Hinzufügen des Verbundpostfachs zur AD RMS-Administratorengruppe
Gilt für: Exchange Server 2013
Damit die folgenden Funktionen der Verwaltung von Informationsrechten (Information Rights Management, IRM) von Microsoft Exchange Server 2013 aktiviert werden können, müssen Sie das Verbundpostfach (ein beim Exchange 2013-Setup erstelltes Systempostfach) der Benutzergruppe mit Administratorrechten im Cluster mit den Active Directory-Rechteverwaltungsdiensten (AD RMS) in Ihrer Organisation hinzufügen:
IRM in Microsoft Office Outlook Web App
IRM in Exchange ActiveSync
Journalberichtentschlüsselung
Transportentschlüsselung
Eine E-Mail-aktivierte Verteilergruppe kann in AD RMS als Administratorengruppe konfiguriert werden. Mitgliedern der Verteilergruppe wird beim Anfordern einer Lizenz vom AD RMS-Cluster eine Besitzernutzungslizenz erteilt. Damit können sie alle von diesem Cluster veröffentlichten Inhalte, die durch den Rechteverwaltungsdienst geschützt sind, entschlüsseln. Ungeachtet der Tatsache, ob Sie eine vorhandene Verteilergruppe verwenden oder eine neue Verteilergruppe erstellen und diese als Administratorengruppe in AD RMS konfigurieren, ist es empfehlenswert, die Verteilergruppe nur für diesen Zweck zu verwenden und die entsprechenden Einstellungen zum Genehmigen, Verfolgen und Überwachen von Mitgliedschaftsänderungen zu konfigurieren.
Warnung
Durch das Konfigurieren einer Gruppe mit Administratorrechten in AD RMS können Gruppenmitglieder IRM-geschützte Inhalte entschlüsseln. Es wird empfohlen, geeignete Maßnahmen zur Steuerung und Überwachung der Gruppenmitgliedschaft zu ergreifen und die Überwachung für Mitgliedschaftsänderungen zu aktivieren.
Weitere Verwaltungsaufgaben im Zusammenhang mit IRM finden Sie unter Verfahren zur Verwaltung von Informationsrechten.
Was sollten Sie wissen, bevor Sie beginnen?
Geschätzte Zeit bis zum Abschließen des Vorgangs: 15 Minuten.
Bevor Sie diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Verteilergruppen" im Thema Empfängerberechtigungen.
In der Active Directory-Gesamtstruktur muss ein AD RMS-Cluster bereitgestellt werden.
Wurde in einem AD RMS-Cluster bereits eine Administratorengruppe konfiguriert, kann es bis zu 24 Stunden dauern, bis Änderungen an der Verteilergruppe im AD RMS-Cluster aktualisiert werden. Dies ist auf die Zwischenspeicherung der Gruppenmitgliedschaft im Cluster zurückzuführen.
Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.
Tipp
Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren auf Exchange Server.
Schritt 1: Verwenden der Shell zum Hinzufügen des Verbundpostfachs zu einer Verteilergruppe
Wenn eine Verteilergruppe erstellt und im AD RMS-Cluster als Administratorengruppe konfiguriert wurde, können Sie das Exchange 2013-Verbundpostfach als Mitglied dieser Gruppe hinzufügen. Wurde noch keine Administratorengruppe konfiguriert, müssen Sie zuerst eine Verteilergruppe erstellen und das Verbundpostfach als Mitglied hinzufügen.
Erstellen Sie eine Verteilergruppe, die als AD RMS-Administratorengruppe verwendet werden soll. Weitere Informationen finden Sie unter Erstellen und Verwalten von Verteilergruppen.
Fügen Sie der neuen Verteilergruppe den Benutzer FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042 hinzu. Das Verbundpostfach ist ein Systempostfach und daher in der Exchange-Verwaltungskonsole nicht sichtbar. Zum Hinzufügen einer Verteilergruppe müssen Sie das Cmdlet Add-DistributionGroupMember in der Shell verwenden.
In diesem Beispiel wird das Verbundpostfach der Verteilergruppe "ADRMSSuperUsers" hinzugefügt.
Add-DistributionGroupMember ADRMSSuperUsers -Member FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Add-DistributionGroupMember.
Schritt 2: Verwenden von AD RMS zum Einrichten einer Administratorengruppe
Gehen Sie in einem AD RMS-Cluster wie folgt vor. Das für dieses Verfahren verwendete Konto muss zu der lokalen Gruppe "AD RMS-Organisationsadministratoren" auf dem AD RMS-Server gehören.
Öffnen Sie die AD RMS-Konsole, und erweitern Sie den AD RMS-Cluster.
Erweitern Sie in der Konsolenstruktur den Eintrag Sicherheitsrichtlinien, und klicken Sie dann auf Administratoren.
Klicken Sie im Aktionsbereich auf Administratoren aktivieren.
Klicken Sie im Ergebnisbereich auf Administratorengruppe ändern, um die Eigenschaftsseite der Administratoren zu öffnen.
Geben Sie im Feld Administratorengruppe die E-Mail-Adresse der zuvor erstellten Verteilergruppe ein, oder klicken Sie auf Durchsuchen, um eine Verteilergruppe auszuwählen.
Woher wissen Sie, dass dieses Verfahren erfolgreich war?
Nachdem Sie das Verbundpostfach zu einer neuen oder vorhandenen Verteilergruppe hinzugefügt haben, können Sie mit dem Cmdlet Get-DistributionGroupMember die Mitgliedschaft der Gruppe überprüfen.
Ein Beispiel zum Überprüfen der Mitgliedschaft für Verteilergruppen finden Sie im Abschnitt Example 1 in Get-DistributionGroupMember.
Nachdem Sie mithilfe von AD RMS eine Gruppe mit Administratorrechten eingerichtet haben, können Sie anhand der folgenden Methoden überprüfen, ob die Benutzergruppe mit Administratorrechten ordnungsgemäß konfiguriert wurde. Darüber hinaus können Sie mit dem Cmdlet Test-IRMConfiguration die IRM-Funktionalität überprüfen.
Stellen Sie mithilfe der AD RMS-Konsole sicher, dass die richtige Gruppe als Benutzergruppe mit Administratorrechten konfiguriert wurde.
Verwenden Sie den folgenden PowerShell-Befehl auf einem AD RMS-Server, um die Benutzergruppe mit Administratorrechten abzurufen.
Wichtig
Das PowerShell-Modul "ADRMSAdmin" ist unter Windows Server 2008 R2 oder neueren Versionen verfügbar.
Import-Module ADRMSAdmin New-PSDrive -Name MyRmsAdmin -PsProvider AdRmsAdmin -Root https://localhost Get-ItemProperty -Path MyRmsAdmin:\SecurityPolicy\SuperUser