Erstellen eines regulären oder exklusiven Bereichs
Gilt für: Exchange Server 2013
Verwaltungsrollenbereiche bestimmen, welche Objekte einem Benutzer zur Verfügung gestellt werden, damit die Objekte mithilfe der ihm zugeordneten Cmdlets und Parameter geändert werden können. Durch das Hinzufügen eines Verwaltungsbereichs können Sie Verwaltungsrollenzuweisungen konfigurieren, sodass Benutzer bestimmte Server, Datenbanken, Empfänger und andere Objekte in Ihrer Organisation verwalten, jedoch keine anderen Objekte ändern können.
Wichtig
Beim Erstellen eines regulären oder exklusiven Bereichs wird der Schreibbereich außer Kraft gesetzt, der für die von Ihnen zugewiesene Verwaltungsrolle definiert ist. Der für die Verwaltungsrolle konfigurierte Lesebereich kann nicht außer Kraft gesetzt werden.
Sie können einen benutzerdefinierten Verwaltungsbereich erstellen und eine Verwaltungsrollenzuweisung hinzufügen oder ändern. Informationen zum Erstellen einer Verwaltungsrollenzuweisung mit einem vordefinierten oder einem OU-Verwaltungsbereich (Organizational Unit, Organisationseinheit) finden Sie unter Hinzufügen einer Rolle zu einem Benutzer oder einer universellen Sicherheitsgruppe.
Weitere Informationen zu Verwaltungsrollenbereichen und -zuweisungen in Microsoft Exchange Server 2013 finden Sie unter den folgenden Themen:
Möchten Sie wissen, welche anderen Verwaltungsaufgaben es im Zusammenhang mit Bereichen gibt? Weitere Informationen finden Sie hier: Erweiterte Berechtigungen.
Was sollten Sie wissen, bevor Sie beginnen?
Geschätzte Zeit bis zum Abschließen der einzelnen Verfahren: 5 Minuten
Bevor Sie diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Verwaltungsbereiche" im Thema Berechtigungen für die Rollenverwaltung.
Sie müssen diese Verfahren mithilfe der Shell ausführen.
Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.
Tipp
Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren auf Exchange Server.
Schritt 1: Erstellen eines benutzerdefinierten Bereichs
Wählen Sie zum Erstellen eines benutzerdefinierten Bereichs einen der folgenden Bereichstypen.
Filterbasierter Empfängerbereich
Filterbasierte Empfängerbereiche werden unter Verwendung des Parameters RecipientRestrictionFilter mit dem Cmdlet New-ManagementScope erstellt. Beim Erstellen eines Empfängerfilters können Sie neben den zu filternden Empfängereigenschaften die Organisationseinheit angeben, in welcher die Filterabfrage ausgeführt wird. Bei Angabe einer Basisorganisationseinheit schränken Sie den Schreibbereich der Rolle weiter ein.
Weitere Informationen zu Verwaltungsbereichsfiltern finden Sie unter Grundlegendes zu Verwaltungsrollenbereichs-Filtern.
Verwenden Sie zum Erstellen eines Einschränkungsfilterbereichs für Domänen mit einer Basisorganisationseinheit die folgende Syntax.
New-ManagementScope -Name <scope name> -RecipientRestrictionFilter <filter query> [-RecipientRoot <OU>]
In diesem Beispiel wird ein Bereich mit allen Postfächern innerhalb von "contoso.com/Sales OU" erstellt.
New-ManagementScope -Name "Mailboxes in Sales OU" -RecipientRestrictionFilter "RecipientType -eq 'UserMailbox'" -RecipientRoot "contoso.com/Sales OU"
Hinweis
Sie können den RecipientRoot-Parameter weglassen, wenn der Filter auf den gesamten impliziten Lesebereich der Verwaltungsrolle und nicht nur innerhalb einer bestimmten Organisationseinheit angewendet werden soll.
Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementScope.
Filterbasierter Serverkonfigurationsbereich
Filterbasierte Serverkonfigurationsbereiche werden unter Verwendung des Parameters ServerRestrictionFilter mit dem Cmdlet New-ManagementScope erstellt. Ein Serverfilter ermöglicht das Erstellen eines Bereichs, der nur auf Server angewendet wird, die mit den angegebenen Filterkriterien übereinstimmen.
Weitere Informationen zu Verwaltungsbereichsfiltern und eine Liste filterbarer Servereigenschaften finden Sie unter Grundlegendes zu Verwaltungsrollenbereichs-Filtern.
Verwenden Sie zum Erstellen eines Serverfilterbereichs die folgende Syntax.
New-ManagementScope -Name <scope name> -ServerRestrictionFilter <filter query>
In diesem Beispiel wird ein Bereich erstellt, der alle Server im Active Directory-Standort "CN=Redmond,CN=Sites,CN=Configuration,DC=contoso,DC=com'" umfasst.
New-ManagementScope -Name "Servers in Seattle AD site" -ServerRestrictionFilter "ServerSite -eq 'CN=Redmond,CN=Sites,CN=Configuration,DC=contoso,DC=com'"
Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementScope.
Listenbasierter Serverkonfigurationsbereich
Listenbasierte Serverkonfigurationsbereiche werden unter Verwendung des Parameters ServerList mit dem Cmdlet New-ManagementScope erstellt. Ein listenbasierter Serverbereich ermöglicht das Erstellen eines Bereichs, der nur auf die in einer Liste angegebenen Server angewendet wird.
Verwenden Sie zum Erstellen eines listenbasierten Serverbereichs die folgende Syntax.
New-ManagementScope -Name <scope name> -ServerList <server 1>, <server 2...>
In diesem Beispiel wird ein Bereich erstellt, der nur auf "MBX1", "MBX3" und "MBX5" angewendet wird.
New-ManagementScope -Name "Mailbox servers" -ServerList MBX1,MBX3,MBX5
Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementScope.
Filterbasierter Datenbankkonfigurationsbereich
Filterbasierte Datenbankkonfigurationsbereiche werden unter Verwendung des Parameters DatabaseRestrictionFilter mit dem Cmdlet New-ManagementScope erstellt. Ein Datenbankfilter ermöglicht das Erstellen eines Bereichs, der nur auf Datenbanken angewendet wird, die mit den angegebenen Filterkriterien übereinstimmen.
Wichtig
Rollenzuweisungen, die Datenbankbereichen zugeordnet sind, werden nur auf Benutzer angewendet, die eine Verbindung mit Servern herstellen, die Microsoft Exchange Server 2010 Service Pack 1 (SP1) oder höher oder Exchange 2013 ausgeführt werden. Wenn einem Benutzer eine Rollenzuweisung zugewiesen wurde, die einem Datenbankbereich zugeordnet ist, eine Verbindung mit einem Server vor Exchange 2010 SP1 herstellt, wird die Rollenzuweisung nicht auf den Benutzer angewendet, und dem Benutzer werden keine Berechtigungen gewährt, die von der Rollenzuweisung bereitgestellt werden.
Weitere Informationen zu Verwaltungsbereichsfiltern und eine Liste filterbarer Datenbankeigenschaften finden Sie unter Grundlegendes zu Verwaltungsrollenbereichs-Filtern.
Verwenden Sie zum Erstellen eines Datenbankeinschränkungsfilters die folgende Syntax.
New-ManagementScope -Name <scope name> -DatabaseRestrictionFilter <filter query>
In diesem Beispiel wird ein Bereich mit allen Datenbanken erstellt, deren Eigenschaft Name die Zeichenfolge "Executive" enthält.
New-ManagementScope -Name "Executive Databases" -DatabaseRestrictionFilter "Name -Like '*Executive*'"
Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementScope.
Listenbasierter Datenbankkonfigurationsbereich
Listenbasierte Datenbankkonfigurationsbereiche werden unter Verwendung des Parameters DatabaseList mit dem Cmdlet New-ManagementScope erstellt. Ein listenbasierter Datenbankbereich ermöglicht das Erstellen eines Bereichs, der nur auf die in einer Liste angegebenen Datenbanken angewendet wird.
Wichtig
Rollenzuweisungen, die Datenbankbereichen zugeordnet sind, werden nur auf Benutzer angewendet, die eine Verbindung mit Servern herstellen, die Microsoft Exchange Server 2010 Service Pack 1 (SP1) oder höher oder Exchange 2013 ausgeführt werden. Wenn einem Benutzer eine Rollenzuweisung zugewiesen wurde, die einem Datenbankbereich zugeordnet ist, eine Verbindung mit einem Server vor Exchange 2010 SP1 herstellt, wird die Rollenzuweisung nicht auf den Benutzer angewendet, und dem Benutzer werden keine Berechtigungen gewährt, die von der Rollenzuweisung bereitgestellt werden.
Verwenden Sie zum Erstellen eines listenbasierten Datenbankbereichs die folgende Syntax.
New-ManagementScope -Name <scope name> -DatabaseList <database 1>, <database 2...>
In diesem Beispiel wird ein Bereich erstellt, der nur auf die Datenbanken "Database 1", "Database 2" und "Database 3" angewendet wird.
New-ManagementScope -Name "Primary databases" -DatabaseList "Database 1", "Database 2", "Database 3"
Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementScope.
Exklusiver Bereich
Jeder Bereich, den Sie mit dem Cmdlet New-ManagementScope erstellen, kann als exklusiver Bereich festgelegt werden. Um einen exklusiven Bereich zu erstellen, verwenden Sie die gleichen Befehle in einem der vorherigen Abschnitte, um einen empfängerfilterbasierten Bereich, serverfilterbasierten Bereich, serverlistenbasierten Bereich, datenbankfilterbasierten Bereich oder datenbanklistenbasierten Bereich zu erstellen und dann dem Befehl den Exklusiven Schalter hinzuzufügen.
Warnung
Wenn Sie exklusive Verwaltungsbereiche erstellen, können nur die rollenzugewiesenen exklusiven Bereiche, die zu ändernde Objekte enthalten, auf diese Objekte zugreifen. Nur Administratoren, denen eine Rolle mit dem exklusiven Bereich zugewiesen ist, können auf diese exklusiven oder geschützten Objekte zugreifen.
In diesem Beispiel wird ein exklusiver filterbasierter Empfängerbereich für alle Benutzer in der Abteilung "Executives" erstellt.
New-ManagementScope "Executive Users Exclusive Scope" -RecipientRestrictionFilter "Department -Eq 'Executives'" -Exclusive
Bei der Erstellung eines exklusiven Bereichs müssen Sie standardmäßig bestätigen, dass Sie einen exklusiven Bereich erstellt haben und sich der Auswirkungen eines exklusiven Bereichs auf vorhandene Rollenzuweisungen bewusst sind, die nicht exklusiv sind. Wenn Sie die Warnung unterdrücken möchten, können Sie den Schalter Erzwingen verwenden. In diesem Beispiel wird derselbe Bereich wie im vorherigen Beispiel erstellt, jedoch ohne die Warnmeldung.
New-ManagementScope "Executive Users Exclusive Scope" -RecipientRestrictionFilter "Department -Eq 'Executives'" -Exclusive -Force
Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementScope.
Schritt 2: Hinzufügen oder Ändern einer Verwaltungsrollenzuweisung
Nach dem Erstellen des Bereichs muss dieser zu einer neuen oder vorhandenen Verwaltungsrollenzuweisung hinzugefügt werden.
Wenn Sie einen Verwaltungsbereich erstellen und zu einer neuen Verwaltungsrollenzuweisung hinzufügen möchten, die erstellt werden soll, finden Sie unter den folgenden Themen weitere Informationen:
Wenn Sie einen Verwaltungsrollenbereich erstellen und zu einer vorhandenen Verwaltungsrollenzuweisung hinzufügen möchten, finden Sie unter den folgenden Themen weitere Informationen: