Konfigurieren von Exchange 2010 für geteilte Berechtigungen

Gilt für: Exchange Server 2010

Letztes Änderungsdatum des Themas: 2009-10-07

Mit geteilten Berechtigungen können zwei verschiedene Gruppen wie Active Directory-Administratoren und Microsoft Exchange Server 2010-Administratoren ihre jeweiligen Dienste, Objekte und Attribute verwalten. Dabei verwalten Active Directory-Administratoren Sicherheitsprinzipale wie beispielsweise Benutzer, die Berechtigungen für den Zugriff auf eine Active Directory-Gesamtstruktur bereitstellen, während Exchange-Administratoren die Exchange-Attribute für Active Directory-Objekte und die Exchange-spezifische Objekterstellung und -verwaltung verwalten.

Weitere Informationen zu Freigabe- und geteilten Berechtigungen finden Sie unter Grundlegendes zu geteilten Berechtigungen.

Sie können Ihre Exchange 2010-Organisation für geteilte Berechtigungen konfigurieren. Anschließend können nur Active Directory-Administratoren Active Directory-Sicherheitsprinzipale erstellen. Dies bedeutet, dass Exchange-Administratoren die folgenden Cmdlets nicht verwenden können:

• New-Mailbox
• New-MailUser
• New-MailContact
• New-LinkedUser
• Remove-Mailbox
• Remove-MailUser
• Remove-MailContact
• Remove-LinkedUser
• Add-MailboxPermission
• Add-MailboxFolderPermission

Exchange-Administratoren können lediglich die Exchange-Attribute für bereits vorhandene Active Directory-Sicherheitsprinzipale verwalten. Sie können jedoch Exchange-spezifische Objekte wie Transportregeln und Verteilergruppen erstellen und verwalten.

Weitere Informationen zum Verwalten von Rollengruppen, Verwaltungsrollen sowie regulären und delegierenden Verwaltungsrollenzuweisungen finden Sie unter den folgenden Themen:

• Grundlegendes zur rollenbasierten Zugriffssteuerung
• Grundlegendes zu Verwaltungsrollengruppen
• Grundlegendes zu Verwaltungsrollen
• Grundlegendes zu Verwaltungsrollenzuweisungen

Möchten Sie wissen, welche anderen Verwaltungsaufgaben es im Zusammenhang mit Berechtigungen gibt? Weitere Informationen finden Sie hier: Verwalten von erweiterten Berechtigungen.

Verwenden der Shell zum Konfigurieren von Exchange 2010 für geteilte Berechtigungen

Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Rollengruppen" im Thema Berechtigungen für die Rollenverwaltung.

Um Exchange 2010 für geteilte Berechtigungen zu konfigurieren, müssen Sie die Rollen "Erstellung von E-Mail-Empfängern" und "Sicherheitsgruppenerstellung und -mitgliedschaft" einer Rollengruppe mit Mitgliedern zuordnen, bei denen es sich um Active Directory-Administratoren handelt. Anschließend müssen Sie die Zuweisungen zwischen diesen Rollen und allen Rollengruppen oder universellen Sicherheitsgruppen entfernen, die Exchange-Administratoren enthalten.

So konfigurieren Sie geteilte Berechtigungen:

1. Erstellen Sie eine Rollengruppe für die Active Directory-Administratoren. Neben der Rollengruppe werden mit dem Befehl auch die regulären Rollenzuweisungen zwischen der neuen Rollengruppe und der Rolle "Erstellung von E-Mail-Empfängern" und der Rolle "Sicherheitsgruppenerstellung und -mitgliedschaft" erstellt.

   New-RoleGroup "Active Directory Administrators" -Roles "Mail Recipient Creation", "Security Group Creation and Management"
   

2. Erstellen Sie eine delegierende Rollenzuweisung zwischen der neuen Rollengruppe und der Rolle "Erstellung von E-Mail-Empfängern", indem Sie den folgenden Befehl verwenden:

   New-ManagementRoleAssignment "Mail Recipient Creation_AD Administrators_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating
   

3. Erstellen Sie eine delegierende Rollenzuweisung zwischen der neuen Rollengruppe und der Rolle "Sicherheitsgruppenerstellung und -mitgliedschaft", indem Sie den folgenden Befehl verwenden:

   New-ManagementRoleAssignment "Security Group Creation and Membership_Org Mgmt_Delegating" -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating
   

4. Fügen Sie der neuen Rollengruppe Mitglieder hinzu, indem Sie den folgenden Befehl verwenden:

   Add-RoleGroupMember "Active Directory Administrators" -Member <user to add>
   

5. Ersetzen Sie die Stellvertreterliste für die neue Rollengruppe, sodass nur Mitglieder der Rollengruppe Mitglieder hinzufügen oder entfernen können.

   Set-RoleGroup "Active Directory Administrators" -ManagedBy "Active Directory Administrators"
   

   Wichtig

   Mitglieder der Rollengruppe Organisationsverwaltung oder Mitglieder, denen die Rolle "Rollenverwaltung" direkt oder über eine andere Rollengruppe oder universelle Sicherheitsgruppe zugewiesen wurde, können diese Sicherheitsprüfung für Stellvertreter umgehen. Wenn Sie verhindern möchten, dass sich ein Exchange-Administrator der neuen Rollengruppe selbst hinzufügt, müssen Sie die Rollenzuweisung zwischen der Rolle "Rollenverwaltung" und allen Exchange-Administratoren entfernen und diese einer anderen Gruppe zuordnen.

6. Ermitteln Sie alle regulären und delegierenden Rollenzuweisungen zur Rolle "Erstellung von E-Mail-Empfängern", indem Sie den folgenden Befehl verwenden:

   Get-ManagementRoleAssignment -Role "Mail Recipient Creation"
   

7. Entfernen Sie mit dem folgenden Befehl alle regulären und delegierenden Rollenzuweisungen zur Rolle "Erstellung von E-Mail-Empfängern", die nicht der neuen Rollengruppe oder anderen Rollengruppen, universellen Sicherheitsgruppen oder direkten Zuweisungen, die beibehalten werden sollen, zugeordnet sind:

   Remove-ManagementRoleAssignment <Mail Recipient Creation role assignment to remove>
   

8. Ermitteln Sie alle regulären und delegierenden Rollenzuweisungen zur Rolle "Sicherheitsgruppenerstellung und -mitgliedschaft", indem Sie den folgenden Befehl verwenden:

   Get-ManagementRoleAssignment -Role "Security Group Creation and Management"
   

9. Entfernen Sie mit dem folgenden Befehl alle regulären und delegierenden Rollenzuweisungen zur Rolle "Sicherheitsgruppenerstellung und -mitgliedschaft", die nicht der neuen Rollengruppe oder anderen Rollengruppen, universellen Sicherheitsgruppen oder direkten Zuweisungen, die beibehalten werden sollen, zugeordnet sind:

   Remove-ManagementRoleAssignment <Security Group Creation and Management role assignment to remove>
   

Ausführliche Informationen zu Syntax und Parametern finden Sie unter den folgenden Themen:

• New-RoleGroup
• New-ManagementRoleAssignment
• Add-RoleGroupMember
• Set-RoleGroup
• Get-ManagementRoleAssignment
• Remove-ManagementRoleAssignment