Rolleneinträge bieten Zugriff auf Cmdlets, Skripts und andere spezielle Berechtigungen, die Benutzern das Ausführen einer bestimmten Aufgabe erlauben. Ein Rolleneintrag umfasst oft ein einzelnes Cmdlet und die Parameter, die Mitglieder einer Rollengruppe ausführen können, wenn die Rolle der Rollengruppe zugewiesen ist.

So zeigen Sie die zugehörigen Cmdlets und Parameter für eine Rolle an, ohne die Ergebnisse abzuschneiden

  • Führen Sie in Windows PowerShell den folgenden Befehl aus:

    Get-ManagementRoleEntry "<name of the role>\*" | ConvertTo-Html > "<file name>.html"

    Öffnen Sie die resultierende HTML-Datei in einem Webbrowser. Die Informationen sind in den Spalten "Name" und "Parameter" enthalten.

Nach oben

Integrierte Rollengruppen

Die folgenden integrierten Rollengruppen sind standardmäßig verfügbar. Bedenken Sie, dass nicht alle zugewiesenen Rollen einer Rollengruppe in einer cloudbasierten Organisation anwendbar oder verfügbar sind.

Rollengruppe Verwaltungsaufgaben, die Mitglieder ausführen können

Discoveryverwaltung

Verwenden Sie die Suche in mehreren Postfächern, um in den Postfächern in Ihrer Organisation nach E-Mails und anderen Nachrichtentypen zu suchen, die bestimmte Schlüsselwörter enthalten.

Helpdesk

Mitglieder können Kennwörter für Benutzer zurücksetzen und Einstellungen auf der Seite "Optionen" für das cloudbasierte Konto von Benutzern verwalten. Um Benutzerprobleme zu beheben, können Mitglieder auch alle Postfächer, Verteilergruppen und externen Kontakte in der Organisation anzeigen, aber nicht ändern.

Hinweis   In Office 365 für Unternehmen können Sie Kennwörter nicht mit der Exchange-Systemsteuerung oder Windows PowerShell zurücksetzen. Um Benutzern das Zurücksetzen von Kennwörtern im Microsoft Online Services-Portal zu ermöglichen, müssen Sie Benutzern im Microsoft Online Services-Portal die Rolle des Office 365-Kennwortadministrators zuweisen.

Organisationsverwaltung

Mitglieder können alle Aspekte der cloudbasierten Organisation verwalten. Das Konto, das Sie während der erstmaligen Registrierung im cloudbasierten E-Mail-Dienst angegeben haben, ist standardmäßig Mitglied dieser Rollengruppe.

Wichtig   Dies ist eine Rollengruppe mit sehr weitreichenden Befugnissen. Nur Benutzer, die möglicherweise die ganze Organisation betreffende Verwaltungsaufgaben auf Organisationsebene ausführen, sollten Mitglieder dieser Rollengruppe sein.

Empfängerverwaltung

Mitglieder können Postfächer, Verteilergruppen und externe Kontakte erstellen und verwalten. Mitglieder können auch neue Benutzer importieren, von Benutzern gesendete und empfangene Nachrichten nachverfolgen und Exchange ActiveSync-Einstellungen für die Organisation verwalten.

Datensatzverwaltung

Erstellen und verwalten Sie organisationsweite Regeln, die auch als Transportregeln bezeichnet werden. Mitglieder können auch Nachrichten verfolgen, die von Benutzern gesendet und empfangen wurden.

UM-Verwaltung

Mitglieder können Unified Messaging-Serverkonfigurationen (UM), UM-Eigenschaften für Postfächer, UM-Telefonansagen und die Konfiguration der automatischen UM-Telefonzentrale verwalten.

Hinweis   Diese Rollengruppe steht in Live@edu-Organisationen nicht zur Verfügung.

Schreibgeschützte Organisationsverwaltung

Mitglieder können Postfächer, Verteilergruppen und externe Kontakte in der Organisation anzeigen, aber nicht ändern. Mitglieder können auch Einstellungen für Rollenzuweisungsrichtlinien, Transportregeln und organisationsweite Einstellungen anzeigen.

Nach oben