Anzeigen geltender Berechtigungen

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2012-07-23

Berechtigungen werden in Microsoft Exchange Server 2010 unter Verwendung von Verwaltungsrollen gewährt, die Verwaltungsrollengruppen, Zuweisungsrichtlinien für Verwaltungsrollen, universellen Sicherheitsgruppen oder Benutzern direkt zugewiesen werden. Benutzern werden Berechtigungen erteilt, wenn sie Mitglieder der entsprechenden Rollengruppen oder universellen Sicherheitsgruppen sind oder ihnen Rollenzuweisungsrichtlinien zugewiesen wurden.

Die meisten Berechtigungen werden basierend auf Rollengruppenmitgliedschaften oder durch das Zuordnen von Zuweisungsrichtlinien zu Endbenutzern gewährt. Wenngleich die Verwendung von Rollengruppen und Zuweisungsrichtlinien das Gewähren von Berechtigungen für eine Vielzahl von Benutzern erleichtert, wissen Sie möglicherweise nicht, wer Mitglied einer Rollengruppe ist oder wem eine Zuweisungsrichtlinie zugewiesen wurde. In diesen Fällen ist die Option GetEffectiveUsers des Cmdlets Get-ManagementRoleAssignment sehr nützlich. Sie zeigt, welchen Benutzern die Berechtigungen einer Verwaltungsrolle gewährt wurden, entweder über Rollengruppen, Verwaltungsrichtlinien oder universelle Sicherheitsgruppen, denen sie zugeordnet sind.

Die Option GetEffectiveUsers wird mit dem Cmdlet Get-ManagementRoleAssignment verwendet, wenn der Parameter Role zum Einsatz kommt. Durch das Festlegen dieser Option mit einer bestimmten Rolle untersucht das Cmdlet Get-ManagementRoleAssignment alle der Rolle zugeordneten Objekte, z. B. Rollengruppen, Zuweisungsrichtlinien und universelle Sicherheitsgruppen, und listet die Mitglieder dieser Objekte auf.

Hinweis

Die Option GetEffectiveUser listet keine Benutzer auf, die Mitglieder einer verknüpften fremden Rollengruppe sind. Wird eine verknüpfte Rollengruppe ermittelt, werden anstelle einer Benutzerliste alle verknüpften Gruppenmitglieder angezeigt. Weitere Informationen zu Berechtigungen in mehreren Gesamtstrukturen finden Sie unter Grundlegendes zu Berechtigungen für mehrere Gesamtstrukturen.

Weitere Informationen zu Verwaltungsrollen, Rollengruppen und Zuweisungsrichtlinien finden Sie unter Grundlegendes zur rollenbasierten Zugriffssteuerung.

Weitere Informationen zu Verwaltungsrollenzuweisungen finden Sie unter Grundlegendes zu Verwaltungsrollenzuweisungen.

Möchten Sie wissen, welche anderen Verwaltungsaufgaben es im Zusammenhang mit der Verwaltung von Berechtigungen gibt? Weitere Informationen finden Sie hier: Verwalten von Berechtigungen.

Auflisten aller effektiven Benutzer mithilfe der Shell

Hinweis

Die Exchange-Verwaltungskonsole kann nicht zum Auflisten aller effektiven Benutzer verwendet werden.

Verwenden Sie die folgende Syntax, um alle Benutzer aufzulisten, denen die Berechtigungen einer Verwaltungsrolle gewährt wurden.

Get-ManagementRoleAssignment -Role <role name> -GetEffectiveUsers

In diesem Beispiel werden alle Benutzer aufgelistet, denen die Berechtigungen der Rolle "E-Mail-Empfänger" gewährt wurden.

Get-ManagementRoleAssignment -Role "Mail Recipients" -GetEffectiveUsers

Wenn Sie die in der Liste zurückgegebenen Eigenschaften ändern oder die Liste in eine durch Trennzeichen getrennte Datei (Comma-Separated Value, CSV) exportieren möchten, finden Sie weitere Informationen im Abschnitt Customize output and display it weiter unten in diesem Thema.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-ManagementRoleAssignment.

Ermitteln eines spezifischen Benutzers für eine Rolle mithilfe der Shell

Hinweis

Die Exchange-Verwaltungskonsole kann nicht zum Ermitteln eines spezifischen Benutzers für eine Rolle verwendet werden.

Um einen bestimmten Benutzer zu ermitteln, dem über eine Verwaltungsrolle Berechtigungen gewährt wurden, müssen Sie das Cmdlet Get-ManagementRoleAssignment zum Abrufen einer Liste aller effektiven Benutzer verwenden und die Ausgabe des Cmdlets mittels Pipelining an das Cmdlet Where umleiten. Das Cmdlet Where filtert die Ausgabe und gibt nur die angegebenen Benutzer zurück. Verwenden Sie die folgende Syntax:

Get-ManagementRoleAssignment -Role <role name> -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "<name of user>" }

In diesem Beispiel wird der Benutzer David Strome für die Journal-Rolle ermittelt.

Get-ManagementRoleAssignment -Role Journaling -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "David Strome" }

Weitere Informationen zum Ändern, welche Eigenschaften in der Liste zurückgegeben werden, oder zum Exportieren der Liste in eine CSV-Datei finden Sie unter Customize output and display it weiter unten in diesem Thema.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-ManagementRoleAssignment.

Ermitteln eines bestimmten Benutzers für alle Rollen mithilfe der Shell

Hinweis

Die Exchange-Verwaltungskonsole kann nicht zum Ermitteln eines spezifischen Benutzers für alle Rollen verwendet werden.

Um alle Rollen zu ermitteln, über die einem Benutzer Berechtigungen gewährt werden, müssen Sie das Cmdlet Get-ManagementRoleAssignment zum Abrufen aller effektiven Benutzer für alle Verwaltungsrollen verwenden und anschließend die Ausgabe des Cmdlets mittels Pipelining an das Cmdlet Where umleiten. Das Cmdlet Where filtert die Ausgabe und gibt nur die Rollenzuweisungen zurück, die dem Benutzer Berechtigungen gewähren.

Get-ManagementRoleAssignment -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "<name of user>" }

In diesem Beispiel werden alle Rollenzuweisungen ermittelt, die dem Benutzer Kim Akers Berechtigungen gewähren.

Get-ManagementRoleAssignment -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "Kim Akers" }

Weitere Informationen zum Ändern, welche Eigenschaften in der Liste zurückgegeben werden, oder zum Exportieren der Liste in eine CSV-Datei finden Sie unter Customize output and display it weiter unten in diesem Thema.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-ManagementRoleAssignment.

Anpassen und Anzeigen der Ausgabe mithilfe der Shell

Hinweis

Die Exchange-Verwaltungskonsole kann nicht zum Anpassen und Anzeigen der Ausgabe verwendet werden.

Die Standardausgabe des Cmdlets Get-ManagementRoleAssignment enthält möglicherweise nicht die gewünschten Informationen. Die Ausgabe des Cmdlets umfasst jedoch viele weitere Eigenschaften, auf die Sie zugreifen können. Im folgenden werden einige der Eigenschaften aufgeführt, die nützlich sein können:

  • EffectiveUserName   Hierbei handelt es sich um den Namen des Benutzers.

  • Role   Gibt die Rolle an, über die die Berechtigungen gewährt werden.

  • RoleAssigneeName   Die Rollengruppe, Zuweisungsrichtlinie oder universelle Sicherheitsgruppe, die der Rolle zugewiesen ist und den Benutzer in der Eigenschaft EffectiveUserName enthält.

  • RoleAssigneeType   Gibt an, ob die Rollenzuweisung einer Rollengruppe, einer Zuweisungsrichtlinie, einer universellen Sicherheitsgruppe oder einem Benutzer zugeordnet ist.

  • AssignmentMethod   Gibt an, ob es sich um eine direkte oder indirekte Zuweisung zwischen der Rolle und dem Rollenempfänger handelt.

  • CustomRecipientWriteScope   Gibt den benutzerdefinierten Empfängerschreibbereich an, der der Rollenzuweisung bei deren Erstellung zugewiesen wurde (sofern vorhanden). Der in dieser Eigenschaft angegebene Bereich setzt den impliziten Empfängerschreibbereich außer Kraft, der in der Eigenschaft RecipientWriteScope angegeben ist.

  • CustomConfigWriteScope   Gibt den benutzerdefinierten Konfigurationsschreibbereich an, der der Rollenzuweisung bei deren Erstellung zugewiesen wurde (sofern vorhanden). Der in dieser Eigenschaft angegebene Bereich setzt den impliziten Konfigurationsschreibbereich außer Kraft, der in der Eigenschaft ConfigWriteScope angegeben ist.

  • RecipientReadScope   Gibt den impliziten Empfängerlesebereich an, der auf die Rolle angewendet wird.

  • RecipientWriteScope   Gibt den impliziten Empfängerschreibbereich an, der auf die Rolle angewendet wird.

  • ConfigReadScope   Gibt den impliziten Konfigurationslesebereich an, der auf die Rolle angewendet wird.

  • ConfigWriteScope   Gibt den impliziten Konfigurationsschreibbereich an, der auf die Rolle angewendet wird.

Zur Auswahl der Eigenschaften, die Sie in der Liste anzeigen möchten, verwenden Sie praktisch dieselben Befehle, die in den Abschnitten Use the Shell to list all effective users, Use the Shell to find a specific user on a role und Use the Shell to find a specific user on all roles verwendet werden. Der Unterschied besteht darin, dass Sie die Ausgabe dieser Befehle mittels Pipelining an die Cmdlets Format-Table oder Select-Object umleiten. Das Cmdlet Format-Table ist nützlich, um die Liste der Ergebnisse auf dem Bildschirm auszugeben. Mit dem Cmdlet Select-Object können Sie die Ergebnisliste in einer CSV-Datei ausgeben.

Beide Cmdlets ermöglichen die Festlegung der Eigenschaften, die Sie anzeigen möchten. Es ist ebenfalls möglich, eine Anzeigereihenfolge anzugeben. Das Cmdlet Format-Table stellt weitere Optionen bereit, wenn Sie die Ergebnisse auf dem Bildschirm ausgeben. Das Cmdlet Select-Object hingegen ändert die Ausgabe nicht, was bei Umleitung der Liste in eine CSV-Datei nützlich ist.

Weitere Informationen zu den Cmdlets Format-Table und Select-Object finden Sie unter Arbeiten mit Ausgaben von Befehlen.

Ausgabe einer benutzerdefinierten Liste auf dem Bildschirm

Wählen Sie zuerst die Informationen aus, die angezeigt werden sollen, und suchen Sie nach dem zugehörigen Befehl mit einem der folgenden Verfahren:

  • Use the Shell to list all effective users

  • Use the Shell to find a specific user a role

  • Use the Shell to find a specific user on all roles

Wählen Sie dann die Eigenschaften aus, die in der Liste angezeigt werden sollen. Verwenden Sie anschließend die folgende Syntax, um die Liste anzuzeigen.

<command to retrieve list > | Format-Table <property 1>, <property 2>, <property ...>

In diesem Beispiel wird der Benutzer David Strome in allen Rollen gefunden, und es werden die Eigenschaften EffectiveUserName, Role, CustomRecipientWriteScope und CustomConfigWriteScope angezeigt.

Get-ManagementRoleAssignment -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "David Strome" } | Format-Table EffectiveUserName, Role, CustomRecipientWriteScope, CustomConfigWriteScope

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-ManagementRoleAssignment.

Ausgabe einer benutzerdefinierten Liste in einer CSV-Datei

Um eine Liste in eine CSV-Datei zu exportieren, müssen Sie die Ergebnisse des Befehls Get-ManagementRoleAssignment wie im entsprechenden Verfahren weiter oben beschrieben mittels Pipelining an das Cmdlet Select-Object umleiten. Die Ausgabe des Cmdlets Select-Object wird dann mittels Pipelining an das Cmdlet Export-CSV umgeleitet, das die CSV-Ausgabe in einer von Ihnen angegebenen Datei speichert.

Wählen Sie zuerst die Informationen aus, die angezeigt werden sollen, und suchen Sie nach dem zugehörigen Befehl mit einem der folgenden Verfahren:

  • Use the Shell to list all effective users

  • Use the Shell to find a specific user a role

  • Use the Shell to find a specific user on all roles

Wählen Sie dann die Eigenschaften aus, die in der Liste angezeigt werden sollen. Verwenden Sie anschließend die folgende Syntax, um die Liste in eine CSV-Datei zu exportieren.

<command to retrieve list > | Select-Object <property 1>, <property 2>, <property ...> | Export-CSV <filename>

In diesem Beispiel wird der Benutzer David Strome in allen Rollen gefunden, und es werden die Eigenschaften EffectiveUserName, Role, CustomRecipientWriteScope und CustomConfigWriteScope angezeigt.

Get-ManagementRoleAssignment -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "David Strome" } | Select-Object EffectiveUserName, Role, CustomRecipientWriteScope, CustomConfigWriteScope | Export-CSV c:\output.csv

Sie können die CSV-Datei nun in einem Viewer Ihrer Wahl anzeigen.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-ManagementRoleAssignment.

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.