Grundlegendes zu geteilten Berechtigungen

Gilt für: Exchange Server 2010

Letztes Änderungsdatum des Themas: 2009-12-06

Organisationen, in denen die Verwaltung von Microsoft Exchange Server 2010-Objekten und Active Directory-Objekten getrennt wird, verwenden ein sogenanntes geteiltes Berechtigungsmodell. Über geteilte Berechtigungen können Organisationen bestimmte Berechtigungen und zugehörige Aufgaben bestimmten Gruppen innerhalb der Organisationen zuweisen. Diese Arbeitsteilung hilft, Standards zu wahren und Workflows aufrechtzuerhalten sowie Änderungen in der Organisation zu steuern.

Die höchste Stufe geteilter Berechtigungen besteht in der Trennung von Exchange-Verwaltung und Active Directory-Verwaltung. Zahlreiche Organisationen verfügen über zwei Gruppen: Administratoren, die die Exchange-Infrastruktur der Organisation wie Server und Empfänger verwalten, und Administratoren, die die Active Directory-Infrastruktur verwalten. Für viele Organisationen ist diese Trennung wichtig, da die Active Directory-Infrastruktur sich häufig über mehrere Standorte, Domänen, Anwendungen und auch Active Directory-Gesamtstrukturen erstreckt. Active Directory-Administratoren müssen sicherstellen, dass an Active Directory vorgenommene Änderungen sich nicht negativ auf andere Dienste auswirken. Deshalb ist im Allgemeinen nur eine kleine Gruppe Administratoren zur Verwaltung dieser Infrastruktur berechtigt.

Darüber hinaus kann auch die Infrastruktur für Exchange mit Servern und Empfängern komplex sein und besondere Fachkenntnisse erfordern. Zusätzlich speichert Exchange streng vertrauliche Informationen über die Geschäftstätigkeiten der Organisation. Exchange-Administratoren könnten auf diese Informationen zugreifen. Durch die Beschränkung der Anzahl von Exchange-Administratoren begrenzt die Organisation die Anzahl der Personen, die Änderungen an der Exchange-Konfiguration vornehmen und auf sensible Informationen zugreifen können.

Bei geteilten Berechtigungen wird üblicherweise zwischen der Erstellung von Sicherheitsprinzipalen in Active Directory, wie Benutzern und Sicherheitsgruppen, und der anschließenden Konfiguration dieser Objekte unterschieden. Auf diese Weise lässt sich das Risiko eines unberechtigten Zugriffs auf das Netzwerk verringern, da gesteuert wird, wer Objekte, die den Zugriff gewähren, erstellen kann. Meist können nur Active Directory-Administratoren Sicherheitsprinzipale erstellen, während andere Administratoren, z. B. Exchange-Administratoren, bestimmte Attribute für vorhandene Active Directory-Objekte verwalten können.

Zur Unterstützung der verschiedenen Anforderungen bei der Trennung der Verwaltung von Exchange und Active Directory können Sie in Exchange 2010 zwischen einem Freigabeberechtigungsmodell und einem geteilten Berechtigungsmodell wählen. Standardmäßig verwendet Exchange 2010 ein Freigabeberechtigungsmodell.

Inhalt

• Erläuterung von rollenbasierter Zugriffssteuerung und Active Directory
• Freigabeberechtigungen
• Geteilte Berechtigungen

Erläuterung von rollenbasierter Zugriffssteuerung und Active Directory

Damit die Funktionsweise geteilter Berechtigungen klar wird, müssen Sie verstehen, wie das Berechtigungsmodell für die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC) in Exchange 2010 mit Active Directory zusammenarbeitet. Das RBAC-Modell steuert, wer welche Aktionen durchführen kann und an welchen Objekten diese Aktionen durchgeführt werden können. Weitere Informationen zu den verschiedenen in diesem Thema erläuterten RBAC-Komponenten finden Sie unter Grundlegendes zur rollenbasierten Zugriffssteuerung.

In Exchange 2010 müssen alle an Exchange-Objekten durchgeführten Tasks über die Exchange-Verwaltungskonsole, die Exchange-Verwaltungsshell oder die Exchange-Webverwaltungsschnittstelle erfolgen. All diese Verwaltungstools verwenden RBAC zur Autorisierung sämtlicher durchgeführten Tasks.

RBAC ist eine Komponente, die auf jedem Server mit Exchange 2010 vorhanden ist. RBAC prüft, ob der Benutzer, der eine Aktion durchführt, auch dazu berechtigt ist:

• Ist der Benutzer nicht berechtigt, die Aktion durchzuführen, lässt RBAC nicht zu, dass die Aktion fortgesetzt wird.
• Ist der Benutzer berechtigt, die Aktion durchzuführen, prüft RBAC, ob der Benutzer berechtigt ist, die Aktion für das jeweilige angeforderte Objekt durchzuführen:
  • Wenn der Benutzer berechtigt ist, lässt RBAC zu, dass die Aktion fortgesetzt wird.
  • Wenn der Benutzer nicht berechtigt ist, lässt RBAC nicht zu, dass die Aktion fortgesetzt wird.

Wenn RBAC zulässt, dass eine Aktion fortgesetzt wird, wird die Aktion im Kontext des "Vertrauenswürdigen Exchange-Teilsystems" und nicht im Kontext des Benutzers durchgeführt. Das "Vertrauenswürdige Exchange-Teilsystem" ist eine universelle Sicherheitsgruppe (Universal Security Group, USG) mit umfangreichen Berechtigungen, die Lese- und Schreibzugriff auf jedes Exchange-bezogene Objekt in der Exchange-Organisation besitzt. Außerdem gehört sie zur lokalen Sicherheitsgruppe "Administratoren" und zur USG "Exchange-Windows-Berechtigungen", die Exchange das Erstellen und Verwalten von Active Directory-Objekten ermöglicht.

Sie sollten wissen, dass es bei der Verwendung der Exchange-Verwaltungstools keine Rolle spielt, über welche Active Directory-Berechtigungen ein Benutzer verfügt. Ist der Benutzer via RBAC berechtigt, eine Aktion in den Exchange-Verwaltungstools durchzuführen, kann der Benutzer die Aktion unabhängig von seinen Active Directory-Berechtigungen durchführen. Ebenso gilt, dass die Aktion eines Benutzers, der Organisationsadministrator in Active Directory ist, jedoch nicht über die Berechtigung zum Durchführen einer Aktion wie das Erstellen eines Postfachs in den Exchange-Verwaltungstools verfügt, nicht erfolgreich ist, da der Benutzer nicht die laut RBAC erforderlichen Berechtigungen besitzt.

Nach oben

Freigabeberechtigungen

Das Freigabeberechtigungsmodell ist das Standardmodell für Exchange 2010. Sie müssen nichts ändern, wenn Sie dieses Berechtigungsmodell verwenden möchten. Bei diesem Modell wird die Verwaltung von Exchange- und Active Directory-Objekten in den Exchange-Verwaltungstools nicht getrennt. Es ermöglicht Administratoren die Verwendung von Exchange-Verwaltungstools zum Erstellen von Sicherheitsprinzipalen in Active Directory.

In der folgenden Tabelle sind die Rollen aufgelistet, die das Erstellen von Sicherheitsprinzipalen in Exchange ermöglichen, sowie die Verwaltungsrollengruppen, denen sie standardmäßig zugewiesen sind.

Sicherheitsprinzipal-Verwaltungsrollen

Nur Rollengruppen, Benutzer oder USGs, denen die Rolle "Erstellung von E-Mail-Empfängern" zugewiesen wurde, können Sicherheitsprinzipale wie Active Directory-Benutzer erstellen. Standardmäßig sind die Rollengruppen "Organisationsverwaltung" und "Empfängerverwaltung" dieser Rolle zugewiesen. Daher können Mitglieder dieser Rollengruppen Sicherheitsprinzipale erstellen.

Nur Rollengruppen, Benutzer oder USGS, denen die Rolle "Sicherheitsgruppenerstellung und -mitgliedschaft" zugewiesen ist, können Sicherheitsgruppen erstellen oder ihre Mitgliedschaften verwalten. Standardmäßig wird diese Rolle nur der Rollengruppe "Organisationsverwaltung" zugewiesen. Deshalb können nur Mitglieder der Rollengruppe "Organisationsverwaltung" die Mitgliedschaft von Sicherheitsgruppen erstellen oder verwalten.

Sie können die Rollen "Erstellung von E-Mail-Empfängern" und "Sicherheitsgruppenerstellung und -verwaltung" anderen Rollengruppen, Benutzern oder USGs zuweisen, wenn Sie möchten, dass andere Benutzer Sicherheitsprinzipale erstellen können.

Damit die Verwaltung vorhandener Sicherheitsprinzipale in Exchange 2010 möglich wird, wird die Rolle "E-Mail-Empfänger" standardmäßig den Rollengruppen "Organisationsverwaltung" und "Empfängerverwaltung" zugewiesen. Nur Rollengruppen, Benutzer oder USGs, denen die Rolle "E-Mail-Empfänger" zugewiesen wurde, können vorhandene Sicherheitsprinzipale verwalten. Wenn Sie möchten, dass andere Rollengruppen, Benutzer oder USGs vorhandene Sicherheitsprinzipale verwalten können, müssen Sie ihnen die Rolle "E-Mail-Empfänger" zuweisen.

Weitere Informationen zum Hinzufügen von Rollen zu Rollengruppen, Benutzern oder USGs finden Sie unter den folgenden Themen:

• Hinzufügen einer Rolle zu einer Rollengruppe
• Hinzufügen einer Rolle zu einem Benutzer oder einer universellen Sicherheitsgruppe

Weitere Informationen zum Zurückwechseln zu einem Freigabeberechtigungsmodell nach dem Wechseln zu einem geteilten Berechtigungsmodell finden Sie unter Konfigurieren von Exchange 2010 für Freigabeberechtigungen.

Nach oben

Geteilte Berechtigungen

Wenn Ihre Organisation Exchange-Verwaltung und Active Directory-Verwaltung trennt, müssen Sie Exchange für die Unterstützung des geteilten Berechtigungsmodells konfigurieren. Bei ordnungsgemäßer Konfiguration können nur die von Ihnen gewünschten Administratoren, z. B. Active Directory-Administratoren, Sicherheitsprinzipale erstellen, und nur Exchange-Administratoren können die Exchange-Attribute für vorhandene Sicherheitsprinzipale ändern.

In der folgenden Tabelle sind die Rollen aufgelistet, die das Erstellen von Sicherheitsprinzipalen in Exchange ermöglichen, sowie die Verwaltungsrollengruppen, denen sie standardmäßig zugewiesen sind.

Sicherheitsprinzipal-Verwaltungsrollen

Standardmäßig können die Mitglieder der Rollengruppen "Organisationsverwaltung" und "Empfängerverwaltung" Sicherheitsprinzipale erstellen. Sie müssen die Möglichkeit zum Erstellen von Sicherheitsprinzipalen von den integrierten Rollengruppe an eine neue, von Ihnen erstellte Rollengruppe übertragen.

So konfigurieren Sie ein geteiltes Berechtigungsmodell:

1. Erstellen Sie eine Rollengruppe mit den Active Directory-Administratoren, die Sicherheitsprinzipale erstellen können sollen.
2. Erstellen Sie reguläre und delegierende Rollenzuweisungen zwischen der Rolle "Erstellung von E-Mail-Empfängern" und der neuen Rollengruppe.
3. Erstellen Sie reguläre und delegierende Rollenzuweisungen zwischen der Rolle "Sicherheitsgruppenerstellung und -verwaltung" und der neuen Rollengruppe.
4. Entfernen Sie die regulären und delegierenden Verwaltungsrollenzuweisungen zwischen der Rolle "Erstellung von E-Mail-Empfängern" und den Rollengruppen "Organisationsverwaltung" und "Empfängerverwaltung".
5. Entfernen Sie die regulären und delegierenden Rollenzuweisungen zwischen der Rolle "Sicherheitsgruppenerstellung und -verwaltung" und der Rollengruppe "Organisationsverwaltung".

Danach können nur die Mitglieder der von Ihnen erstellten neuen Rollegruppe Sicherheitsprinzipale, z. B. Postfächer, erstellen. Die neue Gruppe kann Objekte nur erstellen. Sie kann keine Exchange-Attribute für das neue Objekt konfigurieren. Ein Active Directory-Administrator muss das Objekt erstellen, und anschließend muss ein Exchange-Administrator die Exchange-Attribute für das Objekt konfigurieren. Exchange-Administratoren können die folgenden Cmdlets nicht verwenden:

• New-Mailbox
• New-MailUser
• New-MailContact
• New-LinkedUser
• Remove-Mailbox
• Remove-MailUser
• Remove-MailContact
• Remove-LinkedUser
• Add-MailboxPermission
• Add-MailboxFolderPermission

Exchange-Administratoren können jedoch Exchange-spezifische Objekte wie Transportregeln und Verteilergruppen erstellen und verwalten.

Wenn Sie möchten, dass die neue Rollengruppe auch die Exchange-Attribute für das neue Objekt verwalten kann, muss die Rolle "E-Mail-Empfänger" ebenfalls dieser neuen Rollengruppe zugewiesen werden.

Weitere Informationen zum Konfigurieren eines geteilten Berechtigungsmodells finden Sie unter Konfigurieren von Exchange 2010 für geteilte Berechtigungen.

Nach oben