Grundlegendes zu Berechtigungen für mehrere Gesamtstrukturen
Gilt für: Exchange Server 2013
Viele Organisationen stellen mehrere Gesamtstrukturen bereit, um Sicherheitsgrenzen innerhalb ihrer Organisationen zu erstellen. Das Verwenden mehrerer Gesamtstrukturen unterstützt Administratoren beim Definieren dieser Sicherheitsgrenzen, um die jeweiligen Sicherheitsanforderungen zu erfüllen - ob es sich darum handelt, den Zugriff auf eine Ressource auf möglichst wenige Personen zu beschränken, oder um Abteilungen innerhalb einer Organisation zu segmentieren.
Microsoft Exchange Server 2013 unterstützt zwei Arten von Topologien mit mehreren Gesamtstrukturen:
Gesamtstrukturübergreifende Topologien: Gesamtstrukturübergreifende Topologien können mehrere Gesamtstrukturen mit jeweils eigener Exchange-Installation aufweisen.
Ressourcengesamtstruktur: Ressourcengesamtstrukturtopologien verfügen über eine Exchange-Gesamtstruktur und eine oder mehrere Kontengesamtstrukturen.
In diesem Thema wird die Gesamtstruktur, die die universellen Sicherheitsgruppen (Universal Security Groups, USGs) und Benutzer außerhalb der Gesamtstruktur umfasst, in der Exchange 2013 installiert ist, als fremde Gesamtstruktur bezeichnet - unabhängig davon, ob es sich um eine Konto- oder eine Ressourcengesamtstruktur handelt.
Die Konfiguration von Berechtigungen in einer Topologie mit mehreren Gesamtstrukturen basiert auf der ordnungsgemäßen Konfiguration von Gesamtstrukturvertrauensstellungen und der GAL-Synchronisierung (Global Address List, globale Adressliste) zur Erstellung verknüpfter Postfächer. Die Exchange 2013-Gesamtstruktur muss der fremden Gesamtstruktur vertrauen, welche die verknüpften Rollengruppen zugeordneten USGs und die verknüpften Postfächern zugeordneten Benutzer enthält.
Exchange 2013 verwendet ein Berechtigungsmodell für die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC). Die Verwaltungsrollengruppen, denen Administratoren angehören, sowie die Zuweisungsrichtlinien für Verwaltungsrollen, die den Endbenutzer zugewiesen sind, bestimmen, welche Aufgaben Administratoren und Endbenutzer ausführen können. Um Berechtigungen für mehrere Gesamtstrukturen verstehen zu können, müssen Sie mit dem RBAC-Modell vertraut sein. Weitere Informationen zu der rollenbasierten Zugriffssteuerung, Rollengruppen und Rollenzuweisungsrichtlinien finden Sie unter den folgenden Themen:
- Grundlegendes zur rollenbasierten Zugriffssteuerung
- Grundlegendes zu Verwaltungsrollengruppen
- Grundlegendes zu Verwaltungsrollen-Zuweisungsrichtlinien
Berechtigungen in einer Topologie mit mehreren Gesamtstrukturen
RBAC wendet Berechtigungen auf alle Exchange-Objekte innerhalb einer einzelnen Gesamtstruktur an, und die RBAC-Konfiguration in jeder Gesamtstruktur wird unabhängig von allen anderen Gesamtstrukturen konfiguriert. Wenn Sie eine Rollengruppe in einer Gesamtstruktur erstellen, ist diese Rollengruppe in keiner anderen Gesamtstruktur vorhanden, und die von dieser Rollengruppe erteilten Berechtigungen gelten nur für die Gesamtstruktur, in der sie erstellt wurde. Beispielsweise kann ein Mitglied einer Rollengruppe, die Berechtigungen zum Erstellen eines Postfachs erteilt, Postfächer nur in der Gesamtstruktur erstellen, die diese Rollengruppe enthält.
Wenn Sie über mehrere Exchange-Gesamtstrukturen verfügen und Berechtigungen innerhalb jeder Gesamtstruktur identisch konfigurieren möchten, müssen Sie die gleiche Konfiguration explizit in jeder Gesamtstruktur anwenden. Wenn Sie beispielsweise über zwei Exchange 2013-Gesamtstrukturen verfügen und eine Rollengruppe "Complianceverwaltung" erstellen möchten, um Berechtigungen für Ihre Rechtsabteilung zu verwalten, müssen Sie die folgenden Schritte ausführen:
- Erstellen Sie in jeder Gesamtstruktur eine Rollengruppe namens "Verwaltung der Vorschrifteneinhaltung". Wenn sich Ihre Administratoren in einer separaten Gesamtstruktur befinden, die für beide Exchange-Gesamtstrukturen fremd ist, erstellen Sie beide Rollengruppen als verknüpfte Rollengruppen. Weitere Informationen zu Rollengruppen finden Sie im Abschnitt Grenzübergreifende Berechtigungen.
- Erstellen Sie in jeder Gesamtstruktur Rollenzuweisungen zwischen den neuen Rollengruppen und den Rollen, die Sie verwenden möchten.
- Optional können Sie den neuen Rollenzuweisungen Verwaltungsbereiche hinzufügen, die die Server- und Empfängerobjekte innerhalb jeder Gesamtstruktur umfassen.
- Wenn Sie die Rollengruppen als verknüpfte Rollengruppen erstellt haben, müssen Sie der verknüpften universellen Sicherheitsgruppe in der fremden Gesamtstruktur Mitglieder hinzufügen.
Folgende Abbildung zeigt, wie die in Exchange 2013-Gesamtstrukturen konfigurierten Rollengruppen an ihre jeweilige Gesamtstruktur gebunden sind. Die Rollengruppe "Organisationsverwaltung" in der Exchange 2013-Gesamtstruktur A erteilt Berechtigungen ausschließlich zum Verwalten der Postfächer und Server in dieser Gesamtstruktur. Ebenso erteilen die Rollengruppen in der Exchange 2013-Gesamtstruktur B Berechtigungen nur für die Postfächer und Server innerhalb dieser Gesamtstruktur.
Die Abbildung zeigt ferner, dass die benutzerdefinierte Rollengruppe A in jeder Gesamtstruktur erstellt wird. Selbst wenn sie mit demselben Namen erstellt werden, handelt es sich bei jeder Rollengruppe um eine eigene Entität. Tatsächlich können jeder Rollengruppe (wie die Abbildung zeigt) in der jeweiligen Gesamtstruktur verschiedene Verwaltungsrollen zugewiesen werden. Der benutzerdefinierten Rollengruppe A in der Exchange 2013-Gesamtstruktur A sind die Rollen "Postfachsuche" und "Nachrichtenverfolgung" zugewiesen, während der benutzerdefinierten Rollengruppe A in der Exchange 2013-Gesamtstruktur B die Rollen "Postfachsuche" und "Aufbewahrungsmanagement" zugewiesen sind.
Schließlich sind Verwaltungsbereiche in jeder Gesamtstruktur ebenfalls an die Gesamtstruktur gebunden. Serverbereiche, die in einer Gesamtstruktur erstellt werden, können nur Server umfassen, die Mitglied dieser Gesamtstruktur sind. Serverbereich A darf nur Server in der Exchange 2013-Gesamtstruktur A enthalten, während Serverbereich B nur Server enthalten kann, die sich innerhalb der Exchange 2013-Gesamtstruktur B befinden. Ebenso kann der Empfängerbereich in Der Exchange 2013-Gesamtstruktur B nur Postfächer enthalten, die sich innerhalb der Exchange 2013-Gesamtstruktur B befinden.
.gif "RBAC- und Gesamtstrukturgrenzenbereichsbeziehungen")
Grenzübergreifende Berechtigungen
Mit den durch die rollenbasierte Zugriffssteuerung erteilten Berechtigungen können Benutzer Exchange-Objekte nur innerhalb einer bestimmten Gesamtstruktur anzeigen oder ändern. Sie können jedoch Benutzern, die sich außerhalb einer Gesamtstruktur befinden, Berechtigungen zum Anzeigen und Ändern von Exchange-Objekten in dieser Gesamtstruktur erteilen. Durch Verwendung von grenzübergreifenden Berechtigungen können Sie Exchange-Verwaltungskonten in einer einzigen Gesamtstruktur zentralisieren und müssen diese nicht in jeder einzelnen Gesamtstruktur zur Ausführung von Aufgaben authentifizieren.
Hinweis
Die Berechtigungen, die einem Benutzer außerhalb einer Exchange-Gesamtstruktur erteilt werden, gelten weiterhin nur für diese bestimmte Exchange-Gesamtstruktur. Wenn beispielsweise ein Benutzer in einer fremden Gesamtstruktur Mitglied der verknüpften Rollengruppe "Organisationsverwaltung" ist, die sich in Gesamtstruktur A befindet, kann dieser Benutzer nur diejenigen Exchange-Objekte verwalten, die in der Gesamtstruktur A enthalten sind. Ein Benutzer muss in jeder Exchange-Gesamtstruktur als Mitglied von verknüpften Rollengruppen festgelegt werden, damit ihm Berechtigungen für die Verwaltung jeder Gesamtstruktur erteilt werden können.
Grenzübergreifende Berechtigungen ermöglichen es Ihnen auch, Rollenzuweisungsrichtlinien auf die Postfächer von Benutzern anzuwenden, die Postfächer in einer Exchange-Gesamtstruktur haben, aber über Benutzerkonten verfügen, die sich in einer Kontengesamtstruktur befinden. Exchange 2013 unterstützt grenzübergreifende Berechtigungen mithilfe von verknüpften Rollengruppen und verknüpften Postfächern, die in den folgenden Abschnitten erläutert werden.
Administratorberechtigungen
Administrative Berechtigungen werden mithilfe von verknüpften Rollengruppen und verknüpften Postfächern gesamtstrukturübergreifend gewährt.
Eine verknüpfte Rollengruppe wird in der Exchange 2013-Organisation erstellt und über die Grenze der Gesamtstruktur hinweg mit einer universellen Sicherheitsgruppe in der fremden Gesamtstruktur verknüpft. Folgende universelle Sicherheitsgruppen (USG) können mit einer verknüpften Rollengruppe verknüpft werden:
- Eine dedizierte USG zur Verwendung mit der verknüpften Rollengruppe
- Eine USG, die über verknüpfte Rollengruppen in mehreren Exchange 2013-Gesamtstrukturen verknüpft ist
- Eine Rollengruppen-USG in einer anderen Exchange 2013-Gesamtstruktur
- Eine USG, die einer Exchange Server 2007-Verwaltungsrolle oder einer Exchange 2010-Rollengruppe zugeordnet ist
Die USG, mit der eine verknüpfte Rollengruppe verknüpft ist, muss sich in einer anderen Gesamtstruktur befinden. Sie können eine verknüpfte Rollengruppe nicht mit einer universellen Sicherheitsgruppe in derselben Gesamtstruktur verknüpfen.
Die folgende Abbildung zeigt, dass USGs in einer Kontogesamtstruktur Rollengruppen in mehreren Exchange 2013-Ressourcengesamtstrukturen zugeordnet werden können. Die Mitglieder der universellen Sicherheitsgruppen in den Kontogesamtstrukturen werden über die USGs zu Mitgliedern der Rollengruppen.
.gif "Verknüpfte Rollengruppen- und USG-Beziehungen")
Wenn Sie eine verknüpfte Rollengruppe erstellen, können Sie dieser Rollengruppe in der Exchange 2013-Gesamtstruktur Rollen zuweisen. Die Zuweisungen zwischen den Rollen und der verknüpften Rollengruppe können bei Bedarf Verwaltungsbereiche umfassen. Diese Bereiche sind auf die Gesamtstruktur beschränkt, in der die verknüpfte Rollengruppe erstellt wurde.
Die Mitgliedschaft in der verknüpften Rollengruppe wird durch das Hinzufügen und Entfernen von Mitgliedern zu und aus der USG in der fremden Gesamtstruktur verwaltet. Wenn Sie dieser USG Mitglieder hinzufügen, werden diesen die Berechtigungen erteilt, die der verknüpften Rollengruppe in der Exchange 2013-Gesamtstruktur zugewiesen sind. Wenn Sie mehrere verknüpfte Rollengruppen mit der gleichen USG verknüpft haben, werden den Mitgliedern dieser USG die Berechtigungen erteilt, die jeder verknüpften Rollengruppe in jeder Exchange 2013-Gesamtstruktur zugewiesen sind.
Sie können die Mitgliedschaft in einer verknüpften Rollengruppe nicht in der Exchange 2013-Gesamtstruktur verwalten.
Eine zweite Methode zum Zuweisen administrativer Berechtigungen über Gesamtstrukturgrenzen hinweg stellen verknüpfte Postfächer dar. Damit Benutzer in einer Kontogesamtstruktur eine Exchange 2013-Bereitstellung in einer getrennten Exchange 2013-Ressourcengesamtstruktur nutzen können, müssen Sie ein verknüpftes Postfach für jeden Benutzer konfigurieren. Verknüpfte Postfächer können Rollengruppen in der Exchange 2013-Gesamtstruktur als Mitglieder hinzugefügt werden. Wenn ein verknüpftes Postfach Mitglied einer Rollengruppe wird, werden diesem Postfach und damit auch dem Benutzer in der Kontogesamtstruktur, dem dieses Postfach zugewiesen ist, die von der Rollengruppe bereitgestellten Berechtigungen erteilt.
Die folgende Abbildung zeigt die Beziehung zwischen Benutzern in einer Kontogesamtstruktur, den diesen Benutzern zugeordneten Postfächern und den Rollengruppen, in denen sie Mitglied sind.
.gif "Rollengruppen- und verknüpfte Postfachbeziehungen")
Verknüpfte Rollengruppen und verknüpfte Postfächer haben in Bezug auf die gesamtstrukturübergreifende Zuweisung administrativer Berechtigungen Vorteile und Nachteile. In der folgenden Tabelle werden einige davon beschrieben.
Vor- und Nachteile verknüpfter Rollengruppen und verknüpfter Postfächer
| Verknüpfte Rollengruppen oder verknüpfte Postfächer | Vorteil | Nachteil |
|---|---|---|
| Verknüpfte Rollengruppen | Sie können mehrere verknüpfte Rollengruppen aus mehreren Exchange 2013-Gesamtstrukturen einer einzigen USG in einer Kontogesamtstruktur oder in einer anderen Exchange-Ressourcengesamtstruktur zuordnen. Auf diese Weise können Sie komplexe Exchange-Gesamtstrukturtopologien mithilfe einer geringen Anzahl von universellen Sicherheitsgruppen in einer einzigen Gesamtstruktur verwalten. | Eine herkömmliche Rollengruppe kann nicht in eine verknüpfte Rollengruppe geändert werden. Sie müssen verknüpfte Rollengruppen manuell erstellen, um jede herkömmliche Rollengruppe zu ersetzen, deren Berechtigungen Sie gesamtstrukturübergreifend erteilen möchten. Weitere Informationen finden Sie unter Konfigurieren von grenzübergreifenden Berechtigungen. |
| Verknüpfte Postfächer | Mit verknüpften Postfächern können Sie die vorhandenen Rollengruppen innerhalb der Exchange-Gesamtstruktur verwenden. Verknüpfte Postfächer werden den vorhandenen Rollengruppen genauso wie normale Postfächer, universelle Sicherheitsgruppen und Benutzer in der gleichen Exchange-Gesamtstruktur als Mitglieder hinzugefügt. | Wenn Sie zum Erteilen von Berechtigungen in mehreren Exchange 2013-Gesamtstrukturen verknüpfte Postfächer verwenden, die mit einem einzigen Benutzer in einer Kontogesamtstruktur verknüpft sind, müssen Sie die Rollengruppenmitgliedschaft in jeder Exchange 2013-Gesamtstruktur ändern, wenn Sie die Berechtigungen für diesen Benutzer ändern möchten. |
Es empfiehlt sich, verknüpfte Rollengruppen zum Erteilen von Berechtigungen über Gesamtstrukturgrenzen hinweg zu verwenden, wenn Sie planen, mehrere Exchange-Ressourcengesamtstrukturen einzurichten.
Endbenutzerberechtigungen
Endbenutzerberechtigungen werden einzelnen Postfächern mithilfe von Rollenzuweisungsrichtlinien zugewiesen. Wenn Exchange 2013 in einer Ressourcengesamtstruktur installiert ist, werden verknüpfte Postfächer in der Ressourcengesamtstruktur erstellt und Benutzerkonten in der Kontogesamtstruktur zugeordnet.
Wenn Sie ein verknüpftes Postfach erstellen, wird es wie ein herkömmliches Postfach einer standardmäßigen Rollenzuweisungsrichtlinie zugeordnet. Die Rollenzuweisungsrichtlinie legt fest, welche Endbenutzerberechtigungen dem Postfach erteilt werden. Diese Berechtigungen ermöglichen den Benutzern das Anzeigen und Ändern von Einstellungen in Bezug auf die folgenden und weitere Funktionen:
- Profilinformationen für Endbenutzer
- Endbenutzer-Voicemail
- Endbenutzermitgliedschaft in Verteilergruppen und Besitz
Wenn eine Rollenzuweisungsrichtlinie einem verknüpften Postfach zugewiesen wird, erhält der Benutzer in der Kontogesamtstruktur, der dem verknüpften Postfach zugeordnet ist, Berechtigungen zum Verwalten der Funktionen, die diesem Benutzer zur Verfügung stehen. Die Berechtigungen gelten nur für die Ressourcen in der Exchange-Gesamtstruktur, in der sich das verknüpfte Postfach befindet. Die folgende Abbildung zeigt die Beziehung zwischen dem Endbenutzer in der Kontogesamtstruktur, dem zugeordneten verknüpften Postfach und der Rollenzuweisungsrichtlinie, die dem verknüpften Postfach zugewiesen ist. Zusätzlich zu einer Rollenzuweisungsrichtlinie kann ein verknüpftes Postfach, das einem administrativen Benutzer in der Kontogesamtstruktur zugeordnet ist, mit mehreren Rollengruppen verknüpft werden.
.gif "Rollengruppen- und Zuweisungsrichtlinienbeziehungen")
Konfigurieren von grenzübergreifenden Berechtigungen
Zum Konfigurieren von grenzübergreifenden Berechtigungen in einer Topologie mit mehreren Gesamtstrukturen müssen Sie verknüpfte Rollengruppen für jede der Rollengruppen erstellen, die Sie mit einer USG in einer fremden Gesamtstruktur verknüpfen möchten. Dies bedeutet, dass Sie eine verknüpfte Rollengruppe für jede integrierte Rollengruppe erstellen müssen. Folgende Schritte sind erforderlich:
Erstellen Sie für die zu erstellenden verknüpften Rollengruppen eine USG in der fremden Gesamtstruktur. Fügen Sie dieser USG Mitglieder hinzu, denen Sie Berechtigungen erteilen möchten.
Erstellen Sie eine verknüpfte Rollengruppe für jede integrierte Rollengruppe. Folgendes geschieht, wenn die verknüpfte Rollengruppe erstellt wird:
- Die Rollen, die der integrierten Rollengruppe zugewiesen sind, werden der neuen verknüpften Rollengruppe zugewiesen.
- Die verknüpfte Rollengruppe wird der USG in der fremden Gesamtstruktur zugeordnet.
Erstellen Sie verknüpfte Rollengruppen für alle benutzerdefinierten Rollengruppen, die Sie erstellt haben.
Weisen Sie den neuen verknüpften Rollengruppen optional benutzerdefinierte Bereiche zu.
Ausführliche Anweisungen zum Ausführen dieser Schritte finden Sie unter den folgenden Themen:
- Erstellen verknüpfter Rollengruppen, die integrierte Rollengruppen spiegeln
- Verwalten von verknüpften Rollengruppen
- Verwalten von Rollengruppen
Informationen dazu, wie Sie die USG ändern, der eine verknüpfte Rollengruppe zugeordnet ist, finden Sie unter Verwalten von verknüpften Rollengruppen.
Beim Erstellen eines verknüpften Postfachs wird dieses automatisch einer Rollenzuweisungsrichtlinie zugewiesen. Sie können die Rollenzuweisungsrichtlinie ändern, die dem verknüpften Postfach zugeordnet ist, oder Sie ändern die Rollenzuweisungsrichtlinie, die Postfächern bei deren Erstellung standardmäßig zugeordnet wird. Weitere Informationen hierzu finden Sie unter den folgenden Themen: