Administratorrollengruppen
Gilt für: Office 365 for enterprises, Live@edu
Letztes Änderungsdatum des Themas: 2011-11-23
Rollengruppen vereinfachen das Zuweisen von Administratorberechtigungen. Um einem Benutzer Berechtigungen zum Ausführen bestimmter Verwaltungsaufgaben zuzuweisen, fügen Sie den Benutzer als Mitglied der Rollengruppe für diese Verwaltungsaufgaben hinzu. Wenn Sie z. B. einen Helpdeskmitarbeiter einstellen, fügen Sie den neuen Mitarbeiter einfach der Rollengruppe "Helpdesk" hinzu.
Im Folgenden erfahren Sie, wie Rollengruppen funktionieren und welche Rollengruppen standardmäßig verfügbar sind:
- Anatomie einer Rollengruppe
- Integrierte Rollengruppen
Anatomie einer Rollengruppe
Eine Administratorrollengruppe ist eine universelle Sicherheitsgruppe, der Administratorrechte zugewiesen sind. Diese Administratorrechte werden durch integrierte Verwaltungsrollen festgelegt, die Teil des Berechtigungsmodells der rollenbasierten Zugriffssteuerung (Role Based Access Control, RBAC) sind. Eine Verwaltungsrolle (auch als RBAC-Rolle oder einfach als Rolle bezeichnet) definiert, auf welche Funktionen ein Benutzer Zugriff hat und welche Aufgaben er ausführen kann.**
Woraus setzt sich eine Rollengruppe zusammen?
Rollengruppenmitglieder Wie Verteilergruppen oder öffentliche Gruppen haben auch Administratorrollengruppen Mitglieder. Die der Rollengruppe zugewiesenen Rollen werden auf jedes Mitglied angewendet, das der Rollengruppe hinzugefügt wird. Somit erhält jeder Benutzer alle Berechtigungen, die gemäß den der Rollengruppe zugewiesenen Rollen zulässig sind.
So zeigen Sie die Mitglieder einer Rollengruppe an
In der Exchange-Systemsteuerung
- Wählen Sie "Organisation verwalten > Rollen und Überwachung > Administratorrollen" aus.
- Wählen Sie eine Rollengruppe aus, um die Mitgliedschaft der Rollengruppe im Detailbereich anzuzeigen.
Führen Sie in Windows PowerShell den folgenden Befehl aus:
Get-RoleGroupMember "<name of role group>"
Rollengruppe Der Rollengruppe werden Rollen zugewiesen. Die Kombination aller zugewiesenen Rollen der Rollengruppe definiert die Verwaltungsaufgaben, die Rollengruppenmitglieder in ihrer Organisation durchführen können.
So zeigen Sie die Rollengruppen für die Organisation an
In der Exchange-Systemsteuerung
Wählen Sie "Organisation verwalten > Rollen und Überwachung > Administratorrollen" aus.Führen Sie in Windows PowerShell den folgenden Befehl aus:
Get-RoleGroup
Rollenzuweisungen Eine Rollenzuweisung ordnet einer Rollengruppe eine Verwaltungsrolle zu. Wenn einer Rollengruppe eine Rolle zugewiesen wird, wird den Mitgliedern der Rollengruppe die Berechtigung erteilt, die in der Rolle definierten Windows PowerShell-Cmdlets und Parameter zu verwenden. Rollenzuweisungen verwenden auch Verwaltungsbereiche, um zu steuern, wo die Zuweisung verwendet werden kann.
Da eine Rolle verschiedenen Rollengruppen zugewiesen sein kann, identifiziert eine Rollenzuweisung eine bestimmte Zuweisung, und der Name dieser Zuweisung ist innerhalb der Organisation eindeutig. Der Gruppe "Organisationsverwaltung" und der Rollengruppe "Helpdesk" ist z. B. die Rolle "Benutzeroptionen" zugewiesen, der Name der Zuweisungen ist jedoch unterschiedlich und identifiziert die Zuweisung für jede Gruppe eindeutig: "Benutzeroptionen-Helpdesk" und "Benutzeroptionen-Organisationsverwaltung".
So zeigen Sie die zugewiesenen Rollen einer bestimmten Rollengruppe an
In der Exchange-Systemsteuerung
- Wählen Sie "Organisation verwalten > Rollen und Überwachung > Administratorrollen" aus.
- Wählen Sie eine Rollengruppe aus, um die der Rollengruppe zugewiesenen Rollen im Detailbereich anzuzeigen.
Hinweis Nicht alle zugewiesenen Rollen einer Rollengruppe sind in allen cloudbasierten Organisationen anwendbar oder verfügbar.
Führen Sie in Windows PowerShell den folgenden Befehl aus:
Get-ManagementRoleAssignment -RoleAssignee "<name of role group>"
Führen Sie den folgenden Befehl aus, um alle Rollenzuweisungen in der Organisation anzuzeigen:
Get-ManagementRoleAssignment
Rollenschreibbereiche: Der Schreibbereich definiert die administrativen Grenzen der Rollen, die der Rollengruppe zugewiesen sind. Der Schreibbereich definiert also, wo Mitglieder der Rollengruppe Änderungen vornehmen können. Für integrierte Administratorrollen, die Benutzern das Ändern von Objekten ermöglichen, ist der Standardschreibbereich die ganze Organisation.
Sie können auch benutzerdefinierte Schreibbereiche auf Grundlage von Empfängerfiltern erstellen, z. B. "Alle Benutzer, deren Abteilung gleich 'Finanzen' ist". Wenn Sie eine neue Rollengruppe erstellen und die Rolle "Benutzeroptionen" mithilfe des benutzerdefinierten Schreibbereichs zuweisen, können Mitglieder der Rollengruppe Kontoeinstellungen auf der Seite "Optionen" eines Postfachs nur für die Postfächer anzeigen und ändern, deren Abteilung "Finanzen" lautet. Benutzerdefinierte Schreibbereiche werden mit dem New-ManagementScope-Cmdlet erstellt.
So zeigen Sie die Schreibbereiche für jede zugewiesene Rolle einer bestimmten Rollengruppe an
In der Exchange-Systemsteuerung
- Wählen Sie "Organisation verwalten > Rollen und Überwachung > Administratorrollen" aus.
- Wählen Sie eine Rollengruppe aus, und klicken Sie auf "Details", um den Schreibbereich für alle zugewiesenen Rollen anzuzeigen.
Hinweis Wenn eine der folgenden Bedingungen zutrifft, können Sie den Schreibbereich nicht in der Exchange-Systemsteuerung anzeigen:
• Der Rollengruppe ist eine Endbenutzerrolle zugewiesen.
• Der Rollengruppe ist eine Rolle zugewiesen, für die ein anderer Schreibbereich verwendet wird als für die anderen Rollen.
• Der Rollengruppe sind Rollen mit exklusiven Schreibbereichen zugewiesen. Ein exklusiver Schreibbereich isoliert bestimmte Postfächer, sodass sie nur von festgelegten Administratoren verwaltet werden können. Weitere Informationen finden Sie unter Erstellen exklusiver Schreibbereiche.
Führen Sie in Windows PowerShell den folgenden Befehl aus:
Get-ManagementRoleAssignment -RoleAssignee "<name of role group>" | Format-List Role,RecipientWriteScope
Rollen Eine RBAC-Rolle ist ein Container für eine Gruppierung von Verwaltungsrolleneinträgen. Rollen definieren die spezifischen Aufgaben, die von den Mitgliedern einer Rollengruppe ausgeführt werden können, der die Rolle zugewiesen ist.
So zeigen Sie die Administratorrollen in der Organisation an
In der Exchange-Systemsteuerung
- Wählen Sie "Organisation verwalten > Rollen und Überwachung > Administratorrollen" aus.
- Klicken Sie auf "Neu", oder wählen Sie eine vorhandene Rollengruppe aus, und klicken Sie auf "Details".
- Klicken Sie auf der Seite "Rollengruppe" im Abschnitt "Rollen" auf "Hinzufügen". Im Folgenden ändern wir die zugewiesenen Rollen der Rollengruppe nicht. Stattdessen zeigen wir lediglich die Liste der Administratorrollen an.
- Auf der Seite "Rolle auswählen" können Sie die Namen und Beschreibungen der Rollen anzeigen.
- Klicken Sie abschließend auf dieser Seite und dann nochmals auf der Seite "Rollengruppe" auf "Abbrechen".
Führen Sie in Windows PowerShell den folgenden Befehl aus:
Get-ManagementRole | Where {$_.IsEndUserRole -eq $false}
Rolleneinträge Rolleneinträge sind die einzelnen Einträge in einer Verwaltungsrolle. Rolleneinträge bieten Zugriff auf Cmdlets, Skripts und andere spezielle Berechtigungen, die Benutzern das Ausführen einer bestimmten Aufgabe erlauben. Ein Rolleneintrag umfasst oft ein einzelnes Cmdlet und die Parameter, die Mitglieder einer Rollengruppe ausführen können, wenn die Rolle der Rollengruppe zugewiesen ist.
So zeigen Sie die zugehörigen Cmdlets und Parameter für eine Rolle an, ohne die Ergebnisse abzuschneiden
Führen Sie in Windows PowerShell den folgenden Befehl aus:
Get-ManagementRoleEntry "<name of the role>\*" | ConvertTo-Html > "<file name>.html"
Öffnen Sie die resultierende HTML-Datei in einem Webbrowser. Die Informationen sind in den Spalten "Name" und "Parameter" enthalten.
Nach oben
Integrierte Rollengruppen
Die folgenden integrierten Rollengruppen sind standardmäßig verfügbar. Bedenken Sie, dass nicht alle zugewiesenen Rollen einer Rollengruppe in einer cloudbasierten Organisation anwendbar oder verfügbar sind.
Rollengruppe | Verwaltungsaufgaben, die Mitglieder ausführen können |
---|---|
Discoveryverwaltung |
Verwenden Sie die Suche in mehreren Postfächern, um in den Postfächern in Ihrer Organisation nach E-Mails und anderen Nachrichtentypen zu suchen, die bestimmte Schlüsselwörter enthalten. |
Helpdesk |
Mitglieder können Kennwörter für Benutzer zurücksetzen und Einstellungen auf der Seite "Optionen" für das cloudbasierte Konto von Benutzern verwalten. Um Benutzerprobleme zu beheben, können Mitglieder auch alle Postfächer, Verteilergruppen und externen Kontakte in der Organisation anzeigen, aber nicht ändern. Hinweis In Office 365 für Unternehmen können Sie Kennwörter nicht mit der Exchange-Systemsteuerung oder Windows PowerShell zurücksetzen. Um Benutzern das Zurücksetzen von Kennwörtern im Microsoft Online Services-Portal zu ermöglichen, müssen Sie Benutzern im Microsoft Online Services-Portal die Rolle des Office 365-Kennwortadministrators zuweisen. |
Organisationsverwaltung |
Mitglieder können alle Aspekte der cloudbasierten Organisation verwalten. Das Konto, das Sie während der erstmaligen Registrierung im cloudbasierten E-Mail-Dienst angegeben haben, ist standardmäßig Mitglied dieser Rollengruppe. Wichtig Dies ist eine Rollengruppe mit sehr weitreichenden Befugnissen. Nur Benutzer, die möglicherweise die ganze Organisation betreffende Verwaltungsaufgaben auf Organisationsebene ausführen, sollten Mitglieder dieser Rollengruppe sein. |
Empfängerverwaltung |
Mitglieder können Postfächer, Verteilergruppen und externe Kontakte erstellen und verwalten. Mitglieder können auch neue Benutzer importieren, von Benutzern gesendete und empfangene Nachrichten nachverfolgen und Exchange ActiveSync-Einstellungen für die Organisation verwalten. |
Datensatzverwaltung |
Erstellen und verwalten Sie organisationsweite Regeln, die auch als Transportregeln bezeichnet werden. Mitglieder können auch Nachrichten verfolgen, die von Benutzern gesendet und empfangen wurden. |
UM-Verwaltung |
Mitglieder können Unified Messaging-Serverkonfigurationen (UM), UM-Eigenschaften für Postfächer, UM-Telefonansagen und die Konfiguration der automatischen UM-Telefonzentrale verwalten. Hinweis Diese Rollengruppe steht in Live@edu-Organisationen nicht zur Verfügung. |
Schreibgeschützte Organisationsverwaltung |
Mitglieder können Postfächer, Verteilergruppen und externe Kontakte in der Organisation anzeigen, aber nicht ändern. Mitglieder können auch Einstellungen für Rollenzuweisungsrichtlinien, Transportregeln und organisationsweite Einstellungen anzeigen. |
Nach oben