Freigeben über


Verwalten von Rollengruppen in Exchange Server

Eine Verwaltungsrollengruppe ist eine universelle Sicherheitsgruppe (UNIVERSAL Security Group, USG), die im Berechtigungsmodell der rollenbasierten Zugriffssteuerung (Role Based Access Control, RBAC) in Exchange Server verwendet wird. Eine Verwaltungsrollengruppe vereinfacht die Zuweisung von Verwaltungsrollen an eine Gruppe von Benutzern. Allen Mitgliedern einer Rollengruppe werden dieselben Rollen zugewiesen. Weitere Informationen zu Rollengruppen in Exchange Server finden Sie unter Grundlegendes zu Verwaltungsrollengruppen.

Informationen zu weiteren Verwaltungsaufgaben in Bezug auf Rollengruppen finden Sie unter Berechtigungen.

Was sollten Sie wissen, bevor Sie beginnen?

Tipp

Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Sie finden die Foren unter folgenden Links: Exchange Server, Exchange Online oder Exchange Online Protection.

Erstellen einer Rollengruppe

Wenn Sie die Berechtigungen anpassen möchten, die einer Gruppe von Benutzern zugewiesen werden können, erstellen Sie eine neue benutzerdefinierte Verwaltungsrollengruppe.

Erstellen einer Rollengruppe mithilfe der Exchange-Verwaltungskonsole

  1. Navigieren Sie im Exchange Admin Center (EAC) zu Berechtigungen>Administratorrollen, und klicken Sie dann auf Hinzufügen Symbol hinzufügen.

  2. Geben Sie im Fenster Neue Rollengruppe einen Namen für die neue Rollengruppe ein.

  3. Sie können nun die Rollen auswählen, die Sie der Rollengruppe und den Mitgliedern zuweisen möchten, die Sie der Rollengruppe hinzufügen möchten. Sie können diese Auswahl aber auch zu einem späteren Zeitpunkt vornehmen.

  4. Wählen Sie den Schreibbereich aus, den Sie auf die neue Rollengruppe anwenden möchten.

  5. Klicken Sie auf Speichern, um die Rollengruppe zu erstellen.

Erstellen einer Rollengruppe mithilfe der Exchange-Verwaltungsshell

Informationen zum Erstellen einer Rollengruppe finden Sie im Abschnitt Examples unter New-RoleGroup.

Woher wissen Sie, dass dieses Verfahren erfolgreich war?

Gehen Sie wie folgt vor, um sicherzustellen, dass eine Rollengruppe erfolgreich erstellt wurde:

  1. Navigieren Sie im EAC zu Berechtigungen>Administratorrollen.

  2. Vergewissern Sie sich, dass die neue Rollengruppe in der Liste der Rollengruppen angezeigt wird, und wählen Sie die neue Rollengruppe aus.

  3. Vergewissern Sie sich, dass die Mitglieder, die zugewiesenen Rollen und der Bereich, die Sie für die neue Rollengruppe angegeben haben, im Detailbereich für Rollengruppen angezeigt werden.

Kopieren einer Rollengruppe

Kopieren einer Rollengruppe mithilfe der Exchange-Verwaltungskonsole

Wenn Sie eine Rollengruppe mit den Berechtigungen haben, die Sie Benutzern erteilen möchten, Sie aber einen anderen Verwaltungsbereich anwenden oder ein oder zwei Verwaltungsrollen hinzufügen bzw. entfernen möchten, ohne alle anderen Rollen manuell hinzufügen zu müssen, können Sie die vorhandene Rollengruppe kopieren.

Wichtig

Das EAC kann nicht zum Kopieren einer Rollengruppe verwendet werden, wenn Sie für die Rollengruppe mit der Exchange-Verwaltungsshell mehrere Verwaltungsrollenbereiche oder exklusive Bereiche konfiguriert haben. Wenn Sie mehrere Bereiche oder exklusive Bereiche für die Rollengruppe konfiguriert haben, müssen Sie die Rollengruppe mithilfe der Verfahren für die Exchange-Verwaltungsshell weiter unten in diesem Thema kopieren. Weitere Informationen zu Verwaltungsrollenbereichen finden Sie unter Understanding Management Role Scopes.

  1. Navigieren Sie im EAC zu Berechtigungen>Administratorrollen.

  2. Wählen Sie die Rollengruppe aus, die Sie kopieren möchten, und klicken Sie dann auf Kopiersymbol.

  3. Geben Sie im Fenster Neue Rollengruppe einen Namen für die neue Rollengruppe ein.

  4. Überprüfen Sie die Rollen, die in die neue Rollengruppe kopiert wurden. Fügen Sie Rollen nach Bedarf hinzu oder entfernen Sie sie.

  5. Überprüfen Sie den Schreibbereich, und ändern Sie ihn nach Bedarf.

  6. Überprüfen Sie die Mitglieder, die in die neue Rollengruppe kopiert wurden. Fügen Sie nach Bedarf Mitglieder hinzu, oder entfernen Sie sie.

  7. Klicken Sie auf Speichern, um die Rollengruppe zu erstellen.

Verwenden der Exchange-Verwaltungsshell zum Kopieren einer Rollengruppe ohne Bereich

  1. Verwenden Sie die folgende Syntax, um die Rollengruppe, die Sie kopieren möchten, in einer Variablen zu speichern.

    $RoleGroup = Get-RoleGroup <name of role group to copy>
    
  2. Verwenden Sie die folgende Syntax, um die neue Rollengruppe zu erstellen, der Rollengruppe Mitglieder hinzuzufügen und anzugeben, wer die neue Rollengruppe an andere Benutzer delegieren kann.

    New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -Members <member1, member2, member3...> -ManagedBy <user1, user2, user3...>
    

    Mithilfe der folgenden Befehle können Sie z. B. die Rollengruppe "Organization Management" kopieren und die neue Rollengruppe "Limited Organization Management" nennen. Hinzugefügt werden die Mitglieder Isabelle, Carter und Lukas, zugewiesen werden kann sie von Jenny und Katie.

    $RoleGroup = Get-RoleGroup "Organization Management"
    New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members Isabelle, Carter, Lukas -ManagedBy Jenny, Katie
    

Nach dem Erstellen einer neuen Rollengruppe können Sie u. a. Rollen hinzufügen oder entfernen und den Bereich von Rollenzuweisungen für die Rolle ändern.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-RoleGroup und New-RoleGroup.

Verwenden der Exchange-Verwaltungsshell zum Kopieren einer Rollengruppe mit einem benutzerdefinierten Bereich

  1. Verwenden Sie die folgende Syntax, um die Rollengruppe, die Sie kopieren möchten, in einer Variablen zu speichern.

    $RoleGroup = Get-RoleGroup <name of role group to copy>
    
  2. Verwenden Sie die folgende Syntax, um die neue Rollengruppe mit einem benutzerdefinierten Bereich zu erstellen.

    New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name>
    

Mithilfe der folgenden Befehle können Sie beispielsweise die Rollengruppe "Organization Management" kopieren und eine neue Rollengruppe namens "Vancouver Organization Management" mit dem Empfängerbereich "Vancouver Users" und dem Konfigurationsbereich "Vancouver Servers" erstellen.

$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Vancouver Organization Management" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "Vancouver Users" -CustomConfigWriteScope "Vancouver Servers"

Sie können der Rollengruppe auch Mitglieder hinzufügen, wenn Sie sie erstellen, indem Sie den Members-Parameter verwenden, wie weiter oben in diesem Thema unter Verwenden der Exchange-Verwaltungsshell zum Erstellen einer Rollenzuweisung ohne Bereich gezeigt. Weitere Informationen zu Verwaltungsbereichen finden Sie unter Understanding Management Scopes.

Nach dem Erstellen einer neuen Rollengruppe können Sie u. a. Rollen hinzufügen oder entfernen und den Bereich von Rollenzuweisungen für die Rolle ändern.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-RoleGroup und New-RoleGroup.

Verwenden der Exchange-Verwaltungsshell zum Kopieren einer Rollengruppe mit einem Organisationseinheitsbereich

  1. Verwenden Sie die folgende Syntax, um die Rollengruppe, die Sie kopieren möchten, in einer Variablen zu speichern.

    $RoleGroup = Get-RoleGroup <name of role group to copy>
    
  2. Verwenden Sie die folgende Syntax, um die neue Rollengruppe mit einem benutzerdefinierten Bereich zu erstellen.

    New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope <OU name>
    

Mithilfe der folgenden Befehle können Sie beispielsweise die Rollengruppe "Recipient Management" kopieren und eine neue Rollengruppe namens "Toronto Recipient Management" erstellen, die nur die Verwaltung von Benutzern in der Organisationseinheit "Toronto Users" zulässt.

$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Toronto Recipient Management" -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope "contoso.com/Toronto Users"

Sie können der Rollengruppe auch Mitglieder hinzufügen, wenn Sie sie erstellen, indem Sie den Members-Parameter verwenden, wie weiter oben in diesem Thema unter Verwenden der Exchange-Verwaltungsshell zum Erstellen einer Rollenzuweisung ohne Bereich gezeigt. Weitere Informationen zu Verwaltungsbereichen finden Sie unter Understanding Management Scopes.

Nach dem Erstellen einer neuen Rollengruppe können Sie u. a. Rollen hinzufügen oder entfernen und den Bereich von Rollenzuweisungen für die Rolle ändern.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-RoleGroup und New-RoleGroup.

Woher wissen Sie, dass dieses Verfahren erfolgreich war?

Gehen Sie wie folgt vor, um sicherzustellen, dass eine Rollengruppe erfolgreich kopiert wurde:

  1. Navigieren Sie im EAC zu Berechtigungen>Administratorrollen.

  2. Vergewissern Sie sich, dass die kopierte Rollengruppe in der Liste der Rollengruppen angezeigt wird, und wählen Sie die Rollengruppe aus.

  3. Vergewissern Sie sich, dass die Mitglieder, die zugewiesenen Rollen und der Bereich, die Sie für die kopierte Rollengruppe angegeben haben, im Detailbereich für Rollengruppen angezeigt werden.

Entfernen einer Rollengruppe

Wenn Sie eine Gruppe, die Sie erstellt haben, nicht mehr benötigen, können Sie sie entfernen. Wenn Sie eine Rollengruppe entfernen, werden die Verwaltungsrollenzuweisungen zwischen der Rollengruppe und den Verwaltungsrollen gelöscht. Die Verwaltungsrollen werden nicht entfernt. Wenn der Zugriff eines Benutzers auf eine Funktion von der Rollengruppe abhängig war, kann der Benutzer nicht länger auf diese Funktion zugreifen. Sie können keine integrierten Rollengruppen entfernen.

Entfernen einer Rollengruppe mithilfe der Exchange-Verwaltungskonsole

  1. Navigieren Sie im EAC zu Berechtigungen>Administratorrollen.

  2. Wählen Sie die Rollengruppe aus, die Sie entfernen möchten, und klicken Sie dann auf Löschen Symbol löschen.

  3. Überprüfen Sie, ob Sie die ausgewählte Rollengruppe tatsächlich entfernen möchten. Ist dies der Fall, beantworten Sie die Warnung mit Ja.

Verwenden von Exchange-Verwaltungsshell zum Entfernen einer Rollengruppe

Informationen zum Entfernen einer Rollengruppe finden Sie im Abschnitt Examples unter Remove-RoleGroup.

Anzeigen von Rollengruppen

Sie können entweder eine Liste mit Rollengruppen oder die detaillierten Informationen zu einer bestimmten Rollengruppe in Ihrer Organisation anzeigen.

Anzeigen einer Liste mit Rollengruppen sowie von Rollengruppendetails mithilfe der Exchange-Verwaltungskonsole

  1. Navigieren Sie im EAC zu Berechtigungen>Administratorrollen. Alle Rollengruppen in Ihrer Organisation werden hier aufgelistet.

  2. Wählen Sie eine Rollengruppe aus, um die Mitglieder, die zugewiesenen Rollen und den Bereich anzuzeigen, die für die Rollengruppe konfiguriert sind.

Anzeigen einer Liste mit Rollengruppen sowie von Rollengruppendetails mithilfe der Exchange-Verwaltungsshell

Informationen zum Anzeigen einer Liste mit Rollengruppen finden Sie im Abschnitt Examples unter Get-RoleGroup.

Hinzufügen einer Rolle zu einer Rollengruppe

Das Hinzufügen einer Verwaltungsrolle zu einer Rollengruppe ist die beste und einfachste Methode, einer Gruppe von Administratoren oder spezialisierten Benutzern Berechtigungen zu erteilen. Wenn Sie Benutzern, die Mitglieder einer Rollengruppe sind, die Berechtigung zum Verwalten einer Funktion erteilen möchten, fügen Sie der Rollengruppe die Verwaltungsrolle hinzu, die die Funktion verwaltet. Nach dem Hinzufügen der Rolle verfügen die Mitglieder der Rollengruppe über die Berechtigungen der Rolle.

Hinzufügen einer Verwaltungsrolle zu einer Rollengruppe mithilfe der Exchange-Verwaltungskonsole

Wichtig

Das EAC kann nicht zum Hinzufügen von Rollen zu einer Rollengruppe verwendet werden, wenn Sie für die Rollengruppe mit der Exchange-Verwaltungsshell mehrere Verwaltungsrollenbereiche oder exklusive Bereiche konfiguriert haben. Wenn Sie mehrere Bereiche oder exklusive Bereiche für die Rollengruppe konfiguriert haben, müssen Sie die weiter unten in diesem Thema beschriebenen Verfahren für die Exchange-Verwaltungsshell nutzen, um Rollen zur Rollengruppe hinzuzufügen. Weitere Informationen zu Verwaltungsrollenbereichen finden Sie unter Understanding Management Role Scopes.

  1. Navigieren Sie im EAC zu Berechtigungen>Administratorrollen.

  2. Wählen Sie die Rollengruppe aus, der Sie eine Rolle hinzufügen möchten, und klicken Sie dann auf Bearbeitungssymbol.

  3. Wählen Sie im Abschnitt Rollen die Rollen aus, die Sie der Rollengruppe hinzufügen möchten.

  4. Wenn Sie der Rollengruppe keine weiteren Rollen mehr hinzufügen möchten, klicken Sie auf Speichern.

Verwenden der Exchange-Verwaltungsshell zum Erstellen einer Rollenzuweisung ohne Bereich

Sie können eine Rollenzuweisung ohne Bereich zwischen einer Rolle und einer Rollengruppe erstellen. Wenn Sie dies machen, gelten die impliziten Lese- und Schreibbereiche der Rolle.

Verwenden Sie die folgende Syntax zum Zuweisen einer Rolle ohne Bereich zu einer Rollengruppe. Wenn Sie keinen Namen für die Rollenzuweisung angeben, wird automatisch ein Name erstellt.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name>

This example assigns the Transport Rules management role to the Seattle Compliance role group.

New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementRoleAssignment.

Verwenden der Exchange-Verwaltungsshell zum Erstellen einer Rollenzuweisung mit vordefiniertem Bereich

Wenn ein vordefinierter Bereich Ihren Geschäftsanforderungen entspricht, können Sie diesen Bereich auf die Rollenzuweisung anwenden, statt einen neuen zu erstellen. Eine Liste vordefinierter Bereiche und ihrer Beschreibungen finden Sie unter Understanding Management Role Scopes.

Weitere Informationen zu Rollenzuweisungen finden Sie unter Understanding Management Role Assignments.

Anhand der folgenden Syntax weisen Sie einer Rollengruppe eine Rolle mit vordefiniertem Bereich zu. Wenn Sie keinen Namen für die Rollenzuweisung angeben, wird automatisch ein Name erstellt.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientRelativeWriteScope < MyGAL | MyDistributionGroups | Organization | Self >

This example assigns the Message Tracking role to the Enterprise Support role group and applies the Organization predefined scope.

New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementRoleAssignment.

Verwenden der Exchange-Verwaltungsshell zum Erstellen einer Rollenzuweisung mit einem filterbasierten Empfängerbereich

Wenn Sie einen empfängerfilterbasierten Bereich erstellt haben, müssen Sie den Bereich in den Befehl einschließen, der verwendet wird, um die Rolle mithilfe des CustomRecipientWriteScope-Parameters einer Rollengruppe zuzuweisen.

Beim Erstellen einer Rollenzuweisung mit Empfängerschreibbereich können Sie auch einen Konfigurationsschreibbereich einschließen.

Weitere Informationen zu Rollenzuweisungen und Bereichen finden Sie unter den folgenden Themen:

Verwenden Sie die folgenden Syntax, um eine Rolle einer Rollengruppe mit einem filterbasierten Empfängerbereich zuzuweisen. Wenn Sie keinen Namen für die Rollenzuweisung angeben, wird automatisch ein Name erstellt.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomRecipientWriteScope <role scope name>

This example assigns the Message Tracking role to the Seattle Recipient Admins role group and applies the Seattle Recipients scope.

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementRoleAssignment.

Verwenden der Exchange-Verwaltungsshell zum Erstellen einer Rollenzuweisung mit einem Konfigurationsbereich

Wenn Sie einen Server- oder Datenbankkonfigurationsfilter oder listenbasierten Bereich erstellt haben, müssen Sie den Bereich in den Befehl einschließen, der verwendet wird, um die Rolle mithilfe des CustomConfigWriteScope-Parameters einer Rollengruppe zuzuweisen.

Beim Erstellen einer Rollenzuweisung mit Konfigurationsschreibbereich können Sie auch einen Empfängerschreibbereich einschließen.

Weitere Informationen zu Rollenzuweisungen und Verwaltungsbereichen finden Sie in den folgenden Themen:

Verwenden Sie die folgende Syntax, um eine Rolle einer Rollengruppe mit einem Konfigurationsbereich zuzuweisen. Wenn Sie keinen Namen für die Rollenzuweisung angeben, wird automatisch ein Name erstellt.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomConfigWriteScope <role scope name>

This example assigns the Databases role to the Seattle Server Admins role group and applies the Seattle Servers scope.

New-ManagementRoleAssignment -SecurityGroup "Seattle Server Admins" -Role "Databases" -CustomConfigWriteScope "Seattle Servers"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementRoleAssignment.

Verwenden der Exchange-Verwaltungsshell zum Erstellen einer Rollenzuweisung mit Organisationseinheitsbereich

Wenn Sie den Schreibbereich einer Rolle auf eine Organisationseinheit festlegen möchten, können Sie die Organisationseinheit direkt im Parameter RecipientOrganizationalUnitScope angeben.

Konfigurationsschreibbereich: Bestimmt, welche Organisations- und Serverobjekte Mitglieder der Rollengruppe in exADNoMk ändern können.

Verwenden Sie den folgenden Befehl, um einer Rollengruppe eine Rolle zuzuweisen und den Schreibbereich einer Rolle auf eine bestimmte Organisationseinheit zu beschränken. Wenn Sie keinen Namen für die Rollenzuweisung angeben, wird automatisch ein Name erstellt.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientOrganizationalUnitScope <OU>

In diesem Beispiel wird die Rolle "Mail Recipients" der Rollengruppe "Seattle Recipient Admins" zugewiesen und der Bereich der Zuweisung auf die Organisationseinheit "Sales\Users" in der Domäne "Contoso.com" festgelegt.

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementRoleAssignment.

Woher wissen Sie, dass dieses Verfahren erfolgreich war?

Gehen Sie wie folgt vor, um sicherzustellen, dass Rollen erfolgreich zu einer Rollengruppe hinzugefügt wurden:

  1. Navigieren Sie im EAC zu Berechtigungen>Administratorrollen.

  2. Wählen Sie die Rollengruppe aus, der Sie Rollen hinzugefügt haben. Überprüfen Sie im Detailbereich für Rollengruppen, ob die von Ihnen hinzugefügten Rollen aufgelistet werden.

Entfernen einer Rolle aus einer Rollengruppe

Das Entfernen einer Rolle aus einer Verwaltungsrollengruppe ist die beste und einfachste Methode, einer Gruppe von Administratoren oder spezialisierten Benutzern erteilte Berechtigungen zu entziehen. Wenn Sie Administratoren oder spezialisierten Benutzern keine Berechtigungen zum Verwalten einer Funktion erteilen möchten, entfernen Sie die Verwaltungsrolle aus der Verwaltungsrollengruppe, über welche die Berechtigungen verwaltet werden. Nachdem die Rolle entfernt wurde, besitzen die Mitglieder der Rollengruppe nicht länger Berechtigungen zum Verwalten der Funktion.

Hinweis

Einige Rollengruppen - beispielsweise die Rollengruppe Organisationsverwaltung - beschränken, welche Rollen aus einer Rollengruppe entfernt werden können. Weitere Informationen finden Sie unter Understanding Management Role Groups. > Wenn ein Administrator Mitglied einer anderen Rollengruppe ist, die Verwaltungsrollen enthält, die Berechtigungen zum Verwalten des Features erteilt, müssen Sie entweder den Administrator aus den anderen Rollengruppen entfernen oder die Rolle entfernen, die Berechtigungen zum Verwalten des Features für die anderen Rollengruppen gewährt.

Entfernen einer Verwaltungsrolle aus einer Rollengruppe mithilfe der Exchange-Verwaltungskonsole

Wichtig

Das EAC kann nicht zum Entfernen von Rollen aus einer Rollengruppe verwendet werden, wenn Sie für die Rollengruppe mit der Exchange-Verwaltungsshell mehrere Bereiche oder exklusive Bereiche konfiguriert haben. Wenn Sie mehrere Bereiche oder exklusive Bereiche für die Rollengruppe konfiguriert haben, müssen Sie die weiter unten in diesem Thema beschriebenen Verfahren für die Exchange-Verwaltungsshell nutzen, um Rollen aus der Rollengruppe zu entfernen. Weitere Informationen zu Verwaltungsrollenbereichen finden Sie unter Understanding Management Role Scopes.

  1. Navigieren Sie im EAC zu Berechtigungen>Administratorrollen.

  2. Wählen Sie die Rollengruppe aus, aus der Sie eine Rolle entfernen möchten, und klicken Sie dann auf Bearbeitungssymbol bearbeiten.

  3. Wählen Sie im Abschnitt Rollen die Rollen aus, die Sie aus der Rollengruppe entfernen möchten.

  4. Wenn Sie mit dem Entfernen von Rollen aus der Rollengruppe fertig sind, klicken Sie auf Speichern.

Verwenden der Exchange-Verwaltungsshell zum Entfernen einer Rolle aus einer Rollengruppe

Sie können Rollen aus Rollengruppen entfernen, indem Sie die zugehörige Verwaltungsrollenzuweisung mithilfe des Cmdlets Get-ManagementRoleAssignment abrufen und die zurückgegebene Rollenzuweisung an das Cmdlet Remove-ManagementRoleAssignment weiterleiten. Wenn Sie nicht gleichzeitig delegierende und reguläre Rollenzuweisungen entfernen möchten, geben Sie den Delegating-Parameter an, um anzugeben, ob Sie reguläre oder delegierende Rollenzuweisungen entfernen möchten.

Weitere Informationen zu regulären und delegierenden Rollenzuweisungen finden Sie unter Understanding Management Role Assignments.

Bei diesem Verfahren wird das Pipelining verwendet. Weitere Informationen zum Pipelining finden Sie unter about_Pipelines.

Verwenden Sie die folgende Syntax, um eine Rolle aus einer Rollengruppe zu entfernen.

Get-ManagementRoleAssignment -RoleAssignee <role group name> -Role <role name> -Delegating <$true | $false> | Remove-ManagementRoleAssignment

In diesem Beispiel wird die Rolle "Distribution Groups", die Administratoren das Verwalten von Verteilergruppen ermöglicht, aus der Rollengruppe "Seattle Recipient Administrators" entfernt. Da wir die Rollenzuweisung entfernen möchten, die Berechtigungen zum Verwalten von Verteilergruppen bereitstellt, wird der Delegating-Parameter auf $Falsefestgelegt, wodurch nur reguläre Rollenzuweisungen zurückgegeben werden.

Get-ManagementRoleAssignment -RoleAssignee "Seattle Recipient Administrators" -Role "Distribution Groups" -Delegating $false | Remove-ManagementRoleAssignment

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-ManagementRoleAssignment.

Woher wissen Sie, dass dieses Verfahren erfolgreich war?

Gehen Sie wie folgt vor, um sicherzustellen, dass Rollen erfolgreich aus einer Rollengruppe entfernt wurden:

  1. Navigieren Sie im EAC zu Berechtigungen>Administratorrollen.

  2. Wählen Sie die Rollengruppe aus, aus der Sie Rollen entfernt haben. Überprüfen Sie im Detailbereich für Rollengruppen, ob die von Ihnen entfernten Rollen nicht mehr aufgelistet werden.

Ändern des Bereichs einer Rollengruppe

Die Verwaltungsrollenzuweisungen zwischen einer Rollengruppe und einer Rolle enthalten Verwaltungsbereiche, die bestimmen, welche Objekte für Mitglieder dieser Rollengruppe verfügbar gemacht werden. Durch Ändern des Schreibbereichs einer Rollengruppe können Sie festlegen, welche Objekte den Rollengruppenmitgliedern zum Erstellen, Ändern oder Entfernen zur Verfügung gestellt werden. Der Lesebereich einer Rollengruppe kann nicht geändert werden.

Exchange Server enthält Bereiche, die standardmäßig auf Rollenzuweisungen angewendet werden, wenn keine benutzerdefinierten Bereiche erstellt werden. Wenn Sie einen benutzerdefinierten Bereich mit einer Rollenzuweisung für eine Rollengruppe verwenden möchten, müssen Sie diesen zuerst erstellen. Weitere Informationen zu der speziellen Aufgabe des Erstellens von benutzerdefinierten Bereichen finden Sie unter Create a Regular or Exclusive Scope.

Weitere Informationen zu Verwaltungsrollenbereichen und -zuweisungen in Exchange Server finden Sie in den folgenden Themen:

Ändern des Bereichs für eine Rollengruppe mithilfe der Exchange-Verwaltungskonsole

Wenn Sie das EAC verwenden, um den Bereich für eine Rollengruppe zu ändern, dann ändern Sie tatsächlich den Bereich für alle Rollenzuweisungen zwischen der Rollengruppe und jeder der Verwaltungsrollen, die der Rollengruppe zugewiesen sind. Wenn Sie den Bereich für bestimmte Rollenzuweisungen ändern möchten, müssen Sie die später in diesem Thema folgenden Verfahren für die Exchange-Verwaltungsshell verwenden.

Wichtig

Das EAC kann nicht zum Verwalten von Bereichen für Rollenzuweisungen zwischen Rollen und einer Rollengruppe verwendet werden, wenn Sie mehrere Bereiche oder exklusive Bereiche für diese Rollenzuweisungen mithilfe der Exchange-Verwaltungsshell konfiguriert haben. Wenn Sie mehrere Bereiche oder exklusive Bereiche für diese Rollenzuweisungen konfiguriert haben, müssen Sie die Bereiche mithilfe der später in diesem Thema folgenden Verfahren für die Exchange-Verwaltungsshell verwalten. Weitere Informationen zu Verwaltungsrollenbereichen finden Sie unter Understanding Management Role Scopes.

  1. Navigieren Sie im EAC zu Berechtigungen>Administratorrollen.

  2. Wählen Sie die Rollengruppe aus, für die Sie den Bereich ändern möchten, und klicken Sie dann auf Bearbeitungssymbol bearbeiten.

  3. Wählen Sie eine der beiden folgenden Optionen unter Schreibbereich aus:

    • Einen Schreibbereich im Dropdownfeld, in dem Sie entweder den Standardschreibbereich oder einen benutzerdefinierten Schreibbereich auswählen können.

    • Organisationseinheit: Wählen Sie diese Option aus, und geben Sie eine Organisationseinheit an, wenn Sie diese Rollengruppe auf eine Organisationseinheit festlegen möchten.

  4. Klicken Sie auf Speichern, um die Änderungen an der Rollengruppe zu speichern.

Verwenden der Exchange-Verwaltungsshell, um den Bereich aller Rollenzuweisungen für eine Rollengruppe gleichzeitig zu ändern

Rollenzuweisungen zwischen der Rollengruppe und den ihr zugewiesenen Rollen können den impliziten Bereich, den sie von den Rollen selbst erhalten, denselben benutzerdefinierten Bereich oder unterschiedliche benutzerdefinierte Bereiche verwenden. Weitere Informationen zu Rollenzuweisungen finden Sie unter Understanding Management Role Assignments.

Die Bereiche für die Rollenzuweisungen werden mithilfe des Cmdlets Set-ManagementRoleAssignment verwaltet. Es ist nicht möglich, Bereiche mit dem Cmdlet Set-RoleGroup zu verwalten.

Wenn Sie den Bereich aller Rollenzuweisungen zwischen einer Rollengruppe und einer Gruppe von Verwaltungsrollen gleichzeitig ändern möchten, müssen Sie zuerst die Rollenzuweisungen für die Rollengruppe abrufen und anschließend den neuen Bereich für jede Zuweisung festlegen. Verwenden Sie zu diesem Zweck das Cmdlet Get-ManagementRoleAssignment, um die Rollenzuweisungen abzurufen, und übergeben sie diese anschließend mittels Pipelining an das Cmdlet Set-ManagementRoleAssignment.

In diesem Verfahren werden die Konzepte des Pipelinings und des WhatIf-Schalters verwendet. Weitere Informationen finden Sie in den folgenden Themen:

Verwenden Sie die folgende Syntax, um den Bereich aller Rollenzuweisungen für eine Rollengruppe gleichzeitig zu ändern.

Get-ManagementRoleAssignment -RoleAssignee <name of role group> | Set-ManagementRoleAssignment -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>

Sie verwenden nur die zum Konfigurieren des zu verwendenden Bereichs erforderlichen Parameter. Wenn Sie beispielsweise den Empfängerbereich für alle Rollenzuweisungen der Rollengruppe "Sales Recipient Management" in "Direct Sales Employees" ändern möchten, müssen Sie den folgenden Befehl verwenden.

Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"

Hinweis

Sie können den Schalter WhatIf verwenden, um zu überprüfen, ob nur die Rollenzuweisungen geändert werden, die Sie ändern möchten. Führen Sie den vorherigen Befehl mit dem Schalter WhatIf aus, um die Ergebnisse zu überprüfen, und entfernen Sie dann den Schalter WhatIf, um die Änderungen anzuwenden.

Weitere Informationen zum Ändern von Verwaltungsrollenzuweisungen finden Sie unter Change a Role Assignment.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-ManagementRoleAssignment.

Verwenden der Exchange-Verwaltungsshell, um den Bereich einzelner Rollenzuweisungen für eine Rollengruppe zu ändern

Rollenzuweisungen zwischen der Rollengruppe und den ihr zugewiesenen Rollen können den impliziten Bereich, den sie von den Rollen selbst erhalten, denselben benutzerdefinierten Bereich oder unterschiedliche benutzerdefinierte Bereiche verwenden. Weitere Informationen zu Rollenzuweisungen finden Sie unter Understanding Management Role Assignments.

Die Bereiche für die Rollenzuweisungen werden mithilfe des Cmdlets Set-ManagementRoleAssignment verwaltet. Es ist nicht möglich, Bereiche mit dem Cmdlet Set-RoleGroup zu verwalten.

In diesem Verfahren werden Pipelining und das Cmdlet Format-List verwendet. Weitere Informationen finden Sie in den folgenden Themen:

Wenn Sie den Bereich einer Rollenzuweisung zwischen einer Rollengruppe und einer Verwaltungsrolle ändern möchten, müssen Sie zuerst den Namen der Rollenzuweisung ermitteln und anschließend den neuen Bereich für die Rollenzuweisung festlegen.

  1. Verwenden Sie den folgenden Befehl, um die Namen aller Rollenzuweisungen für eine Rollengruppe zu ermitteln. Indem Sie die Verwaltungsrollenzuweisungen mithilfe des Pipelinings an das Cmdlet Format-List übergeben, können Sie den vollständigen Namen der Zuweisung anzeigen.

    Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-List Name
    
  2. Ermitteln Sie den Namen der Rollenzuweisung, die Sie ändern möchten. Verwenden Sie den Namen der Rollenzuweisung im nächsten Schritt.

  3. Verwenden Sie die folgende Syntax, um den Bereich einer einzelnen Zuweisung festzulegen.

    Set-ManagementRoleAssignment <role assignment name> -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>
    

Sie verwenden nur die zum Konfigurieren des zu verwendenden Bereichs erforderlichen Parameter. Wenn Sie beispielsweise den Empfängerbereich für die Rollenzuweisung "Mail Recipients_Sales Recipient Management" in "All Sales Employees" ändern möchten, müssen Sie den folgenden Befehl verwenden.

Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"

Weitere Informationen zum Ändern von Verwaltungsrollenzuweisungen finden Sie unter Change a Role Assignment.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-ManagementRoleAssignment.

Woher wissen Sie, dass dieses Verfahren erfolgreich war?

Gehen Sie wie folgt vor, um sicherzustellen, dass der Bereich einer Rollenzuweisung für eine Rollengruppe erfolgreich geändert wurde:

  • Gehen Sie wie folgt vor, wenn Sie den Bereich für die Rollengruppe mit der Exchange-Verwaltungskonsole konfiguriert haben:

    1. Navigieren Sie im EAC zu Berechtigungen>Administratorrollen. Alle Rollengruppen in Ihrer Organisation werden hier aufgelistet.

    2. Wählen Sie eine Rollengruppe aus, um den Bereich anzuzeigen, der für die Rollengruppe konfiguriert ist.

  • Gehen Sie wie folgt vor, wenn Sie den Bereich für die Rollengruppe mit Exchange-Verwaltungsshell konfiguriert haben:

    1. Führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell aus:

      Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-Table *WriteScope
      
    2. Vergewissern Sie sich, dass der Schreibbereich für die Rollenzuweisungen in den Bereich geändert wurde, den Sie angegeben haben.

Hinzufügen oder Entfernen einer Rollengruppenstellvertretung

Rollengruppenstellvertretungen sind Benutzer oder universelle Sicherheitsgruppen (Universal Security Groups, USGs), die Mitglieder zu Rollengruppen hinzufügen oder aus ihnen entfernen sowie die Eigenschaften einer Rollengruppe ändern können. Durch Hinzufügen oder Entfernen von Rollengruppenstellvertretern können Sie steuern, welche Personen eine Rollengruppe verwalten dürfen.

Wichtig

Nachdem Sie einen Stellvertreter zu einer Rollengruppe hinzugefügt haben, kann die Rollengruppe nur von den Stellvertretern der Gruppe oder von Benutzern, denen entweder direkt oder indirekt die Verwaltungsrolle "Rollenverwaltung" zugewiesen wurde, verwaltet werden. > Wenn einem Benutzer die Rollenverwaltungsrolle direkt oder indirekt zugewiesen ist und er nicht als Delegat der Rollengruppe hinzugefügt wird, muss der Benutzer den Schalter BypassSecurityGroupManagerCheck für die Cmdlets Add-RoleGroupMember, Remove-RoleGroupMember, Update-RoleGroupMember und Set-RoleGroup verwenden, um eine Rollengruppe zu verwalten.

Hinweis

Die Exchange-Verwaltungskonsole kann nicht dazu verwendet werden, eine Stellvertretung zu einer Rollengruppe hinzuzufügen.

Verwenden der Exchange-Verwaltungsshell zum Hinzufügen eines Stellvertreters zu einer Rollengruppe

Um die Liste der Delegaten für eine Rollengruppe zu ändern, verwenden Sie den ManagedBy-Parameter im Cmdlet Set-RoleGroup . Der ManagedBy-Parameter überschreibt die gesamte Delegatliste für die Rollengruppe. Falls Sie einzelne Stellvertreter zu einer Rollengruppe hinzufügen möchten, statt die gesamte Stellvertreterliste zu ersetzen, führen Sie die folgenden Schritte aus:

  1. Speichern Sie die Rollengruppe mit dem folgenden Befehl in einer Variablen.

    $RoleGroup = Get-RoleGroup <role group name>
    
  2. Fügen Sie mit dem folgenden Befehl den Stellvertreter zu der in der Variablen gespeicherten Rollengruppe hinzu.

    $RoleGroup.ManagedBy += (Get-User <user to add>).Identity
    

    Hinweis

    Verwenden Sie das Cmdlet Get-Group, wenn Sie eine USG hinzufügen möchten.

  3. Wiederholen Sie Schritt 2 für jeden Stellvertreter, den Sie hinzufügen möchten.

  4. Wenden Sie die neue Liste der Stellvertreter mithilfe des folgenden Befehls auf die eigentliche Rollengruppe an.

    Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
    

In diesem Beispiel wird der Benutzer David Strome als Stellvertreter der Rollengruppe Organisationsverwaltung hinzugefügt.

$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy += (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-RoleGroup.

Verwenden der Exchange-Verwaltungsshell zum Entfernen eines Stellvertreters aus einer Rollengruppe

Um die Liste der Delegaten für eine Rollengruppe zu ändern, verwenden Sie den ManagedBy-Parameter im Cmdlet Set-RoleGroup . Der ManagedBy-Parameter überschreibt die gesamte Delegatliste für die Rollengruppe. Falls Sie einzelne Stellvertreter aus einer Rollengruppe entfernen möchten, statt die gesamte Stellvertreterliste zu ersetzen, führen Sie die folgenden Schritte aus:

  1. Speichern Sie die Rollengruppe mit dem folgenden Befehl in einer Variablen.

    $RoleGroup = Get-RoleGroup <role group name>
    
  2. Entfernen Sie mit dem folgenden Befehl den Stellvertreter aus der in der Variablen gespeicherten Rollengruppe.

    $RoleGroup.ManagedBy -= (Get-User <user to remove>).Identity
    

    Hinweis

    Verwenden Sie das Cmdlet Get-Group, wenn Sie eine USG entfernen möchten.

  3. Wiederholen Sie Schritt 2 für jeden Stellvertreter, den Sie entfernen möchten.

  4. Wenden Sie die neue Liste der Stellvertreter mithilfe des folgenden Befehls auf die eigentliche Rollengruppe an.

    Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
    

In diesem Beispiel wird der Benutzer David Strome als Stellvertreter der Rollengruppe Organisationsverwaltung entfernt.

$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy -= (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-RoleGroup.

Woher wissen Sie, dass dieses Verfahren erfolgreich war?

Gehen Sie wie folgt vor, um sicherzustellen, dass die Stellvertretungsliste für eine Rollengruppe erfolgreich geändert wurde:

  1. Führen Sie in der Exchange-Verwaltungsshell den folgenden Befehl aus.

    Get-RoleGroup <role group name> | Format-List ManagedBy
    
  2. Stellen Sie sicher, dass die in der ManagedBy-Eigenschaft aufgeführten Delegaten nur die Delegaten enthalten, die die Rollengruppe verwalten können sollen.