Grundlegendes zu Berechtigungen bei Koexistenz mit Exchange 2003

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2016-11-28

In Microsoft Exchange Server 2010 und Exchange Server 2003 werden Berechtigungen separat verwaltet. Der Grund dafür ist, dass für Exchange 2010 und Exchange 2003 unterschiedliche Berechtigungsmodelle verwendet werden. Um vorhandenen Exchange 2003-Administratoren Berechtigungen für Ihre Exchange 2010-Server zu erteilen (und umgekehrt) müssen einige Schritte ausgeführt werden. Ferner werden Exchange 2010 und Exchange 2003 unter Verwendung der mit jeder Version bereitgestellten Verwaltungstools separat verwaltet. Sie können Administratoren Berechtigungen zur Verwaltung einer kombinierten Umgebung mit Exchange 2010 und Exchange 2003 erteilen.

Weitere Informationen zur Planung der Koexistenz von Exchange 2010 und Exchange 2003 finden Sie unter Exchange 2003 – Planungswegweiser für Upgrade und Koexistenz.

Exchange 2010-Berechtigungen

Exchange 2010 verwendet das Berechtigungsmodell der rollenbasierten Zugriffssteuerung (Role Based Access Control, RBAC). Dieses Modell umfasst Verwaltungsrollengruppen, denen eine von mehreren Verwaltungsrollen zugewiesen wird. Verwaltungsrollen umfassen Berechtigungen, die Administratoren das Ausführen von Aufgaben in der Exchange-Organisation ermöglichen. Administratoren werden als Mitglieder der Rollengruppen hinzugefügt und erhalten sämtliche Berechtigungen der Rollen. Die folgende Tabelle enthält Beispiele für Rollengruppen, einige der zugewiesenen Rollen sowie eine Beschreibung des Typs von Benutzer, der Mitglied der Rollengruppe sein kann.

Beispiele für Rollengruppen und Rollen in Exchange 2010

Verwaltungsrollengruppe Verwaltungsrollen Mitglieder dieser Rollengruppe

Organisationsverwaltung

Im Folgenden sind einige Rollen aufgeführt, die dieser Rollengruppe zugewiesen sind:

  • Adresslisten

  • Exchange-Server

  • Journalfunktion

  • E-Mail-Empfänger

  • Öffentliche Ordner

Benutzer, welche die gesamte Exchange 2010-Organisation verwalten müssen, sollten Mitglied dieser Rollengruppe sein. Mit einigen Ausnahmen können Mitglieder dieser Rollengruppe praktisch jeden Aspekt der Exchange 2010-Organisation verwalten.

Das zur Vorbereitung von Active Directory für Exchange 2010 verwendete Benutzerkonto ist standardmäßig Mitglied dieser Rollengruppe.

Weitere Informationen zu dieser Rollengruppe und eine umfassende Liste der Rollen, die dieser Rollengruppe zugewiesen sind, finden Sie unter Organisationsverwaltung.

Organisationsverwaltung – nur Leserechte

Im Folgenden sind die Rollen aufgeführt, die dieser Rollengruppe zugewiesen sind:

  • Überwachung

  • Schreibgeschützte Konfiguration

  • Schreibgeschützte Empfänger

Benutzer, welche die Konfiguration der gesamten Exchange 2010-Organisation anzeigen müssen, sollten Mitglied dieser Rollengruppe sein. Diese Benutzer müssen in der Lage sein, Informationen zur Serverkonfiguration und zu Empfängern anzuzeigen und Überwachungsfunktionen auszuführen, ohne die Organisations- oder Empfängerkonfiguration ändern zu können.

Weitere Informationen zu dieser Rollengruppe finden Sie unter Organisationsverwaltung – nur Leserechte.

Empfängerverwaltung

Im Folgenden sind die Rollen aufgeführt, die dieser Rollengruppe zugewiesen sind:

  • Verteilergruppen

  • E-Mail-aktivierte Öffentliche Ordner

  • Erstellen von E-Mail-Empfängern

  • E-Mail-Empfänger

  • Nachrichtenverfolgung

  • Migration

  • Verschieben von Postfächern

  • Empfängerrichtlinien

Benutzer, die Empfänger (z. B. Postfächer, Kontakte und Verteilergruppen) in der Exchange 2010-Organisation verwalten müssen, sollten Mitglied dieser Rollengruppe sein. Diese Benutzer können Empfänger erstellen, vorhandene Empfänger ändern oder löschen und Postfächer verschieben.

Weitere Informationen zu dieser Rollengruppe und eine umfassende Liste der Rollen, die dieser Rollengruppe zugewiesen sind, finden Sie unter Empfängerverwaltung.

Serververwaltung

Im Folgenden sind einige Rollen aufgeführt, die dieser Rollengruppe zugewiesen sind:

  • Datenbanken

  • Exchange-Connectors

  • Exchange Servers

  • Empfangsconnectors

  • Transportwarteschlangen

Benutzer, welche die Exchange-Serverkonfiguration (z. B. Empfangsconnectors, Zertifikate, Datenbanken und virtuelle Verzeichnisse) verwalten müssen, sollten Mitglied dieser Rollengruppe sein. Diese Benutzer können die Exchange-Serverkonfiguration ändern, Datenbanken erstellen und Transportwarteschlangen neu starten und bearbeiten.

Weitere Informationen zu dieser Rollengruppe und eine umfassende Liste der Rollen, die dieser Rollengruppe zugewiesen sind, finden Sie unter Serververwaltung.

Discoveryverwaltung

Im Folgenden sind die Rollen aufgeführt, die dieser Rollengruppe zugewiesen sind:

  • Rechtliche Aufbewahrungspflicht

  • Postfachsuche

Benutzer, die für juristische Vorgänge Postfächer durchsuchen oder die rechtliche Aufbewahrungspflicht konfigurieren müssen, sollten Mitglied dieser Rollengruppe sein.

Dies ist ein Beispiel für eine Rollengruppe, die Mitglieder enthalten kann, bei denen es sich nicht um Exchange-Administratoren handelt (z. B. Mitarbeiter der Rechtsabteilung). So können Mitarbeiter der Rechtsabteilung ihre Aufgaben ohne Eingriffe durch Exchange-Administratoren ausführen.

Weitere Informationen zu dieser Rollengruppe und eine umfassende Liste der Rollen, die dieser Rollengruppe zugewiesen sind, finden Sie unter Erkennungsverwaltung.

Wie in der vorherigen Tabelle gezeigt wird, können Sie in Exchange 2010 präzise steuern, welche Berechtigungen Administratoren erteilt werden. In Exchange 2010 stehen elf Rollengruppen zur Auswahl. Eine umfassende Liste der Rollengruppen und der Berechtigungen, die über diese Gruppen bereitgestellt werden, finden Sie unter Integrierte Rollengruppen.

Da in Exchange 2010 eine große Anzahl von Rollengruppen bereitgestellt wird und durch die Erstellung von Rollengruppen mit anderen Rollenkombinationen eine zusätzliche Anpassung möglich ist, ist das Bearbeiten von Zugriffssteuerungslisten für Active Directory-Objekte nicht mehr erforderlich und hat keine Auswirkungen. Zugriffssteuerungslisten werden nicht mehr zum Anwenden von Berechtigungen auf einzelne Administratoren oder Gruppen in Exchange 2010 verwendet. Sämtliche Aufgaben, z. B. die Postfacherstellung durch einen Administrator oder der Benutzerzugriff auf ein Postfach, werden über die rollenbasierte Zugriffssteuerung verwaltet. Die Berechtigung für eine Aufgabe wird über die rollenbasierte Zugriffsteuerung festgelegt, und Exchange führt die Aufgabe im Namen des Benutzers in der universellen Exchange-Sicherheitsgruppe Vertrauenswürdiges Subsystem aus. Mit einigen Ausnahmen werden der universellen Exchange-Sicherheitsgruppe Vertrauenswürdiges Subsystem sämtliche Berechtigungen in den Zugriffssteuerungslisten für Objekte in Active Directory gewährt, auf die Exchange 2010 zugreifen muss. Dies ist eine grundlegende Änderung der Handhabung von Berechtigungen in Exchange 2003.

Die einem Benutzer in Active Directory erteilten Berechtigungen und die Berechtigungen, die dem Benutzer bei Verwendung der Exchange 2010-Verwaltungstools über die rollenbasierte Zugriffssteuerung erteilt werden, werden separat verwaltet.

Weitere Informationen zur rollenbasierten Zugriffssteuerung finden Sie unter Grundlegendes zur rollenbasierten Zugriffssteuerung.

Exchange 2003-Berechtigungen

Exchange 2003 umfasst die folgenden Verwaltungsrollen:

  • Exchange-Administrator mit Leserechten   Mit dieser Rolle erhält ein Exchange 2003-Administrator Berechtigungen zum Anzeigen von Informationen zu Exchange 2003-Servern und -Empfängern.

  • Exchange-Administrator   Mit dieser Rolle erhalten Exchange 2003-Administratoren sämtliche Berechtigungen für Exchange 2003-Server und -Empfänger mit Ausnahme der Möglichkeit, den Besitz zu übernehmen, Berechtigungen zu ändern oder Benutzerpostfächer zu öffnen. Diese Rolle wird zugewiesen, wenn der Administrator Objekte hinzufügen oder Objekteigenschaften ändern, jedoch keine Objektberechtigungen delegieren muss.

  • Exchange-Administrator mit Vollzugriff   Mit dieser Rolle erhalten Exchange 2003-Administratoren sämtliche Berechtigungen für Exchange 2003-Server und -Empfänger, einschließlich der Möglichkeit zum Ändern von Berechtigungen. Diese Rolle wird Administratoren zugewiesen, die Objektberechtigungen delegieren müssen.

Mit Exchange 2003 können Sie Ihren Administratoren eine dieser Rollengruppen zuweisen. Die Berechtigungen werden dem Benutzer oder der universellen Sicherheitsgruppe, deren Mitglied der Benutzer ist, direkt zugewiesen. Alle vom Benutzer ausgeführten Aktionen werden im Kontext des Active Directory-Kontos dieses Benutzers ausgeführt.

Wenn Sie präzisere Berechtigungen zuweisen müssen, können Sie die Zugriffssteuerungslisten für einzelne Exchange 2003-Objekte wie Adressen und Datenbanken ändern. Wie bei den Administratorrollen wird der Benutzer oder die Sicherheitsgruppe, deren Mitglied der Benutzer ist, direkt der Zugriffssteuerungsliste hinzugefügt, und die Aktionen werden im Kontext des Benutzers ausgeführt.

Weitere Informationen zu Exchange 2003-Verwaltungsgruppen finden Sie im Microsoft Knowledge Base-Artikel 823018, Overview of Exchange administrative Role Berechtigungen in Exchange 2003 (maschinelle Übersetzung).

Berechtigungen bei Koexistenz von Exchange 2010 und Exchange 2003

Wie bereits zuvor in diesem Thema beschrieben, unterscheiden sich die Berechtigungsmodelle für Exchange 2010 und Exchange 2003. Exchange 2010 verwendet zum Zuweisen von Berechtigungen Rollengruppen, Exchange 2003 verwendet eine Kombination aus Verwaltungsgruppen und Zugriffssteuerungslisten. Selbst wenn beide Versionen in derselben Gesamtstruktur vorhanden sind, werden die Berechtigungen von Exchange 2010 und Exchange 2003 separat verwaltet. Ohne weitere Konfigurationsschritte sind Exchange 2003-Administratroren standardmäßig nicht zum Verwalten von Exchange 2010-Servern berechtigt, und Exchange 2010-Administratoren sind nicht berechtigt, Exchange 2003-Server zu verwalten. Aufgrund dieser Situation müssen Sie sich einige Fragen stellen:

  • Sollen Exchange 2010-Administratoren zum Verwalten von Exchange 2003-Servern (und umgekehrt) berechtigt sein?

  • Sollen Exchange 2010-Berechtigungen so angepasst werden, dass sie den Anpassungen in Exchange 2003 entsprechen?

Zuweisen von Exchange 2010-Berechtigungen zu Exchange 2003-Administratoren

Wenn Exchange 2003-Administratoren Exchange 2010-Server verwalten sollen, müssen die Exchange 2003-Administratoren als Mitglieder zu einer oder mehreren Exchange 2010-Rollengruppen hinzugefügt werden. Sie können Benutzer oder universelle Sicherheitsgruppen zu Rollengruppen hinzufügen. Die Berechtigungen der Rollengruppen werden anschließend auf die Benutzer oder universellen Sicherheitsgruppen angewendet, die als Mitglieder hinzugefügt werden.

Wichtig

Bei Verwendung domänenlokaler oder globaler Active Directory-Sicherheitsgruppen müssen diese in universelle Sicherheitsgruppen geändert werden, um als Mitglieder einer Exchange 2010-Rollengruppe hinzugefügt werden zu können. Exchange 2010 unterstützt ausschließlich universelle Sicherheitsgruppen.

Die folgende Tabelle zeigt eine Zuordnung zwischen Exchange 2003-Verwaltungsrollen und Exchange 2010-Rollengruppen.

Exchange 2003-Verwaltungsrollen und Exchange 2010-Rollengruppen

Exchange 2003-Verwaltungsrolle Exchange 2010-Rollengruppe

Exchange-Administrator mit Vollzugriff

Organisationsverwaltung

Exchange-Administrator

Exchange 2010 umfasst keine äquivalente Rollengruppe. Um über eine Rollengruppe zu verfügen, die der Rollengruppe Exchange-Administrator entspricht, muss basierend auf der Organisationsverwaltung-Rollengruppe (jedoch ohne delegierende Rollenzuweisungen) eine benutzerdefinierte Rollengruppe in Exchange 2010 erstellt werden.

Weitere Informationen zum Erstellen von benutzerdefinierten Rollengruppen finden Sie unter Erstellen einer Rollengruppe.

Exchange-Administrator mit Leserechten

Organisationsverwaltung – nur Leserechte

Wenn sämtliche Exchange 2003-Administratoren Mitglied einer der drei Exchange 2003-Verwaltungsrollen sind, müssen Sie die Mitglieder der einzelnen Verwaltungsgruppen zu den äquivalenten Exchange 2010-Rollengruppen hinzufügen. Weitere Informationen zum Hinzufügen von Benutzern und universellen Sicherheitsgruppen zu Rollengruppen finden Sie unter Hinzufügen von Mitgliedern zu einer Rollengruppe.

Wenn Sie Zugriffssteuerungslisten für Exchange 2003-Objekte geändert haben, um die Zuweisung von Berechtigungen für Exchange 2003-Administratoren präziser steuern zu können, und diesen Administratoren ähnliche Berechtigungen für Exchange 2010-Server zugewiesen werden sollen, führen Sie die folgenden Schritte aus:

  1. Überprüfen Sie die Anpassung der Zugriffssteuerungslisten für Ihre Exchange 2003-Objekte, und ermitteln Sie die Administratoren mit Berechtigungen für die einzelnen Objekte.

  2. Klassifizieren Sie die einzelnen Exchange 2003-Objekte, z. B. in Kategorien wie Datenbank-, Server- oder Empfängerobjekt.

  3. Ordnen Sie die Objekte der entsprechenden Exchange 2010-Rollengruppe zu. Eine Liste mit integrierten Rollengruppen finden Sie unter Integrierte Rollengruppen.

  4. Fügen Sie die universellen Sicherheitsgruppen oder Benutzer für die einzelnen Objekttypen zu den entsprechenden Exchange 2010-Rollengruppen hinzu. Weitere Informationen zum Hinzufügen von Benutzern und universellen Sicherheitsgruppen zu Rollengruppen finden Sie unter Hinzufügen von Mitgliedern zu einer Rollengruppe.

Nachdem Sie diese Aufgaben ausgeführt haben, sollten Ihre Exchange 2003-Administratoren Mitglieder der Rollengruppe sein, die den zu verwaltenden Exchange 2010-Objekten zugeordnet ist. Die Administratoren können zum Verwalten der Exchange 2010-Server und -Empfänger nun die Exchange 2010-Verwaltungstools verwenden. 

Wichtig

Im Allgemeinen müssen Exchange 2003-Server und -Empfänger über die Exchange 2003-Verwaltungstools, Exchange 2010-Server und -Empfänger über die Exchange 2010-Verwaltungstools verwaltet werden. Weitere Informationen finden Sie unter Exchange 2003 – Planungswegweiser für Upgrade und Koexistenz.

Wenn die integrierten Rollengruppen nicht die spezifischen Berechtigungen bieten, die einigen Administratoren zugewiesen werden sollen, können Sie benutzerdefinierte Rollengruppen erstellen. Beim Erstellen einer benutzerdefinierten Rollengruppe können Sie festlegen, welche Rollen dieser Gruppe zugewiesen werden sollen. So können Sie die spezifischen Funktionen definieren, die von den Mitgliedern der Rollengruppe verwaltet werden sollen. Wenn Administratoren z. B. ausschließlich Verteilergruppen verwalten sollen, können Sie eine benutzerdefinierte Rollengruppe erstellen und lediglich die Rolle Verteilergruppen auswählen. Mitglieder dieser benutzerdefinierten Rollengruppe können ausschließlich Verteilergruppen verwalten. Weitere Informationen zum Erstellen benutzerdefinierter Rollengruppen finden Sie unter Erstellen einer Rollengruppe.

Wenn Sie für bestimmte Exchange 2003-Objekte spezifische Berechtigungen zugewiesen haben, sodass Administratoren z. B. lediglich zur Verwaltung bestimmter Datenbanken berechtigt sind, und Sie dieselbe Konfiguration auf Ihre Exchange 2010-Server anwenden möchten, finden Sie unter "Erneutes Erstellen der Anpassung einer Exchange 2003-Zugriffssteuerungsliste mithilfe von Verwaltungsbereichen in Exchange 2010" später in diesem Thema weitere Informationen.

Zuweisen von Exchange 2003-Berechtigungen zu Exchange 2010-Administratoren

Wenn Exchange 2010-Administratoren Exchange 2003-Server verwalten sollen, müssen Sie Ihre Exchange 2010-Administratoren zu einer der drei Exchange 2003-Verwaltungsgruppen oder (bei angepassten Exchange 2003-Berechtigungen) zu den entsprechenden Zugriffssteuerungslisten hinzufügen. Sie können Benutzer oder universelle Sicherheitsgruppen zu Exchange 2003-Verwaltungsgruppen hinzufügen. Rollengruppen sind universelle Sicherheitsgruppen, sodass sie direkt den administrativen Gruppen von Exchange 2003 hinzugefügt werden können. In diesem Thema wird erläutert, wie Exchange 2010-Administratoren den in Exchange 2003 integrierten administrativen Gruppen hinzugefügt werden.

Auch hier findet die in der oben stehenden Tabelle "Exchange 2003-Verwaltungsrollen und Exchange 2010-Rollengruppen" aufgeführte Zuordnung zwischen Exchange 2010-Rollengruppen und Exchange 2003-Verwaltungsgruppen Anwendung. Wenn die Administratoren Ihrer Exchange 2010-Organisation über Vollzugriff auf Ihre Exchange 2003-Verwaltungsrollen verfügen sollen, fügen Sie die Organisationsverwaltung-Rollengruppe zur Verwaltungsgruppe Exchange-Administrator mit Vollzugriff hinzu. Führen Sie dieselben Schritte für die Organisationsverwaltung – nur Leserechte-Rollengruppe und die Verwaltungsgruppe Exchange-Administrator mit Leserechten aus.

Anschließend sollten Ihre Exchange 2010-Administratoren Mitglieder der Verwaltungsgruppe sein, die ihrer jeweiligen Rollengruppe zugeordnet ist. Die Administratoren können zum Verwalten der Exchange 2003-Server und -Empfänger nun die Exchange 2003-Verwaltungstools verwenden.

Wichtig

Im Allgemeinen müssen Exchange 2003-Server und -Empfänger über die Exchange 2003-Verwaltungstools, Exchange 2010-Server und -Empfänger über die Exchange 2010-Verwaltungstools verwaltet werden. Weitere Informationen finden Sie unter Exchange 2003 – Planungswegweiser für Upgrade und Koexistenz.

Weitere Informationen zum Hinzufügen von Benutzern oder universellen Sicherheitsgruppen zu Exchange 2003-Verwaltungsgruppen finden Sie im Knowledge Base-Artikel 823018, Overview of Exchange administrative Role Berechtigungen in Exchange 2003 (maschinelle Übersetzung).

Erneutes Erstellen der Anpassung einer Exchange 2003-Zugriffssteuerungsliste mithilfe von Verwaltungsbereichen in Exchange 2010

Wenn Sie in Exchange 2003 einschränken möchten, welche Benutzer einen bestimmten Postfachspeicher oder bestimmte Benutzer verwalten können bzw. welche Benutzer steuern können, in welchem Postfachspeicher Postfächer erstellt werden, müssen Sie die Zugriffssteuerungslisten für die entsprechenden Objekte ändern. Exchange 2010 bietet dieselben Funktionen, erfordert jedoch nicht das Ändern von Zugriffssteuerungslisten. Zu diesem Zweck werden Verwaltungsbereiche verwendet, eine Komponente der rollenbasierten Zugriffssteuerung.

Verwaltungsbereiche ermöglichen die Verwendung integrierter und benutzerdefinierter Bereiche zum Definieren der Objekte, die von Administratoren verwaltet werden können. Durch das Anwenden von Verwaltungsbereichen können Sie definieren, welche Empfänger verwaltet werden können, in welchen Postfachdatenbanken Postfächer erstellt werden können und welche Empfänger oder Server ausschließlich von einer kleinen Gruppe von Administratoren verwaltet werden können.

Die folgenden Typen von Verwaltungsbereichen können erstellt werden:

  • Vordefinierte relative Bereiche   Vordefinierte relative Bereiche sind in Exchange 2010 enthalten. Sie können steuern, welche Informationen ein Benutzer anzeigen und ändern kann. Mithilfe von vordefinierten relativen Bereichen lässt sich z. B. steuern, ob Benutzer nur Informationen zu sich selbst oder zur gesamten Organisation anzeigen können.

  • Empfängerbereiche   Empfängerbereiche steuern, welche Empfänger ein Administrator erstellen, ändern oder löschen kann. Sie können auf einer Organisationseinheit oder einem Empfängerfilter basieren (oder beides). Empfängerfilter geben die Kriterien an, mit denen ein Empfänger übereinstimmen muss, um in den Bereich aufgenommen zu werden. Sie können z. B. einen Empfängerfilterbereich mit allen Benutzern in einem bestimmten Standort oder einer bestimmten Abteilung erstellen. Organisationseinheiten und Empfängerfilter können sogar kombiniert werden, um nur für Benutzer in einer bestimmten Organisationseinheit eine Übereinstimmung zu ermitteln, die einem bestimmten Vorgesetzten berichten.

  • Serverbereiche   Serverbereiche steuern, welche Server ein Administrator verwalten kann. Sie können entweder Serverlisten oder Serverfilter angeben. Bei Serverlisten definieren Sie eine statische Liste mit Servern, die verwaltet werden können. Die Funktionsweise von Serverfiltern ist mit der Funktionsweise von Empfängerfiltern identisch: Sie geben Kriterien an, die erfüllt werden müssen. Sie können beispielsweise einen Serverbereich für alle Server innerhalb eines bestimmten Active Directory-Standorts erstellen.

  • Datenbankbereiche   Datenbankbereiche steuern, welche Datenbanken ein Administrator verwalten kann. Über diese Bereiche kann zudem gesteuert werden, in welchen Datenbanken Postfächer erstellt bzw. in welche Datenbanken Postfächer verschoben werden können. Wie Serverbereiche können diese Bereiche als Listen oder als Filter definiert werden. Beispielsweise können Sie eine Liste oder einen Filter erstellen, um Administratoren das Erstellen oder Verschieben von Postfächern in bestimmen Postfachdatenbanken zu ermöglichen, die von einer bestimmten Niederlassung verwaltet werden.

  • Exklusive Bereiche   Mit Ausnahme von vordefinierten relativen Bereichen können alle vorherigen Bereiche auch als exklusive Bereiche erstellt werden. Exklusive Bereiche werden wie Zugriffsverweigerungseinträge in Zugriffssteuerungslisten verwendet. Wenn Objekte mit einem exklusiven Bereich übereinstimmen, können nur die dem exklusiven Bereich zugewiesenen Administratoren das Objekt verwalten (selbst wenn ein anderer, nicht exklusiver Bereich mit demselben Objekt übereinstimmt). Dies ist besonders für Postfächer von Führungskräften nützlich, für deren Verwaltung nur einige wenige Personen berechtigt sein sollen. Selbst wenn ein anderer, umfangreicherer, normaler Empfängerbereich das Postfach der Führungskraft enthält, können die Administratoren des umfangreicheren normalen Empfängerbereichs das Postfach der Führungskraft nur dann verwalten, wenn sie auch dem exklusiven Bereich zugewiesen sind.

Um zu steuern, welche Benutzer welche Objekte verwalten können, werden Verwaltungsbereiche mit Verwaltungsrollen, Verwaltungsrollenzuweisungen und Verwaltungsrollengruppen verwendet. Weitere Informationen finden Sie in den folgenden Themen:

Um dasselbe Berechtigungsmodell in Exchange 2010 unter Verwendung von Verwaltungsbereichen zu erstellen, die Sie in Exchange 2003 mithilfe von angepassten Zugriffssteuerungslisten definiert haben, müssen Sie die angepassten Zugriffssteuerungslisten überprüfen und Verwaltungsbereiche erstellen, deren Berechtigungen den Berechtigungen dieser Listen entsprechen. Zum Erstellen von Verwaltungsbereichen mit den Objekten, für die der Zugriff über die einzelnen Verwaltungsbereiche gesteuert werden soll, können Sie die filterbaren Eigenschaften für Empfänger-, Server- und Datenbankobjekte verwenden. Weitere Informationen zu den Eigenschaften, die mit Verwaltungsbereichsfiltern verwendet werden können, finden Sie unter Grundlegendes zu Bereichsfiltern für Verwaltungsrollen.

Weitere Informationen zum Erstellen von Verwaltungsbereichen finden Sie unter Erstellen eines regulären oder exklusiven Bereichs.

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.