Organisationsverwaltung
Gilt für: Exchange Server 2013
Die Rollengruppe "Organisationsverwaltung" ist eine von mehreren integrierten Rollengruppen, die das RBAC-Berechtigungsmodell (Role Based Access Control) in Microsoft Exchange Server 2013 bilden. Rollengruppen wird mindestens eine Verwaltungsrolle zugewiesen, welche die zum Ausführen bestimmter Aufgaben erforderlichen Berechtigungen enthält. Den Mitgliedern einer Rollengruppe wird der Zugriff auf die Verwaltungsrollen erteilt, die der Rollengruppe zugewiesen sind. Weitere Informationen zu Rollengruppen finden Sie unter Grundlegendes zu Verwaltungsrollengruppen.
Administratoren, die Mitglieder der Rollengruppe Organisationsverwaltung sind, verfügen über Administratorzugriff auf die gesamte Exchange 2013-Organisation und können fast jede Aufgabe für beliebige Exchange 2013-Objekte durchführen, mit einigen Ausnahmen. Mitglieder dieser Rollengruppe können Postfachsuchen und die Verwaltung von Verwaltungsrollen oberster Ebene ohne Bereichseinschränkung standardmäßig nicht durchführen. Weitere Informationen finden Sie weiter unten in diesem Thema im Abschnitt "Ausschließlich delegierende Rollenzuweisungen".
Wichtig
Die Rollengruppe Organisationsverwaltung umfasst sehr viele Berechtigungen. Daher sollten nur Benutzer oder universelle Sicherheitsgruppen (USGs), die Administratoraufgaben auf Organisationsebene mit potenziellen Auswirkungen auf die gesamte Exchange-Organisation durchführen, Mitglieder dieser Rollengruppe sein.
Dieser Rollengruppe entspricht die Exchange-Rolle "Organisationsadministratoren" in Exchange Server 2007.
Weitere Informationen zu RBAC finden Sie unter Grundlegendes zur rollenbasierten Zugriffssteuerung.
Rollengruppenmitgliedschaft
Standardmäßig wird das Konto, mit dem Exchange 2013 in der Organisation installiert wird, als Mitglied der Rollengruppe Organisationsverwaltung hinzugefügt. Mit diesem Konto können dann bei Bedarf andere Mitglieder der Gruppe hinzugefügt werden.
Informationen dazu, wie Sie Mitglieder zu dieser Rollengruppe hinzufügen oder daraus entfernen, finden Sie unter Verwalten von Rollengruppenmitgliedern.
Standardmäßig können nur Mitglieder der Rollengruppe "Organisationsverwaltung" Mitglieder zu dieser Rollengruppe hinzufügen oder daraus entfernen. Weitere Informationen zum Hinzufügen zusätzlicher Rollengruppenstellvertreter finden Sie im Abschnitt "Hinzufügen oder Entfernen eines Rollengruppenstellvertreters" unter Verwalten von Rollengruppen.
Sie können den folgenden Befehl verwenden, um eine Liste der Benutzer oder universellen Sicherheitsgruppen anzuzeigen, die Mitglieder dieser Rollengruppe sind.
Get-RoleGroupMember "Organization Management"
Weitere Informationen über die Mitglieder einer Rollengruppe finden Sie unter Verwalten von Rollengruppen.
Rollengruppenanpassung
Dieser Rollengruppe werden standardmäßig Verwaltungsrollen zugewiesen. Die betreffenden Rollen sind im Abschnitt "Dieser Rollengruppe zugewiesene Verwaltungsrollen" aufgeführt. Sie können dieser Rollengruppe je nach den Anforderungen Ihrer Organisation Rollenzuweisungen hinzufügen oder diese aus der Rollengruppe entfernen.
Die mit Exchange 2013 bereitgestellten Rollengruppen wurden entwickelt, um abgestuften Aufgaben gerecht zu werden. Durch das Zuweisen von Rollen zu einer Rollengruppe ermöglichen Sie den Mitgliedern dieser Rollengruppe das Ausführen der zu dieser Rolle gehörenden Aufgaben. So ermöglicht beispielsweise die Rolle "Journale" das Verwalten von Journal-Agent und Journalregeln. Weitere Informationen über das Zuweisen von Rollen zu Rollengruppen finden Sie unter Grundlegendes zu Verwaltungsrollenzuweisungen.
Die dieser Rollengruppe zugewiesenen Rollen erhalten Standardverwaltungsbereiche. Verwaltungsbereiche bestimmen, welche Exchange-Objekte durch die Mitglieder einer Rollengruppe angezeigt oder geändert werden können. Sie können die Bereiche, die Zuweisungen zwischen Rollen und Rollengruppen zugeordnet sind, ändern. Dies können Sie beispielsweise tun, wenn Sie möchten, dass Mitglieder einer Rollengruppe nur Empfänger ändern können, die einer bestimmten Organisationseinheit angehören oder sich an einem bestimmten Standort befinden. Weitere Informationen zu Verwaltungsbereichen finden Sie unter Grundlegendes zu Verwaltungsrollenbereichen.
Weitere Informationen zum Anpassen dieser Rollengruppe finden Sie in den folgenden Themen:
Wenn Sie eine neue Rollengruppe erstellen möchten und einige der dieser Rollengruppe zugeordneten Rollen zuweisen möchten, finden Sie weitere Informationen im Abschnitt "Erstellen einer Rollengruppe" unter Verwalten von Rollengruppen.
Es folgen einige Möglichkeiten, diese Rolle anzupassen:
- Berechtigungsbesitzer: Wenn die Berechtigungen in Ihrer Organisation von einer anderen Gruppe als den Exchange-Administratoren gesteuert werden, können Sie eine Rollengruppe erstellen und die regulären und delegierenden Rollenzuweisungen für die Rollenverwaltungsrolle an die neue Rollengruppe verschieben. So wird verhindert, dass Mitglieder der Rollengruppe Organisationsverwaltung RBAC-Berechtigungen verwalten.
- Geteilte Active Directory-Berechtigungen: Wenn die Erstellung von Sicherheitsprinzipalen in Ihrer Organisation, z. B. Benutzerkonten, von einer bestimmten Gruppe gesteuert wird, die nicht von den Exchange-Administratoren stammt, können Sie eine Rollengruppe erstellen und die regulären und delegierenden Rollenzuweisungen für die Rolle "E-Mail-Empfängererstellung" und die Rolle "Sicherheitsgruppenerstellung und -mitgliedschaft" in die neue Rollengruppe verschieben. Dadurch wird verhindert, dass Mitglieder der Rollengruppe "Organisationsverwaltung" Active Directory-Objekte erstellen. Sie können die neuen Active Directory-Objekte jedoch weiterhin per E-Mail aktivieren. Weitere Informationen zu geteilten Berechtigungen finden Sie unter Grundlegendes zu geteilten Berechtigungen.
Einschränkungen bei der Anpassung
Jede Rolle kann dieser Rollengruppe hinzugefügt oder daraus entfernt werden, mit den folgenden Einschränkungen:
- Jede Rolle muss mindestens eine delegierende Rollenzuweisung für eine Rollengruppe oder USG besitzen, bevor die delegierende Rollenzuweisung aus dieser Rollengruppe entfernt werden kann.
- Die Rolle "Rollenverwaltung" muss mindestens eine reguläre Rollenzuweisung für eine Rollengruppe oder USG besitzen, bevor die reguläre Rollenzuweisung aus dieser Rollengruppe entfernt werden kann.
Diese Einschränkungen sollen verhindern, dass Sie sich aus Versehen aus dem System aussperren. Da immer mindestens eine delegierende Rollenzuweisung zwischen jeder Rolle und einer oder mehreren Rollengruppen oder USGs vorhanden sein muss, können Sie Rollenempfängern immer Rollen zuweisen. Da immer mindestens eine reguläre Rollenzuweisung zwischen der Rollenverwaltungsrolle und einer oder mehreren Rollengruppen oder USGs vorhanden sein muss, können Sie Rollengruppen und Rollenzuweisungen immer konfigurieren.
Wichtig
Aufgrund dieser Einschränkungen müssen Rollengruppen oder USGs die Ziele der delegierenden und regulären Rollenzuweisungen sein. Sie können eine delegierende Rollenzuweisung sowie die reguläre Zuweisung für die Rolle "Rollenverwaltung" nicht entfernen, wenn die letzte Zuweisung sich auf einen Benutzer bezieht.
Ausschließlich delegierende Rollenzuweisungen
Einige Rollenzuweisungen zwischen der Rollengruppe "Organisationsverwaltung" und "Verwaltungsrollen", z. B. Postfachsuche und Rollenverwaltung ohne Bereich, delegieren nur Rollenzuweisungen. Diese Rollen ermöglichen den Zugriff auf vertrauliche oder personenbezogene Informationen, z. B. den Inhalt von Postfächern, oder ermöglichen die Erstellung leistungsstarker Verwaltungsrollen ohne Bereich.
Mit ausschließlich delegierenden Rollenzuweisungen können Mitglieder der Rollengruppe Organisationsverwaltung ausschließlich die zugeordneten Rollen anderen Rollengruppen, Zuweisungsrichtlinien für Verwaltungsrollen, Benutzern oder USGs zuweisen. Mitglieder der Rolle Organisationsverwaltung erhalten standardmäßig keine Berechtigungen, die von den Rollen bereitgestellt werden. Dies dient dazu, versehentlichen Zugang zu persönlichen Informationen oder eine ungewollte Erhöhung von Berechtigungen zu vermeiden.
Mitglieder der Rollengruppe "Organisationsverwaltung" können sich jedoch eine beliebige Rolle zuweisen, sodass sie jede Aufgabe ausführen können. Beispielsweise kann ein Mitglied der Rollengruppe "Organisationsverwaltung" der Rollengruppe "Organisationsverwaltung" die Rolle "Postfachsuche" zuweisen. Nachdem diese Rollenzuweisung vorgenommen wurde, können Mitglieder der Rollengruppe "Organisationsverwaltung" Aufgaben ausführen, die von der Postfachsuche-Rolle aktiviert werden.
Weitere Informationen zu delegierenden Rollenzuweisungen finden Sie unter Grundlegendes zu Verwaltungsrollenzuweisungen.
Zusätzliche Berechtigungen
Die Berechtigungen, die Mitgliedern der Rollengruppe Organisationsverwaltung erteilt werden, werden vor allem von den Verwaltungsrollen bestimmt, die der Rollengruppe zugewiesen sind. Es werden jedoch nicht alle von Ihnen auszuführenden Aufgaben durch Verwaltungsrollen abgedeckt. Einige Aufgaben fallen außerhalb der Exchange-Verwaltungstools an, sodass das RBAC-Berechtigungsmodell für sie nicht gilt. Für diese Aufgaben werden Berechtigungen bereitgestellt, indem die Rollengruppe Organisationsverwaltung den Zugriffssteuerungslisten (Access Control Lists, ACLs) bestimmter Active Directory-Objekte hinzufügt werden.
Den folgenden Aufgaben werden Berechtigungen über ACLs für Active Directory-Objekte erteilt statt über Verwaltungsrollen, die der Rollengruppe Organisationsverwaltung zugewiesen sind:
- Ausführen von DomainPrep und ForestPrep mithilfe von Setup.exe
- Bereitstellen weiterer Server in der Organisation
Dieser Rollengruppe zugewiesene Verwaltungsrollen
Standardmäßig können nur Mitglieder der Rollengruppe "Organisationsverwaltung" Mitglieder zu dieser Rollengruppe hinzufügen oder daraus entfernen. Weitere Informationen zum Hinzufügen zusätzlicher Rollengruppenstellvertreter finden Sie im Abschnitt "Hinzufügen oder Entfernen eines Rollengruppenstellvertreters" unter Manage Role Groups.
- In der folgenden Tabelle sind alle Verwaltungsrollen aufgeführt, die dieser Rollengruppe zugewiesen sind, sowie die folgenden Attribute der einzelnen Rollenzuweisungen:
- Delegierende Zuweisung: Gibt Mitgliedern der Rollengruppe die Möglichkeit, die jeweilige Rolle anderen Rollengruppen, Rollenzuweisungsrichtlinien, Benutzern oder universellen Sicherheitsgruppen zuzuweisen.
- Empfängerlesebereich: Bestimmt, welche Empfängerobjekte Mitglieder der Rollengruppe aus Active Directory lesen können.
- Empfängerschreibbereich: Bestimmt, welche Empfängerobjekte Mitglieder der Rollengruppe in Active Directory ändern dürfen.
- Konfigurationslesebereich: Bestimmt, welche Konfigurations- und Serverobjekte Mitglieder der Rollengruppe aus Active Directory lesen können.
- Konfigurationsschreibbereich: Legt fest, welche Organisations- und Serverobjekte Mitglieder der Rollengruppe in Active Directory ändern dürfen.
Konfigurationsschreibbereich: Bestimmt, welche Organisations- und Serverobjekte Mitglieder der Rollengruppe in exADNoMk ändern können.
Verwaltungsrolle | Reguläre Zuweisung | Delegierende Zuweisung | Empfängerlesebereich | Empfängerschreibbereich | Konfigurationslesebereich | Konfigurationsschreibbereich |
---|---|---|---|---|---|---|
Rolle „Active Directory-Berechtigungen" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Adresslisten" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „ApplicationImpersonation" | X | Organization |
Organization |
None |
None |
|
Rolle „ArchiveApplication" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Überwachungsprotokolle" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Cmdlet-Erweiterungs-Agents" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Verhinderung von Datenverlust" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Datenbankverfügbarkeitsgruppen" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Datenbankkopien" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Datenbanken" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Notfallwiederherstellung" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Verteilergruppen" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Edge-Abonnements" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „E-Mail-Adressrichtlinien" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Exchange-Connectors" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Exchange Server-Zertifikate" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Exchange-Server" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Virtuelle Exchange-Verzeichnisse" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Verbundfreigabe" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Information Rights Management" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Journaling" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Gesetzliche Aufbewahrungspflicht" | X | X | Organization |
Organization |
OrganizationConfig |
None |
Rolle „LegalHoldApplication" | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
Rolle „E-Mail-fähige öffentliche Ordner" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Erstellung von E-Mail-Empfängern" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Nachrichtenempfänger" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „E-Mail-Infos" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Postfachimport/-export" | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
Rolle „Postfachsuche" | X | Organization |
Organization |
None |
None |
|
Rolle „MailboxSearchApplication" | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
Rolle „Nachrichtenverfolgung" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Migration" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Überwachung" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Postfächer verschieben" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „OfficeExtensionApplication" | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
Rolle „Organisationsclientzugriff" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Organisationskonfiguration" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Organisationstransporteinstellungen" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „POP3- und IMAP4-Protokolle" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Öffentliche Ordner" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Empfangsconnectors" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Empfängerrichtlinien" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Remote- und akzeptierte Domänen" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Kennwort zurücksetzen" | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
Rolle „Aufbewahrungsmanagement" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Rollenverwaltung" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Sicherheitsgruppenerstellung und -mitgliedschaft" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Sendeconnectors" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle "Diagnoseunterstützung" | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
Rolle „TeamMailboxLifecycleApplication" | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
Rolle „Transport-Agents" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Transportschutz" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Transportwarteschlangen" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Transportregeln" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „UM-Postfächer" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „UM-Ansagen" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Rollenverwaltung ohne Bereichseinschränkung" | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
Serverrolle UnifiedMessaging | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „UserApplication" | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
Rolle „Benutzeroptionen" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Überwachungsprotokolle nur anzeigen" | X | X | Organization |
None |
OrganizationConfig |
None |
Rolle „Konfiguration (nur Anzeige)" | X | X | Organization |
None |
OrganizationConfig |
None |
Rolle „Empfänger mit Leserechten" | X | X | Organization |
None |
OrganizationConfig |
None |
Rolle „WorkloadManagement" | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Rolle „Eigene benutzerdefinierte Apps" | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
Rolle „Eigene Marketplace-Apps" | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
Rolle „MyBaseOptions" | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
Rolle „MyContactInformation" | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
Rolle „MyDiagnostics" | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
Rolle „MyDistributionGroupMembership" | X | MyGAL |
MyGAL |
None |
None |
|
Rolle „MyDistributionGroups" | X | MyGAL |
MyDistributionGroups |
OrganizationConfig |
None |
|
Rolle „MyProfileInformation" | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
Rolle „MyRetentionPolicies" | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
Rolle „MyTeamMailboxes" | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
Rolle „MyTextMessaging" | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
Rolle „MyVoiceMail" | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |