Teilen über


Anzeigen geltender Berechtigungen

Gilt für: Exchange Server 2013

Berechtigungen werden in Microsoft Exchange Server 2013 unter Verwendung von Verwaltungsrollen gewährt, die Verwaltungsrollengruppen, Zuweisungsrichtlinien für Verwaltungsrollen, universellen Sicherheitsgruppen oder Benutzern direkt zugewiesen werden. Benutzern werden Berechtigungen erteilt, wenn sie Mitglieder der entsprechenden Rollengruppen oder universellen Sicherheitsgruppen sind oder ihnen Rollenzuweisungsrichtlinien zugewiesen wurden.

Die meisten Berechtigungen werden basierend auf Rollengruppenmitgliedschaften oder durch das Zuordnen von Zuweisungsrichtlinien zu Endbenutzern gewährt. Wenngleich die Verwendung von Rollengruppen und Zuweisungsrichtlinien das Gewähren von Berechtigungen für eine Vielzahl von Benutzern erleichtert, wissen Sie möglicherweise nicht, wer Mitglied einer Rollengruppe ist oder wem eine Zuweisungsrichtlinie zugewiesen wurde. Hier ist der Schalter GetEffectiveUsers im Cmdlet Get-ManagementRoleAssignment nützlich. Sie zeigt, welchen Benutzern die Berechtigungen einer Verwaltungsrolle gewährt wurden, entweder über Rollengruppen, Verwaltungsrichtlinien oder universelle Sicherheitsgruppen, denen sie zugeordnet sind.

Die Option GetEffectiveUsers wird mit dem Cmdlet Get-ManagementRoleAssignment verwendet, wenn der Parameter Role zum Einsatz kommt. Durch das Angeben dieser Option mit einer bestimmten Rolle untersucht das Cmdlet Get-ManagementRoleAssignment alle der Rolle zugeordneten Objekte, z. B. Rollengruppen, Zuweisungsrichtlinien und universelle Sicherheitsgruppen, und listet die Mitglieder dieser Objekte auf.

Hinweis

Die Option GetEffectiveUser listet keine Benutzer auf, die Mitglieder einer verknüpften fremden Rollengruppe sind. Instead of a list of users, if a linked role group is found, All Linked Group Members is displayed. For more information about permissions in multiple forests, see Understanding multiple-forest permissions.

Weitere Informationen zu Verwaltungsrollen, Rollengruppen und Zuweisungsrichtlinien finden Sie unter Grundlegendes zur rollenbasierten Zugriffssteuerung. Weitere Informationen zu Verwaltungsrollenzuweisungen finden Sie unter Grundlegendes zu Verwaltungsrollenzuweisungen.

Möchten Sie wissen, welche anderen Verwaltungsaufgaben es im Zusammenhang mit der Verwaltung von Berechtigungen gibt? Weitere Informationen finden Sie hier: Berechtigungen.

Was sollten Sie wissen, bevor Sie beginnen?

  • Geschätzte Zeit bis zum Abschließen der einzelnen Verfahren: 5 Minuten

  • Bevor Sie diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Rollengruppen" und "Rollenzuweisungsrichtlinie" im Thema Berechtigungen für die Rollenverwaltung.

  • Die Verfahren in diesem Thema können nur in der Shell ausgeführt werden. Sie können das Exchange Admin Center (EAC) nicht verwenden, um effektive Berechtigungen anzuzeigen.

  • Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.

Tipp

Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren auf Exchange Server.

Auflisten aller effektiven Benutzer mithilfe der Shell

Verwenden Sie die folgende Syntax, um alle Benutzer aufzulisten, denen die Berechtigungen erteilt sind, die von einer Verwaltungsrolle bereitgestellt werden.

Get-ManagementRoleAssignment -Role <role name> -GetEffectiveUsers

In diesem Beispiel werden alle Benutzer aufgelistet, denen die Berechtigungen der Rolle "E-Mail-Empfänger" gewährt wurden.

Get-ManagementRoleAssignment -Role "Mail Recipients" -GetEffectiveUsers

Wenn Sie die in der Liste zurückgegebenen Eigenschaften ändern oder die Liste in eine durch Trennzeichen getrennte Datei (Comma-Separated Value, CSV) exportieren möchten, finden Sie weitere Informationen im Abschnitt Anpassen und Anzeigen der Ausgabe mithilfe der Shell weiter unten in diesem Thema.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-ManagementRoleAssignment.

Ermitteln eines spezifischen Benutzers für eine Rolle mithilfe der Shell

Um einen bestimmten Benutzer zu ermitteln, dem über eine Verwaltungsrolle Berechtigungen gewährt wurden, müssen Sie das Cmdlet Get-ManagementRoleAssignment zum Abrufen einer Liste aller effektiven Benutzer verwenden und die Ausgabe des Cmdlets mittels Pipelining an das Cmdlet Where umleiten. Das Cmdlet Where filtert die Ausgabe und gibt nur die angegebenen Benutzer zurück. Verwenden Sie die folgende Syntax.

Get-ManagementRoleAssignment -Role <role name> -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "<name of user>"}

In diesem Beispiel wird der Benutzer David Strome für die Journal-Rolle ermittelt.

Get-ManagementRoleAssignment -Role Journaling -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "David Strome"}

Weitere Informationen zum Ändern, welche Eigenschaften in der Liste zurückgegeben werden, oder zum Exportieren der Liste in eine CSV-Datei finden Sie unter Anpassen und Anzeigen der Ausgabe mithilfe der Shell weiter unten in diesem Thema.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-ManagementRoleAssignment.

Ermitteln eines bestimmten Benutzers für alle Rollen mithilfe der Shell

Um alle Rollen zu ermitteln, über die einem Benutzer Berechtigungen gewährt werden, müssen Sie das Cmdlet Get-ManagementRoleAssignment zum Abrufen aller effektiven Benutzer für alle Verwaltungsrollen verwenden und anschließend die Ausgabe des Cmdlets mittels Pipelining an das Cmdlet Where umleiten. Das Cmdlet Where filtert die Ausgabe und gibt nur die Rollenzuweisungen zurück, die dem Benutzer Berechtigungen gewähren.

Get-ManagementRoleAssignment -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "<name of user>"}

In diesem Beispiel werden alle Rollenzuweisungen ermittelt, die dem Benutzer Kim Akers Berechtigungen gewähren.

Get-ManagementRoleAssignment -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "Kim Akers"}

Weitere Informationen zum Ändern, welche Eigenschaften in der Liste zurückgegeben werden, oder zum Exportieren der Liste in eine CSV-Datei finden Sie unter Anpassen und Anzeigen der Ausgabe mithilfe der Shell weiter unten in diesem Thema.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-ManagementRoleAssignment.

Anpassen und Anzeigen der Ausgabe mithilfe der Shell

Die Standardausgabe des Cmdlets Get-ManagementRoleAssignment enthält möglicherweise nicht die gewünschten Informationen. Die Ausgabe des Cmdlets umfasst jedoch viele weitere Eigenschaften, auf die Sie zugreifen können. Im folgenden werden einige der Eigenschaften aufgeführt, die nützlich sein können:

  • EffectiveUserName: Name des Benutzers.

  • Rolle: Rolle, die die Berechtigungen gewährt.

  • RoleAssigneeName: Rollengruppe, Zuweisungsrichtlinie oder USG, die der Rolle zugewiesen ist und den Benutzer in der EffectiveUserName -Eigenschaft enthält.

  • RoleAssigneeType: Gibt an, ob die Rollenzuweisung einer Rollengruppe, einer Zuweisungsrichtlinie, einer USG oder einem Benutzer erfolgt.

  • AssignmentMethod: Gibt an, ob die Zuweisung zwischen der Rolle und dem Rollenempfänger direkt oder indirekt erfolgt.

  • CustomRecipientWriteScope: Gibt ggf. den benutzerdefinierten Empfängerschreibbereich an, der bei der Erstellung auf die Rollenzuweisung angewendet wurde. Der in dieser Eigenschaft angegebene Bereich überschreibt den impliziten Empfängerschreibbereich, der in der RecipientWriteScope -Eigenschaft angegeben ist.

  • CustomConfigWriteScope: Gibt ggf. den benutzerdefinierten Konfigurationsschreibbereich an, der bei der Erstellung auf die Rollenzuweisung angewendet wurde. Der in dieser Eigenschaft angegebene Bereich überschreibt den in der ConfigWriteScope -Eigenschaft angegebenen impliziten Konfigurationsschreibbereich.

  • RecipientReadScope: Gibt den impliziten Empfängerlesebereich an, der auf die Rolle angewendet wird.

  • RecipientWriteScope: Gibt den impliziten Empfängerschreibbereich an, der auf die Rolle angewendet wird.

  • ConfigReadScope: Gibt den impliziten Konfigurationslesebereich an, der auf die Rolle angewendet wird.

  • ConfigWriteScope: Gibt den impliziten Konfigurationsschreibbereich an, der auf die Rolle angewendet wird.

Zum Auswählen der Eigenschaften, die Sie in der Liste anzeigen möchten, verwenden Sie Befehle ähnlich denen, die in den Abschnitten Auflisten aller effektiven Benutzer mithilfe der Shell, Ermitteln eines spezifischen Benutzers für eine Rolle mithilfe der Shell und Ermitteln eines bestimmten Benutzers für alle Rollen mithilfe der Shell verwendet werden. Der Unterschied besteht darin, dass Sie die Ausgabe dieser Befehle mittels Pipelining an die Cmdlets Format-Table oder Select-Object umleiten. Das Cmdlet Format-Table ist nützlich, um die Liste der Ergebnisse auf dem Bildschirm auszugeben. Mit dem Cmdlet Select-Object können Sie die Ergebnisliste in eine CSV-Datei ausgeben.

Mit beiden Cmdlets können Sie die eigenschaften angeben, die Sie anzeigen möchten, und in der Reihenfolge, in der sie angezeigt werden sollen. Das Cmdlet Format-Table bietet Ihnen weitere Optionen, wenn Sie Ergebnisse auf einem Bildschirm auflisten, während Select-Object die Ausgabe in keiner Weise ändert. Dies ist nützlich, wenn die Liste an eine .csv-Datei weitergeleitet wird.

Weitere Informationen zu den Cmdlets Format-Table und Select-Object finden Sie unter Arbeiten mit Ausgaben von Befehlen.

Ausgabe einer benutzerdefinierten Liste auf dem Bildschirm

  1. Wählen Sie mit einem der folgenden Verfahren die Informationen aus, die angezeigt werden sollen, und suchen Sie nach dem zugehörigen Befehl:

    • Use the Shell to list all effective users

    • Use the Shell to find a specific user a role

    • Use the Shell to find a specific user on all roles

  2. Wählen Sie die Eigenschaften aus, die in der Liste angezeigt werden sollen.

  3. Verwenden Sie die folgende Syntax, um die Liste anzuzeigen.

    <command to retrieve list > | Format-Table <property 1>, <property 2>, <property ...>
    

In diesem Beispiel wird der Benutzer David Strome in allen Rollen gesucht und die EffectiveUserNameEigenschaften , Role, CustomRecipientWriteScopeund CustomConfigWriteScope angezeigt.

Get-ManagementRoleAssignment -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "David Strome"} | Format-Table EffectiveUserName, Role, CustomRecipientWriteScope, CustomConfigWriteScope

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-ManagementRoleAssignment.

Ausgeben einer benutzerdefinierten Liste in eine CSV-Datei

Um eine Liste in eine CSV-Datei zu exportieren, müssen Sie die Ergebnisse des Befehls Get-ManagementRoleAssignment wie im entsprechenden Verfahren weiter oben beschrieben an das Cmdlet Select-Object weiterreichen. Die Ausgabe des Cmdlets Select-Object wird dann an das Cmdlet Export-CSV weitergereicht, das die CSV-Ausgabe in einer von Ihnen angegebenen Datei speichert.

  1. Wählen Sie mit einem der folgenden Verfahren die Informationen aus, die angezeigt werden sollen, und suchen Sie nach dem zugehörigen Befehl:

    • Use the Shell to list all effective users

    • Use the Shell to find a specific user a role

      • Use the Shell to find a specific user on all roles
  2. Wählen Sie die Eigenschaften aus, die in der Liste angezeigt werden sollen.

  3. Verwenden Sie die folgende Syntax, um die Liste in eine CSV-Datei zu exportieren.

    <command to retrieve list > | Select-Object <property 1>, <property 2>, <property ...> | Export-CSV <filename>
    

In diesem Beispiel wird der Benutzer David Strome in allen Rollen gesucht und die EffectiveUserNameEigenschaften , Role, CustomRecipientWriteScopeund CustomConfigWriteScope angezeigt.

Get-ManagementRoleAssignment -GetEffectiveUsers | Where {$_.EffectiveUserName -Eq "David Strome"} | Select-Object EffectiveUserName, Role, CustomRecipientWriteScope, CustomConfigWriteScope | Export-CSV c:\output.csv

Sie können die CSV-Datei nun in einem Viewer Ihrer Wahl anzeigen.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-ManagementRoleAssignment.