Hinzufügen einer Rolle zu einem Benutzer oder einer universellen Sicherheitsgruppe
Gilt für: Exchange Server 2013
Mithilfe von Verwaltungsrollenzuweisungen können Sie einem Benutzer oder einer universellen Sicherheitsgruppe (Universal Security Group, USG) eine Verwaltungsrolle zuweisen. Durch das Zuweisen einer Rolle zu einem Benutzer oder einer universellen Sicherheitsgruppe ermöglichen Sie den Benutzern das Ausführen von Aufgaben – abhängig davon, welche Cmdlets oder Skripts sowie Parameter für die Verwaltungsrolle definiert sind.
Wenn Sie einer Verwaltungsrollengruppe Rollen oder eine Zuweisungsrichtlinie für Verwaltungsrollen zuweisen möchten, finden Sie weitere Informationen in den folgenden Themen:
Wenn Sie Mitglieder zu einer Rollengruppe hinzufügen oder einem Endbenutzer eine Rollenzuweisungsrichtlinie zuordnen möchten, finden Sie weitere Informationen in diesen Themen:
Weitere Informationen finden Sie unter Grundlegendes zur rollenbasierten Zugriffssteuerung.
Möchten Sie wissen, welche anderen Verwaltungsaufgaben es im Zusammenhang mit Rollen gibt? Weitere Informationen finden Sie hier: Erweiterte Berechtigungen.
Was sollten Sie wissen, bevor Sie beginnen?
Geschätzte Zeit bis zum Abschließen der einzelnen Verfahren: 5 Minuten
Bevor Sie diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Rollenzuweisungen" im Thema Berechtigungen für die Rollenverwaltung.
Sie müssen diese Verfahren mithilfe der Shell ausführen.
Wenngleich Sie Benutzern und universellen Sicherheitsgruppen Rollen direkt zuweisen können, besteht die empfohlene Methode zum Gewähren von Berechtigungen für Administratoren und Endbenutzer darin, Verwaltungsrollengruppen und Zuweisungsrichtlinien für Verwaltungsrollen zu verwenden. Wenn Sie Rollengruppen und Zuweisungsrichtlinien verwenden, vereinfachen Sie Ihr Berechtigungsmodell.
Rollenzuweisungen sind additiv. Dies bedeutet, dass alle Rollen bei ihrer Auswertung addiert werden. Wenn einem Benutzer zwei Rollen zugewiesen werden und nur eine von ihnen ein Cmdlet enthält, steht das Cmdlet dem Benutzer dennoch zur Verfügung.
Standardmäßig bieten Rollenzuweisungen nicht die Möglichkeit, anderen Benutzern Rollen zuzuweisen. Informationen dazu, wie Sie einem Benutzer das Zuweisen von Rollen zu anderen Benutzern oder universellen Sicherheitsgruppen zu ermöglichen, finden Sie unter Delegieren von Rollenzuweisungen.
Wenn Sie eine Zuweisung mit einem Bereich erstellen, setzt der Bereich den impliziten Schreibbereich der Rolle außer Kraft. Der implizite Lesebereich der Rolle hat jedoch weiterhin Gültigkeit. Der neue Bereich kann keine Objekte außerhalb des impliziten Lesebereichs der Rolle zurückgeben. Weitere Informationen finden Sie unter Grundlegendes zu Verwaltungsrollenbereichen.
Alle Verfahren in diesem Thema verwenden den SecurityGroup-Parameter , um einer USG Rollen zuzuweisen. Wenn Sie die Rolle einem spezifischen Benutzer zuweisen möchten, verwenden Sie anstelle von User den Parameter SecurityGroup. Die weitere Syntax für jeden Befehl ist identisch.
Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.
Tipp
Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren auf Exchange Server.
Erstellen einer Rollenzuweisung ohne Bereich
Sie können eine Rollenzuweisung ohne Bereich erstellen. Wenn Sie dies machen, gelten die impliziten Lese- und Schreibbereiche der Rolle.
Verwenden Sie die folgende Syntax, um einer universellen Sicherheitsgruppe eine Rolle ohne Bereich zuzuweisen.
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name>
In diesem Beispiel wird die Rolle "Exchange Servers" der universellen Sicherheitsgruppe "SeattleAdmins" zugewiesen.
New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers"
Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementRoleAssignment.
Erstellen einer Rollenzuweisung mit einem vordefinierten relativen Bereich
Wenn ein vordefinierter relativer Bereich Ihren Geschäftsanforderungen entspricht, können Sie diesen Bereich auf die Rollenzuweisung anwenden, statt einen benutzerdefinierten Bereich zu erstellen. Eine Liste vordefinierter Bereiche und ihrer Beschreibungen finden Sie unter Grundlegendes zu Verwaltungsrollenbereichen.
Verwenden Sie die folgende Syntax, um einer universellen Sicherheitsgruppe eine Rolle mit einem vordefinierten Bereich zuzuweisen.
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -RecipientRelativeWriteScope < MyDistributionGroups | Organization | Self >
In diesem Beispiel wird die Rolle "Exchange Servers" der universellen Sicherheitsgruppe "SeattleAdmins" zugewiesen und der vordefinierte Bereich "Organization" angewendet.
New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers" -RecipientRelativeWriteScope Organization
Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementRoleAssignment.
Erstellen einer Rollenzuweisung mit einem filterbasierten Empfängerbereich
Wenn Sie einen filterbasierten Empfängerbereich erstellt haben und diesen bei einer Rollenzuweisung verwenden möchten, müssen Sie den Bereich unter Verwendung des Parameters CustomRecipientWriteScope in den Befehl zum Zuweisen der Rolle zu einer universellen Sicherheitsgruppe einschließen. Bei Verwendung des Parameters CustomRecipientWriteScope kann der Parameter RecipientOrganizationalUnitScope nicht verwendet werden.
Bevor Sie einer Rollenzuweisung einen Bereich hinzufügen können, müssen Sie einen erstellen. Weitere Informationen finden Sie unter Erstellen eines regulären oder exklusiven Bereichs.
Verwenden Sie die folgende Syntax, um einer universellen Sicherheitsgruppe eine Rolle mit filterbasiertem Empfängerbereich zuzuweisen.
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -CustomRecipientWriteScope <role scope name>
In diesem Beispiel wird die Rolle "Mail Recipients" der universellen Sicherheitsgruppe "Seattle Recipient Admins" zugewiesen und der Bereich "Seattle Recipients" angewendet.
New-ManagementRoleAssignment -Name "Mail Recipients_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -CustomRecipientWriteScope "Seattle Recipients"
Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementRoleAssignment.
Erstellen einer Rollenzuweisung mit einem filter- oder listenbasierten Server- oder Datenbankkonfigurationsbereich
Wenn Sie einen filter- oder listenbasierten Server- oder Datenbankkonfigurationsbereich erstellt haben und diesen bei einer Rollenzuweisung verwenden möchten, müssen Sie den Bereich unter Verwendung des Parameters CustomConfigWriteScope in den Befehl zum Zuweisen einer Rolle zu einer universellen Sicherheitsgruppe einschließen.
Bevor Sie einer Rollenzuweisung einen Bereich hinzufügen können, müssen Sie einen erstellen. Weitere Informationen finden Sie unter Erstellen eines regulären oder exklusiven Bereichs.
Verwenden Sie die folgende Syntax, um einer universellen Sicherheitsgruppe eine Rolle mit einem Konfigurationsbereich zuzuweisen.
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -CustomConfigWriteScope <role scope name>
In diesem Beispiel wird die Rolle "Exchange Servers" der universellen Sicherheitsgruppe "MailboxAdmins" zugewiesen und der Bereich "Mailbox Servers" angewendet.
New-ManagementRoleAssignment -Name "Exchange Servers_MailboxAdmins" -SecurityGroup MailboxAdmins -Role "Exchange Servers" -CustomConfigWriteScope "Mailbox Servers"
Das vorstehende Beispiel zeigt, wie eine Rollenzuweisung mit einem Serverkonfigurationsbereich hinzugefügt werden kann. Die Syntax zum Hinzufügen eines Datenbankkonfigurationsbereich ist identisch. Anstelle eines Serverbereichs geben Sie den Namen eines Datenbankbereichs an.
Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementRoleAssignment.
Erstellen einer Rollenzuweisung mit einem OU-Bereich
Wenn Sie den Schreibbereich einer Rolle auf eine Organisationseinheit (Organizational Unit, OU) beschränken möchten, können Sie die OU direkt im Parameter RecipientOrganizationalUnitScope angeben. Bei Verwendung des Parameters RecipientOrganizationalUnitScope kann der Parameter CustomRecipientWriteScope nicht verwendet werden.
Verwenden Sie die folgende Syntax, um einer universellen Sicherheitsgruppe eine Rolle zuzuweisen und den Schreibbereich einer Rolle auf eine spezifische OU zu beschränken.
New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -RecipientOrganizationalUnitScope <OU>
In diesem Beispiel wird die Rolle "Mail Recipients" der universellen Sicherheitsgruppe "SalesRecipientAdmins" zugewiesen und der Bereich auf die OU "sales/user" in der Domäne "contoso.com" festgelegt.
New-ManagementRoleAssignment -Name "Mail Recipients_SalesRecipientAdmins" -SecurityGroup SalesRecipientAdmins -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users
Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementRoleAssignment.
Erstellen einer Rollenzuweisung mit exklusivem Empfänger- oder Konfigurationsbereich
Um eine exklusive Rollenzuweisung mit einem exklusiven Empfänger- oder Konfigurationsbereich zu erstellen, gelten die gleichen Verfahren, die in den Abschnitten Create a role assignment with a recipient filter-based scope und Create a role assignment with a server or database filter or list-based configuration scope vorgestellt wurden. Der einzige Unterschied besteht darin, dass beim Erstellen einer Rollenzuweisung mit exklusivem Bereich die folgenden exklusiven Parameter angegeben werden müssen – abhängig davon, ob Sie einen exklusiven Empfänger- oder Konfigurationsbereich verwenden:
Exklusive Empfängerbereiche: Verwenden Sie den ExclusiveRecipientWriteScope-Parameter anstelle des CustomRecipientWriteScope-Parameters .
Exklusive Konfigurationsbereiche: Verwenden Sie den ExclusiveConfigWriteScope-Parameter anstelle des CustomConfigWriteScope-Parameters .
Wenn Sie dieses Verfahren ausführen, kann der der Rolle zugewiesene Benutzer Aktionen für die Objekte ausführen, die im exklusiven Bereich enthalten sind. Weitere Informationen zu exklusiven Bereichen finden Sie unter Grundlegendes zu exklusiven Bereichen.
Eine Rollenzuweisung kann nicht sowohl mit exklusiven als auch mit regulären Bereichen erstellt werden.
In diesem Beispiel wird die Rolle "Mail Recipients" der universellen Sicherheitsgruppe "Protected User Admins" zugewiesen und der exklusive Bereich "Protected Users" angewendet.
New-ManagementRoleAssignment -Name "Mail Recipients_Protected User Admins" -SecurityGroup "Protected User Admins" -Role "Mail Recipients" -ExclusiveRecipientWriteScope "Protected Users"
Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementRoleAssignment.