Konfigurieren von Exchange 2010 für Freigabeberechtigungen

  • Artikel

Gilt für: Exchange Server 2010

Letztes Änderungsdatum des Themas: 2009-10-07

Mithilfe von Freigabeberechtigungen können Sie als Exchange Server 2010-Administrator Active Directory Sicherheitsprinzipale (beispielsweise Benutzer) erstellen und diese als Exchange-Empfänger konfigurieren. Anders als bei geteilten Berechtigungen, bei denen Verwaltungsaufgaben zwischen den Gruppen der Exchange-Administratoren und der Active Directory-Administratoren aufgeteilt sind, gibt es bei Freigabeberechtigungen keine Aufgabenteilung.

Weitere Informationen zu Freigabe- und geteilten Berechtigungen finden Sie unter Grundlegendes zu geteilten Berechtigungen.

Sie können für Ihre Exchange 2010-Organisation Freigabeberechtigungen konfigurieren, sofern Sie zuvor geteilte Berechtigungen verwendet haben. Falls für Ihre Organisation niemals geteilte Berechtigungen konfiguriert waren, müssen Sie dieses Verfahren nicht ausführen. Exchange 2010 wird standardmäßig mit Freigabeberechtigungen konfiguriert.

Weitere Informationen zum Verwalten von Rollengruppen, Verwaltungsrollen sowie regulären und delegierenden Verwaltungsrollenzuweisungen finden Sie unter den folgenden Themen:

Möchten Sie wissen, welche anderen Verwaltungsaufgaben es im Zusammenhang mit Berechtigungen gibt? Weitere Informationen finden Sie hier: Verwalten von erweiterten Berechtigungen.

Voraussetzungen

  • Die Exchange 2010-Organisation muss aktuell für geteilte Berechtigungen konfiguriert sein.
  • Sie benötigen die Berechtigungen zum Delegieren der Verwaltungsrollen "Erstellung von E-Mail-Empfängern" und "Sicherheitsgruppenerstellung und -mitgliedschaft" an die Verwaltungsrollengruppe Organisationsverwaltung oder an eine andere Rollengruppe, der die Rolle "E-Mail-Empfänger" zugewiesen ist.

Verwenden der Shell zum Konfigurieren von Exchange 2010 für Freigabeberechtigungen

Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Rollengruppen" im Thema Berechtigungen für die Rollenverwaltung.

Hinweis

Die Exchange-Verwaltungskonsole kann nicht zur Konfiguration von Freigabeberechtigungen verwendet werden.

Zum Konfigurieren von Exchange 2010 zur Verwendung von Freigabeberechtigungen müssen die Rollen "Erstellung von E-Mail-Empfängern" und "Sicherheitsgruppenerstellung und -mitgliedschaft" einer Rollengruppe zugewiesen werden, der auch die Rolle "E-Mail-Empfänger" zugewiesen ist und in der Exchange 2010-Administratoren Mitglied sind. In der standardmäßigen Konfiguration mit Freigabeberechtigungen sind alle diese Rollen in der Rollengruppe Organisationsverwaltung enthalten. Daher wird in diesem Verfahren die Rollengruppe Organisationsverwaltung verwendet.

Konfigurieren von Freigabeberechtigungen

Führen Sie zum Konfigurieren von Freigabeberechtigungen in der Rollengruppe Organisationsverwaltung die folgenden Schritte unter Verwendung eines Kontos aus, das über Berechtigungen zum Delegieren von Rollenzuweisungen für die Rollen "Erstellung von E-Mail-Empfängern" und "Sicherheitsgruppenerstellung und -mitgliedschaft" verfügt:

  1. Fügen Sie mit dem folgenden Befehl der Rollengruppe Organisationsverwaltung eine delegierende Rollenzuweisung für die Rolle "Erstellung von E-Mail-Empfängern" hinzu.

    New-ManagementRoleAssignment "Mail Recipient Creation_Organization Management_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" -Delegating

  2. Fügen Sie mit dem folgenden Befehl der Rollengruppe Organisationsverwaltung eine normale Rollenzuweisung für die Rolle "Erstellung von E-Mail-Empfängern" hinzu.

    New-ManagementRoleAssignment "Mail Recipient Creation_Organization Management_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"

  3. Fügen Sie mit dem folgenden Befehl der Rollengruppe Organisationsverwaltung eine delegierende Rollenzuweisung für die Rolle "Sicherheitsgruppenerstellung und -mitgliedschaft" hinzu.

    New-ManagementRoleAssignment "Security Group Creation and Membership_Org Management_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" -Delegating

  4. Fügen Sie mit dem folgenden Befehl der Rollengruppe Organisationsverwaltung eine normale Rollenzuweisung für die Rolle "Sicherheitsgruppenerstellung und -mitgliedschaft" hinzu.

    New-ManagementRoleAssignment "Security Group Creation and Membership_Org Management_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementRoleAssignment.

Entfernen von Berechtigungen von Active Directory-Administratoren (optional)

Sie können optional die Berechtigungen von Active Directory-Administratoren entfernen, falls diese nicht mehr Active Directory-Objekte mithilfe der Exchange-Verwaltungstools erstellen oder verwalten sollen. Führen Sie in diesem Fall das folgende Verfahren aus.

Hinweis

Sie können zwar die Berechtigungen von Active Directory-Administratoren zum Verwalten von Active Directory-Objekten mithilfe der Exchange-Verwaltungstools entfernen. Allerdings können die Active Directory-Administratoren weiterhin Active Directory-Objekte mithilfe der Active Directory-Verwaltungstools verwalten, sofern ihre Active Directory-Berechtigungen dies ermöglichen. Sie sind jedoch nicht in der Lage, Exchange-spezifische Attribute für Active Directory-Objekte zu verwalten. Weitere Informationen finden Sie unter Grundlegendes zu geteilten Berechtigungen.

Gehen Sie zum Entfernen von Exchange-bezogenen geteilten Berechtigungen von Active Directory-Administratoren folgendermaßen vor:

  1. Suchen Sie mit dem folgenden Befehl nach den normalen und delegierenden Rollenzuweisungen, die die Rolle "Erstellung von E-Mail-Empfängern" der Rollengruppe oder der universellen Sicherheitsgruppe (universal security group, USG) zuweisen, in der die Active Directory-Administratoren Mitglied sind.

    Get-ManagementRoleAssignment -Role "Mail Recipient Management" -RoleAssignee <role group or USG name>

  2. Suchen Sie mit dem folgenden Befehl nach den normalen und delegierenden Rollenzuweisungen, die die Rolle "Sicherheitsgruppenerstellung und -mitgliedschaft" der Rollengruppe oder der USG zuweisen, in der die Active Directory-Administratoren Mitglied sind.

    Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" -RoleAssignee <role group or USG name>

  3. Entfernen Sie mit den folgenden Befehlen die normalen und delegierenden Rollenzuweisungen zwischen der Rolle "Erstellung von E-Mail-Empfängern" und der Rollengruppe oder der USG, die die Active Directory-Administratoren enthält.

    Remove-ManagementRoleAssignment <Mail Recipient Creation delegating assignment name>
Remove-ManagementRoleAssignment <Mail Recipient Creation regular assignment name>

  4. Entfernen Sie mit den folgenden Befehlen die normalen und delegierenden Rollenzuweisungen zwischen der Rolle "Sicherheitsgruppenerstellung und -mitgliedschaft" und der Rollengruppe oder der USG, die die Active Directory-Administratoren enthält.

    Remove-ManagementRoleAssignment <Security Group Creation and Membership delegating assignment name>
Remove-ManagementRoleAssignment <Security Group Creation and Membership regular assignment name>

  5. Optional. Falls Sie alle Exchange-Berechtigungen der Active Directory-Administratoren entfernen möchten, können Sie die Rollengruppe oder USG entfernen, in der diese Mitglied sind. Weitere Informationen zum Entfernen einer Rollengruppe finden Sie unter Entfernen einer Rollengruppe.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-ManagementRoleAssignment oder Remove-ManagementRoleAssignment.