Rolle „ApplicationImpersonation“
Gilt für: Exchange Server 2013
Mit ApplicationImpersonation
der Verwaltungsrolle können Anwendungen die Identität von Benutzern in einer Organisation annehmen, um Aufgaben im Namen des Benutzers auszuführen.
Beispielsweise können diese Rollen im Exchange Admin Center angezeigt werden:
- <ISVMailboxUsers_xxxxx>
- RIM-MailboxAdmins<xxxxxxxxxxxx>
Wichtig
Ein Prozess oder eine Anwendung, der/die Mitglied der Rolle ApplicationImpersonation ist, kann auf die Inhalte des Postfachs einer Benutzers zugreifen und im Auftrag dieses Benutzers handeln, selbst wenn das Konto dieses Benutzers deaktiviert ist. Auf diese Weise können Benutzer auf Ihre Postfächer zugreifen, wenn Sie Anwendungen haben, wie Blackberry Enterprise Server, die die Rolle ApplicationImpersonation verwenden. Drittprodukte, die nicht die Rolle ApplicationImpersonation und anstatt dessen Exchange ActiveSync nutzen, können nicht auf ein Postfach zugreifen, nachdem das Benutzerkonto deaktiviert wurde.
Um zu verhindern, dass eine Anwendung, die die Rolle ApplicationImpersonation verwendet, auf ein Postfach zugreift oder Aufgaben in seinem Namen durchführt, nachdem sein Benutzerkonto deaktiviert wurde, können Sie einen oder alle der folgenden Schritte ausführen:
- Den Benutzer in der Drittanwendung deaktivieren oder löschen.
- Das Postfach löschen.
Standard-Verwaltungsrollenzuweisungen
Diese Rolle verfügt über Rollenzuweisungen an mindestens einen Rollenempfänger. Die folgende Tabelle gibt an, ob die Rollenzuweisung regelmäßig oder delegiert ist, und gibt auch die Verwaltungsbereiche an, die auf die einzelnen Zuweisungen angewendet werden. In der folgenden Liste werden die einzelnen Spalten beschrieben:
- Diese Rolle verfügt über Rollenzuweisungen für einen oder mehrere Rollenempfänger. Die folgende Tabelle zeigt, ob diese Rollenzuweisung regulär oder delegierend ist. Außerdem gibt sie die auf die einzelnen Zuweisungen angewendeten Verwaltungsbereiche an. Die folgende Liste beschreibt jede Spalte:
- Reguläre Zuweisung: Reguläre Rollenzuweisungen ermöglichen dem Rollenempfänger den Zugriff auf die von den Verwaltungsrolleneinträgen dieser Rolle bereitgestellten Berechtigungen.
- Empfängerlesebereich: Der Empfängerlesebereich bestimmt, welche Empfängerobjekte der Rollenempfänger aus Active Directory lesen darf.
- Empfängerschreibbereich: Der Empfängerschreibbereich bestimmt, welche Empfängerobjekte der Rollenempfänger in Active Directory ändern darf.
- Lesebereich der Konfiguration: Der Lesebereich der Konfiguration bestimmt, welche Konfigurations- und Serverobjekte der Rollenempfänger aus Active Directory lesen darf.
- Konfigurationsschreibbereich: Der Konfigurationsschreibbereich bestimmt, welche Organisations- und Serverobjekte der Rollenempfänger in Active Directory ändern darf.
Standard-Verwaltungsrollenzuweisungen für diese Rolle
Rollengruppe | Reguläre Zuweisung | Delegierende Zuweisung | Empfängerlesebereich | Empfängerschreibbereich | Konfigurationslesebereich | Konfigurationsschreibbereich |
---|---|---|---|---|---|---|
Verwaltung von Nachrichtenschutz | X | Organization |
Organization |
None |
None |
|
Organisationsverwaltung | X | Organization |
Organization |
None |
None |