Grundlegendes zu Verwaltungsrollengruppen
Gilt für: Exchange Server 2013
Eine Verwaltungsrollengruppe ist eine universelle Sicherheitsgruppe (UNIVERSAL Security Group, USG), die im RBAC-Berechtigungsmodell (Role Based Access Control) in Microsoft Exchange Server 2013 verwendet wird. Eine Verwaltungsrollengruppe vereinfacht die Zuweisung von Verwaltungsrollen an eine Gruppe von Benutzern. Allen Mitgliedern einer Rollengruppe werden dieselben Rollen zugewiesen. Rollengruppen werden Administrator- und Fachrollen zugewiesen, die wichtige administrative Aufgaben in Exchange 2013 definieren, z. B. Organisationsverwaltung, Empfängerverwaltung und andere Aufgaben. Mithilfe von Rollengruppen können Sie einer Gruppe von Administratoren oder spezialisierten Benutzern einfacher eine Reihe von Berechtigungen erteilen.
Hinweis
Dieses Thema konzentriert sich auf erweiterte RBAC-Funktionen. Wenn Sie grundlegende Exchange 2013-Berechtigungen verwalten möchten, z. B. das Exchange Admin Center (EAC), um Mitglieder zu und aus Rollengruppen hinzuzufügen und daraus zu entfernen, Rollengruppen zu erstellen und zu ändern oder Rollenzuweisungsrichtlinien zu erstellen und zu ändern, lesen Sie Berechtigungen.
Informationen zum Zuweisen von Berechtigungen an Benutzer, damit diese die eigenen Postfächer oder Verteilergruppen verwalten können, finden Sie unter Grundlegendes zu Verwaltungsrollen-Zuweisungsrichtlinien.
Rollengruppenebenen
Im Folgenden handelt es sich um die Ebenen, aus denen das Rollengruppenmodell besteht:
Rollengruppenmitglied: Ein Rollengruppenmitglied ist ein Postfach, eine universelle Sicherheitsgruppe oder eine andere Rollengruppe, die als Mitglied einer Rollengruppe hinzugefügt werden kann. Wenn ein Postfach, eine USG oder eine andere Rollengruppe der Rollengruppe als Mitglied hinzugefügt wird, werden alle Zuweisungen, die zwischen Verwaltungsrollen und Rollengruppen erfolgt sind, auf das neue Mitglied angewendet. Dadurch werden dem neuen Mitglied sämtliche von den Verwaltungsrollen bereitgestellten Berechtigungen erteilt.
Verwaltungsrollengruppe: Die Verwaltungsrollengruppe ist ein spezieller USG, der Postfächer, USGs und andere Rollengruppen enthält, die Mitglieder der Rollengruppe sind. Hier werden Mitglieder hinzugefügt und entfernt und auch Verwaltungsrollen zugewiesen. Die Kombination all dieser Rollen in einer Rollengruppe definiert alle Elemente, welche die einer Rollengruppe hinzugefügten Mitglieder in der Exchange-Organisation verwalten können.
Verwaltungsrollenzuweisung: Eine Verwaltungsrollenzuweisung verknüpft eine Verwaltungsrolle und eine Rollengruppe. Durch das Zuweisen einer Verwaltungsrolle zu einer Rollengruppe wird Mitgliedern der Rollengruppe die Möglichkeit gegeben, die in der Verwaltungsrolle definierten Cmdlets und Parameter zu verwenden. Rollenzuweisungen können Verwaltungsbereiche verwenden, um zu steuern, wo die Zuweisung verwendet werden kann. Weitere Informationen finden Sie unter Grundlegendes zu Verwaltungsrollenzuweisungen.
Verwaltungsrollenbereich: Ein Verwaltungsrollenbereich ist der Einflussbereich oder die Auswirkung auf eine Rollenzuweisung. Wird eine Rolle mit einem Bereich einer Rollengruppe zugewiesen, grenzt der Verwaltungsbereich genau ein, welche Objekte diese Zuweisung verwalten darf. Die Zuweisung und ihr Bereich werden dann den Mitgliedern der Rollengruppe zugewiesen, wodurch eingeschränkt wird, was diese Mitglieder verwalten können. Ein Bereich kann aus Listen von Servern oder Datenbanken, Organisationseinheiten oder Filtern für Server-, Datenbank- oder Empfängerobjekte bestehen. Weitere Informationen finden Sie unter Grundlegendes zu Verwaltungsrollenbereichen.
Verwaltungsrolle: Eine Verwaltungsrolle ist ein Container für eine Gruppierung von Verwaltungsrolleneinträgen. Rollen werden verwendet, um die spezifischen Aufgaben zu definieren, die von den Mitgliedern einer Rollengruppe, der die Rolle zugewiesen wird, ausgeführt werden können. Weitere Informationen finden Sie unter Grundlegendes zu Verwaltungsrollen.
Verwaltungsrolleneinträge: Verwaltungsrolleneinträge sind die einzelnen Einträge in einer Verwaltungsrolle, die Zugriff auf Cmdlets, Skripts und andere spezielle Berechtigungen bieten, die den Zugriff zum Ausführen einer bestimmten Aufgabe ermöglichen. Meistens bestehen Rolleneinträge aus einem Cmdlet oder Skript und den Parametern, auf die von der Verwaltungsrolle und damit der Rollengruppe, der die Rolle zugewiesen ist, zugegriffen werden kann.
Die folgende Abbildung zeigt die einzelnen Rollengruppenebenen in der vorhergehenden Liste und die Beziehung der einzelnen Ebenen zueinander an.
.gif "Verwaltungsrollengruppenebenen")
Weitere Informationen zu RBAC finden Sie unter Grundlegendes zur rollenbasierten Zugriffssteuerung.
Rollengruppenverwaltung
Wenn Sie eine Rollengruppe erstellen, erstellen Sie die universelle Sicherheitsgruppe für die Mitglieder der Rollengruppe, und Sie erstellen die Zuweisungen zwischen der Rollengruppe und den von Ihnen festgelegten Verwaltungsrollen. Sie können optional auch einen Verwaltungsbereich für die Rollenzuweisungen festlegen und Postfächer, die Mitglieder der neuen Rollengruppe werden sollen, hinzufügen.
Nachdem Sie eine Rollengruppe erstellt haben, wird jede Ebene zu einem unabhängigen Objekt. Die Rollengruppe ist weiterhin der zentrale Punkt, an dem alle Ebenen miteinander verbunden sind, aber jede Ebene wird einzeln verwaltet. Um beispielsweise den Verwaltungsbereich zu ändern, den Sie bei der Erstellung auf die Rollengruppe angewendet haben, müssen Sie den Bereich für jede einzelne Rollenzuweisung ändern, nachdem die Rollengruppe erstellt wurde. Die Verwaltung des Rollengruppenmodells erfolgt mithilfe der Cmdlets, die die einzelnen Ebenen des Rollengruppenmodells verwalten.
Die folgende Tabelle enthält eine Liste der Rollengruppenebenen und Links zu Vorgehensweisen bei der Verwaltung der einzelnen Ebenen.
Rollengruppenverwaltung
| Ebene des Rollengruppenmodells | Verwaltungsthema |
|---|---|
| Rollengruppenmitglied | Verwalten von Rollengruppenmitgliedern |
| Rollengruppe | Verwalten von Rollengruppen |
| Verwaltungsrollen und -zuweisungen | Verwalten von Rollengruppen |
| Verwaltungsrolleneinträge | Hinzufügen eines Rolleneintrags zu einer Rolle Ändern Sie einen rolleneintrag Entfernen eines Rolleneintrags aus einer Rolle Hinweis: Das Ändern der Verwaltungsrolleneinträge in Verwaltungsrollen in einer Rollengruppe ist eine erweiterte Aufgabe und in den meisten Fällen nicht erforderlich. Sie können stattdessen wahrscheinlich eine bereits bestehende Verwaltungsrolle verwenden, die Ihren Anforderungen entspricht. Weitere Informationen finden Sie unter Integrierte Rollengruppen. |
Integrierte Rollengruppen
Integrierte Rollengruppen sind Rollen, die im Lieferumfang von Exchange 2013 enthalten sind. Ihnen wird damit eine Reihe von Rollengruppen an die Hand gegeben, mit denen Sie verschiedene Ebenen an Administratorrechten für Benutzergruppen bereitstellen können. Sie können Benutzer allen integrierten Rollengruppen hinzufügen oder aus diesen entfernen. Sie können auch Rollenzuweisungen den meisten Rollengruppen hinzufügen oder aus diesen entfernen. Ausnahmen:
Sie können keine delegierenden Rollenzuweisungen aus der Rollengruppe Organisationsverwaltung entfernen.
Sie können die Rollenverwaltungsgruppe nicht aus der Rollengruppe Organisationsverwaltung entfernen.
Die folgende Tabelle führt alle in Exchange 2013 enthaltenen integrierten Rollengruppen auf. Weitere Informationen zu integrierten Rollengruppen finden Sie unter Integrierte Rollengruppen.
| Rollengruppe | Beschreibung |
|---|---|
| Organisationsverwaltung | Administratoren, die Mitglied der Rollengruppe Organisationsverwaltung sind, verfügen über Administratorzugriff auf die gesamte Exchange 2013-Organisation und können fast jede Aufgabe für beliebige Exchange 2013-Objekte durchführen, mit einigen Ausnahmen. Mitglieder dieser Rollengruppe können Postfachsuchen und die Verwaltung von Verwaltungsrollen oberster Ebene ohne Bereichseinschränkung standardmäßig nicht durchführen. |
| Organisationsverwaltung mit Leserechten | Administratoren, die Mitglied der Rollengruppe Organisationsverwaltung - nur Leserechte sind, können die Eigenschaften aller Objekte in der Exchange-Organisation anzeigen. |
| Empfängerverwaltung | Administratoren, die Mitglied der Rollengruppe Empfängerverwaltung sind, haben Administratorzugriff zum Erstellen oder Ändern von Exchange 2013-Empfängern innerhalb der Exchange 2013-Organisation. |
| UM-Verwaltung | Administratoren, die Mitglied der Rollengruppe UM-Verwaltung sind, können Funktionen in der Exchange-Organisation wie z. B. UM-Dienste (Unified Messaging), UM-Eigenschaften für Postfächer, UM-Telefonansagen und automatische UM-Telefonzentralen konfigurieren und verwalten. |
| Erkennungsverwaltung | Administratoren oder Benutzer, die Mitglied der Rollengruppe Discoveryverwaltung sind, können Postfächer in der Exchange-Organisation nach Daten durchsuchen, die mit bestimmten Kriterien übereinstimmen. Zudem können diese Mitglieder Beweissicherungsverfahren für Postfächer konfigurieren. |
| Datensatzverwaltung | Benutzer, die Mitglied der Rollengruppe Datensatzverwaltung sind, können Funktionen für die Einhaltung von Vorschriften, z. B. Aufbewahrungsrichtlinientags, Nachrichtenklassifikationen, Transportregeln usw., konfigurieren. |
| Serververwaltung | Administratoren, die Mitglied dieser Rollengruppe sind, können die serverspezifische Konfiguration von Transport-, Clientzugriffs- und Postfachfunktionen wie Datenbankkopien, Zertifikate, Transportwarteschlangen und Sendeconnectors, virtuelle Verzeichnisse und Clientzugriffsprotokolle konfigurieren. |
| Helpdesk | Benutzer, die Mitglied der Rollengruppe "Helpdesk" sind, können eine eingeschränkte Empfängerverwaltung von Exchange 2013-Empfängern ausführen. |
| Verwaltung von Nachrichtenschutz | Benutzer, die Mitglied der Rollengruppe für die Verwaltung von aktivem Nachrichtenschutz sind, können die Antispam- und Antischadsoftwarefunktionen von Exchange 2013 konfigurieren. Drittanbieterprogramme, die in Exchange 2013 integriert werden können, können dieser Rollengruppe Dienstkonten hinzufügen, damit Programme Zugriff auf die Cmdlets haben, die zum Abrufen und Konfigurieren der Exchange-Konfiguration erforderlich sind. |
| Verwaltung der Richtlinientreue | Benutzer, die Mitglied der Rollengruppe für die Verwaltung der Richtlinientreue sind, können die Exchange-Richtlinientreue in Übereinstimmung mit ihren Richtlinien konfigurieren und verwalten. |
| Verwaltung Öffentlicher Ordner | Administratoren, die Mitglied der Rollengruppe zur Verwaltung öffentlicher Ordner sind, können öffentliche Ordner auf Exchange 2013-Servern verwalten. |
| Delegiertes Setup | Administratoren, die Mitglied der Rollengruppe Delegiertes Setup sind, können Exchange 2013-Server bereitstellen, die zuvor durch ein Mitglied der Rollengruppe Organisationsverwaltung bereitgestellt wurden. |
Verknüpfte Rollengruppen
Verknüpfte Rollengruppen werden in Organisationen verwendet, die Exchange 2013 in einer dedizierten Ressourcengesamtstruktur installieren und Benutzer in anderen vertrauenswürdigen, fremden Gesamtstrukturen platzieren. Wie der Name bereits andeutet, erstellen verknüpfte Rollengruppen einen Link zwischen einer Rollengruppe in der Exchange-Gesamtstruktur und einer universellen Sicherheitsgruppe in einer fremden Gesamtstruktur. Dies ist hilfreich, wenn sich die Active Directory-Domänendienst-Benutzerkonten (AD DS) der Administratoren, die Exchange verwalten sollen, nicht in derselben Gesamtstruktur befinden wie Exchange. Verknüpfte Rollengruppen können nur einer fremden universellen Sicherheitsgruppe zugeordnet werden. Außerdem müssen Sie keine bidirektionale Vertrauensstellung zwischen der Exchange-Gesamtstruktur und der fremden Gesamtstruktur erstellen. Die Exchange-Gesamtstruktur muss der fremden Gesamtstruktur vertrauen, aber die fremde Gesamtstruktur muss der Exchange-Gesamtstruktur nicht vertrauen.
Weitere Informationen zu Berechtigungen in Topologien mit mehreren Gesamtstrukturen finden Sie unter Grundlegendes zu Berechtigungen für mehrere Gesamtstrukturen.
Eine verknüpfte Rollengruppe besteht aus zwei Teilen:
- Verknüpfte Rollengruppe: Die verknüpfte Rollengruppe ist ein Containerobjekt, das die ausländische USG den Verwaltungsrollenzuweisungen zuordnet, die der Rollengruppe zugewiesen sind.
- Fremd-USG: Die ausländische USG enthält die Mitglieder, denen die von der verknüpften Rollengruppe bereitgestellten Berechtigungen erteilt werden sollen.
Wenn Sie eine verknüpfte Rollengruppe erstellen, stellen Sie einen Domänencontroller in der fremden Gesamtstruktur bereit, in der sich die Benutzer befinden, die die Exchange-Gesamtstruktur verwalten sollen, die universelle Sicherheitsgruppe mit diesen Benutzern als Mitglieder, den Namen der fremden universellen Sicherheitsgruppe sowie die für den Zugriff auf die fremde Gesamtstruktur erforderlichen Anmeldeinformationen. Exchange fügt die Sicherheits-ID (SID) der fremden universellen Sicherheitsgruppe der verknüpften Rollengruppe hinzu. Da die SID der universellen Sicherheitsgruppe die einzige Identifikation der fremden Gesamtstruktur darstellt, sollten Sie die fremde Gesamtstruktur unbedingt im Namen der Rollengruppe angeben, sofern mehrere Gesamtstrukturen vorliegen.
Eine verknüpfte Rollengruppe enthält keine Mitglieder. Alle Mitglieder der Rollengruppe werden mithilfe der fremden universellen Sicherheitsgruppe verwaltet. Das bedeutet, dass Sie die Cmdlets Update-RoleGroupMember, Add-RoleGroupMember oder Remove-RoleGroupMember nicht zum Hinzufügen oder Entfernen von Rollengruppenmitgliedern verwenden können. Wenn Sie der fremden universellen Sicherheitsgruppe Mitglieder hinzufügen, erhalten diese die von der verknüpften Rollengruppe bereitgestellten Berechtigungen.
Sie können eine Standardrollengruppe, die eigene Mitglieder enthält, nicht in eine verknüpfte Rollengruppe ändern oder umgekehrt. Wenn Sie eine Rollengruppe von einer Standardrollengruppe in eine verknüpfte Rollengruppe ändern möchten, müssen Sie eine neue verknüpfte Rollengruppe erstellen und die Verwaltungsrollenzuweisungen aus der Standardrollengruppe in der verknüpften Rollengruppe replizieren. Dies gilt auch für integrierte Rollengruppen, da es sich ebenfalls um Standardrollengruppen handelt. Wenn Sie die gesamte Verwaltung der Exchange-Gesamtstruktur aus einer fremden Gesamtstruktur ausführen möchten, müssen Sie neue verknüpfte Rollengruppen erstellen und die in den integrierten Rollengruppen vorhandenen Verwaltungsrollen den neuen verknüpften Rollengruppen hinzufügen. Weitere Informationen hierzu finden Sie unter Erstellen verknüpfter Rollengruppen, die integrierte Rollengruppen spiegeln.
Rollengruppendelegierung
Standardmäßig können Mitglieder der Rollengruppe Organisationsverwaltung Mitglieder zu Rollengruppen hinzufügen und daraus entfernen. Unter Umständen möchten Sie jedoch Benutzern, die keine Mitglieder der Rollengruppe Organisationsverwaltung sind, das Hinzufügen und Entfernen von Rollengruppenmitgliedern ermöglichen. In diesem Fall können Sie die Rollengruppendelegierung verwenden.
Die Rollengruppendelegierung wird durch die Eigenschaft ManagedBy der jeweiligen Rollengruppe gesteuert. Die Eigenschaft ManagedBy enthält eine Liste der Benutzer, die Mitglieder zur Rollengruppe hinzufügen und daraus entfernen oder die Konfiguration einer Rollengruppe ändern können. Den Benutzern werden keine von der Rollengruppe erteilten Berechtigungen zugewiesen, sofern sie nicht zugleich Mitglieder der Rollengruppe sind.
Wird für eine Rollengruppe die Eigenschaft ManagedBy festgelegt, können nur die Benutzer, die als Rollengruppenmanager für diese Eigenschaft aufgeführt sind, eine Rollengruppe oder die Mitgliedschaft einer Rollengruppe standardmäßig ändern. Diese Einschränkung kann jedoch durch einen optionalen Parameter für Cmdlets zum Ändern von Rollengruppen oder Rollengruppenmitgliedschaften außer Kraft gesetzt werden. Der Schalter BypassSecurityGroupManagerCheck kann von Benutzern verwendet werden, die Mitglieder der Organisationsverwaltungsrolle sind oder direkt oder indirekt die Rollenverwaltungsrolle zugewiesen sind. Wird diese Option verwendet, wird die Eigenschaft ManagedBy ignoriert, und der Benutzer kann die Rollengruppe oder Rollengruppenmitgliedschaft ändern.
Ist die Eigenschaft ManagedBy für eine Rollengruppe nicht festgelegt, können nur Benutzer eine Rollengruppe oder Rollengruppenmitgliedschaft ändern, die Mitglied der Rolle Organisationsverwaltung sind oder denen, direkt oder indirekt, die Verwaltungsrolle "Rollenverwaltung" zugewiesen ist.
Hinweis
Einer Rollengruppe zugewiesene Rollen können mithilfe der delegierenden Rollenzuweisung zugewiesen werden. Mit delegierenden Rollenzuweisungen können Mitglieder einer Rollengruppe, der eine delegierte Rolle zugewiesen ist, diese Rolle einer anderen Rollengruppe, Zuweisungsrichtlinie oder universellen Sicherheitsgruppe zuweisen. Mitglieder der Rollengruppe können nur diese Rolle zuweisen und nicht die Rollengruppe delegieren, es sei denn, sie werden auch der Eigenschaft ManagedBy hinzugefügt. Weitere Informationen zu delegierenden Rollenzuweisungen finden Sie unter Grundlegendes zu Verwaltungsrollenzuweisungen.
Weitere Informationen zum Verwalten der Rollengruppendelegierung finden Sie unter Verwalten von Rollengruppen.
Rollengruppenmitgliedschaft
Wenn ein Benutzer zum Mitglied einer Rollengruppe gemacht wird, werden die der Rollengruppe zugewiesenen Verwaltungsrollen dem Benutzer zugewiesen. Ist ein Benutzer Mitglied mehrerer Rollengruppen, werden die Verwaltungsrollen der einzelnen Rollengruppen zusammengefasst und dem Benutzer zugewiesen. Benutzer, universelle Sicherheitsgruppen und andere Rollengruppen können Mitglieder von Rollengruppen sein.
Nur Benutzer, die Mitglied der Rollengruppe Organisationsverwaltung oder "Rollenverwaltung" sind, und Benutzer, denen die Berechtigung zum Hinzufügen oder Entfernen von Benutzern zu bzw. aus Rollengruppen erteilt wurde, können Rollengruppenmitgliedschaften verwalten.
Weitere Informationen zum Verwalten der Rollengruppenmitgliedschaft finden Sie unter Verwalten von Rollengruppenmitgliedern.
Rollengruppenerstellung (Workflow)
Wie bereits erwähnt, besteht eine Rollengruppe aus mehreren Ebenen. Das Erstellen einer neuen Rollengruppe wird im folgenden Beispiel veranschaulicht.
New-RoleGroup -Name "Seattle Recipient Management" -Roles "Mail Recipients", "Distribution Groups", "Move Mailboxes", "UM Mailboxes" -CustomRecipientWriteScope "Seattle Users", -ManagedBy "Brian", "David", "Katie" -Members "Ray", "Jenn", "Maria", "Chris", "Maija", "Carter", "Jenny", "Sam", "Lukas", "Isabel", "Katie"
Wenn der obige Befehl ausgeführt wird, geschieht Folgendes:
Ein neues Rollengruppenobjekt, bei dem es sich um eine spezielle USG namens Seattle Recipient Management handelt, wird unter der Organisationseinheit Microsoft Exchange-Sicherheitsgruppen in der Stammdomäne der Gesamtstruktur erstellt.
Die Postfächer für Ray, Jenn, Maria, Chris, Maija, Carter, Jenny, Sam, Lukas, Isabel und Katie werden als Mitglieder der Rollengruppe hinzugefügt. Diese Benutzer erhalten die von dieser Rollengruppe bereitgestellten Berechtigungen.
Die Benutzer Brian und David werden der Eigenschaft ManagedBy der Rollengruppe hinzugefügt. Diese Benutzer können Mitglieder zur Rollengruppe hinzufügen und daraus entfernen, erhalten jedoch keine von der Rollengruppe bereitgestellten Berechtigungen, da sie keine Mitglieder sind. Auch Katie wird der Eigenschaft ManagedBy der Rollengruppe hinzugefügt. Da sie der Eigenschaft ManagedBy hinzugefügt wird und ein Mitglied der Rollengruppe ist, kann sie Mitglieder zur Rollengruppe hinzufügen und daraus entfernen und erhält darüber hinaus die von der Rollengruppe bereitgestellten Berechtigungen.
Die folgenden Verwaltungsrollenzuweisungen werden erstellt. Die Rollenzuweisungen weisen der Rollengruppe jede im Befehl angegebene Verwaltungsrolle zu. Der Verwaltungsbereich "Seattle Users" wird jeder Rollenzuweisung hinzugefügt. Der Name der einzelnen Rollenzuweisungen besteht aus einer Kombination der zugewiesenen Verwaltungsrolle und des Rollengruppennamens.
Mail Recipients_Seattle Recipient ManagementDistribution Groups_Seattle Recipient ManagementMove Mailboxes_Seattle Recipient ManagementUM Mailboxes_Seattle Recipient Management
Wenn Sie die Ergebnisse dieses Befehls mit der Abbildung zu den Ebenen der Verwaltungsrollengruppe weiter oben in diesem Thema vergleichen, können Sie sehen, in welchem Zusammenhang die einzelnen Schritte mit den Rollengruppenebenen stehen. Informationen zum Verwalten der einzelnen Rollengruppenebenen finden Sie weiter oben in den Themen zur Rollengruppenverwaltung.