Freigeben über


Grundlegendes zu Verwaltungsrollen-Zuweisungsrichtlinien

Gilt für: Exchange Server 2013

Eine Zuweisungsrichtlinie für Verwaltungsrollen ist eine Sammlung von einer oder mehreren Endbenutzerverwaltungsrollen, mit der Endbenutzer ihre eigene Microsoft Exchange Server 2013-Postfach- und Verteilergruppenkonfiguration verwalten können. Mit Rollenzuweisungsrichtlinien, die Teil des rollenbasierten Zugriffssteuerungsmodells (Role Based Access Control, RBAC) in Exchange 2013 sind, können Sie steuern, welche spezifischen Konfigurationseinstellungen Endbenutzer für Postfächer und Verteilergruppen ändern können. Rollenzuweisungsrichtlinien können auf unterschiedliche Benutzergruppen abgestimmt sein.

Hinweis

Dieses Thema konzentriert sich auf erweiterte RBAC-Funktionen. Wenn Sie grundlegende Exchange 2013-Berechtigungen verwalten möchten, z. B. das Exchange Admin Center (EAC), um Mitglieder zu und aus Rollengruppen hinzuzufügen und daraus zu entfernen, Rollengruppen zu erstellen und zu ändern oder Rollenzuweisungsrichtlinien zu erstellen und zu ändern, lesen Sie Berechtigungen.

Weitere Informationen zu RBAC finden Sie unter Grundlegendes zur rollenbasierten Zugriffssteuerung.

Ebenen von Rollenzuweisungsrichtlinien

Im Folgenden werden die Ebenen beschrieben, aus denen das Modell für Rollenzuweisungsrichtlinien besteht:

  • Postfach: Postfächern wird eine einzelne Rollenzuweisungsrichtlinie zugewiesen. Wird einem Postfach eine Rollenzuweisungsrichtlinie zugewiesen, werden die Zuweisungen zwischen Verwaltungsrollen und einer Rollenzuweisungsrichtlinie auf das Postfach angewendet. Dadurch werden dem Postfach alle von den Verwaltungsrollen bereitgestellten Berechtigungen erteilt.

  • Zuweisungsrichtlinie für Verwaltungsrollen: Die Zuweisungsrichtlinie für Verwaltungsrollen ist ein spezielles Objekt in Exchange 2013. Benutzern wird eine Rollenzuweisungsrichtlinie zugeordnet, wenn ihr Postfach erstellt wird oder Sie die Rollenzuweisungsrichtlinie für ein Postfach ändern. Dieser weisen Sie auch Endbenutzerverwaltungsrollen zu. Die Kombination aller Rollen in einer Rollenzuweisungsrichtlinie definiert all das, was der Benutzer in seinem Postfach oder in Verteilergruppen verwalten kann.

  • Zuweisung von Verwaltungsrollen: Eine Verwaltungsrollenzuweisung ist das Bindeglied zwischen einer Verwaltungsrolle und einer Rollenzuweisungsrichtlinie. Durch das Zuweisen einer Verwaltungsrolle zu einer Rollenzuweisungsrichtlinie wird die Möglichkeit gegeben, die in der Verwaltungsrolle definierten Cmdlets und Parameter zu verwenden. Beim Erstellen einer Rollenzuweisung zwischen einer Rollenzuweisungsrichtlinie und einer Verwaltungsrolle können Sie keinen Bereich angeben. Der von der Zuweisung angewendete Bereich basiert auf der Verwaltungsrolle und ist entweder Self oder MyGAL. Weitere Informationen finden Sie unter Grundlegendes zu Verwaltungsrollenzuweisungen.

  • Verwaltungsrolle: Eine Verwaltungsrolle ist ein Container für eine Gruppierung von Verwaltungsrolleneinträgen. Rollen werden zum Definieren der spezifischen Aufgaben verwendet, die Benutzer mit ihrem Postfach oder Verteilergruppen ausführen können. Ein Verwaltungsrolleneintrag ist ein Cmdlet, Skript oder eine spezielle Berechtigung zur Ausführung der einzelnen spezifischen Aufgaben in einer Verwaltungsrolle. Sie können nur Endbenutzerverwaltungsrollen mit Rollenzuweisungsrichtlinien verwenden. Weitere Informationen finden Sie unter Grundlegendes zu Verwaltungsrollen.

  • Verwaltungsrolleneintrag: Verwaltungsrolleneinträge sind die einzelnen Einträge in einer Verwaltungsrolle, die bestimmen, welche Cmdlets und Parameter für die Verwaltungsrolle und die Rollengruppe verfügbar sind. Jeder Rolleneintrag besteht aus einem Cmdlet und den Parametern, auf die über die Verwaltungsrolle zugegriffen werden kann.

Die folgende Abbildung zeigt die einzelnen Ebenen für die in der vorhergehenden Liste aufgeführten Rollenzuweisungsrichtlinien und die Beziehung der einzelnen Ebenen zueinander.

Rollenzuweisungsmodellbeziehungen.

Weitere Informationen zu Verwaltungsrollen, Rollenzuweisungen und Bereichen finden Sie unter Grundlegendes zur rollenbasierten Zugriffssteuerung.

Standard- und explizite Rollenzuweisungsrichtlinien

Die folgenden Abschnitte beschreiben die beiden Arten von Rollenzuweisungsrichtlinien in Exchange 2013.

Standard-Rollenzuweisungsrichtlinie

Eine Standardrichtlinie für die Rollenzuweisung ist eine, die einem Postfach zugewiesen ist, wenn das Postfach erstellt oder auf einen Server mit Exchange 2013 verschoben wird, und eine Rollenzuweisungsrichtlinie wurde nicht mit dem RoleAssignmentPolicy-Parameter in den Cmdlets New-Mailbox oder Enable-Mailbox bereitgestellt.

Exchange 2013 beinhaltet eine Standard-Rollenzuweisungsrichtlinie, die Endbenutzern die am häufigsten verwendeten Berechtigungen zur Verfügung stellt. Sie können die Standardberechtigungen in der Standard-Rollenzuweisungsrichtlinie ändern, indem Sie Verwaltungsrollen hinzufügen oder entfernen.

Wenn Sie die Standard-Rollenzuweisungsrichtlinie durch eine eigene Standard-Rollenzuweisungsrichtlinie ersetzen möchten, können Sie mithilfe des Cmdlets Set-RoleAssignmentPolicy einen neuen Standard auswählen. Wenn Sie dies tun, werden alle neuen Postfächer der Rollenzuweisungsrichtlinie zugewiesen, die Sie standardmäßig angegeben haben, sofern Sie keine explizite Rollenzuweisungsrichtlinie angeben.

Wenn Sie die Standard-Rollenzuweisungsrichtlinie ändern, wird Postfächern, denen die Standard-Rollenzuweisungsrichtlinie zugewiesen wurde, nicht automatisch die neue Standard-Rollenzuweisungsrichtlinie zugewiesen. Wenn Sie vorher erstellte Postfächer so aktualisieren möchten, dass diese die von Ihnen als Standard festgelegten Rollenzuweisungsrichtlinien verwenden, müssen Sie dazu das Cmdlet Set-Mailbox verwenden.

Explizite Rollenzuweisungsrichtlinie

Eine explizite Rollenzuweisungsrichtlinie ist eine Richtlinie, die Sie einem Postfach mithilfe des Parameters RoleAssignmentPolicy in den Cmdlets New-Mailbox, Set-Mailbox oder Enable-Mailbox manuell zuweisen. Wenn Sie eine explizite Rollenzuweisungsrichtlinie zuweisen, wird die neue Richtlinie sofort wirksam und ersetzt die vorher zugewiesene explizite Rollenzuweisungsrichtlinie.

Verwenden von Rollenzuweisungsrichtlinien

Mithilfe von Rollenzuweisungsrichtlinien können Sie Berechtigungen auf der Grundlage dessen erteilen, welche Einstellungen zum Erfüllen von Geschäftsanforderungen Ihre Benutzer konfigurieren können sollten. Wenn die Standard-Rollenzuweisungsrichtlinie Ihren Anforderungen genügt, müssen Sie keine Anpassung vornehmen. Wenn Sie jedoch über viele verschiedene Benutzergruppen mit unterschiedlichen Anforderungen verfügen, können Sie für diese Rollenzuweisungsrichtlinien erstellen.

Die von Ihnen verwendete Standard-Rollenzuweisungsrichtlinie sollte die Berechtigungen enthalten, die für die größte Benutzergruppe gelten. Erstellen Sie dann Rollenzuweisungsrichtlinien für die jeweiligen speziellen Benutzergruppen, und passen Sie diese Rollenzuweisungsrichtlinien an, um mehr oder weniger eingeschränkte oder Berechtigungen zu erteilen. Wenn Sie Ihre Rollenzuweisungsrichtlinien auf diese Weise organisieren, reduzieren Sie die Komplexität, indem Sie nur spezialisierten Benutzern explizite Rollenzuweisungsrichtlinien zuweisen, während die Mehrzahl der Benutzer die gängigen Berechtigungen erhält, die von der Standard-Rollenzuweisungsrichtlinie bereitgestellt werden.

Ein Postfach kann nur eine Rollenzuweisungrichtlinie haben. Allen Benutzern, auch Administratoren und spezialisierten Benutzern, wird eine Rollenzuweisungsrichtlinie zugewiesen. Wenn Sie möchten, dass ein Benutzer über andere Berechtigungen verfügt, müssen Sie dem Postfach dieses Benutzers eine andere Rollenzuweisungsrichtlinie mit den erforderlichen Berechtigungen zuweisen.

Verwalten von Rollenzuweisungsrichtlinien

Um eine neue Rollenzuweisungsrichtlinie hinzuzufügen, erstellen Sie zunächst eine und entscheiden, ob es sich um die Standardrichtlinie für die Rollenzuweisung handelt. Nachdem Sie eine Rollenzuweisungsrichtlinie erstellt haben, weisen Sie der Rollenzuweisungsrichtlinie Verwaltungsrollen zu und weisen die Rollenzuweisungsrichtlinie dann Postfächern zu. Sie können später Verwaltungsrollen hinzufügen oder entfernen oder eine andere Rollenzuweisungsrichtlinie als Standard auswählen.

Die folgende Tabelle enthält eine Liste der Ebenen der Rollenzuweisungsrichtlinien und Links zu den Vorgehensweisen beim Verwalten der einzelnen Ebenen.

Verwaltung von Rollenzuweisungsrichtlinien

Ebene des Modells für Rollenzuweisungsrichtlinien Verwaltungsthemen
Postfach Verwalten von Benutzerpostfächern

Ändern der Zuweisungsrichtlinie für ein Postfach
Rollenzuweisungsrichtlinie Verwalten von Rollenzuweisungsrichtlinien
Verwaltungsrollen und -zuweisungen Verwalten von Rollenzuweisungsrichtlinien
Verwaltungsrolleneinträge Hinzufügen eines Rolleneintrags zu einer Rolle

Ändern Sie einen rolleneintrag

Entfernen eines Rolleneintrags aus einer Rolle

Hinweis: Das Ändern der Verwaltungsrolleneinträge in Verwaltungsrollen in einer Rollenzuweisungsrichtlinie ist eine erweiterte Aufgabe und in den meisten Fällen nicht erforderlich. Sie können stattdessen möglicherweise eine vorher bestehende Verwaltungsrolle verwenden, die Ihren Anforderungen entspricht. Weitere Informationen finden Sie unter Integrierte Rollengruppen.