Integrierte Verwaltungsrollen

Gilt für: Exchange Server 2013

Microsoft Exchange Server 2013 enthält standardmäßig zahlreiche Verwaltungsrollen. Die folgenden Rollen werden Verwaltungsrollengruppen oder Richtlinien für die Verwaltungsrollenzuweisung in unterschiedlichen Kombinationen zugewiesen, mit denen Berechtigungen zum Verwalten und Verwenden der von Exchange 2013 bereitgestellten Funktionen erteilt werden. Weitere Informationen zu Rollen finden Sie unter Grundlegendes zu Verwaltungsrollen.

Rolle „Active Directory-Berechtigungen"

Rolle „Adresslisten"

Rolle „ApplicationImpersonation"

Rolle „ArchiveApplication"

Rolle „Überwachungsprotokolle"

Rolle „Cmdlet-Erweiterungs-Agents"

Rolle „Verhinderung von Datenverlust"

Rolle „Datenbankverfügbarkeitsgruppen"

Rolle „Datenbankkopien"

Rolle „Datenbanken"

Rolle „Notfallwiederherstellung"

Rolle „Verteilergruppen"

Rolle „Edge-Abonnements"

Rolle „E-Mail-Adressrichtlinien"

Rolle „Exchange-Connectors"

Rolle „Exchange Server-Zertifikate"

Rolle „Exchange-Server"

Rolle „Virtuelle Exchange-Verzeichnisse"

Rolle „Verbundfreigabe"

Rolle „Information Rights Management"

Rolle „Journaling"

Rolle „Gesetzliche Aufbewahrungspflicht"

Rolle „LegalHoldApplication"

Rolle „E-Mail-fähige öffentliche Ordner"

Rolle „Erstellung von E-Mail-Empfängern"

Rolle „Nachrichtenempfänger"

Rolle „E-Mail-Infos"

Rolle „Postfachimport/-export"

Rolle „Postfachsuche"

Rolle „MailboxSearchApplication"

Rolle „Nachrichtenverfolgung"

Rolle „Migration"

Rolle „Überwachung"

Rolle „Postfächer verschieben"

Rolle „Eigene benutzerdefinierte Apps"

Rolle „Eigene Marketplace-Apps"

MyAddressInformation-Rolle

Rolle „MyBaseOptions"

Rolle „MyContactInformation"

Rolle „MyDiagnostics"

MyDisplayName-Rolle

Rolle „MyDistributionGroupMembership"

Rolle „MyDistributionGroups"

MyMobileInformation-Rolle

MyName Rolle

MyPersonalInformation-Rolle

Rolle „MyProfileInformation"

Rolle „MyRetentionPolicies"

Rolle „MyTeamMailboxes"

Rolle „MyTextMessaging"

Rolle „MyVoiceMail"

Rolle „OfficeExtensionApplication"

Rolle „Benutzerdefinierte Apps einer Organisation"

Rolle „Marketplace-Apps einer Organisation"

Rolle „Organisationsclientzugriff"

Rolle „Organisationskonfiguration"

Rolle „Organisationstransporteinstellungen"

Rolle „POP3- und IMAP4-Protokolle"

Rolle „Öffentliche Ordner"

Rolle „Empfangsconnectors"

Rolle „Empfängerrichtlinien"

Rolle „Remote- und akzeptierte Domänen"

Rolle „Kennwort zurücksetzen"

Aufbewahrungsverwaltungsrollet

Rolle „Rollenverwaltung"

Rolle „Sicherheitsgruppenerstellung und -mitgliedschaft"

Rolle „Sendeconnectors"

Rolle "Diagnoseunterstützung"

Rolle „Teampostfächer"

Rolle „TeamMailboxLifecycleApplication"

Rolle „Transport-Agents"

Rolle „Transportschutz"

Rolle „Transportwarteschlangen"

Rolle „Transportregeln"

Rolle „UM-Postfächer"

Rolle „UM-Ansagen"

Serverrolle UnifiedMessaging

Rolle „Rollenverwaltung ohne Bereichseinschränkung"

Rolle „Benutzeroptionen"

Rolle „UserApplication"

Rolle „Überwachungsprotokolle nur anzeigen"

Rolle „Konfiguration (nur Anzeige)"

Rolle „Empfänger mit Leserechten"

Diese Verwaltungsrollen sind eine von mehreren integrierten Rollen im RBAC-Berechtigungsmodell (Role Based Access Control) in Microsoft Exchange Server 2013. Verwaltungsrollen, die einer oder mehreren Verwaltungsrollengruppen, Verwaltungsrollenzuweisungsrichtlinien, Benutzern oder universellen Sicherheitsgruppen (Universal Security Groups, USG) zugewiesen sind, fungieren als logische Gruppierung von Cmdlets oder Skripts, die kombiniert werden, um Zugriff zum Anzeigen oder Ändern der Konfiguration von Exchange 2013-Komponenten wie Postfachdatenbanken, Transportregeln und Empfängern zu ermöglichen. Wenn ein Cmdlet oder Skript und seine Parameter, zusammen als Verwaltungsrolleneintrag bezeichnet, in einer Rolle enthalten sind, können dieses Cmdlet oder Skript und seine Parameter von denen ausgeführt werden, denen die Rolle zugewiesen ist. Weitere Informationen zu Verwaltungsrollen und Verwaltungsrolleneinträgen finden Sie unter Grundlegendes zu Verwaltungsrollen.

Weitere Informationen zu Verwaltungsrollen, Verwaltungsrollengruppen und anderen RBAC-Komponenten finden Sie unter Grundlegendes zur rollenbasierten Zugriffssteuerung.

Verwaltungsrollenzuweisungen

Damit diese Rollen Berechtigungen erteilen können, muss sie einem Rollenempfänger zugewiesen werden, bei dem es sich um eine Rollengruppe, einen Benutzer oder eine universelle Sicherheitsgruppe (Universal Security Group, USG) handeln kann. Die Zuweisung erfolgt über Verwaltungsrollenzuweisungen. Rollenzuweisungen verknüpfen Rollenempfänger und Rollen miteinander. Werden einem Rollenempfänger mehrere Rollen zugewiesen, wird dem Rollenempfänger die Gesamtheit aller Berechtigungen erteilt, die durch alle zugewiesenen Rollen erteilt werden.

Um über diese Rolle Berechtigungen erteilen zu können, muss sie einem Rollenempfänger zugewiesen werden. Verwaltungsbereiche steuern, welche Empfänger-, Server- und Datenbankobjekte von Rollenempfängern geändert werden können. Wenn diese Rollen einem Rollenempfänger zugewiesen sind, aber ein Verwaltungsbereich dem Rollenempfänger nur die Verwaltung bestimmter Objekte basierend auf einem definierten Bereich zulässt, kann der Rollenempfänger nur die Berechtigungen verwenden, die von diesen Rollen für diese spezifischen Objekte gewährt werden. Die von diesen Rollen bereitgestellten Berechtigungen können nicht auf Objekte außerhalb des für die Rollenzuweisung definierten Bereichs angewendet werden. Diese benutzerspezifische ist mit impliziten Bereichen verknüpft, die nicht geändert werden können. Daher sollten Sie keine benutzerdefinierten Bereiche zu Rollenzuweisungen hinzufügen, die diese Rolle Rollenzuweisungsrichtlinien, Rollengruppen, universellen Sicherheitsgruppen oder Benutzern zuweisen.

• Grundlegendes zu Verwaltungsrollenzuweisungen

• Grundlegendes zu Verwaltungsrollenbereichen

Diese Rollen werden standardmäßig einer oder mehreren Rollengruppen zugewiesen. Weitere Informationen finden Sie weiter unten in diesem Thema im Abschnitt "Standard-Verwaltungsrollenzuweisungen".

Wenn Sie eine Liste von Rollengruppen, Benutzern oder USGs anzeigen möchten, die diesen Rollen zugewiesen sind, verwenden Sie den folgenden Befehl.

Get-ManagementRoleAssignment -Role "<role name>"

Regular and delegating role assignments

Diese Rollen können Rollen zugewiesen werden, indem sie entweder reguläre oder delegierende Rollenzuweisungen verwenden. Reguläre Rollenzuweisungen erteilen die dem Rollenempfänger von der Rolle bereitgestellten Berechtigungen. Delegierende Rollenzuweisungen geben dem Rollenempfänger die Möglichkeit, die Rolle anderen Rollenempfängern zuzuweisen. Weitere Informationen zu regulären Rollenzuweisungen und delegierenden Rollenzuweisungen finden Sie unter Grundlegendes zu VerwaltungsrollenzuweisungenGrundlegendes zu Verwaltungsrollenzuweisungen.

Hinzufügen oder Entfernen von Rollenzuweisungen

Sie können ändern, welchen Rollen zugewiesenen Rollen diese Rollen zugewiesen werden. Indem Sie ändern, welchem Rollenempfänger diese Rollen zugewiesen werden, ändern Sie, wer seine Berechtigungen erhält. Sie können diese Rollen anderen integrierten Rollengruppen zuweisen oder Rollengruppen erstellen und ihnen diese Rollen zuweisen. Sie können diese Rollen auch Benutzern oder USGs zuweisen. Sie sollten die Zuweisung von Rollen an Benutzer und universelle Sicherheitsgruppen jedoch beschränken, da die Komplexität Ihres Berechtigungsmodells durch solche Zuweisungen stark zunehmen kann.

Um diese Rollen zugewiesenen Rollen zuzuweisen, muss die Rolle mithilfe einer delegierenden Rollenzuweisung einer Rollengruppe zugewiesen werden, der Sie angehören, direkt für Sie oder einer USG, in der Sie Mitglied sind. Weitere Informationen zum Delegieren von Rollenzuweisungen finden Sie im Abschnitt "Reguläre und delegierende Rollenzuweisungen".

Sie können diese Rollen auch aus integrierten Rollengruppen, von Ihnen erstellten Rollengruppen, Benutzern und USGs entfernen. Es muss jedoch immer mindestens eine Rollenzuweisung zwischen diesen Rollen und einer Rollengruppe oder USG delegiert werden. Die letzte delegierende Rollenzuweisung kann nicht gelöscht werden. Durch diese Einschränkung wird verhindert, dass Sie das System für sich selbst sperren.

Weitere Informationen zum Hinzufügen oder Entfernen von Zuweisungen zwischen diesen Rollen und Rollengruppen, Benutzern und USGs finden Sie in den folgenden Themen:

• Verwalten von Rollengruppen

• Hinzufügen einer Rolle zu einem Benutzer oder einer universellen Sicherheitsgruppe

• Entfernen einer Rolle von einem Benutzer oder einer universellen Sicherheitsgruppe

Ändern der Verwaltungsbereiche für Rollenzuweisungen

Sie können auch die Verwaltungsbereiche für vorhandene Rollenzuweisungen zwischen diesen Rollen und Rollen zugewiesenen Benutzern ändern. Indem Sie die Bereiche für Rollenzuweisungen ändern, steuern Sie, welche Objekte mithilfe der von diesen Rollen bereitgestellten Berechtigungen verwaltet werden können. Sie haben mehrere Möglichkeiten, wenn Sie den Bereich für eine Rollenzuweisung ändern. Sie können eine der folgenden Aktionen durchführen:

• Fügen Sie einen neuen benutzerdefinierten Bereich mithilfe des Cmdlets Set-ManagementRoleAssignment hinzu. Weitere Informationen hierzu finden Sie in den folgenden Themen:

  • Erstellen eines regulären oder exklusiven Bereichs

  • Ändern einer Rollenzuweisung

• Fügen Sie den Bereich für eine Organisationseinheit mithilfe des Cmdlets Set-ManagementRoleAssignment hinzu oder ändern Sie diesen. Weitere Informationen finden Sie unter Ändern einer Rollenzuweisung.

• Fügen Sie einen vordefinierten Bereich mithilfe des Cmdlets Set-ManagementRoleAssignment hinzu oder ändern Sie diesen. Weitere Informationen finden Sie unter Ändern einer Rollenzuweisung.

• Ändern Sie den Empfänger-, Server- oder Datenbankbereich für den einer Rollenzuweisung zugeordneten benutzerdefinierten Bereich mithilfe des Cmdlets Set-ManagementScope. Weitere Informationen finden Sie unter Ändern eines Rollenbereichs.

Aktivieren oder Deaktivieren von Rollenzuweisungen

Durch das Aktivieren oder Deaktivieren einer Rollenzuweisung steuern Sie, ob diese Rollenzuweisung wirksam sein soll. Ist eine Rollenzuweisung deaktiviert, werden die von der zugehörigen Rolle erteilten Berechtigungen nicht auf den Rollenempfänger angewendet. Dies ist hilfreich, wenn Sie Berechtigungen vorübergehend entfernen möchten, ohne die Rollenzuweisung zu löschen. Weitere Informationen finden Sie unter Ändern einer RollenzuweisungÄndern einer Rollenzuweisung.

Verwaltungsrollenanpassung

Diese Rollen wurden so konfiguriert, dass einem Rollenempfänger alle erforderlichen Cmdlets und Parameter zum Verwalten der am Anfang dieses Themas aufgeführten Features und Komponenten bereitgestellt werden. Es wurden auch andere Rollen bereitgestellt, um die Verwaltung anderer Features zu ermöglichen. Durch Hinzufügen und Entfernen von Rollen zu und aus Rollengruppen können Sie ein angepasstes Berechtigungsmodell erstellen, ohne einzelne Verwaltungsrollen anpassen zu müssen. Eine vollständige Liste der Rollen finden Sie unter Integrierte Verwaltungsrollen. Weitere Informationen zum Anpassen von Rollengruppen finden Sie unter Verwalten von Rollengruppen.

Wenn Sie eine benutzerdefinierte Version dieser Rollen erstellen möchten, müssen Sie eine Rolle als untergeordnetes Element dieser Rollen erstellen und die neue Rolle anpassen.

Mithilfe der folgenden Informationen können Sie eine erweiterte Verwaltung von Berechtigungen durchführen. Das Anpassen von Verwaltungsrollen kann die Komplexität Ihres Berechtigungsmodells erheblich erhöhen. Wenn Sie eine integrierte Verwaltungsrolle durch eine nicht ordnungsgemäß konfigurierte Rolle ersetzen, kann dies dazu führen, dass bestimmte Funktionen nicht mehr ausgeführt werden können.

1. Erstellen Sie eine Kopie einer Rolle. Weitere Informationen finden Sie unter Erstellen einer Rolle.

2. Ändern oder entfernen Sie die Rolleneinträge in der neuen Rolle mithilfe der Cmdlets Set-ManagementRoleEntry und Remove-ManagementRoleEntry. Sie können der neuen Rolle keine zusätzlichen Rolleneinträge hinzufügen, da sie nur die Rolleneinträge der übergeordneten integrierten Rolle enthalten darf. Weitere Informationen hierzu finden Sie in den folgenden Themen:

   • Ändern Sie einen rolleneintrag

   • Entfernen eines Rolleneintrags aus einer Rolle

3. Wenn Sie die integrierte Rolle durch diese neue benutzerdefinierte Rolle ersetzen möchten, entfernen Sie alle zu der integrierten Rolle gehörenden Rollenzuweisungen. Weitere Informationen hierzu finden Sie in den folgenden Themen:

   • "Hinzufügen einer Rolle zu einer Rollengruppe bzw. Entfernen einer Rolle aus einer Rollengruppe" im Thema Verwalten von Rollengruppen

   • Entfernen einer Rolle von einem Benutzer oder einer universellen Sicherheitsgruppe

4. Fügen Sie die neue benutzerdefinierte Rolle den erforderlichen Rollenempfängern hinzu. Weitere Informationen hierzu finden Sie in den folgenden Themen:

   • "Hinzufügen einer Rolle zu einer Rollengruppe bzw. Entfernen einer Rolle aus einer Rollengruppe" im Thema Verwalten von Rollengruppen

   • Hinzufügen einer Rolle zu einem Benutzer oder einer universellen Sicherheitsgruppe

     Wichtig

     Wenn Sie möchten, dass neben dem Benutzer, der die Rolle erstellt hat, andere Benutzer die neue benutzerdefinierte Rolle ebenfalls zuweisen können, müssen Sie mindestens einem Rollenempfänger eine delegierende Rollenzuweisung hinzufügen. Weitere Informationen finden Sie unter Delegieren von Rollenzuweisungen.