Konfigurieren von Exchange Server für geteilte Berechtigungen

Geteilte Berechtigungen ermöglichen es zwei separaten Gruppen, z. B. Active Directory-Administratoren und Exchange-Administratoren, ihre jeweiligen Dienste, Objekte und Attribute zu verwalten. Active Directory-Administratoren verwalten Sicherheitsprinzipale, z. B. Benutzer, die Berechtigungen für den Zugriff auf eine Active Directory-Gesamtstruktur bereitstellen. Exchange-Administratoren verwalten die Exchange-bezogenen Attribute für Active Directory-Objekte und die Exchange-spezifische Objekterstellung und -verwaltung.

Exchange Server 2016 und Exchange Server 2019 bieten die folgenden Arten von Modellen für geteilte Berechtigungen:

• Geteilte RBAC-Berechtigungen: Berechtigungen zum Erstellen von Sicherheitsprinzipalen in der Active Directory-Domänenpartition werden von RBAC (Role Based Access Control) gesteuert. Nur Mitglieder der entsprechenden Rollengruppen können Sicherheitsprinzipale erstellen.

• Geteilte Active Directory-Berechtigungen: Berechtigungen zum Erstellen von Sicherheitsprinzipalen in der Active Directory-Domänenpartition werden von allen Exchange-Benutzern, -Diensten oder -Servern vollständig entfernt. In RBAC wird keine Option zur Erstellung von Sicherheitsprinzipalen bereitgestellt. Die Erstellung von Sicherheitsprinzipalen in Active Directory muss mithilfe von Active Directory-Verwaltungstools durchgeführt werden.

Das von Ihnen ausgewählte Modell hängt von der Struktur und den Anforderungen der Organisation ab. Wählen Sie das Verfahren aus, das auf das zu konfigurierende Modell zutrifft. Es wird empfohlen, dass Sie das geteilte RBAC-Berechtigungsmodell verwenden. Das geteilte RBAC-Berechtigungsmodell stellt wesentlich mehr Flexibilität sowie dieselbe Administrationstrennung wie geteilte Active Directory-Berechtigungen bereit.

Weitere Informationen zu freigegebenen und geteilten Berechtigungen finden Sie unter Teilen von Berechtigungen in Exchange Server.

Weitere Informationen zum Verwalten von Rollengruppen, Verwaltungsrollen sowie regulären und delegierenden Verwaltungsrollenzuweisungen finden Sie in den folgenden Themen:

• Grundlegendes zur rollenbasierten Zugriffssteuerung
• Grundlegendes zu Verwaltungsrollengruppen
• Grundlegendes zu Verwaltungsrollen
• Grundlegendes zu Verwaltungsrollenzuweisungen

Was sollten Sie wissen, bevor Sie beginnen?

• Geschätzte Zeit bis zum Abschließen der einzelnen Verfahren: 5 Minuten

• Bevor Sie diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Geteilte Active Directory-Berechtigungen" im Thema Berechtigungen für die Rollenverwaltung.

• Das von Ihnen ausgewählte Berechtigungsmodell wird auf alle Exchange 2010- oder höher-Server in Ihrer Organisation angewendet.

• Informationen zum Herunterladen der neuesten Version von Exchange finden Sie unter Aktualisierungen für Exchange Server.

• Informationen zum Öffnen der Exchange-Verwaltungsshell finden Sie unter Öffnen der Exchange-Verwaltungsshell.

Tipp

Liegt ein Problem vor? Bitten Sie in den Exchange Server Foren um Hilfe.

Wechsel zu geteilten RBAC-Berechtigungen

Nachdem Sie zu geteilten RBAC-Berechtigungen gewechselt haben, können nur Active Directory-Administratoren Active Directory-Sicherheitsprinzipale erstellen. Dies bedeutet, dass Exchange-Administratoren die folgenden Cmdlets nicht verwenden können:

• New-Mailbox
• New-MailContact
• New-MailUser
• New-RemoteMailbox
• Remove-Mailbox
• Remove-MailContact
• Remove-MailUser
• Remove-RemoteMailbox

Exchange-Administratoren können lediglich die Exchange-Attribute für bereits vorhandene Active Directory-Sicherheitsprinzipale verwalten. Sie können jedoch Exchange-spezifische Objekte erstellen und verwalten, z. B. Nachrichtenflussregeln (auch als Transportregeln bezeichnet) und Verteilergruppen. Weitere Informationen finden Sie im Abschnitt "RBAC Split Permissions" unter Teilen von Berechtigungen in Exchange Server.

Um Exchange für geteilte Berechtigungen zu konfigurieren, müssen Sie die Rolle "Erstellen von E-Mail-Empfängern" und die Rolle "Sicherheitsgruppenerstellung und Mitgliedschaft" einer Rollengruppe zuweisen, die Mitglieder enthält, die Active Directory-Administratoren sind. Anschließend müssen Sie die Zuweisungen zwischen diesen Rollen und allen Rollengruppen oder universellen Sicherheitsgruppen entfernen, die Exchange-Administratoren enthalten.

Führen Sie zum Konfigurieren von geteilten RBAC-Berechtigungen die folgenden Schritte aus:

1. Wenn Ihre Organisation derzeit für geteilte Active Directory-Berechtigungen konfiguriert ist, führen Sie die folgenden Schritte aus:

   1. Öffnen Sie auf dem Zielserver Explorer, klicken Sie mit der rechten Maustaste auf die Exchange ISO-Imagedatei, und wählen Sie dann Einbinden aus. Notieren Sie sich den zugewiesenen Buchstaben des virtuellen DVD-Laufwerks.

   2. Öffnen Sie ein Windows-Eingabeaufforderungsfenster. Beispiel:

      • Drücken Sie die Windows-Taste + „R“ zum Öffnen des Dialogfelds Ausführen, geben Sie „cmd.exe“ ein, und drücken Sie dann auf OK.
      • Klicken Sie auf Start. Geben Sie im Feld Suchen das Wort Eingabeaufforderung ein, und wählen Sie dann in der Ergebnisliste Eingabeaufforderung aus.

   3. Führen Sie im Eingabeaufforderungsfenster den folgenden Befehl aus, um geteilte Active Directory-Berechtigungen zu deaktivieren:

      Hinweis

      • Der vorherige /IAcceptExchangeServerLicenseTerms-Switch funktioniert ab dem Exchange Server 2016 und Exchange Server 2019 September 2021 kumulativen Aktualisierungen (CUs) nicht mehr. Sie müssen jetzt entweder /IAcceptExchangeServerLicenseTerms_DiagnosticDataON oder /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF für unbeaufsichtigte Installationen und Skriptinstallationen verwenden.

      • In den folgenden Beispielen wird der Schalter /IAcceptExchangeServerLicenseTerms_DiagnosticDataON verwendet. Es liegt an Ihnen, den Schalter in /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF zu ändern.

      Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /ActiveDirectorySplitPermissions:false
      

   4. Starten Sie alle Exchange-Server in Ihrer Organisation neu, oder warten Sie, bis das Active Directory-Zugriffstoken auf allen Exchange-Servern repliziert wird.

2. Führen Sie in der Exchange-Verwaltungsshell die folgenden Schritte aus:

   1. Erstellen Sie eine Rollengruppe für die Active Directory-Administratoren. Neben der Rollengruppe werden mit dem Befehl auch die regulären Rollenzuweisungen zwischen der neuen Rollengruppe und der Rolle "Erstellung von E-Mail-Empfängern" und der Rolle "Sicherheitsgruppenerstellung und -mitgliedschaft" erstellt.

      New-RoleGroup "Active Directory Administrators" -Roles "Mail Recipient Creation", "Security Group Creation and Membership"
      

      Hinweis

      Wenn Sie möchten, dass Mitglieder dieser Rollengruppe Rollenzuweisungen erstellen können, müssen Sie die Rolle "Rollenverwaltung" einschließen. Sie müssen diese Rolle nicht zu diesem Zeitpunkt hinzufügen. Wenn Sie jedoch zu einem späteren Zeitpunkt die Rollen "Erstellung von E-Mail-Empfängern" oder "Sicherheitsgruppenerstellung und -mitgliedschaft" zu anderen Rollenempfängern zuweisen möchten, müssen Sie die Rolle "Rollenverwaltung" dieser neuen Rollengruppe zuweisen. Mithilfe der folgenden Schritte wird die Rollengruppe "Active Directory-Administratoren" als einzige Rollengruppe konfiguriert, die diese Rolle delegieren kann.

   2. Erstellen Sie delegierende Rollenzuweisungen zwischen der neuen Rollengruppe und der Rolle "E-Mail-Empfängererstellung" und "Sicherheitsgruppenerstellung und Mitgliedschaft", indem Sie die folgenden Befehle ausführen:

      New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating
      New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Active Directory Administrators" -Delegating
      

   3. Fügen Sie der neuen Rollengruppe Mitglieder hinzu, indem Sie den folgenden Befehl ausführen:

      Add-RoleGroupMember "Active Directory Administrators" -Member <user to add>
      

   4. Ersetzen Sie die Delegatliste für die neue Rollengruppe, sodass nur Mitglieder der Rollengruppe Mitglieder hinzufügen oder entfernen können, indem Sie den folgenden Befehl ausführen:

      Set-RoleGroup "Active Directory Administrators" -ManagedBy "Active Directory Administrators"
      

      Wichtig

      Mitglieder der Rollengruppe Organisationsverwaltung oder Mitglieder, denen die Rolle "Rollenverwaltung" direkt oder über eine andere Rollengruppe oder universelle Sicherheitsgruppe zugewiesen wurde, können diese Sicherheitsprüfung für Stellvertreter umgehen. Wenn Sie verhindern möchten, dass sich ein Exchange-Administrator der neuen Rollengruppe selbst hinzufügt, müssen Sie die Rollenzuweisung zwischen der Rolle "Rollenverwaltung" und allen Exchange-Administratoren entfernen und diese einer anderen Rollengruppe zuordnen.

   5. Suchen Sie alle regulären und delegierenden Rollenzuweisungen an die Rolle "E-Mail-Empfängererstellung", indem Sie den folgenden Befehl ausführen:

      Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Format-Table Name, Role, RoleAssigneeName -Auto
      

   6. Entfernen Sie alle regulären und delegierenden Rollenzuweisungen an die Rolle "E-Mail-Empfängererstellung", die nicht der neuen Rollengruppe oder anderen Rollengruppen, USGs oder direkten Zuweisungen zugeordnet sind, die Sie beibehalten möchten, indem Sie den folgenden Befehl ausführen.

      Remove-ManagementRoleAssignment <Mail Recipient Creation role assignment to remove>
      

      Hinweis

      Wenn Sie alle regulären und delegierenden Rollenzuweisungen der Rolle "Erstellung von E-Mail-Empfängern" oder jedes Rollenempfängers außer der Rollengruppe "Active Directory-Administratoren" entfernen möchten, verwenden Sie den folgenden Befehl. Mit der WhatIf-Option können Sie sehen, welche Rollenzuweisungen entfernt werden. Entfernen Sie den Schalter WhatIf, und führen Sie den Befehl erneut aus, um die Rollenzuweisungen zu entfernen.

      Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
      

   7. Suchen Sie alle regulären und delegierenden Rollenzuweisungen an die Rolle "Sicherheitsgruppenerstellung und Mitgliedschaft", indem Sie den folgenden Befehl ausführen.

      Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Format-Table Name, Role, RoleAssigneeName -Auto
      

   8. Entfernen Sie alle regulären und delegierenden Rollenzuweisungen an die Rolle Sicherheitsgruppenerstellung und -mitgliedschaft, die nicht der neuen Rollengruppe oder anderen Rollengruppen, USGs oder direkten Zuweisungen zugeordnet sind, die Sie behalten möchten, indem Sie den folgenden Befehl ausführen:

      Remove-ManagementRoleAssignment <Security Group Creation and Membership role assignment to remove>
      

      Hinweis

      Sie können denselben Befehl in der vorangehenden Anmerkung verwenden, um alle regulären und delegierenden Rollenzuweisungen zur Rolle "Sicherheitsgruppenerstellung und -mitgliedschaft" oder jedem Rollenempfänger außer der Rollengruppe "Active Directory-Administratoren" zu entfernen, wie in diesem Beispiel beschrieben.

      Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
      

Ausführliche Informationen zu Syntax und Parametern finden Sie in den folgenden Themen:

• New-RoleGroup
• New-ManagementRoleAssignment
• Add-RoleGroupMember
• Set-RoleGroup
• Get-ManagementRoleAssignment
• Remove-ManagementRoleAssignment

Wechsel der geteilten Active Directory-Berechtigungen

Sie können Ihre Exchange-Organisation für geteilte Active Directory-Berechtigungen konfigurieren. Geteilte Active Directory-Berechtigungen entfernen alle Berechtigungen vollständig, die zulassen, dass Exchange-Administratoren und -Server Sicherheitsprinzipale in Active Directory erstellen oder Nicht-Exchange-Attribute auf diesen Objekten ändern. Anschließend können nur Active Directory-Administratoren Active Directory-Sicherheitsprinzipale erstellen. Dies bedeutet, dass Exchange-Administratoren die folgenden Cmdlets nicht verwenden können:

• Add-DistributionGroupMember
• New-DistributionGroup
• New-Mailbox
• New-MailContact
• New-MailUser
• New-RemoteMailbox
• Remove-DistributionGroup
• Remove-DistributionGroupMember
• Remove-Mailbox
• Remove-MailContact
• Remove-MailUser
• Remove-RemoteMailbox
• Update-DistributionGroupMember

Exchange-Administratoren und -Server können lediglich die Exchange-Attribute für bereits vorhandene Active Directory-Sicherheitsprinzipale verwalten. Sie können jedoch Exchange-spezifische Objekte wie Transportregeln und Unified Messaging-Wählpläne erstellen und verwalten.

Warnung

Nach der Aktivierung von geteilten Active Directory-Berechtigungen können Exchange-Administratoren und -Server keine Sicherheitsprinzipale in Active Directory mehr erstellen und keine Mitgliedschaft in Verteilergruppen verwalten. Diese Aufgaben müssen mithilfe der Active Directory-Verwaltungstools mit den erforderlichen Active Directory-Berechtigungen durchgeführt werden. Bevor Sie diese Änderung vornehmen, sollten Sie wissen, welche Auswirkungen sie auf Ihre Verwaltungsprozesse und Anwendungen von Drittanbietern hat, die in Exchange und das RBAC-Berechtigungsmodell integriert werden.

Weitere Informationen finden Sie im Abschnitt "Geteilte Active Directory-Berechtigungen" unter Aufteilen von Berechtigungen in Exchange Server.

Führen Sie die folgenden Schritte aus, um von geteilten Berechtigungen oder RBAC-Berechtigungen zu geteilten Active Directory-Berechtigungen zu wechseln:

1. Öffnen Sie auf dem Zielserver Explorer, klicken Sie mit der rechten Maustaste auf die Exchange ISO-Imagedatei, und wählen Sie dann Einbinden aus. Notieren Sie sich den zugewiesenen Buchstaben des virtuellen DVD-Laufwerks.

2. Führen Sie in einem Windows-Eingabeaufforderungsfenster den folgenden Befehl aus, um geteilte Active Directory-Berechtigungen zu aktivieren:

   Hinweis

   • Der vorherige /IAcceptExchangeServerLicenseTerms-Switch funktioniert ab dem Exchange Server 2016 und Exchange Server 2019 September 2021 kumulativen Aktualisierungen (CUs) nicht mehr. Sie müssen jetzt entweder /IAcceptExchangeServerLicenseTerms_DiagnosticDataON oder /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF für unbeaufsichtigte Installationen und Skriptinstallationen verwenden.

   • In den folgenden Beispielen wird der Schalter /IAcceptExchangeServerLicenseTerms_DiagnosticDataON verwendet. Es liegt an Ihnen, den Schalter in /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF zu ändern.

   Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /ActiveDirectorySplitPermissions:true
   

3. Wenn Sie in Ihrer Organisation über mehrere Active Directory-Domänen verfügen, müssen Sie entweder in jeder untergeordneten Domäne ausführen Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareDomain , die Exchange-Server oder -Objekte enthält, oder von einem Standort aus ausgeführt Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains werden, der über einen Active Directory-Server aus jeder Domäne verfügt.

4. Starten Sie alle Exchange-Server in Ihrer Organisation neu, oder warten Sie, bis das Active Directory-Zugriffstoken auf allen Exchange-Servern repliziert wurde.