Teilen über


Grundlegendes zu geteilten Berechtigungen

Gilt für: Exchange Server 2013

Organisationen, die die Verwaltung von Microsoft Exchange Server 2013-Objekten und Active Directory-Objekten trennen, verwenden ein sogenanntes Geteiltes Berechtigungsmodell. Über geteilte Berechtigungen können Organisationen bestimmte Berechtigungen und zugehörige Aufgaben bestimmten Gruppen innerhalb der Organisationen zuweisen. Diese Arbeitsteilung hilft, Standards zu wahren und Workflows aufrechtzuerhalten sowie Änderungen in der Organisation zu steuern.

Die höchste Ebene der geteilten Berechtigungen ist die Trennung von Exchange-Verwaltung und Active Directory-Verwaltung. Viele Organisationen verfügen über zwei Gruppen: Administratoren, die die Exchange-Infrastruktur der Organisation verwalten, einschließlich Servern und Empfängern, und Administratoren, die die Active Directory-Infrastruktur verwalten. Dies ist eine wichtige Trennung für viele Organisationen, da die Active Directory-Infrastruktur häufig viele Standorte, Domänen, Dienste, Anwendungen und sogar Active Directory-Gesamtstrukturen umfasst. Active Directory-Administratoren müssen sicherstellen, dass Änderungen an Active Directory keine negativen Auswirkungen auf andere Dienste haben. Daher ist es in der Regel nur einer kleinen Gruppe von Administratoren gestattet, diese Infrastruktur zu verwalten.

Gleichzeitig kann die Infrastruktur für Exchange, einschließlich Servern und Empfängern, auch komplex sein und spezielle Kenntnisse erfordern. Darüber hinaus speichert Exchange äußerst vertrauliche Informationen über das Geschäft der Organisation. Exchange-Administratoren können potenziell auf diese Informationen zugreifen. Durch die Beschränkung der Anzahl von Exchange-Administratoren schränkt die Organisation ein, wer Änderungen an der Exchange-Konfiguration vornehmen kann und wer auf vertrauliche Informationen zugreifen kann.

Geteilte Berechtigungen unterscheiden in der Regel zwischen der Erstellung von Sicherheitsprinzipalen in Active Directory, z. B. Benutzer und Sicherheitsgruppen, und der nachfolgenden Konfiguration dieser Objekte. Dies trägt dazu bei, die Wahrscheinlichkeit eines nicht autorisierten Zugriffs auf das Netzwerk zu verringern, indem gesteuert wird, wer Objekte erstellen kann, die Zugriff darauf gewähren. In den meisten Fällen können nur Active Directory-Administratoren Sicherheitsprinzipale erstellen, während andere Administratoren, z. B. Exchange-Administratoren, bestimmte Attribute für vorhandene Active Directory-Objekte verwalten können.

Um die unterschiedlichen Anforderungen zum Trennen der Verwaltung von Exchange und Active Directory zu unterstützen, können Sie in Exchange 2013 auswählen, ob Sie ein Modell für freigegebene Berechtigungen oder ein geteiltes Berechtigungsmodell verwenden möchten. Exchange 2013 bietet zwei Arten von Modellen für geteilte Berechtigungen: RBAC und Active Directory. Exchange 2013 verwendet standardmäßig ein modell für freigegebene Berechtigungen.

Erläuterung der rollenbasierten Access Control und Active Directory

Um geteilte Berechtigungen zu verstehen, müssen Sie verstehen, wie das Rollenbasierte Access Control-Berechtigungsmodell (RBAC) in Exchange 2013 mit Active Directory funktioniert. Das RBAC-Modell steuert, wer welche Aktionen ausführen kann und für welche Objekte diese Aktionen ausgeführt werden können. Weitere Informationen zu den verschiedenen Komponenten von RBAC, die in diesem Thema erläutert werden, finden Sie unter Grundlegendes zu rollenbasierten Access Control.

In Exchange 2013 müssen alle Aufgaben, die für Exchange-Objekte ausgeführt werden, über die Exchange-Verwaltungsshell oder die Exchange Admin Center-Schnittstelle (EAC) ausgeführt werden. Beide Verwaltungstools verwenden RBAC, um alle ausgeführten Aufgaben zu autorisieren.

RBAC ist eine Komponente, die auf jedem Server mit Exchange 2013 vorhanden ist. RBAC überprüft, ob der Benutzer, der eine Aktion ausführt, dazu autorisiert ist:

  • Wenn der Benutzer nicht zum Ausführen der Aktion autorisiert ist, lässt RBAC das Fortsetzen der Aktion nicht zu.

  • Wenn der Benutzer zum Ausführen der Aktion autorisiert ist, überprüft RBAC, ob der Benutzer berechtigt ist, die Aktion für das angeforderte objekt auszuführen:

    • Wenn der Benutzer autorisiert ist, ermöglicht RBAC, dass die Aktion fortgesetzt werden kann.

    • Wenn der Benutzer nicht autorisiert ist, lässt RBAC das Fortsetzen der Aktion nicht zu.

Wenn RBAC das Fortsetzen einer Aktion zulässt, wird die Aktion im Kontext des vertrauenswürdigen Exchange-Subsystems und nicht im Kontext des Benutzers ausgeführt. Das vertrauenswürdige Exchange-Subsystem ist eine universelle Sicherheitsgruppe (USG) mit hohen Berechtigungen, die Lese-/Schreibzugriff auf jedes Exchange-bezogene Objekt in der Exchange-Organisation hat. Es ist auch Mitglied der lokalen Sicherheitsgruppe Administratoren und der Exchange Windows-Berechtigungs-USG, die Es Exchange ermöglicht, Active Directory-Objekte zu erstellen und zu verwalten.

Warnung

Nehmen Sie keine manuellen Änderungen an der Mitgliedschaft in der Sicherheitsgruppe des vertrauenswürdigen Exchange-Subsystems vor. Fügen Sie sie außerdem nicht hinzu oder entfernen Sie sie nicht aus den Zugriffssteuerungslisten (ACLs). Wenn Sie selbst Änderungen am Exchange Trusted Subsystem USG vornehmen, können Sie irreparablen Schaden für Ihre Exchange-Organisation verursachen.

Es ist wichtig zu verstehen, dass es keine Rolle spielt, über welche Active Directory-Berechtigungen ein Benutzer verfügt, wenn er die Exchange-Verwaltungstools verwendet. Wenn der Benutzer über RBAC autorisiert ist, eine Aktion in den Exchange-Verwaltungstools auszuführen, kann der Benutzer die Aktion unabhängig von seinen Active Directory-Berechtigungen ausführen. Wenn ein Benutzer hingegen ein Enterprise-Admin in Active Directory ist, aber nicht autorisiert ist, eine Aktion wie das Erstellen eines Postfachs in den Exchange-Verwaltungstools auszuführen, ist die Aktion nicht erfolgreich, da der Benutzer nicht über die erforderlichen Berechtigungen gemäß RBAC verfügt.

Wichtig

Obwohl das RBAC-Berechtigungsmodell nicht für das Active Directory-Benutzer und -Computer-Verwaltungstool gilt, können Active Directory-Benutzer und -Computer die Exchange-Konfiguration nicht verwalten. Obwohl ein Benutzer möglicherweise Zugriff auf einige Attribute für Active Directory-Objekte hat, z. B. den Anzeigenamen eines Benutzers, muss der Benutzer die Exchange-Verwaltungstools verwenden und daher von RBAC autorisiert werden, um Exchange-Attribute zu verwalten.

Gemeinsame Berechtigungen

Das Modell für freigegebene Berechtigungen ist das Standardmodell für Exchange 2013. Sie müssen nichts ändern, wenn dies das Berechtigungsmodell ist, das Sie verwenden möchten. Dieses Modell trennt die Verwaltung von Exchange- und Active Directory-Objekten nicht von den Exchange-Verwaltungstools. Es ermöglicht Administratoren, mithilfe der Exchange-Verwaltungstools Sicherheitsprinzipale in Active Directory zu erstellen.

Die folgende Tabelle zeigt die Rollen, die die Erstellung von Sicherheitsprinzipalen in Exchange ermöglichen, und die Verwaltungsrollengruppen, denen sie standardmäßig zugewiesen sind.

Verwaltungsrolle Rollengruppe
Rolle „Erstellung von E-Mail-Empfängern" Organisationsverwaltung

Empfängerverwaltung

Rolle „Sicherheitsgruppenerstellung und -mitgliedschaft" Organisationsverwaltung

Nur Rollengruppen, Benutzer oder USGs, denen die Rolle "E-Mail-Empfängererstellung" zugewiesen ist, können Sicherheitsprinzipale wie Active Directory-Benutzer erstellen. Diese Rolle wird standardmäßig den Rollengruppen Organisationsverwaltung und Empfängerverwaltung zugewiesen. Daher können Mitglieder dieser Rollengruppen Sicherheitsprinzipale erstellen.

Nur Rollengruppen, Benutzer oder USGs, denen die Rolle "Sicherheitsgruppenerstellung" und "Mitgliedschaft" zugewiesen ist, können Sicherheitsgruppen erstellen oder ihre Mitgliedschaften verwalten. Standardmäßig wird diese Rolle nur der Rollengruppe Organisationsverwaltung zugewiesen. Daher können nur Mitglieder der Rollengruppe "Organisationsverwaltung" die Mitgliedschaft von Sicherheitsgruppen erstellen oder verwalten.

Sie können die Rolle "E-Mail-Empfängererstellung" und die Rolle "Sicherheitsgruppenerstellung und -mitgliedschaft" anderen Rollengruppen, Benutzern oder USGs zuweisen, wenn Sie möchten, dass andere Benutzer Sicherheitsprinzipale erstellen können.

Um die Verwaltung vorhandener Sicherheitsprinzipale in Exchange 2013 zu ermöglichen, wird die Rolle E-Mail-Empfänger standardmäßig den Rollengruppen Organisationsverwaltung und Empfängerverwaltung zugewiesen. Nur Rollengruppen, Benutzer oder USGs, denen die Rolle E-Mail-Empfänger zugewiesen ist, können vorhandene Sicherheitsprinzipale verwalten. Wenn Sie möchten, dass andere Rollengruppen, Benutzer oder USGs vorhandene Sicherheitsprinzipale verwalten können, müssen Sie ihnen die Rolle E-Mail-Empfänger zuweisen.

Weitere Informationen zum Hinzufügen von Rollen zu Rollengruppen, Benutzern oder USGs finden Sie in den folgenden Themen:

Wenn Sie zu einem geteilten Berechtigungsmodell gewechselt haben und wieder zu einem Modell mit freigegebenen Berechtigungen wechseln möchten, finden Sie weitere Informationen unter Konfigurieren von Exchange 2013 für freigegebene Berechtigungen.

Geteilte Berechtigungen

Wenn Ihre Organisation die Exchange-Verwaltung von der Active Directory-Verwaltung trennt, müssen Sie Exchange so konfigurieren, dass das Modell für geteilte Berechtigungen unterstützt wird. Bei richtiger Konfiguration können nur die Administratoren, die Sicherheitsprinzipale erstellen möchten, z. B. Active Directory-Administratoren, dies tun, und nur Exchange-Administratoren können die Exchange-Attribute für vorhandene Sicherheitsprinzipale ändern. Diese Aufteilung der Berechtigungen entspricht auch ungefähr den Domänen- und Konfigurationspartitionen in Active Directory. Partitionen werden auch als Benennungskontexte bezeichnet. Die Domänenpartition speichert die Benutzer, Gruppen und andere Objekte für eine bestimmte Domäne. Die Konfigurationspartition speichert die gesamtstrukturweiten Konfigurationsinformationen für die Dienste, die Active Directory verwendet haben, z. B. Exchange. Daten, die in der Domänenpartition gespeichert sind, werden in der Regel von Active Directory-Administratoren verwaltet, obwohl Objekte Exchange-spezifische Attribute enthalten können, die von Exchange-Administratoren verwaltet werden können. Daten, die in der Konfigurationspartition gespeichert sind, werden von den Administratoren für jeden jeweiligen Dienst verwaltet, der Daten in dieser Partition speichert. Bei Exchange handelt es sich in der Regel um Exchange-Administratoren.

Exchange 2013 unterstützt die beiden folgenden Arten von geteilten Berechtigungen:

  • Geteilte RBAC-Berechtigungen: Berechtigungen zum Erstellen von Sicherheitsprinzipalen in der Active Directory-Domänenpartition werden durch RBAC gesteuert. Nur Exchange-Server und -Dienste sowie Mitglieder der entsprechenden Rollengruppen können Sicherheitsprinzipale erstellen.

  • Geteilte Active Directory-Berechtigungen: Berechtigungen zum Erstellen von Sicherheitsprinzipalen in der Active Directory-Domänenpartition werden von allen Exchange-Benutzern, -Diensten oder -Servern vollständig entfernt. In RBAC wird keine Option zur Erstellung von Sicherheitsprinzipalen bereitgestellt. Die Erstellung von Sicherheitsprinzipalen in Active Directory muss mithilfe von Active Directory-Verwaltungstools durchgeführt werden.

    Wichtig

    Obwohl geteilte Active Directory-Berechtigungen aktiviert oder deaktiviert werden können, indem Setup auf einem Computer ausgeführt wird, auf dem Exchange 2013 installiert ist, gilt die Konfiguration der geteilten Active Directory-Berechtigungen sowohl für Exchange 2013- als auch für Exchange 2010-Server. Dies hat jedoch keine Auswirkungen auf Microsoft Exchange Server Server von 2007.

Wenn Sich Ihre Organisation dafür entscheidet, anstelle von freigegebenen Berechtigungen ein Modell für geteilte Berechtigungen zu verwenden, empfehlen wir Ihnen, das RBAC-Modell für geteilte Berechtigungen zu verwenden. Das RBAC-Modell für geteilte Berechtigungen bietet deutlich mehr Flexibilität und bietet gleichzeitig die nahezu gleiche Verwaltungstrennung wie geteilte Active Directory-Berechtigungen, mit der Ausnahme, dass Exchange-Server und -Dienste Sicherheitsprinzipale im RBAC-Modell für geteilte Berechtigungen erstellen können.

Sie werden gefragt, ob Sie während des Setups geteilte Active Directory-Berechtigungen aktivieren möchten. Wenn Sie Active Directory-Geteilte Berechtigungen aktivieren möchten, können Sie nur zu freigegebenen Berechtigungen oder RBAC-Geteilten Berechtigungen wechseln, indem Sie Setup erneut ausführen und geteilte Active Directory-Berechtigungen deaktivieren. Diese Auswahl gilt für alle Exchange 2010- und Exchange 2013-Server in der Organisation.

In den folgenden Abschnitten werden RBAC- und Active Directory-Geteilte Berechtigungen ausführlicher beschrieben.

Geteilte RBAC-Berechtigungen

Das RBAC-Sicherheitsmodell ändert die Standardmäßigen Verwaltungsrollenzuweisungen, um zu trennen, wer Sicherheitsprinzipale in der Active Directory-Domänenpartition erstellen kann, von denen, die die Exchange-Organisationsdaten in der Active Directory-Konfigurationspartition verwalten. Sicherheitsprinzipale, wie z. B. Benutzer mit Postfächern und Verteilergruppen, können von Administratoren erstellt werden, die Mitglieder der Rollen Erstellung von E-Mail-Empfängern und Erstellung und Mitgliedschaft von Sicherheitsgruppen sind. Diese Berechtigungen sind getrennt von den Berechtigungen, die zum Erstellen von Sicherheitsprinzipalen außerhalb der Exchange-Verwaltungstools erforderlich sind. Exchange-Administratoren, denen nicht die Rollen Erstellung von E-Mail-Empfängern oder Erstellung und Mitgliedschaft von Sicherheitsgruppen zugewiesen sind, können dennoch Exchange-bezogene Attribute auf Sicherheitsprinzipalen ändern. Active Directory-Administratoren haben auch die Möglichkeit, die Exchange-Verwaltungstools zu verwenden, um Active Directory-Sicherheitsprinzipale zu erstellen.

Exchange-Server und das vertrauenswürdige Exchange-Subsystem verfügen auch über Berechtigungen zum Erstellen von Sicherheitsprinzipalen in Active Directory im Namen von Benutzern und Programmen von Drittanbietern, die in RBAC integriert sind.

Geteilte RBAC-Berechtigungen sind eine gute Wahl für Ihre Organisation, wenn Folgendes zutrifft:

  • Ihre Organisation erfordert nicht, dass die Erstellung von Sicherheitsprinzipalen nur mit Active Directory-Verwaltungstools und nur von Benutzern durchgeführt wird, denen bestimmte Active Directory-Berechtigungen zugewiesen sind.

  • Ihre Organisation ermöglicht Diensten wie Exchange-Servern das Erstellen von Sicherheitsprinzipalen.

  • Sie möchten den Prozess vereinfachen, der zum Erstellen von Postfächern, E-Mail-aktivierten Benutzern, Verteilergruppen und Rollengruppen erforderlich ist, indem Sie deren Erstellung aus den Exchange-Verwaltungstools zulassen.

  • Sie möchten die Mitgliedschaft von Verteilergruppen und Rollengruppen in den Exchange-Verwaltungstools verwalten.

  • Sie verfügen über Drittanbieterprogramme, die erfordern, dass Exchange-Server in der Lage sind, Sicherheitsprinzipale in ihrem Namen zu erstellen.

Wenn Ihre Organisation eine vollständige Trennung von Exchange- und Active Directory-Verwaltung erfordert, bei der keine Active Directory-Verwaltung mit Exchange-Verwaltungstools oder Exchange-Diensten durchgeführt werden kann, lesen Sie den Abschnitt Active Directory Split Permissions weiter unten in diesem Thema.

Der Wechsel von freigegebenen Berechtigungen zu geteilten RBAC-Berechtigungen ist ein manueller Prozess, bei dem Sie die Berechtigungen entfernen, die zum Erstellen von Sicherheitsprinzipalen aus den Rollengruppen erforderlich sind, denen sie standardmäßig gewährt werden.

Die folgende Tabelle zeigt die Rollen, die die Erstellung von Sicherheitsprinzipalen in Exchange ermöglichen, und die Verwaltungsrollengruppen, denen sie standardmäßig zugewiesen sind.

Verwaltungsrolle Rollengruppe
Rolle „Erstellung von E-Mail-Empfängern" Organisationsverwaltung

Empfängerverwaltung

Rolle „Sicherheitsgruppenerstellung und -mitgliedschaft" Organisationsverwaltung

Standardmäßig können Mitglieder der Rollengruppen Organisationsverwaltung und Empfängerverwaltung Sicherheitsprinzipale erstellen. Sie müssen die Möglichkeit zum Erstellen von Sicherheitsprinzipalen aus den integrierten Rollengruppen auf eine neue Rollengruppe übertragen, die Sie erstellen.

Zum Konfigurieren von geteilten RBAC-Berechtigungen müssen Sie die folgenden Schritte ausführen:

  1. Deaktivieren Sie die geteilten Berechtigungen von Active Directory, wenn sie aktiviert sind.

  2. Erstellen Sie eine Rollengruppe, die die Active Directory-Administratoren enthält, die Sicherheitsprinzipale erstellen können.

  3. Erstellen Sie reguläre und delegierende Rollenzuordnungen zwischen der Rolle Mail-Empfängererstellung und der neuen Rollengruppe.

  4. Erstellen Sie reguläre und delegierende Rollenzuweisungen zwischen der Rolle Sicherheitsgruppenerstellung und -mitgliedschaft und der neuen Rollengruppe.

  5. Entfernen Sie die regulären und delegierenden Managementrollenzuweisungen zwischen der Rolle "Erstellung von E-Mail-Empfängern" und den Rollengruppen "Organisationsmanagement" und "Empfängerverwaltung".

  6. Entfernen Sie die regulären und delegierenden Rollenzuweisungen zwischen der Rolle Sicherheitsgruppenerstellung und -mitgliedschaft und der Rollengruppe Organisationsmanagement.

Danach können nur Mitglieder der neuen Rollengruppe, die Sie erstellen, Sicherheitsprinzipale wie Postfächer erstellen. Die neue Gruppe kann nur die -Objekte erstellen. Die Exchange-Attribute für das neue Objekt können nicht konfiguriert werden. Ein Active Directory-Administrator, der Mitglied der neuen Gruppe ist, muss das Objekt erstellen, und dann muss ein Exchange-Administrator die Exchange-Attribute für das Objekt konfigurieren. Exchange-Administratoren können die folgenden Cmdlets nicht verwenden:

  • New-Mailbox
  • New-MailContact
  • New-MailUser
  • New-RemoteMailbox
  • Remove-Mailbox
  • Remove-MailContact
  • Remove-MailUser
  • Remove-RemoteMailbox

Exchange-Administratoren können jedoch Exchange-spezifische Objekte wie Transportregeln, Verteilergruppen usw. erstellen und verwalten sowie Exchange-bezogene Attribute für jedes Objekt verwalten.

Darüber hinaus sind die zugehörigen Features im EAC und Outlook Web App, z. B. der Assistent für neue Postfächer, nicht mehr verfügbar oder generieren einen Fehler, wenn Sie versuchen, sie zu verwenden.

Wenn die neue Rollengruppe auch die Exchange-Attribute für das neue Objekt verwalten soll, muss der neuen Rollengruppe auch die Rolle E-Mail-Empfänger zugewiesen werden.

Weitere Informationen zum Konfigurieren eines Modells für geteilte Berechtigungen finden Sie unter Konfigurieren von Exchange 2013 für geteilte Berechtigungen.

Geteilte Active Directory-Berechtigungen

Bei geteilten Active Directory-Berechtigungen muss die Erstellung von Sicherheitsprinzipalen in der Active Directory-Domänenpartition, wie z. B. Postfächer und Verteilergruppen, mit Active Directory-Verwaltungstools durchgeführt werden. Es werden mehrere Änderungen an den Berechtigungen vorgenommen, die dem Exchange Trusted Subsystem und den Exchange-Servern gewährt werden, um die Möglichkeiten von Exchange-Administratoren und -Servern zu begrenzen. Die folgenden Funktionsänderungen treten auf, wenn Sie geteilte Active Directory-Berechtigungen aktivieren:

  • Die Erstellung von Postfächern, E-Mail-aktivierten Benutzern, Verteilergruppen und anderen Sicherheitsprinzipien wird aus den Exchange-Verwaltungstools entfernt.

  • Das Hinzufügen und Entfernen von Verteilergruppenmitgliedern kann nicht über die Exchange-Verwaltungstools vorgenommen werden.

  • Alle dem Exchange Trusted Subsystem und den Exchange-Servern gewährten Berechtigungen zum Erstellen von Sicherheitsprinzipalen werden entfernt.

  • Exchange-Server und die Exchange-Verwaltungstools können nur die Exchange-Attribute vorhandener Sicherheitsprinzipale in Active Directory ändern.

Um beispielsweise ein Postfach mit aktivierten Geteilten Active Directory-Berechtigungen zu erstellen, muss ein Benutzer zuerst mithilfe von Active Directory-Tools von einem Benutzer mit den erforderlichen Active Directory-Berechtigungen erstellt werden. Anschließend kann der Benutzer mithilfe der Exchange-Verwaltungstools postfachaktiviert werden. Nur die Exchange-bezogenen Attribute des Postfachs können von Exchange-Administratoren mithilfe der Exchange-Verwaltungstools geändert werden.

Geteilte Active Directory-Berechtigungen sind eine gute Wahl für Ihre Organisation, wenn Folgendes zutrifft:

  • Ihre Organisation erfordert, dass Sicherheitsprinzipale nur mit den Active Directory-Verwaltungstools oder nur von Benutzern erstellt werden, denen bestimmte Berechtigungen in Active Directory erteilt wurden.

  • Sie möchten die Möglichkeit zum Erstellen von Sicherheitsprinzipalen vollständig von denen trennen, die die Exchange-Organisation verwalten.

  • Sie möchten die gesamte Verteilergruppenverwaltung durchführen, einschließlich der Erstellung von Verteilergruppen und dem Hinzufügen und Entfernen von Mitgliedern dieser Gruppen mithilfe von Active Directory-Verwaltungstools.

  • Sie möchten nicht, dass Exchange-Server oder Drittanbieterprogramme, die Exchange in ihrem Namen verwenden, Sicherheitsprinzipale erstellen.

Wichtig

Der Wechsel zu geteilten Active Directory-Berechtigungen ist eine Wahl, die Sie bei der Installation von Exchange 2013 treffen können, entweder mithilfe des Setup-Assistenten oder mithilfe des ActiveDirectorySplitPermissions-Parameters , während sie über die Befehlszeile ausgeführt werden setup.exe . Sie können auch geteilte Active Directory-Berechtigungen aktivieren oder deaktivieren, nachdem Sie Exchange 2013 installiert haben, indem Sie über die Befehlszeile erneut ausführen setup.exe .

Um geteilte Active Directory-Berechtigungen zu aktivieren, legen Sie den Parameter ActiveDirectorySplitPermissions auf fest true. Um es zu deaktivieren, legen Sie es auf fest false. Sie müssen immer den PrepareAD-Switch zusammen mit dem Parameter ActiveDirectorySplitPermissions angeben.

Wenn Sie über mehrere Domänen in derselben Gesamtstruktur verfügen, müssen Sie entweder den Schalter PrepareAllDomains angeben, wenn Sie geteilte Active Directory-Berechtigungen anwenden, oder setup mit dem Schalter PrepareDomain in jeder Domäne ausführen. Wenn Sie das Setup mit dem Switch PrepareDomain in jeder Domäne ausführen möchten, anstatt den Schalter PrepareAllDomains zu verwenden, müssen Sie jede Domäne vorbereiten, die Exchange-Server, E-Mail-aktivierte Objekte oder globale Katalogserver enthält, auf die ein Exchange-Server zugreifen kann.

Sie können keine geteilten Active Directory-Berechtigungen aktivieren, wenn Sie Exchange 2010 oder Exchange 2013 auf einem Domänencontroller installiert haben.

Nachdem Sie geteilte Active Directory-Berechtigungen aktiviert oder deaktiviert haben, wird empfohlen, die Exchange 2010- und Exchange 2013-Server in Ihrer Organisation neu zu starten, um zu erzwingen, dass sie das neue Active Directory-Zugriffstoken mit den aktualisierten Berechtigungen abrufen.

Exchange 2013 erreicht geteilte Active Directory-Berechtigungen, indem Berechtigungen und Mitgliedschaften aus der Sicherheitsgruppe Exchange Windows-Berechtigungen entfernt werden. Diese Sicherheitsgruppe erhält in freigegebenen Berechtigungen und geteilten RBAC-Berechtigungen Berechtigungen für viele Nicht-Exchange-Objekte und Attribute in Active Directory. Durch das Entfernen der Berechtigungen und der Mitgliedschaft in dieser Sicherheitsgruppe werden Exchange-Administratoren und -Dienste daran gehindert, diese Nicht-Exchange Active Directory-Objekte zu erstellen oder zu ändern.

Eine Liste der Änderungen, die an der Sicherheitsgruppe Exchange Windows-Berechtigungen und anderen Exchange-Komponenten auftreten, wenn Sie geteilte Active Directory-Berechtigungen aktivieren oder deaktivieren, finden Sie in der folgenden Tabelle.

Hinweis

Rollenzuweisungen zu Rollengruppen, die Exchange-Administratoren das Erstellen von Sicherheitsprinzipalen ermöglichen, werden entfernt, wenn Die geteilten Active Directory-Berechtigungen aktiviert sind. Dies erfolgt, um den Zugriff auf Cmdlets zu entfernen, die andernfalls bei der Ausführung einen Fehler verursachen würden, da sie nicht über Berechtigungen zum Erstellen des zugeordneten Active Directory-Objekts verfügen.

Änderungen an geteilten Active Directory-Berechtigungen

Aktion Von Exchange vorgenommene Änderungen
Aktivieren von geteilten Active Directory-Berechtigungen während der ersten Exchange 2013-Serverinstallation Folgendes geschieht, wenn Sie geteilte Active Directory-Berechtigungen entweder über den Setup-Assistenten oder durch Ausführen setup.exe mit den /PrepareAD Parametern und /ActiveDirectorySplitPermissions:true aktivieren:
  • Eine Organisationseinheit (OE) mit dem Namen Microsoft Exchange Protected Groups wird erstellt.
  • Die Sicherheitsgruppe Exchange Windows-Berechtigungen wird in der Organisationseinheit Für geschützte Microsoft Exchange-Gruppen erstellt.
  • Die Sicherheitsgruppe "Vertrauenswürdiges Exchange-Subsystem " wird der Sicherheitsgruppe Exchange Windows-Berechtigungen nicht hinzugefügt.
  • Die Erstellung von nicht delegierenden Verwaltungsrollenzuweisungen an Verwaltungsrollen mit den folgenden Verwaltungsrollentypen wird übersprungen:
    • MailRecipientCreation
    • SecurityGroupCreationandMembership
  • Zugriffssteuerungseinträge (Access Control Entries, ACEs), die der Sicherheitsgruppe Exchange Windows-Berechtigungen zugewiesen worden wären, werden dem Active Directory-Domänenobjekt nicht hinzugefügt.

Wenn Sie das Setup mit dem Schalter PrepareAllDomains oder PrepareDomain ausführen, geschieht Folgendes in jeder vorbereiteten untergeordneten Domäne:

  • Alle ACEs, die der Sicherheitsgruppe Exchange Windows-Berechtigungen zugewiesen sind, werden aus dem Domänenobjekt entfernt.
  • ACEs werden in jeder Domäne festgelegt, mit Ausnahme aller ACEs, die der Sicherheitsgruppe Exchange Windows-Berechtigungen zugewiesen sind.
Wechseln von freigegebenen Berechtigungen oder RBAC-Geteilten Berechtigungen zu geteilten Active Directory-Berechtigungen Folgendes geschieht, wenn Sie den Befehl mit den setup.exe/PrepareAD Parametern und /ActiveDirectorySplitPermissions:true ausführen:
  • Eine Organisationseinheit namens Microsoft Exchange Protected Groups wird erstellt.
  • Die Sicherheitsgruppe Exchange Windows-Berechtigungen wird in die Organisationseinheit Für geschützte Microsoft Exchange-Gruppen verschoben.
  • Die Sicherheitsgruppe Vertrauenswürdiges Exchange-Subsystem wird aus der Sicherheitsgruppe Exchange Windows-Berechtigungen entfernt.
  • Alle nicht delegierenden Rollenzuweisungen an Verwaltungsrollen mit den folgenden Rollentypen werden entfernt:
    • MailRecipientCreation
    • SecurityGroupCreationandMembership
  • Alle ACEs, die der Sicherheitsgruppe Exchange Windows-Berechtigungen zugewiesen sind, werden aus dem Domänenobjekt entfernt.

Wenn Sie das Setup entweder mit dem Schalter PrepareAllDomains oder PrepareDomain ausführen, geschieht Folgendes in jeder vorbereiteten untergeordneten Domäne:

  • Alle ACEs, die der Sicherheitsgruppe Exchange Windows-Berechtigungen zugewiesen sind, werden aus dem Domänenobjekt entfernt.
  • ACEs werden in jeder Domäne festgelegt, mit Ausnahme aller ACEs, die der Sicherheitsgruppe Exchange Windows-Berechtigungen zugewiesen sind.
Wechseln von geteilten Active Directory-Berechtigungen zu freigegebenen Berechtigungen oder RBAC-Geteilten Berechtigungen Folgendes geschieht, wenn Sie den Befehl mit den setup.exe/PrepareAD Parametern und /ActiveDirectorySplitPermissions:false ausführen:
  • Die Sicherheitsgruppe Exchange Windows-Berechtigungen wird in die Organisationseinheit Microsoft Exchange-Sicherheitsgruppen verschoben.
  • Die Organisationseinheit Für geschützte Microsoft Exchange-Gruppen wurde entfernt.
  • Die Sicherheitsgruppe Exchange Trusted Subsystems wird der Sicherheitsgruppe Exchange Windows-Berechtigungen hinzugefügt.
  • ACEs werden dem Domänenobjekt für die Sicherheitsgruppe Exchange Windows-Berechtigungen hinzugefügt.

Wenn Sie das Setup entweder mit dem Schalter PrepareAllDomains oder PrepareDomain ausführen, geschieht Folgendes in jeder vorbereiteten untergeordneten Domäne:

  • ACEs werden dem Domänenobjekt für die Sicherheitsgruppe Exchange Windows-Berechtigungen hinzugefügt.
  • ACEs werden in jeder Domäne festgelegt, einschließlich ACEs, die der Sicherheitsgruppe Exchange Windows-Berechtigungen zugewiesen sind.

Rollenzuweisungen für die Rollen "Erstellen von E-Mail-Empfängern" und "Sicherheitsgruppenerstellung" und "Mitgliedschaft" werden nicht automatisch erstellt, wenn Sie von Der Active Directory-Aufteilung zu den freigegebenen Berechtigungen wechseln. Wenn das Delegieren von Rollenzuweisungen vor der Aktivierung der geteilten Active Directory-Berechtigungen angepasst wurde, bleiben diese Anpassungen erhalten. Informationen zum Erstellen von Rollenzuweisungen zwischen diesen Rollen und der Rollengruppe Organisationsverwaltung finden Sie unter Konfigurieren von Exchange 2013 für freigegebene Berechtigungen.

Nach der Aktivierung von geteilten Active Directory-Berechtigungen sind die folgenden Cmdlets nicht mehr verfügbar:

  • New-Mailbox
  • New-MailContact
  • New-MailUser
  • New-RemoteMailbox
  • Remove-Mailbox
  • Remove-MailContact
  • Remove-MailUser
  • Remove-RemoteMailbox

Nachdem Sie geteilte Active Directory-Berechtigungen aktiviert haben, können Sie auf die folgenden Cmdlets zugreifen, aber Sie können sie nicht verwenden, um Verteilergruppen zu erstellen oder die Verteilergruppenmitgliedschaft zu ändern:

  • Add-DistributionGroupMember
  • New-DistributionGroup
  • Remove-DistributionGroup
  • Remove-DistributionGroupMember
  • Update-DistributionGroupMember

Einige Cmdlets sind zwar noch verfügbar, bieten jedoch möglicherweise nur eingeschränkte Funktionen, wenn sie mit geteilten Active Directory-Berechtigungen verwendet werden. Dies liegt daran, dass Sie möglicherweise Empfängerobjekte konfigurieren können, die sich in der Active Directory-Partition der Domäne befinden, und Exchange-Konfigurationsobjekte, die sich in der Active Directory-Konfigurationspartition befinden. Sie können auch Exchange-bezogene Attribute für Objekte konfigurieren, die in der Domänenpartition gespeichert sind. Versuche, die Cmdlets zu verwenden, um Objekte zu erstellen oder nicht Exchange-bezogene Attribute für Objekte in der Domänenpartition zu ändern, führen zu einem Fehler. Beispielsweise gibt das Cmdlet Add-ADPermission einen Fehler zurück, wenn Sie versuchen, einem Postfach Berechtigungen hinzuzufügen. Das Cmdlet Add-ADPermission ist jedoch erfolgreich, wenn Sie Berechtigungen für einen Empfangsconnector konfigurieren. Dies liegt daran, dass ein Postfach in der Domänenpartition gespeichert wird, während Empfangsconnectors in der Konfigurationspartition gespeichert sind.

Darüber hinaus sind die zugehörigen Features im Exchange Admin Center und Outlook Web App, z. B. der Assistent für neues Postfach, nicht mehr verfügbar oder führen zu einem Fehler, wenn Sie versuchen, sie zu verwenden.

Exchange-Administratoren können jedoch Exchange-spezifische Objekte wie Transportregeln usw. erstellen und verwalten.

Weitere Informationen zum Konfigurieren eines Modells für geteilte Active Directory-Berechtigungen finden Sie unter Konfigurieren von Exchange 2013 für geteilte Berechtigungen.