Konfigurieren von Exchange Server für freigegebene Berechtigungen

GILT FÜR:2016 2019 Subscription Edition

Falls für Ihre Organisation niemals geteilte Berechtigungen konfiguriert waren, müssen Sie dieses Verfahren nicht ausführen. Exchange Server 2016 und Exchange Server 2019 sind standardmäßig für freigegebene Berechtigungen konfiguriert.

Mit freigegebenen Berechtigungen können Sie als Exchange-Administrator Active Directory-Sicherheitsprinzipale wie Benutzer erstellen und diese dann als Exchange-Empfänger konfigurieren. Anders als bei geteilten Berechtigungen, bei denen Verwaltungsaufgaben zwischen den Gruppen der Exchange-Administratoren und der Active Directory-Administratoren aufgeteilt sind, gibt es bei gemeinsamen Berechtigungen keine Aufgabenteilung.

Weitere Informationen zu freigegebenen und geteilten Berechtigungen finden Sie unter Teilen von Berechtigungen in Exchange Server.

Sie können Ihre Exchange-organization für freigegebene Berechtigungen konfigurieren, wenn Sie zuvor Ihre organization für geteilte Berechtigungen festgelegt haben. Das Verfahren zum Wechsel zu gemeinsamen Berechtigungen unterscheidet sich in Abhängigkeit davon, ob Sie aktuell geteilte Berechtigungen der rollenbasierten Zugriffssteuerung (Role Based Access Control, RBAC) oder geteilte Active Directory-Berechtigungen verwenden. Wählen Sie das Verfahren aus den folgenden aus, das auf Ihre aktuelle Konfiguration anwendbar ist. Wenn Folgendes zutrifft, verwendet Ihr Unternehmen geteilte Active Directory-Berechtigungen:

• Die Microsoft Exchange-Organisationseinheit "Geschützte Gruppen" ist vorhanden.

• Die Sicherheitsgruppe Exchange Windows-Berechtigungen befindet sich in der Organisationseinheit Für geschützte Microsoft Exchange-Gruppen.

• Die Sicherheitsgruppe "Vertrauenswürdiges Exchange-Subsystem" ist Mitglied der Sicherheitsgruppe Exchange Windows-Berechtigungen.

• Es gibt keine regulären Verwaltungsrollenzuordnungen zur Rolle "Erstellung von E-Mail-Empfängern" oder "Sicherheitsgruppenerstellung und -mitgliedschaft".

Weitere Informationen zum Verwalten von Rollengruppen, Verwaltungsrollen sowie regulären und delegierenden Verwaltungsrollenzuweisungen finden Sie in den folgenden Themen:

• Grundlegendes zur rollenbasierten Zugriffssteuerung

• Grundlegendes zu Verwaltungsrollengruppen

• Grundlegendes zu Verwaltungsrollen

• Grundlegendes zu Verwaltungsrollenzuweisungen

Was sollten Sie wissen, bevor Sie beginnen?

• Geschätzte Zeit bis zum Abschließen der einzelnen Verfahren: 5 Minuten

• Für die Verfahren in diesem Thema sind bestimmte Berechtigungen erforderlich. Informationen zu den Berechtigungen finden Sie in den einzelnen Verfahren.

• Die Exchange-organization muss derzeit für RBAC- oder Active Directory-Geteilte Berechtigungen konfiguriert werden.

• Das von Ihnen ausgewählte Berechtigungsmodell wird auf alle Exchange 2010- oder höher-Server in Ihrem organization angewendet.

• Sie benötigen die Berechtigungen zum Delegieren der Verwaltungsrollen "Erstellung von E-Mail-Empfängern" und "Sicherheitsgruppenerstellung und -mitgliedschaft" an die Verwaltungsrollengruppe Organisationsverwaltung oder an eine andere Rollengruppe, der die Rolle "E-Mail-Empfänger" zugewiesen ist.

• Informationen zum Herunterladen der neuesten Version von Exchange auf den Zielcomputer finden Sie unter Updates für Exchange Server.

• Informationen zum Öffnen der Exchange-Verwaltungsshell finden Sie unter Öffnen der Exchange-Verwaltungsshell.

Tipp

Liegt ein Problem vor? Bitten Sie in den Exchange Server Foren um Hilfe.

Wechseln von geteilten RBAC-Berechtigungen zu gemeinsamen Berechtigungen

Bevor Sie dieses Verfahren bzw. diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Rollengruppen" im Thema Berechtigungen für die Rollenverwaltung.

Um von RBAC-geteilten Berechtigungen zu freigegebenen Exchange-Berechtigungen zu wechseln, müssen Sie die Rolle "E-Mail-Empfängererstellung" und die Rolle "Sicherheitsgruppenerstellung und Mitgliedschaft" einer Rollengruppe zuweisen, der auch die Rolle "E-Mail-Empfänger" zugewiesen ist und exchange-Administratoren als Mitglieder sind. In der standardmäßigen Konfiguration mit gemeinsamen Berechtigungen sind alle diese Rollen in der Rollengruppe Organisationsverwaltung enthalten. Daher wird in diesem Verfahren die Rollengruppe Organisationsverwaltung verwendet.

Konfigurieren von gemeinsamen Berechtigungen

Führen Sie zum Konfigurieren freigegebener Berechtigungen für die Rollengruppe Organisationsverwaltung die folgenden Schritte mithilfe eines Kontos aus, das über Berechtigungen zum Delegieren von Rollenzuweisungen für die Rolle "E-Mail-Empfängererstellung" und die Rolle "Sicherheitsgruppenerstellung und Mitgliedschaft" verfügt:

1. Fügen Sie mithilfe der folgenden Befehle eine delegierende Rollenzuweisung für die Rolle "Erstellung von E-Mail-Empfängern" und die Rolle "Sicherheitsgruppenerstellung und -mitgliedschaft" zur Organisationsverwaltung-Rollengruppe hinzu.

   New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" -Delegating
   New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management" -Delegating
   

   Hinweis

   Der Rollengruppe (in diesem Verfahren die Rollengruppe "Active Directory-Administratoren"), die über delegierende Rollenzuweisungen für die Rolle "Erstellung von E-Mail-Empfängern" und für die Rolle "Sicherheitsgruppenerstellung und -mitgliedschaft" verfügt, muss die Rolle "Rollenverwaltung" zugeordnet werden, um das Cmdlet New-ManagementRoleAssignment auszuführen. Der Rollenempfänger, der die Rolle "Rollenverwaltung" delegieren kann, muss diese Rolle der Rollengruppe "Active Directory-Administratoren" zuweisen.

2. Fügen Sie mit den folgenden Befehlen den Rollengruppen Organisationsverwaltung und Empfängerverwaltung reguläre Rollenzuweisungen für die Rolle "Erstellung von E-Mail-Empfängern" hinzu.

   New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
   New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Recipient Management"
   

3. Fügen Sie mit dem folgenden Befehl der Rollengruppe Organisationsverwaltung eine reguläre Rollenzuweisung für die Rolle "Sicherheitsgruppenerstellung und -mitgliedschaft" hinzu.

    New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management"
   

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementRoleAssignment.

Entfernen von Berechtigungen von Active Directory-Administratoren (optional)

Sie können optional die Berechtigungen von Active Directory-Administratoren entfernen, falls diese nicht mehr Active Directory-Objekte mithilfe der Exchange-Verwaltungstools erstellen oder verwalten sollen. Wenn Sie Berechtigungen von Active Directory-Administratoren entfernen möchten, führen Sie dieses Verfahren durch.

Hinweis

Obwohl Sie Berechtigungen für Active Directory-Administratoren zum Verwalten von Active Directory-Objekten mithilfe der Exchange-Verwaltungstools entfernen können, können Active Directory-Administratoren Active Directory-Objekte weiterhin mithilfe von Active Directory-Verwaltungstools verwalten, wenn ihre Active Directory-Berechtigungen dies zulassen. Sie können jedoch keine Exchange-spezifischen Attribute für Active Directory-Objekte verwalten. Weitere Informationen finden Sie unter Teilen von Berechtigungen in Exchange Server.

Führen Sie die folgenden Schritte aus, um Exchange-bezogene geteilte Berechtigungen von Active Directory-Administratoren zu entfernen:

1. Entfernen Sie mit dem folgenden Befehl die regulären und delegierenden Rollenzuweisungen, die die Rolle "Erstellung von E-Mail-Empfängern" der Rollengruppe oder der universellen Sicherheitsgruppe (Universal Security Group, USG) zuweisen, in der die Active Directory-Administratoren Mitglied sind. In diesem Befehl wird die Rollengruppe "Active Directory-Administratoren" als Beispiel verwendet. Mit der WhatIf-Option können Sie sehen, welche Rollenzuweisungen entfernt werden. Entfernen Sie den Schalter WhatIf , und führen Sie den Befehl erneut aus, um die Rollenzuweisungen zu entfernen.

   Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where { $_.RoleAssigneeName -EQ "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
   

2. Entfernen Sie mit dem folgenden Befehl die regulären und delegierenden Rollenzuweisungen, die die Rolle "Sicherheitsgruppenerstellung und -mitgliedschaft" der Rollengruppe oder der USG zuweisen, in der die Active Directory-Administratoren Mitglied sind. In diesem Befehl wird die Rollengruppe "Active Directory-Administratoren" als Beispiel verwendet. Mit der WhatIf-Option können Sie sehen, welche Rollenzuweisungen entfernt werden. Entfernen Sie den Schalter WhatIf , und führen Sie den Befehl erneut aus, um die Rollenzuweisungen zu entfernen.

   Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where { $_.RoleAssigneeName -EQ "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
   

3. Optional. Falls Sie alle Exchange-Berechtigungen der Active Directory-Administratoren entfernen möchten, können Sie die Rollengruppe oder USG entfernen, in der diese Mitglied sind. Weitere Informationen zum Entfernen einer Rollengruppe finden Sie unter Verwalten von Rollengruppen.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-ManagementRoleAssignment oder Remove-ManagementRoleAssignment.

Wechseln von geteilten Active Directory-Berechtigungen zu gemeinsamen Berechtigungen

Bevor Sie dieses Verfahren bzw. diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Geteilte Active Directory-Berechtigungen" im Thema Berechtigungen für die Rollenverwaltung.

Um von geteilten Active Directory-Berechtigungen zu freigegebenen Exchange-Berechtigungen zu wechseln, müssen Sie das Exchange-Setup erneut ausführen, um geteilte Active Directory-Berechtigungen im Exchange-organization zu deaktivieren, und dann Rollenzuweisungen zwischen einer Rollengruppe und der Rolle "E-Mail-Empfängererstellung" und "Sicherheitsgruppenerstellung und Mitgliedschaft" erstellen. In der standardmäßigen Konfiguration mit gemeinsamen Berechtigungen sind alle diese Rollen in der Rollengruppe Organisationsverwaltung enthalten. Daher wird in diesem Verfahren die Rollengruppe Organisationsverwaltung verwendet.

Wichtig

Der Befehl Setup.exe in diesem Verfahren nimmt Änderungen an Active Directory vor. Sie müssen ein Konto verwenden, das über die erforderlichen Berechtigungen verfügt, um diese Änderungen vorzunehmen. Dieses Konto ist möglicherweise nicht dasselbe Konto, das über Berechtigungen zum Erstellen von Rollenzuweisungen mit dem Cmdlet New-ManagementRoleAssignment verfügt. Verwenden Sie das Konto bzw. die Konten mit den erforderlichen Berechtigungen, um die einzelnen Schritte in diesem Verfahren erfolgreich abzuschließen.

Führen Sie die folgenden Schritte aus, um von geteilten Active Directory-Berechtigungen zu freigegebenen Berechtigungen zu wechseln:

1. Öffnen Sie auf dem Zielserver Explorer, klicken Sie mit der rechten Maustaste auf die heruntergeladene Exchange ISO-Imagedatei, und wählen Sie dann Einbinden aus. Notieren Sie sich den zugewiesenen Buchstaben des virtuellen DVD-Laufwerks.

2. Öffnen Sie ein Windows-Eingabeaufforderungsfenster. Zum Beispiel:

   • Drücken Sie die Windows-Taste + „R“ zum Öffnen des Dialogfelds Ausführen, geben Sie „cmd.exe“ ein, und drücken Sie dann auf OK.

   • Klicken Sie auf Start. Geben Sie im Feld Suchen das Wort Eingabeaufforderung ein, und wählen Sie dann in der Ergebnisliste Eingabeaufforderung aus.

3. Führen Sie im Eingabeaufforderungsfenster den folgenden Befehl aus:

Hinweis

• Der vorherige /IAcceptExchangeServerLicenseTerms-Switch funktioniert ab dem Exchange Server 2016 und Exchange Server 2019 September 2021 kumulativen Updates (CUs) nicht mehr. Sie müssen jetzt entweder /IAcceptExchangeServerLicenseTerms_DiagnosticDataON oder /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF für unbeaufsichtigte Installationen und Skriptinstallationen verwenden.

• In den folgenden Beispielen wird der Schalter /IAcceptExchangeServerLicenseTerms_DiagnosticDataON verwendet. Es liegt an Ihnen, den Schalter in /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF zu ändern.

Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /ActiveDirectorySplitPermissions:false

4. Führen Sie in der Exchange-Verwaltungsshell die folgenden Befehle aus, um reguläre Rollenzuweisungen zwischen der Rolle "E-Mail-Empfängererstellung" und der Rolle "Sicherheitsgruppenerstellung und -verwaltung" und den Rollengruppen "Organisationsverwaltung" und "Empfängerverwaltung" hinzuzufügen.

   New-ManagementRoleAssignment "Mail Recipient Creation_Organization Management" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
   New-ManagementRoleAssignment "Security Group Creation and Membership_Org Management" -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management"
   New-ManagementRoleAssignment "Mail Recipient Creation_Recipient Management" -Role "Mail Recipient Creation" -SecurityGroup "Recipient Management"
   

5. Starten Sie alle Exchange-Server in Ihrem organization neu.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementRoleAssignment.