Verwalten von Rollengruppen
Gilt für: Exchange Server 2013
In diesem Thema erfahren Sie, wie Sie Verwaltungsrollengruppen in Microsoft Exchange Server 2013 hinzufügen, entfernen, kopieren und anzeigen. Außerdem erfahren Sie, wie Sie Verwaltungsrollen für Rollengruppen hinzufügen, entfernen und auflisten und wie Sie Verwaltungsbereiche und Stellvertretungen für Rollengruppen ändern. Weitere Informationen zu Rollengruppen in Exchange 2013 finden Sie unter Grundlegendes zu Verwaltungsrollengruppen.
Informationen zu weiteren Verwaltungsaufgaben in Bezug auf Rollengruppen finden Sie unter Berechtigungen.
Was sollten Sie wissen, bevor Sie beginnen?
Geschätzte Zeit bis zum Abschließen der einzelnen Verfahren: 5 bis 10 Minuten
Bevor Sie diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Rollengruppen" im Thema Berechtigungen für die Rollenverwaltung.
Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.
Tipp
Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren unter Exchange Server.
Erstellen einer Rollengruppe
Wenn Sie die Berechtigungen anpassen möchten, die einer Gruppe von Benutzern zugewiesen werden können, erstellen Sie eine neue benutzerdefinierte Verwaltungsrollengruppe.
Erstellen einer Rollengruppe mithilfe der Exchange-Verwaltungskonsole
Navigieren Sie im Exchange Admin Center (EAC) zu Berechtigungen>Administratorrollen, und klicken Sie dann auf .
Geben Sie im Fenster Neue Rollengruppe einen Namen für die neue Rollengruppe ein.
Sie können nun die Rollen auswählen, die Sie der Rollengruppe und den Mitgliedern zuweisen möchten, die Sie der Rollengruppe hinzufügen möchten. Sie können diese Auswahl aber auch zu einem späteren Zeitpunkt vornehmen.
Wählen Sie den Schreibbereich aus, den Sie auf die neue Rollengruppe anwenden möchten.
Klicken Sie auf Speichern, um die Rollengruppe zu erstellen.
Verwenden der Shell zum Erstellen einer Rollengruppe
Informationen zum Erstellen einer Rollengruppe finden Sie im Abschnitt Examples unter New-RoleGroup.
Wie Sie wissen, dass dies funktioniert hat?
Gehen Sie wie folgt vor, um sicherzustellen, dass eine Rollengruppe erfolgreich erstellt wurde:
Navigieren Sie im EAC zu Berechtigungen>Administratorrollen.
Vergewissern Sie sich, dass die neue Rollengruppe in der Liste der Rollengruppen angezeigt wird, und wählen Sie die neue Rollengruppe aus.
Vergewissern Sie sich, dass die Mitglieder, die zugewiesenen Rollen und der Bereich, die Sie für die neue Rollengruppe angegeben haben, im Detailbereich für Rollengruppen angezeigt werden.
Kopieren einer Rollengruppe
Kopieren einer Rollengruppe mithilfe der Exchange-Verwaltungskonsole
Wenn Sie eine Rollengruppe mit den Berechtigungen haben, die Sie Benutzern erteilen möchten, Sie aber einen anderen Verwaltungsbereich anwenden oder ein oder zwei Verwaltungsrollen hinzufügen bzw. entfernen möchten, ohne alle anderen Rollen manuell hinzufügen zu müssen, können Sie die vorhandene Rollengruppe kopieren.
Wichtig
Das EAC kann nicht zum Kopieren einer Rollengruppe verwendet werden, wenn Sie für die Rollengruppe mit der Exchange-Verwaltungsshell mehrere Verwaltungsrollenbereiche oder exklusive Bereiche konfiguriert haben. Wenn Sie mehrere Bereiche oder exklusive Bereiche für die Rollengruppe konfiguriert haben, müssen Sie die Rollengruppe mithilfe der Verfahren für die Shell weiter unten in diesem Thema kopieren. Weitere Informationen zu Verwaltungsrollenbereichen finden Sie unter Grundlegendes zu Verwaltungsrollenbereichen.
Navigieren Sie im EAC zu Berechtigungen>Administratorrollen.
Wählen Sie die Rollengruppe aus, die Sie kopieren möchten, und klicken Sie dann auf .
Geben Sie im Fenster Neue Rollengruppe einen Namen für die neue Rollengruppe ein.
Überprüfen Sie die Rollen, die in die neue Rollengruppe kopiert wurden. Fügen Sie Rollen nach Bedarf hinzu oder entfernen Sie sie.
Überprüfen Sie den Schreibbereich, und ändern Sie ihn nach Bedarf.
Überprüfen Sie die Mitglieder, die in die neue Rollengruppe kopiert wurden. Fügen Sie nach Bedarf Mitglieder hinzu, oder entfernen Sie sie.
Klicken Sie auf Speichern, um die Rollengruppe zu erstellen.
Verwenden der Shell zum Kopieren einer Rollengruppe ohne Bereich
Verwenden Sie die folgende Syntax, um die Rollengruppe, die Sie kopieren möchten, in einer Variablen zu speichern.
$RoleGroup = Get-RoleGroup <name of role group to copy>
Verwenden Sie die folgende Syntax, um die neue Rollengruppe zu erstellen, der Rollengruppe Mitglieder hinzuzufügen und anzugeben, wer die neue Rollengruppe an andere Benutzer delegieren kann.
New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -Members <member1, member2, member3...> -ManagedBy <user1, user2, user3...>
Mithilfe der folgenden Befehle können Sie z. B. die Rollengruppe "Organization Management" kopieren und die neue Rollengruppe "Limited Organization Management" nennen. Hinzugefügt werden die Mitglieder Isabelle, Carter und Lukas, zugewiesen werden kann sie von Jenny und Katie.
$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members Isabelle, Carter, Lukas -ManagedBy Jenny, Katie
Nach dem Erstellen einer neuen Rollengruppe können Sie u. a. Rollen hinzufügen oder entfernen und den Bereich von Rollenzuweisungen für die Rolle ändern.
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-RoleGroup und New-RoleGroup.
Verwenden der Shell zum Kopieren einer Rollengruppe mit einem benutzerdefinierten Bereich
Verwenden Sie die folgende Syntax, um die Rollengruppe, die Sie kopieren möchten, in einer Variablen zu speichern.
$RoleGroup = Get-RoleGroup <name of role group to copy>
Verwenden Sie die folgende Syntax, um die neue Rollengruppe mit einem benutzerdefinierten Bereich zu erstellen.
New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuraiton scope name>
Mithilfe der folgenden Befehle können Sie beispielsweise die Rollengruppe "Organization Management" kopieren und eine neue Rollengruppe namens "Vancouver Organization Management" mit dem Empfängerbereich "Vancouver Users" und dem Konfigurationsbereich "Vancouver Servers" erstellen.
$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Vancouver Organization Management" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "Vancouver Users" -CustomConfigWriteScope "Vancouver Servers"
Sie können der Rollengruppe auch Mitglieder hinzufügen, wenn Sie sie erstellen, indem Sie den Members-Parameter verwenden, wie weiter oben in diesem Thema unter Verwenden der Shell zum Kopieren einer Rollengruppe ohne Bereich gezeigt. Weitere Informationen zu Verwaltungsbereichen finden Sie unter Grundlegendes zu Verwaltungsrollenbereichen.
Nach dem Erstellen einer neuen Rollengruppe können Sie u. a. Rollen hinzufügen oder entfernen und den Bereich von Rollenzuweisungen für die Rolle ändern.
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-RoleGroup und New-RoleGroup.
Verwenden der Shell zum Kopieren einer Rollengruppe mit OU-Bereich
Verwenden Sie die folgende Syntax, um die Rollengruppe, die Sie kopieren möchten, in einer Variablen zu speichern.
$RoleGroup = Get-RoleGroup <name of role group to copy>
Verwenden Sie die folgende Syntax, um die neue Rollengruppe mit einem benutzerdefinierten Bereich zu erstellen.
New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope <OU name>
Mithilfe der folgenden Befehle können Sie beispielsweise die Rollengruppe "Recipient Management" kopieren und eine neue Rollengruppe namens "Toronto Recipient Management" erstellen, die nur die Verwaltung von Benutzern in der Organisationseinheit "Toronto Users" zulässt.
$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Toronto Recipient Management" -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope "contoso.com/Toronto Users"
Sie können der Rollengruppe auch Mitglieder hinzufügen, wenn Sie sie erstellen, indem Sie den Members-Parameter verwenden, wie weiter oben in diesem Thema unter Verwenden der Shell zum Kopieren einer Rollengruppe ohne Bereich gezeigt. Weitere Informationen zu Verwaltungsbereichen finden Sie unter Grundlegendes zu Verwaltungsrollenbereichen.
Nach dem Erstellen einer neuen Rollengruppe können Sie u. a. Rollen hinzufügen oder entfernen und den Bereich von Rollenzuweisungen für die Rolle ändern.
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-RoleGroup und New-RoleGroup.
Wie Sie wissen, dass dies funktioniert hat?
Gehen Sie wie folgt vor, um sicherzustellen, dass eine Rollengruppe erfolgreich kopiert wurde:
Navigieren Sie im EAC zu Berechtigungen>Administratorrollen.
Vergewissern Sie sich, dass die kopierte Rollengruppe in der Liste der Rollengruppen angezeigt wird, und wählen Sie die Rollengruppe aus.
Vergewissern Sie sich, dass die Mitglieder, die zugewiesenen Rollen und der Bereich, die Sie für die kopierte Rollengruppe angegeben haben, im Detailbereich für Rollengruppen angezeigt werden.
Entfernen einer Rollengruppe
Wenn Sie eine Gruppe, die Sie erstellt haben, nicht mehr benötigen, können Sie sie entfernen. Wenn Sie eine Rollengruppe entfernen, werden die Verwaltungsrollenzuweisungen zwischen der Rollengruppe und den Verwaltungsrollen gelöscht. Die Verwaltungsrollen werden nicht entfernt. Wenn der Zugriff eines Benutzers auf eine Funktion von der Rollengruppe abhängig war, kann der Benutzer nicht länger auf diese Funktion zugreifen. Sie können keine integrierten Rollengruppen entfernen.
Entfernen einer Rollengruppe mithilfe der Exchange-Verwaltungskonsole
Navigieren Sie im EAC zu Berechtigungen>Administratorrollen.
Wählen Sie die Rollengruppe aus, die Sie entfernen möchten, und klicken Sie dann auf .
Überprüfen Sie, ob Sie die ausgewählte Rollengruppe tatsächlich entfernen möchten. Ist dies der Fall, beantworten Sie die Warnung mit Ja.
Verwenden der Shell zum Entfernen einer Rollengruppe
Informationen zum Entfernen einer Rollengruppe finden Sie im Abschnitt Examples unter Remove-RoleGroup.
Anzeigen von Rollengruppen
Sie können entweder eine Liste mit Rollengruppen oder die detaillierten Informationen zu einer bestimmten Rollengruppe in Ihrer Organisation anzeigen.
Anzeigen einer Liste mit Rollengruppen sowie von Rollengruppendetails mithilfe der Exchange-Verwaltungskonsole
Navigieren Sie im EAC zu Berechtigungen>Administratorrollen. Alle Rollengruppen in Ihrer Organisation werden hier aufgelistet.
Wählen Sie eine Rollengruppe aus, um die Mitglieder, die zugewiesenen Rollen und den Bereich anzuzeigen, die für die Rollengruppe konfiguriert sind.
Verwenden der Shell zum Anzeigen einer Liste von Rollengruppen und Rollengruppendetails
Informationen zum Anzeigen einer Liste mit Rollengruppen finden Sie im Abschnitt Examples unter Get-RoleGroup.
Hinzufügen einer Rolle zu einer Rollengruppe
Das Hinzufügen einer Verwaltungsrolle zu einer Rollengruppe ist die beste und einfachste Methode, einer Gruppe von Administratoren oder spezialisierten Benutzern Berechtigungen zu erteilen. Wenn Sie Benutzern, die Mitglieder einer Rollengruppe sind, die Berechtigung zum Verwalten einer Funktion erteilen möchten, fügen Sie der Rollengruppe die Verwaltungsrolle hinzu, die die Funktion verwaltet. Nach dem Hinzufügen der Rolle verfügen die Mitglieder der Rollengruppe über die Berechtigungen der Rolle.
Hinzufügen einer Verwaltungsrolle zu einer Rollengruppe mithilfe der Exchange-Verwaltungskonsole
Wichtig
Sie können das EAC nicht verwenden, um Rollen zu einer Rollengruppe hinzuzufügen, wenn Sie die Shell verwendet haben, um mehrere Verwaltungsrollenbereiche oder exklusive Bereiche für die Rollengruppe zu konfigurieren. Wenn Sie mehrere Bereiche oder exklusive Bereiche für die Rollengruppe konfiguriert haben, müssen Sie die weiter unten in diesem Thema beschriebenen Shellverfahren nutzen, um Rollen zur Rollengruppe hinzuzufügen. Weitere Informationen zu Verwaltungsrollenbereichen finden Sie unter Grundlegendes zu Verwaltungsrollenbereichen.
Navigieren Sie im EAC zu Berechtigungen>Administratorrollen.
Wählen Sie die Rollengruppe aus, der Sie eine Rolle hinzufügen möchten, und klicken Sie dann auf .
Wählen Sie im Abschnitt Rollen die Rollen aus, die Sie der Rollengruppe hinzufügen möchten.
Wenn Sie der Rollengruppe keine weiteren Rollen mehr hinzufügen möchten, klicken Sie auf Speichern.
Erstellen einer Rollenzuweisung ohne Bereich mithilfe der Shell
Sie können eine Rollenzuweisung ohne Bereich zwischen einer Rolle und einer Rollengruppe erstellen. Wenn Sie dies machen, gelten die impliziten Lese- und Schreibbereiche der Rolle.
Verwenden Sie die folgende Syntax zum Zuweisen einer Rolle ohne Bereich zu einer Rollengruppe. Wenn Sie keinen Namen für die Rollenzuweisung angeben, wird automatisch ein Name erstellt.
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name>
This example assigns the Transport Rules management role to the Seattle Compliance role group.
New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"
Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementRoleAssignment.
Erstellen einer Rollenzuweisung mit vordefiniertem Bereich mithilfe der Shell
Wenn ein vordefinierter Bereich Ihren Geschäftsanforderungen entspricht, können Sie diesen Bereich auf die Rollenzuweisung anwenden, statt einen neuen zu erstellen. Eine Liste vordefinierter Bereiche und ihrer Beschreibungen finden Sie unter Grundlegendes zu Verwaltungsrollenbereichen.
Weitere Informationen zu Rollenzuweisungen finden Sie unter Grundlegendes zu Verwaltungsrollenzuweisungen.
Anhand der folgenden Syntax weisen Sie einer Rollengruppe eine Rolle mit vordefiniertem Bereich zu. Wenn Sie keinen Namen für die Rollenzuweisung angeben, wird automatisch ein Name erstellt.
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientRelativeWriteScope < MyGAL | MyDistributionGroups | Organization | Self >
This example assigns the Message Tracking role to the Enterprise Support role group and applies the Organization predefined scope.
New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization
Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementRoleAssignment.
Erstellen einer Rollenzuweisung mit einem filterbasierten Empfängerbereich mithilfe der Shell
Wenn Sie einen empfängerfilterbasierten Bereich erstellt haben, müssen Sie den Bereich in den Befehl einschließen, der verwendet wird, um die Rolle mithilfe des CustomRecipientWriteScope-Parameters einer Rollengruppe zuzuweisen.
Beim Erstellen einer Rollenzuweisung mit Empfängerschreibbereich können Sie auch einen Konfigurationsschreibbereich einschließen.
Weitere Informationen zu Rollenzuweisungen und Bereichen finden Sie unter den folgenden Themen:
Verwenden Sie die folgenden Syntax, um eine Rolle einer Rollengruppe mit einem filterbasierten Empfängerbereich zuzuweisen. Wenn Sie keinen Namen für die Rollenzuweisung angeben, wird automatisch ein Name erstellt.
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomRecipientWriteScope <role scope name>
This example assigns the Message Tracking role to the Seattle Recipient Admins role group and applies the Seattle Recipients scope.
New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"
Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementRoleAssignment.
Erstellen einer Rollenzuweisung mit einem Konfigurationsbereich mithilfe der Shell
Wenn Sie einen Server- oder Datenbankkonfigurationsfilter oder listenbasierten Bereich erstellt haben, müssen Sie den Bereich in den Befehl einschließen, der verwendet wird, um die Rolle mithilfe des CustomConfigWriteScope-Parameters einer Rollengruppe zuzuweisen.
Beim Erstellen einer Rollenzuweisung mit Konfigurationsschreibbereich können Sie auch einen Empfängerschreibbereich einschließen.
Weitere Informationen zu Rollenzuweisungen und Verwaltungsbereichen finden Sie in den folgenden Themen:
Verwenden Sie die folgende Syntax, um eine Rolle einer Rollengruppe mit einem Konfigurationsbereich zuzuweisen. Wenn Sie keinen Namen für die Rollenzuweisung angeben, wird automatisch ein Name erstellt.
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomConfigWriteScope <role scope name>
This example assigns the Databases role to the Seattle Server Admins role group and applies the Seattle Servers scope.
New-ManagementRoleAssignment -SecurityGroup "Seattle Server Admins" -Role "Databases" -CustomConfigWriteScope "Seattle Servers"
Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementRoleAssignment.
Erstellen einer Rollenzuweisung mit Organisationseinheitsbereich mithilfe der Shell
Wenn Sie den Schreibbereich einer Rolle auf eine Organisationseinheit festlegen möchten, können Sie die Organisationseinheit direkt im Parameter RecipientOrganizationalUnitScope angeben.
Konfigurationsschreibbereich: Bestimmt, welche Organisations- und Serverobjekte Mitglieder der Rollengruppe in exADNoMk ändern können.
Verwenden Sie den folgenden Befehl, um einer Rollengruppe eine Rolle zuzuweisen und den Schreibbereich einer Rolle auf eine bestimmte Organisationseinheit zu beschränken. Wenn Sie keinen Namen für die Rollenzuweisung angeben, wird automatisch ein Name erstellt.
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientOrganizationalUnitScope <OU>
In diesem Beispiel wird die Rolle "Mail Recipients" der Rollengruppe "Seattle Recipient Admins" zugewiesen und der Bereich der Zuweisung auf die Organisationseinheit "Sales\Users" in der Domäne "Contoso.com" festgelegt.
New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users
Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementRoleAssignment.
Wie Sie wissen, dass dies funktioniert hat?
Gehen Sie wie folgt vor, um sicherzustellen, dass Rollen erfolgreich zu einer Rollengruppe hinzugefügt wurden:
Navigieren Sie im EAC zu Berechtigungen>Administratorrollen.
Wählen Sie die Rollengruppe aus, der Sie Rollen hinzugefügt haben. Überprüfen Sie im Detailbereich für Rollengruppen, ob die von Ihnen hinzugefügten Rollen aufgelistet werden.
Entfernen einer Rolle aus einer Rollengruppe
Das Entfernen einer Rolle aus einer Verwaltungsrollengruppe ist die beste und einfachste Methode, einer Gruppe von Administratoren oder spezialisierten Benutzern erteilte Berechtigungen zu entziehen. Wenn Sie Administratoren oder spezialisierten Benutzern keine Berechtigungen zum Verwalten einer Funktion erteilen möchten, entfernen Sie die Verwaltungsrolle aus der Verwaltungsrollengruppe, über welche die Berechtigungen verwaltet werden. Nachdem die Rolle entfernt wurde, besitzen die Mitglieder der Rollengruppe nicht länger Berechtigungen zum Verwalten der Funktion.
Hinweis
Einige Rollengruppen - beispielsweise die Rollengruppe Organisationsverwaltung - beschränken, welche Rollen aus einer Rollengruppe entfernt werden können. Weitere Informationen finden Sie unter Grundlegendes zu Verwaltungsrollengruppen.
Wenn ein Administrator Mitglied einer weiteren Rollengruppe mit Verwaltungsrollen ist, die das Verwalten der Funktion ermöglichen, müssen Sie den Administrator entweder auch aus diesen Rollengruppen entfernen oder die Rolle aus den weiteren Rollengruppen entfernen, die das Verwalten der Funktion ermöglicht.
Entfernen einer Verwaltungsrolle aus einer Rollengruppe mithilfe der Exchange-Verwaltungskonsole
Wichtig
Sie können das EAC nicht verwenden, um Rollen aus einer Rollengruppe zu entfernen, wenn Sie die Shell verwendet haben, um mehrere Bereiche oder exklusive Bereiche für die Rollengruppe zu konfigurieren. Wenn Sie mehrere Bereiche oder exklusive Bereiche für die Rollengruppe konfiguriert haben, müssen Sie die Shellprozeduren weiter unten in diesem Thema verwenden, um Rollen aus der Rollengruppe zu entfernen. Weitere Informationen zu Verwaltungsrollenbereichen finden Sie unter Grundlegendes zu Verwaltungsrollenbereichen.
Navigieren Sie im EAC zu Berechtigungen>Administratorrollen.
Wählen Sie die Rollengruppe aus, aus der Sie eine Rolle entfernen möchten, und klicken Sie dann auf .
Wählen Sie im Abschnitt Rollen die Rollen aus, die Sie aus der Rollengruppe entfernen möchten.
Wenn Sie mit dem Entfernen von Rollen aus der Rollengruppe fertig sind, klicken Sie auf Speichern.
Verwenden der Shell zum Entfernen einer Rolle aus einer Rollengruppe
Sie können Rollen aus Rollengruppen entfernen, indem Sie die zugehörige Verwaltungsrollenzuweisung mithilfe des Cmdlets Get-ManagementRoleAssignment abrufen und die zurückgegebene Rollenzuweisung an das Cmdlet Remove-ManagementRoleAssignment weiterleiten. Wenn Sie nicht gleichzeitig delegierende und reguläre Rollenzuweisungen entfernen möchten, geben Sie den Delegating-Parameter an, um anzugeben, ob Sie reguläre oder delegierende Rollenzuweisungen entfernen möchten.
Weitere Informationen zu regulären und delegierenden Rollenzuweisungen finden Sie unter Grundlegendes zu Verwaltungsrollenzuweisungen.
Bei diesem Verfahren wird das Pipelining verwendet. Weitere Informationen zum Pipelining finden Sie unter about_Pipelines.
Verwenden Sie die folgende Syntax, um eine Rolle aus einer Rollengruppe zu entfernen.
Get-ManagementRoleAssignment -RoleAssignee <role group name> -Role <role name> -Delegating <$true | $false> | Remove-ManagementRoleAssignment
In diesem Beispiel wird die Rolle "Distribution Groups", die Administratoren das Verwalten von Verteilergruppen ermöglicht, aus der Rollengruppe "Seattle Recipient Administrators" entfernt. Da wir die Rollenzuweisung entfernen möchten, die Berechtigungen zum Verwalten von Verteilergruppen bereitstellt, wird der Delegating-Parameter auf $False
festgelegt, wodurch nur reguläre Rollenzuweisungen zurückgegeben werden.
Get-ManagementRoleAssignment -RoleAssignee "Seattle Recipient Administrators" -Role "Distribution Groups" -Delegating $false | Remove-ManagementRoleAssignment
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-ManagementRoleAssignment.
Wie Sie wissen, dass dies funktioniert hat?
Gehen Sie wie folgt vor, um sicherzustellen, dass Rollen erfolgreich aus einer Rollengruppe entfernt wurden:
Navigieren Sie im EAC zu Berechtigungen>Administratorrollen.
Wählen Sie die Rollengruppe aus, aus der Sie Rollen entfernt haben. Überprüfen Sie im Detailbereich für Rollengruppen, ob die von Ihnen entfernten Rollen nicht mehr aufgelistet werden.
Ändern des Bereichs einer Rollengruppe
Die Verwaltungsrollenzuweisungen zwischen einer Rollengruppe und einer Rolle enthalten Verwaltungsbereiche, die bestimmen, welche Objekte für Mitglieder dieser Rollengruppe verfügbar gemacht werden. Durch Ändern des Schreibbereichs einer Rollengruppe können Sie festlegen, welche Objekte den Rollengruppenmitgliedern zum Erstellen, Ändern oder Entfernen zur Verfügung gestellt werden. Der Lesebereich einer Rollengruppe kann nicht geändert werden.
Exchange 2013 umfasst Bereiche, die standardmäßig auf Rollenzuweisungen angewendet werden, wenn keine benutzerdefinierten Bereiche erstellt werden. Wenn Sie einen benutzerdefinierten Bereich mit einer Rollenzuweisung für eine Rollengruppe verwenden möchten, müssen Sie diesen zuerst erstellen. Weitere Informationen zu der speziellen Aufgabe des Erstellens von benutzerdefinierten Bereichen finden Sie unter Erstellen eines regulären oder exklusiven Bereichs.
Weitere Informationen zu Verwaltungsrollenbereichen und -zuweisungen in Exchange 2013 finden Sie in den folgenden Themen:
Ändern des Bereichs für eine Rollengruppe mithilfe der Exchange-Verwaltungskonsole
Wenn Sie das EAC verwenden, um den Bereich für eine Rollengruppe zu ändern, dann ändern Sie tatsächlich den Bereich für alle Rollenzuweisungen zwischen der Rollengruppe und jeder der Verwaltungsrollen, die der Rollengruppe zugewiesen sind. Wenn Sie den Bereich für bestimmte Rollenzuweisungen ändern möchten, müssen Sie die Shellprozeduren weiter unten in diesem Thema verwenden.
Wichtig
Sie können das EAC nicht verwenden, um Bereiche für Rollenzuweisungen zwischen Rollen und einer Rollengruppe zu verwalten, wenn Sie die Shell verwendet haben, um mehrere Bereiche oder exklusive Bereiche für diese Rollenzuweisungen zu konfigurieren. Wenn Sie mehrere Bereiche oder exklusive Bereiche für diese Rollenzuweisungen konfiguriert haben, müssen Sie die Bereiche mithilfe der später in diesem Thema folgenden Verfahren für die Shell verwalten. Weitere Informationen zu Verwaltungsrollenbereichen finden Sie unter Grundlegendes zu Verwaltungsrollenbereichen.
Navigieren Sie im EAC zu Berechtigungen>Administratorrollen.
Wählen Sie die Rollengruppe aus, für die Sie den Bereich ändern möchten, und klicken Sie dann auf .
Wählen Sie eine der beiden folgenden Optionen unter Schreibbereich aus:
Einen Schreibbereich im Dropdownfeld, in dem Sie entweder den Standardschreibbereich oder einen benutzerdefinierten Schreibbereich auswählen können.
Organisationseinheit: Wählen Sie diese Option aus, und geben Sie eine Organisationseinheit an, wenn Sie diese Rollengruppe auf eine Organisationseinheit festlegen möchten.
Klicken Sie auf Speichern, um die Änderungen an der Rollengruppe zu speichern.
Verwenden der Shell, um den Bereich aller Rollenzuweisungen für eine Rollengruppe gleichzeitig zu ändern
Rollenzuweisungen zwischen der Rollengruppe und den ihr zugewiesenen Rollen können den impliziten Bereich, den sie von den Rollen selbst erhalten, denselben benutzerdefinierten Bereich oder unterschiedliche benutzerdefinierte Bereiche verwenden. Weitere Informationen zu Rollenzuweisungen finden Sie unter Grundlegendes zu Verwaltungsrollenzuweisungen.
Die Bereiche für die Rollenzuweisungen werden mithilfe des Cmdlets Set-ManagementRoleAssignment verwaltet. Es ist nicht möglich, Bereiche mit dem Cmdlet Set-RoleGroup zu verwalten.
Wenn Sie den Bereich aller Rollenzuweisungen zwischen einer Rollengruppe und einer Gruppe von Verwaltungsrollen gleichzeitig ändern möchten, müssen Sie zuerst die Rollenzuweisungen für die Rollengruppe abrufen und anschließend den neuen Bereich für jede Zuweisung festlegen. Verwenden Sie zu diesem Zweck das Cmdlet Get-ManagementRoleAssignment, um die Rollenzuweisungen abzurufen, und übergeben sie diese anschließend mittels Pipelining an das Cmdlet Set-ManagementRoleAssignment.
In diesem Verfahren werden die Konzepte des Pipelinings und des WhatIf-Schalters verwendet. Weitere Informationen finden Sie in den folgenden Themen:
Verwenden Sie die folgende Syntax, um den Bereich aller Rollenzuweisungen für eine Rollengruppe gleichzeitig zu ändern.
Get-ManagementRoleAssignment -RoleAssignee <name of role group> | Set-ManagementRoleAssignment -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>
Sie verwenden nur die zum Konfigurieren des zu verwendenden Bereichs erforderlichen Parameter. Wenn Sie beispielsweise den Empfängerbereich für alle Rollenzuweisungen der Rollengruppe "Sales Recipient Management" in "Direct Sales Employees" ändern möchten, müssen Sie den folgenden Befehl verwenden.
Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"
Hinweis
Sie können den Schalter WhatIf verwenden, um zu überprüfen, ob nur die Rollenzuweisungen geändert werden, die Sie ändern möchten. Führen Sie den vorherigen Befehl mit dem Schalter WhatIf aus, um die Ergebnisse zu überprüfen, und entfernen Sie dann den Schalter WhatIf, um die Änderungen anzuwenden.
Weitere Informationen zum Ändern von Verwaltungsrollenzuweisungen finden Sie unter Ändern einer Rollenzuweisung.
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-ManagementRoleAssignment.
Verwenden der Shell, um den Bereich einzelner Rollenzuweisungen für eine Rollengruppe zu ändern
Rollenzuweisungen zwischen der Rollengruppe und den ihr zugewiesenen Rollen können den impliziten Bereich, den sie von den Rollen selbst erhalten, denselben benutzerdefinierten Bereich oder unterschiedliche benutzerdefinierte Bereiche verwenden. Weitere Informationen zu Rollenzuweisungen finden Sie unter Grundlegendes zu Verwaltungsrollenzuweisungen.
Die Bereiche für die Rollenzuweisungen werden mithilfe des Cmdlets Set-ManagementRoleAssignment verwaltet. Es ist nicht möglich, Bereiche mit dem Cmdlet Set-RoleGroup zu verwalten.
In diesem Verfahren werden Pipelining und das Cmdlet Format-List verwendet. Weitere Informationen finden Sie in den folgenden Themen:
Wenn Sie den Bereich einer Rollenzuweisung zwischen einer Rollengruppe und einer Verwaltungsrolle ändern möchten, müssen Sie zuerst den Namen der Rollenzuweisung ermitteln und anschließend den neuen Bereich für die Rollenzuweisung festlegen.
Verwenden Sie den folgenden Befehl, um die Namen aller Rollenzuweisungen für eine Rollengruppe zu ermitteln. Indem Sie die Verwaltungsrollenzuweisungen mithilfe des Pipelinings an das Cmdlet Format-List übergeben, können Sie den vollständigen Namen der Zuweisung anzeigen.
Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-List Name
Ermitteln Sie den Namen der Rollenzuweisung, die Sie ändern möchten. Verwenden Sie den Namen der Rollenzuweisung im nächsten Schritt.
Verwenden Sie die folgende Syntax, um den Bereich einer einzelnen Zuweisung festzulegen.
Set-ManagementRoleAssignment <role assignment name> -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>
Sie verwenden nur die zum Konfigurieren des zu verwendenden Bereichs erforderlichen Parameter. Wenn Sie beispielsweise den Empfängerbereich für die Rollenzuweisung "Mail Recipients_Sales Recipient Management" in "All Sales Employees" ändern möchten, müssen Sie den folgenden Befehl verwenden.
Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"
Weitere Informationen zum Ändern von Verwaltungsrollenzuweisungen finden Sie unter Ändern einer Rollenzuweisung.
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-ManagementRoleAssignment.
Wie Sie wissen, dass dies funktioniert hat?
Gehen Sie wie folgt vor, um sicherzustellen, dass der Bereich einer Rollenzuweisung für eine Rollengruppe erfolgreich geändert wurde:
Gehen Sie wie folgt vor, wenn Sie den Bereich für die Rollengruppe mit der Exchange-Verwaltungskonsole konfiguriert haben:
Navigieren Sie im EAC zu Berechtigungen>Administratorrollen. Alle Rollengruppen in Ihrer Organisation werden hier aufgelistet.
Wählen Sie eine Rollengruppe aus, um den Bereich anzuzeigen, der für die Rollengruppe konfiguriert ist.
Wenn Sie die Shell zum Konfigurieren des Bereichs für die Rollengruppe verwendet haben, gehen Sie wie folgt vor:
Führen Sie folgenden Befehl in der Shell aus.
Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-Table *WriteScope
Vergewissern Sie sich, dass der Schreibbereich für die Rollenzuweisungen in den Bereich geändert wurde, den Sie angegeben haben.
Hinzufügen oder Entfernen einer Rollengruppenstellvertretung
Rollengruppenstellvertretungen sind Benutzer oder universelle Sicherheitsgruppen (Universal Security Groups, USGs), die Mitglieder zu Rollengruppen hinzufügen oder aus ihnen entfernen sowie die Eigenschaften einer Rollengruppe ändern können. Durch Hinzufügen oder Entfernen von Rollengruppenstellvertretern können Sie steuern, welche Personen eine Rollengruppe verwalten dürfen.
Wichtig
Nachdem Sie einen Stellvertreter zu einer Rollengruppe hinzugefügt haben, kann die Rollengruppe nur von den Stellvertretern der Gruppe oder von Benutzern, denen entweder direkt oder indirekt die Verwaltungsrolle "Rollenverwaltung" zugewiesen wurde, verwaltet werden.
Falls einem Benutzer entweder direkt oder indirekt die Verwaltungsrolle "Rollenverwaltung" zugewiesen wurden, dieser jedoch nicht als Stellvertreter der Rollengruppe hinzugefügt wurde, muss er bei den Cmdlets Add-RoleGroupMember, Remove-RoleGroupMember, Update-RoleGroupMember und Set-RoleGroup jeweils die Option BypassSecurityGroupManagerCheck verwenden, um die Rollengruppe verwalten zu können.
Hinweis
Die Exchange-Verwaltungskonsole kann nicht dazu verwendet werden, eine Stellvertretung zu einer Rollengruppe hinzuzufügen.
Verwenden der Shell zum Hinzufügen eines Stellvertreters zu einer Rollengruppe
Um die Liste der Delegaten für eine Rollengruppe zu ändern, verwenden Sie den ManagedBy-Parameter im Cmdlet Set-RoleGroup . Der ManagedBy-Parameter überschreibt die gesamte Delegatliste für die Rollengruppe. Falls Sie einzelne Stellvertreter zu einer Rollengruppe hinzufügen möchten, statt die gesamte Stellvertreterliste zu ersetzen, führen Sie die folgenden Schritte aus:
Speichern Sie die Rollengruppe mit dem folgenden Befehl in einer Variablen.
$RoleGroup = Get-RoleGroup <role group name>
Fügen Sie mit dem folgenden Befehl den Stellvertreter zu der in der Variablen gespeicherten Rollengruppe hinzu.
$RoleGroup.ManagedBy += (Get-User <user to add>).Identity
Hinweis
Verwenden Sie das Cmdlet Get-Group, wenn Sie eine USG hinzufügen möchten.
Wiederholen Sie Schritt 2 für jeden Stellvertreter, den Sie hinzufügen möchten.
Wenden Sie die neue Liste der Stellvertreter mithilfe des folgenden Befehls auf die eigentliche Rollengruppe an.
Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
In diesem Beispiel wird der Benutzer David Strome als Stellvertreter der Rollengruppe Organisationsverwaltung hinzugefügt.
$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy += (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-RoleGroup.
Verwenden der Shell zum Entfernen eines Stellvertreters aus einer Rollengruppe
Um die Liste der Delegaten für eine Rollengruppe zu ändern, verwenden Sie den ManagedBy-Parameter im Cmdlet Set-RoleGroup . Der ManagedBy-Parameter überschreibt die gesamte Delegatliste für die Rollengruppe. Falls Sie einzelne Stellvertreter aus einer Rollengruppe entfernen möchten, statt die gesamte Stellvertreterliste zu ersetzen, führen Sie die folgenden Schritte aus:
Speichern Sie die Rollengruppe mit dem folgenden Befehl in einer Variablen.
$RoleGroup = Get-RoleGroup <role group name>
Entfernen Sie mit dem folgenden Befehl den Stellvertreter aus der in der Variablen gespeicherten Rollengruppe.
$RoleGroup.ManagedBy -= (Get-User <user to remove>).Identity
Hinweis
Verwenden Sie das Cmdlet Get-Group, wenn Sie eine USG entfernen möchten.
Wiederholen Sie Schritt 2 für jeden Stellvertreter, den Sie entfernen möchten.
Wenden Sie die neue Liste der Stellvertreter mithilfe des folgenden Befehls auf die eigentliche Rollengruppe an.
Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
In diesem Beispiel wird der Benutzer David Strome als Stellvertreter der Rollengruppe Organisationsverwaltung entfernt.
$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy -= (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-RoleGroup.
Wie Sie wissen, dass dies funktioniert hat?
Gehen Sie wie folgt vor, um sicherzustellen, dass die Stellvertretungsliste für eine Rollengruppe erfolgreich geändert wurde:
Führen Sie in der Shell den folgenden Befehl aus.
Get-RoleGroup <role group name> | Format-List ManagedBy
Stellen Sie sicher, dass die in der ManagedBy-Eigenschaft aufgeführten Delegaten nur die Delegaten enthalten, die die Rollengruppe verwalten können sollen.