Grundlegendes zu Verwaltungsrollenbereichen

Gilt für: Exchange Server 2013

Verwaltungsrollenbereiche ermöglichen Ihnen die Definition spezifischer Wirkungs- oder Einflussbereiche für eine Verwaltungsrolle, wenn eine Verwaltungsrollenzuweisung erstellt wird. Wenn Sie einen Bereich anwenden, kann der Rollenempfänger, dem die Rolle zugewiesen wird, nur die in diesem Bereich enthaltenen Objekte ändern. Ein Rollenempfänger kann eine Verwaltungsrollengruppe, eine Verwaltungsrolle, eine Richtlinie für eine Verwaltungsrollenzuweisung, ein Benutzer oder eine universelle Sicherheitsgruppe (Universal Security Group, USG) sein. Weitere Informationen zu Verwaltungsrollen finden Sie unter Grundlegendes zur rollenbasierten Zugriffssteuerung.

Hinweis

Inhalt dieses Themas ist die erweiterte RBAC-Funktionalität. Informationen zum Verwalten grundlegender Exchange 2013-Berechtigungen finden Sie unter Berechtigungen. In diesem Thema wird z. B. beschrieben, wie Sie das Exchange Admin Center (EAC) verwenden, um Mitglieder zu Rollengruppen hinzuzufügen oder aus diesen zu entfernen oder um Rollengruppen und Rollenzuweisungsrichtlinien zu erstellen oder zu ändern.

Jede Verwaltungsrolle, ob integrierte oder benutzerdefinierte Rolle, hat Verwaltungsbereiche. Es kann sich dabei um folgende Verwaltungsbereiche handeln:

  • Normal: Ein regulärer Bereich ist nicht exklusiv. Es bestimmt, wo in Active Directory Objekte von Benutzern angezeigt oder geändert werden können, denen die Verwaltungsrolle zugewiesen ist. Im Allgemeinen gibt eine Verwaltungsrolle an, was Sie erstellen oder ändern können, und ein Verwaltungsrollenbereich, wo Sie etwas erstellen oder ändern können. Reguläre Bereiche können implizite oder explizite Bereiche sein, die beide weiter unten in diesem Thema erläutert werden.

  • Exklusiv: Ein exklusiver Bereich verhält sich fast genauso wie ein normaler Bereich. Der wichtigste Unterschied besteht darin, dass Sie Benutzern den Zugriff auf Objekte innerhalb des exklusiven Bereichs verweigern können, wenn diesen Benutzern keine dem exklusiven Bereich zugeordnete Rolle zugewiesen ist. Alle exklusiven Bereiche sind explizite Bereiche, die weiter unten in diesem Thema erläutert werden.

    Weitere Informationen zu exklusiven Bereichen finden Sie unter Grundlegendes zu exklusiven Bereichen.

Bereiche können von der Verwaltungsrolle geerbt, als vordefinierter relativer Bereich für eine Verwaltungsrollenzuweisung festgelegt oder mithilfe benutzerdefinierter Filter erstellt und einer Verwaltungsrollenzuweisung hinzugefügt werden. Von Verwaltungsrollen geerbte Bereiche werden implizite Bereiche genannt, während vordefinierte und benutzerdefinierte Bereiche als explizite Bereiche bezeichnet werden. In den folgenden Abschnitten werden die einzelnen Bereichstypen beschrieben:

  • Implicit Scopes
  • Explicit Scopes
  • Predefined Relative Scopes
  • Custom Scopes
    • Recipient Filter Scopes
    • Configuration Scopes

Jede Rolle kann die folgenden Bereichstypen haben:

  • Empfängerlesebereich: Der implizite Empfängerlesebereich bestimmt, welche Empfängerobjekte der Benutzer, dem die Verwaltungsrolle zugewiesen wurde, aus Active Directory lesen darf.
  • Empfängerschreifbereich: Der implizite Empfängerschreifbereich bestimmt, welche Empfängerobjekte der Benutzer, dem die Verwaltungsrolle zugewiesen wurde, in Active Directory ändern darf.
  • Lesebereich der Konfiguration: Der Implizite Konfigurationslesebereich bestimmt, welche Konfigurationsobjekte der Benutzer, dem die Verwaltungsrolle zugewiesen wurde, aus Active Directory lesen darf.
  • Konfigurationsschreifbereich: Der Schreibbereich der impliziten Konfiguration bestimmt, welche Organisations-, Datenbank- und Serverobjekte der Benutzer, dem die Verwaltungsrolle zugewiesen wurde, in Active Directory geändert werden darf.

Empfängerobjekte umfassen Postfächer, Verteilergruppen, E-Mail-aktivierte Benutzer und andere Objekte. Konfigurationsobjekte umfassen Server mit Microsoft Exchange Server 2013 sowie Datenbanken auf Servern mit Exchange. Bei den Bereichstypen kann es sich jeweils um einen impliziten oder einen expliziten Bereich handeln.

Implizite Bereiche

Implizite Bereiche sind die für einen Verwaltungsrollentyp geltenden Standardbereiche. Da implizite Bereiche einem Verwaltungsrollentyp zugeordnet sind, besitzen alle übergeordneten und untergeordneten Verwaltungsrollen mit demselben Rollentyp auch dieselben impliziten Bereiche. Implizite Bereiche gelten sowohl für integrierte Verwaltungsrollen als auch für benutzerdefinierte Verwaltungsrollen. Weitere Informationen zu Verwaltungsrollen und Verwaltungsrollentypen finden Sie unter Grundlegendes zu Verwaltungsrollen.

In der folgenden Tabelle sind alle impliziten Bereiche aufgeführt, die für Verwaltungsrollen definiert werden können.

Implizite Bereiche, die für Verwaltungsrollen definiert sind

Implizite Bereiche Beschreibung
Organization Wenn Organization der Empfängerschreikbereich der Rolle vorhanden ist, kann die Rolle Empfängerobjekte in der exchange-Organisation erstellen oder ändern.

Wenn Organization der Empfängerlesebereich der Rolle vorhanden ist, können Rollen jedes Empfängerobjekt in der Exchange-Organisation anzeigen.

Dieser Bereich wird nur für Lese- und Schreibbereiche von Empfängern verwendet.
MyGAL Wenn MyGAL die Rolle im Schreibbereich des Empfängers der Rolle vorhanden ist, kann die Rolle die Eigenschaften eines beliebigen Empfängers in der globalen Adressliste (GAL) des aktuellen Benutzers anzeigen.

Wenn MyGAL der Lesebereich des Empfängers der Rolle vorhanden ist, kann die Rolle die Eigenschaften eines beliebigen Empfängers in der aktuellen GAL anzeigen.

Dieser Bereich wird nur mit Empfängerlesebereichen verwendet.
Self Wenn Self der Schreibbereich des Empfängers der Rolle vorhanden ist, kann die Rolle nur die Eigenschaften des Postfachs des aktuellen Benutzers ändern.

Wenn Self der Empfängerlesebereich der Rolle vorhanden ist, kann die Rolle nur die Eigenschaften des Postfachs des aktuellen Benutzers anzeigen.

Dieser Bereich wird nur für Lese- und Schreibbereiche von Empfängern verwendet.
MyDistributionGroups Wenn MyDistributionGroups sie im Schreibbereich des Empfängers der Rolle vorhanden ist, kann die Rolle Verteilerlistenobjekte erstellen oder ändern, die dem aktuellen Benutzer gehören.

Wenn MyDistributionGroups der Empfängerlesebereich der Rolle vorhanden ist, kann die Rolle Verteilerlistenobjekte anzeigen, die dem aktuellen Benutzer gehören.

Dieser Bereich wird nur für Lese- und Schreibbereiche von Empfängern verwendet.
OrganizationConfig Wenn OrganizationConfig der Konfigurationsschreikbereich der Rolle vorhanden ist, kann die Rolle ein beliebiges Server- oder Datenbankkonfigurationsobjekt in der Exchange-Organisation erstellen oder ändern.

Wenn OrganizationConfig die Rolle im Konfigurationslesebereich der Rolle vorhanden ist, kann sie jedes Server- oder Datenbankkonfigurationsobjekt in der Exchange-Organisation anzeigen.

Dieser Bereich wird mit Konfigurationslese- und -schreibbereichen verwendet.
None Wenn None sich ein Bereich befindet, ist dieser Bereich für die Rolle nicht verfügbar. Beispielsweise kann eine Rolle, die im Empfängerschreikbereich vorhanden ist None , keine Empfängerobjekte in der Exchange-Organisation ändern.

Wird eine Rolle einem Rollenempfänger zugewiesen und es sind keine vordefinierten oder benutzerdefinierten Bereiche angegeben, werden die für die Rolle definierten impliziten Bereiche verwendet, um zu steuern, welche Empfänger- bzw. Organisationsobjekte der Benutzer anzeigen oder ändern kann.

Der implizite Schreibbereich einer Rolle ist stets kleiner oder gleich dem impliziten Lesebereich. Dies bedeutet, dass eine Rolle keine Objekte ändern kann, die vom Bereich nicht angezeigt werden können.

Sie können die für Verwaltungsrollen definierten impliziten Bereiche nicht ändern. Sie können jedoch den impliziten Schreibbereich und Konfigurationsbereich für eine Verwaltungsrolle außer Kraft setzen. Wenn ein vordefinierter relativer Bereich oder benutzerdefinierter Bereich für eine Rollenzuweisung verwendet wird, wird der implizite Schreibbereich der Rolle außer Kraft gesetzt, und der neue Bereich hat Vorrang. Der implizite Lesebereich einer Rolle ist stets gültig und kann nicht außer Kraft gesetzt werden. Weitere Informationen finden Sie unter Vordefinierte relative Bereiche und benutzerdefinierte Bereiche.

Erweitern Sie die folgende Tabelle, um eine Liste aller integrierten Verwaltungsrollen und ihrer impliziten Bereiche anzuzeigen. Weitere Informationen zu den einzelnen integrierten Rollen finden Sie unter Integrierte Verwaltungsrollen.

Implizite Bereiche integrierter Verwaltungsrollen

Verwaltungsrolle Empfängerlesebereich Empfängerschreibbereich Konfigurationslesebereich Konfigurationsschreibbereich
Active Directory Permissions Organization Organization OrganizationConfig OrganizationConfig
Address Lists Organization Organization OrganizationConfig OrganizationConfig
ApplicationImpersonation Organization Organization None None
ArchiveApplication Organization Organization OrganizationConfig OrganizationConfig
Audit Logs Organization Organization OrganizationConfig OrganizationConfig
Cmdlet Extension Agents Organization Organization OrganizationConfig OrganizationConfig
Data Loss Prevention Organization Organization OrganizationConfig OrganizationConfig
Database Availability Groups Organization Organization OrganizationConfig OrganizationConfig
Database Copies Organization Organization OrganizationConfig OrganizationConfig
Databases Organization Organization OrganizationConfig OrganizationConfig
Disaster Recovery Organization Organization OrganizationConfig OrganizationConfig
Distribution Groups Organization Organization OrganizationConfig OrganizationConfig
Edge Subscriptions Organization Organization OrganizationConfig OrganizationConfig
E-Mail Address Policies Organization Organization OrganizationConfig OrganizationConfig
Exchange Connectors Organization Organization OrganizationConfig OrganizationConfig
Exchange Server Certificates Organization Organization OrganizationConfig OrganizationConfig
Exchange Servers Organization Organization OrganizationConfig OrganizationConfig
Exchange Virtual Directories Organization Organization OrganizationConfig OrganizationConfig
Federated Sharing Organization Organization OrganizationConfig OrganizationConfig
Information Rights Management Organization Organization OrganizationConfig OrganizationConfig
Journaling Organization Organization OrganizationConfig OrganizationConfig
Legal Hold Organization Organization OrganizationConfig None
LegalHoldApplication Organization Organization OrganizationConfig OrganizationConfig
Mail Enabled Public Folders Organization Organization OrganizationConfig OrganizationConfig
Mail Recipient Creation Organization Organization OrganizationConfig OrganizationConfig
Mail Recipients Organization Organization OrganizationConfig OrganizationConfig
Mail Tips Organization Organization OrganizationConfig OrganizationConfig
Mailbox Import Export Organization Organization OrganizationConfig OrganizationConfig
Mailbox Search Organization Organization None None
MailboxSearchApplication Organization Organization OrganizationConfig OrganizationConfig
Message Tracking Organization Organization OrganizationConfig OrganizationConfig
Migration Organization Organization OrganizationConfig OrganizationConfig
Monitoring Organization Organization OrganizationConfig OrganizationConfig
Move Mailboxes Organization Organization OrganizationConfig OrganizationConfig
OfficeExtensionApplication Self Self OrganizationConfig OrganizationConfig
My Custom Apps Self Self OrganizationConfig OrganizationConfig
My Marketplace Apps Self Self OrganizationConfig OrganizationConfig
MyAddressInformation Self Self OrganizationConfig OrganizationConfig
MyBaseOptions Self Self OrganizationConfig OrganizationConfig
MyContactInformation Self Self OrganizationConfig OrganizationConfig
MyDiagnostics Self Self OrganizationConfig OrganizationConfig
MyDisplayName Self Self OrganizationConfig OrganizationConfig
MyDistributionGroupMembership MyGAL MyGAL None None
MyDistributionGroups MyGAL MyDistributionGroups OrganizationConfig None
MyMobileInformation Self Self OrganizationConfig OrganizationConfig
MyName Self Self OrganizationConfig OrganizationConfig
MyPersonalInformation Self Self OrganizationConfig OrganizationConfig
MyProfileInformation Self Self OrganizationConfig OrganizationConfig
MyRetentionPolicies Self Self OrganizationConfig OrganizationConfig
MyTeamMailboxes Organization Organization OrganizationConfig OrganizationConfig
MyTextMessaging Self Self OrganizationConfig OrganizationConfig
MyVoiceMail Self Self OrganizationConfig OrganizationConfig
Organization Client Access Organization Organization OrganizationConfig OrganizationConfig
Organization Configuration Organization Organization OrganizationConfig OrganizationConfig
Organization Transport Settings Organization Organization OrganizationConfig OrganizationConfig
POP3 And IMAP4 Protocols Organization Organization OrganizationConfig OrganizationConfig
Public Folders Organization Organization OrganizationConfig OrganizationConfig
Receive Connectors Organization Organization OrganizationConfig OrganizationConfig
Recipient Policies Organization Organization OrganizationConfig OrganizationConfig
Remote and Accepted Domains Organization Organization OrganizationConfig OrganizationConfig
Reset Password Organization Organization OrganizationConfig OrganizationConfig
Retention Management Organization Organization OrganizationConfig OrganizationConfig
Role Management Organization Organization OrganizationConfig OrganizationConfig
Security Group Creation and Membership Organization Organization OrganizationConfig OrganizationConfig
Send Connectors Organization Organization OrganizationConfig OrganizationConfig
Support Diagnostics Organization Organization OrganizationConfig OrganizationConfig
TeamMailboxLifecycleApplication Self Self OrganizationConfig OrganizationConfig
Transport Agents Organization Organization OrganizationConfig OrganizationConfig
Transport Hygiene Organization Organization OrganizationConfig OrganizationConfig
Transport Queues Organization Organization OrganizationConfig OrganizationConfig
Transport Rules Organization Organization OrganizationConfig OrganizationConfig
UM Mailboxes Organization Organization OrganizationConfig OrganizationConfig
UM Prompts Organization Organization OrganizationConfig OrganizationConfig
Unified Messaging Organization Organization OrganizationConfig OrganizationConfig
UnScoped Role Management Organization Organization OrganizationConfig OrganizationConfig
UserApplication Organization Organization OrganizationConfig OrganizationConfig
User Options Organization Organization OrganizationConfig OrganizationConfig
View-Only Audit Logs Organization None OrganizationConfig None
View-Only Configuration Organization None OrganizationConfig None
View-Only Recipients Organization None OrganizationConfig None
WorkloadManagement Organization Organization OrganizationConfig OrganizationConfig

Explizite Bereiche

Explizite Bereiche sind Bereiche, die Sie selbst festlegen, um zu steuern, welche Objekte eine Verwaltungsrolle ändern kann. Während implizite Bereiche für eine Verwaltungsrolle definiert sind, sind explizite Bereiche für eine Verwaltungsrollenzuweisung definiert. Auf diese Weise können implizite Bereiche konsistent für alle Verwaltungsrollen angewendet werden, wenn sie nicht von Ihnen durch einen expliziten Bereich außer Kraft gesetzt werden. Weitere Informationen zu Verwaltungsrollenzuweisungen finden Sie unter Grundlegendes zu Verwaltungsrollenzuweisungen.

Explizite Bereiche setzen die impliziten Schreib- und Konfigurationsbereiche einer Verwaltungsrolle außer Kraft. Sie setzen nicht den impliziten Lesebereich einer Verwaltungsrolle außer Kraft. Der implizite Lesebereich definiert weiterhin, welche Objekte die Verwaltungsrolle lesen kann.

Explizite Bereiche sind nützlich, wenn der implizite Schreibbereich einer Verwaltungsrolle den Anforderungen Ihres Unternehmens nicht entspricht. Sie können einen expliziten Bereich hinzufügen, der nahezu alles Gewünschte enthält, solange der neue Bereich nicht die Grenzen des impliziten Lesebereichs überschreitet. Die zu einer Verwaltungsrolle gehörenden Cmdlets müssen Informationen zu den Objekten oder Containern lesen können, die Objekte enthalten, damit die Cmdlets Objekte erstellen oder ändern können. Wenn beispielsweise der implizite Lesebereich für eine Verwaltungsrolle festgelegt Selfist, können Sie keinen expliziten Schreibbereich Organization hinzufügen, da der explizite Schreibbereich die Grenzen des impliziten Lesebereichs überschreitet.

Weitere Informationen hierzu finden Sie in den folgenden Abschnitten:

  • Predefined Relative Scopes

  • Custom Scopes

Vordefinierte relative Bereiche

Exchange 2013 bietet mehrere vordefinierte relative Schreibbereiche, die Sie zum Ändern des Bereichs einer Verwaltungsrolle verwenden können. Vordefinierte relative Bereiche bieten eine einfache Möglichkeit, um stärker auf die Anforderungen Ihres Unternehmens einzugehen, ohne manuell benutzerdefinierte Bereiche erstellen zu müssen. Die Bereiche werden deshalb als relativ bezeichnet, weil sie relativ sind für den Rollenempfänger, dem die zugeordnete Rollenzuweisung zugewiesen wird. Beispielsweise beschränkt der Self vordefinierte relative Bereich diesen Schreibbereich nur auf den aktuellen Benutzer. Der MyDistributionGroups vordefinierte relative Bereich schränkt den Schreibbereich auf die Verteilergruppe ein, die nur dem aktuellen Benutzer gehört. Vordefinierte relative Bereiche können nur für Empfängerobjektbereiche verwendet werden. Vordefinierte relative Bereiche können nicht für Konfigurationsobjektbereiche verwendet werden. In der folgenden Tabelle sind die vordefinierten relativen Bereiche aufgeführt, die Sie verwenden können.

Vordefinierte relative Bereiche

Implizite Bereiche Beschreibung
Organization Wenn Organization der Empfängerschreikbereich der Rolle vorhanden ist, kann die Rolle Empfängerobjekte in der exchange-Organisation erstellen oder ändern.

Wenn Organization der Empfängerlesebereich der Rolle vorhanden ist, können Rollen jedes Empfängerobjekt in der Exchange-Organisation anzeigen.

Dieser Bereich wird nur für Lese- und Schreibbereiche von Empfängern verwendet.
Self Wenn Self der Schreibbereich des Empfängers der Rolle vorhanden ist, kann die Rolle nur die Eigenschaften des Postfachs des aktuellen Benutzers ändern.

Wenn Self der Empfängerlesebereich der Rolle vorhanden ist, kann die Rolle nur die Eigenschaften des Postfachs des aktuellen Benutzers anzeigen.

Dieser Bereich wird nur für Lese- und Schreibbereiche von Empfängern verwendet.
MyDistributionGroups Wenn MyDistributionGroups sie im Schreibbereich des Empfängers der Rolle vorhanden ist, kann die Rolle Verteilerlistenobjekte erstellen oder ändern, die dem aktuellen Benutzer gehören.

Wenn MyDistributionGroups der Empfängerlesebereich der Rolle vorhanden ist, kann die Rolle Verteilerlistenobjekte anzeigen, die dem aktuellen Benutzer gehören.

Dieser Bereich wird nur für Lese- und Schreibbereiche von Empfängern verwendet.

Vordefinierte relative Bereiche werden angewendet, wenn Sie eine neue Verwaltungsrollenzuweisung erstellen. Während der Erstellung der Rollenzuweisung können Sie mit dem Cmdlet New-ManagementRoleAssignment einen vordefinierten relativen Bereich mithilfe des RecipientRelativeWriteScope-Parameters angeben. Wenn die neue Rollenzuweisung erstellt wird, setzt die neue vordefinierte Rolle den impliziten Schreibbereich der Verwaltungsrolle außer Kraft. Beim Erstellen einer Rollenzuweisung mit einem vordefinierten relativen Bereich können Sie keinen benutzerdefinierten Empfängerbereich angeben. Falls erforderlich, können Sie jedoch einen benutzerdefinierten Konfigurationsbereich angeben.

Weitere Informationen zum Hinzufügen einer Verwaltungsrollenzuweisung mit einem vordefinierten relativen Bereich finden Sie unter Hinzufügen einer Rolle zu einem Benutzer oder einer universellen Sicherheitsgruppe.

Benutzerdefinierte Bereiche

Benutzerdefinierte Bereiche sind erforderlich, wenn weder der implizite Schreibbereich noch die vordefinierten relativen Bereiche den Anforderungen Ihres Unternehmens entsprechen. Benutzerdefinierte Bereiche ermöglichen Ihnen eine genaue Definition des Bereichs, auf den Ihre Verwaltungsrolle angewendet werden soll. Dabei kann es sich beispielsweise um eine bestimmte Organisationseinheit, einen bestimmten Empfängertyp oder beides handeln. Möglicherweise möchten Sie auch nur einer Gruppe von Administratoren die Verwaltung einer bestimmten Gruppe von Postfachdatenbanken gestatten.

Genau wie vordefinierte relative Bereiche setzen auch benutzerdefinierte Bereiche die für Verwaltungsrollen definierten impliziten Schreib- und Organisationskonfigurationsbereiche außer Kraft. Der implizite Lesebereich für Verwaltungsrollen wird auch weiterhin angewendet, und der resultierende benutzerdefinierte Bereich darf die Grenzen des impliziten Lesebereichs nicht überschreiten. Sie können die folgenden drei Arten von benutzerdefinierten Bereichen erstellen:

  • OU-Bereich: Ein OU-Bereich, der einfachste benutzerdefinierte Bereich, wird mithilfe des RecipientOrganizationalUnitScope-Parameters im Cmdlet New-ManagementRoleAssignment erstellt. Wenn beim Zuweisen einer Rolle ein OU-Bereich angegeben wird, kann der Rollenempfänger, dem die Rolle zugewiesen wird, nur Empfängerobjekte innerhalb dieser Organisationseinheit ändern. Weitere Informationen zum Hinzufügen einer Verwaltungsrollenzuweisung mit einem OU-Bereich finden Sie unter Hinzufügen einer Rolle zu einem Benutzer oder einer universellen Sicherheitsgruppe.

  • Empfängerfilterbereich: Empfängerfilterbereiche verwenden Filter, um bestimmte Empfänger basierend auf dem Empfängertyp oder anderen Empfängereigenschaften wie Abteilung, Vorgesetzter, Standort und mehr anzusprechen. Weitere Informationen finden Sie im Abschnitt "Empfängerfilterbereiche".

  • Konfigurationsumfang: Konfigurationsbereiche verwenden Filter oder Listen, um bestimmte Server basierend auf Serverlisten oder filterbaren Eigenschaften zu adressieren, die auf Servern definiert werden können, z. B. ein Active Directory-Standort oder eine Serverrolle. Konfigurationsbereiche können auch Datenbankbereiche verwenden, um bestimmte Datenbanken basierend auf Datenbanklisten oder filterbaren Datenbankeigenschaften als Ziel zu verwenden. Weitere Informationen finden Sie im Abschnitt "Konfigurationsbereiche".

Einfache, umfassende oder komplexe, differenzierte benutzerdefinierte Empfänger- und Konfigurationsbereiche können mit dem Cmdlet New-ManagementScope erstellt werden. Wenn Sie einen Empfänger- oder Konfigurationsbereich erstellen, werden nur die Empfänger-, Server- oder Datenbankobjekte zurückgegeben, die dem jeweiligen Bereich entsprechen. Wenn diese Bereiche mithilfe des Cmdlets New-ManagementRoleAssignment oder Set-ManagementRoleAssignment auf eine Rollenzuweisung angewendet werden, können nur die Objekte, die dem jeweiligen Bereich entsprechen, von den Rollenempfängern geändert werden, denen die Rolle zugewiesen wird. Sie können den Bereichstyp nach dem Erstellen eines benutzerdefinierten Bereichs nicht mehr ändern. Ein Empfängerbereich bleibt stets Empfängerbereich, ein Konfigurationsbereich stets Konfigurationsbereich.

Standardmäßig ermöglicht ein benutzerdefinierter Bereich einem Rollenempfänger den Zugriff auf einen Satz von Objekten, die den von Ihnen definierten Bereichen entsprechen. Der Zugriff für andere Rollenempfänger, denen nicht der gleiche oder ein äquivalenter Bereich zugewiesen wurde, ist jedoch nicht aktiv ausgeschlossen. Jeder benutzerdefinierte Bereich kann auf dieselben Objekte zugreifen, wenn den Listen oder Filtern für diese Bereiche dieselben Objekte entsprechen. Dieses Verhalten ist für bestimmte Objekte möglicherweise nicht wünschenswert, z. B. bei Führungskräften. Für diese Objekte können Sie exklusive Bereiche definieren. Bei exklusiven Bereichen werden Filter oder Listen auf die gleiche Weise wie bei regulären Bereichen verwendet, aber anders als bei regulären Bereichen wird der Zugriff auf Objekte im Bereich allen Benutzern verweigert, die nicht demselben oder einem äquivalenten exklusiven Bereich angehören. Weitere Informationen zu exklusiven Bereichen finden Sie unter Grundlegendes zu exklusiven Bereichen.

Filterbasierte Empfängerbereiche

Mithilfe von Empfängerfilterbereichen können Sie steuern, welche Empfängerobjekte Rollenempfänger verwalten können, indem Sie eine oder mehrere Eigenschaften für ein Empfängerobjekt anhand eines Werts auswerten, den Sie in einer Filter anweisung angeben. Empfänger, die in Empfängerbereichen enthalten sind, sind Postfächer, E-Mail-aktivierte Benutzer, Verteilergruppen und E-Mail-Kontakte. Nur die Empfänger, die dem von Ihnen angegebenen Filter entsprechen, können von den Rollenzuweisungsempfängern verwaltet werden, denen diese Rollenzuweisung zugewiesen ist. Ein Beispiel für eine Filter anweisung ist { Name -Eq "David" } , wo Name die Eigenschaft des Empfängerobjekts ist, das ausgewertet wird, und David der Wert ist, den Sie für die Eigenschaft auswerten möchten. Der Vergleichsoperator -Eq gibt an, dass der in der Eigenschaft gespeicherte Wert dem Wert entsprechen muss, der angegeben wurde, damit der Filter wahr ist. Wenn der Filter wahr ist, wird dieser Empfänger in den Bereich einbezogen.

Empfängerfilterbereiche werden erstellt, indem der Empfängerfilter angegeben wird, der mit dem Parameter "RecipientRestrictionFilter " im Cmdlet "New-ManagementScope " verwendet werden soll. Standardmäßig werden mit dem Cmdlet New-ManagementScope reguläre Bereiche erstellt. Wenn Sie einen exklusiven Bereich erstellen möchten, schließen Sie die Option "Exclusive " zusammen mit dem Parameter "RecipientRestrictionFilter" ein.

Wenn Sie einen Empfängereinschränkungsfilter erstellen, wertet Exchange standardmäßig jedes Empfängerobjekt in der Organisation anhand des bereitgestellten Filters aus. Wenn Sie einschränken möchten, welche Empfänger der Bereich auswertet, können Sie den Parameter RecipientRoot zusammen mit dem Parameter RecipientRestrictionFilter verwenden. Der RecipientRoot-Parameter akzeptiert eine OE. Wenn Sie den Parameter RecipientRoot verwenden, wertet Exchange nur die Empfänger aus, die in der angegebenen OU enthalten sind, anhand des angegebenen Filters.

Wenn Sie einer Rollenzuweisung einen Empfängerfilterbereich hinzufügen, geben Sie den Namen des Empfängerbereichs im Parameter "CustomRecipientWriteScope " im Parameter "New-ManagementRoleAssignment " an, wenn Sie eine neue Rollenzuweisung erstellen, oder das Cmdlet "Set-ManagementRoleAssignment ", wenn Sie eine vorhandene Rollenzuweisung aktualisieren. Jede Rollenzuweisung kann nur einen Empfängerbereich aufweisen, einschließlich vordefinierter relativer Bereiche. Sie können einer Rollenzuweisung, der Sie einen Empfängerbereich hinzugefügt haben, außerdem höchstens einen Konfigurationsbereich hinzufügen.

Weitere Informationen zur Filtersyntax und eine vollständige Liste filterbarer Empfängereigenschaften von Empfängern finden Sie unter Grundlegendes zu Verwaltungsrollenbereichs-Filtern.

Konfigurationsbereiche

Die folgenden beiden Arten von Konfigurationsbereichen stehen in Exchange 2013 zur Verfügung:

  • Serverbereiche: Es gibt zwei Arten von Serverbereichen, Serverfilterbereiche und Serverlistenbereiche. Aspekte der Serverkonfiguration, die verwaltet werden können, wenn ein Serverobjekt in einen Serverbereich eingeschlossen ist, sind Empfangsconnectors, Transportwarteschlangen, Serverzertifikate, virtuelle Verzeichnisse usw.

    • Serverfilterbereiche: Mithilfe von Serverfilterbereichen können Sie steuern, welche Serverobjekte Rollenempfänger verwalten können, indem Sie eine oder mehrere Eigenschaften für ein Serverobjekt anhand eines Werts auswerten, den Sie in einer Filter anweisung angeben. Verwenden Sie zum Erstellen eines Serverfilterbereichs den Parameter "ServerRestrictionFilter " im Cmdlet "New-ManagementScope ".

    • Serverlistenbereiche: Mithilfe von Serverlistenbereichen können Sie steuern, welche Serverobjekte Rollenempfänger verwalten können, indem Sie eine Liste der Server definieren, auf die ein Rollenempfänger zugreifen kann. Verwenden Sie zum Erstellen eines Serverlistenbereichs den Parameter "ServerList " im Cmdlet "New-ManagementScope ".

  • Datenbankbereiche: Es gibt zwei Arten von Datenbankbereichen, Datenbankfilterbereiche und Datenbanklistenbereiche. Aspekte der Datenbankkonfiguration, die verwaltet werden können, wenn ein Datenbankobjekt in einen Datenbankbereich eingeschlossen ist, sind Datenbank-Kontingentgrenzwerte, Datenbankwartung, Replikation Öffentlicher Ordner, die Frage, ob eine Datenbank eingebunden ist, usw. Datenbankbereiche können neben der Datenbankkonfiguration auch verwendet werden, um zu steuern, in welchen Datenbanken Empfänger erstellt werden können. Wenn in Ihrer Organisation Server mit einer Version vor Exchange 2010 SP1 vorhanden sind, finden Sie im Abschnitt Datenbankbereiche und frühere Exchange-Versionen weiter unten in diesem Thema zusätzliche Informationen.

    • Datenbankfilterbereiche: MitHilfe von Datenbankfilterbereichen können Sie steuern, welche Datenbankobjekte Rollenzuweisungen verwalten können, indem Sie eine oder mehrere Eigenschaften für ein Datenbankobjekt anhand eines Werts auswerten, den Sie in einer Filter anweisung angeben. Verwenden Sie zum Erstellen eines Datenbankfilterbereichs den Parameter "DatabaseRestrictionFilter " im Cmdlet "New-ManagementScope ".

    • Datenbanklistenbereiche: Mithilfe von Datenbanklistenbereichen können Sie steuern, welche Datenbankobjekte Rollenempfänger verwalten können, indem Sie eine Liste der Datenbanken definieren, auf die ein Rollenempfänger zugreifen kann. Verwenden Sie zum Erstellen eines Datenbanklistenbereichs den Parameter "DatabaseList " im Cmdlet "New-ManagementScope ".

Weitere Informationen zur Filtersyntax und eine vollständige Liste filterbarer Server- und Datenbankeigenschaften finden Sie unter Grundlegendes zu Verwaltungsrollenbereichs-Filtern.

Sie können Server- und Datenbanklisten definieren, indem Sie jeden Server und jede Datenbank angeben, der/die in den jeweiligen Bereich eingeschlossen werden soll. Sie können mehrere Server oder Datenbanken in den entsprechenden Bereichen angeben, indem Sie die Server- und Datenbanknamen durch Kommas trennen.

Wenn Sie einer Rollenzuweisung einen Server- oder Datenbankkonfigurationsbereich hinzufügen, geben Sie den Namen des Server- oder Datenbankkonfigurationsbereichs im Parameter CustomConfigWriteScope im Cmdlet "New-ManagementRoleAssignment " an, wenn Sie eine neue Rollenzuweisung erstellen, oder das Cmdlet "Set-ManagementRoleAssignment ", wenn Sie eine vorhandene Rollenzuweisung aktualisieren. Jede Rollenzuweisung kann nur einen Konfigurationsbereich aufweisen.

Mit Datenbankbereichen können Sie nicht nur steuern, welche Datenbanken Rollenempfänger verwalten können, sondern auch, in welchen Datenbanken Rollenempfänger Postfächer erstellen können. Dies wird separat davon gesteuert, welche Empfänger ein Rollenempfänger verwalten kann. Wenn ein Rollenempfänger über die Berechtigungen zum Erstellen eines neuen Postfachs, Einrichten der E-Mail-Aktivierung für einen vorhandenen Benutzer oder Verschieben von Postfächern verfügt, können Sie diese Berechtigungen weiter verfeinern, indem Sie mithilfe von Datenbankbereichen steuern, in welcher Datenbank das Postfach erstellt wird oder in welche Datenbank ein Postfach verschoben wird. Die Steuerung, welche Empfänger ein Rollenempfänger verwalten kann, erfolgt mithilfe eines Empfängerbereichs, der im Parameter CustomRecipientWriteScope im Cmdlet New-ManagementRoleAssignment oder Set-ManagementRoleAssignment angegeben ist. Steuern, in welchen Datenbanken ein Postfach erstellt oder verschoben werden kann, wird mithilfe eines Datenbankbereichs gesteuert, der im Parameter CustomConfigurationWriteScope für dieselben Cmdlets angegeben ist.

Hinweis

Die automatische Postfachverteilung kann mithilfe von Datenbankbereichen gesteuert werden.

Für bestimmte Funktionen von Exchange müssen möglicherweise Serverbereiche, Datenbankbereiche oder beides verwaltet werden. Wenn für eine Funktion sowohl Server- als auch Datenbankbereiche verwaltet werden müssen, müssen Sie zwei Rollenzuweisungen erstellen und dem Rollenempfänger zuweisen, der über Verwaltungszugriff auf die Funktion verfügen soll. Ordnen Sie eine Rollenzuweisung dem Serverbereich zu und die andere dem Datenbankbereich.

Für einige Cmdlets werden möglicherweise Konfigurationsbereiche verwendet, die nicht sofort offensichtlich sind. Die folgende Tabelle enthält eine Liste von Cmdlets und den Konfigurationsbereichen, mit denen Sie ihre Verwendung steuern können. Für Cmdlets im Empfängerfunktionsbereich können Sie mit Konfigurationsbereichen steuern, in welchen Datenbanken Empfänger erstellt werden können. Sie steuern nicht, welche Empfänger verwaltet werden können. Die Spalte Erforderliche Bereiche kann Folgendes enthalten:

  • Datenbank: Zum Ausführen des Cmdlets muss dem Rollenempfänger eine Rollenzuweisung mit einem Datenbankbereich zugewiesen werden, der die zu verwaltende Datenbank enthält, oder der Schreibbereich für die implizite Konfiguration der Rolle muss die zu verwaltende Datenbank enthalten.

  • Server: Zum Ausführen des Cmdlets muss dem Rollenempfänger eine Rollenzuweisung mit einem Serverbereich zugewiesen werden, der den zu verwaltenden Server enthält, oder der Schreibbereich für die implizite Konfiguration der Rolle muss den zu verwaltenden Server enthalten.

  • Server oder Datenbank: Um das Cmdlet ausführen zu können, muss dem Rollenempfänger eine Rollenzuweisung zugewiesen werden, bei der entweder ein Datenbankbereich die verwaltete Datenbank enthält oder wenn ein Serverbereich den Server enthält, auf dem sich die Datenbank befindet. Alternativ muss der implizite Konfigurationsschreibbereich der Rolle die zu verwaltende Datenbank einschließen oder den Server enthalten, auf dem sich die Datenbank befindet, und die Rollenzuweisung darf nicht über einen benutzerdefinierten Schreibbereich verfügen.

  • Server und Datenbank: Um dieses Cmdlet ausführen zu können, muss dem Rollenempfänger zwei Rollenzuweisungen zugewiesen werden. Die erste Rollenzuweisung muss einen Datenbankbereich enthalten, der die zu verwaltende Datenbank einschließt. Die zweite Rollenzuweisung muss einen Serverbereich enthalten, der den Server einschließt, auf dem sich die Datenbank befindet. Für die Rollenzuweisungen können benutzerdefinierte Konfigurationsbereiche definiert sein, oder die Rollenzuweisungen können den impliziten Konfigurationsschreibbereich von der Rolle erben. Damit der implizite Schreibbereich von der Rolle geerbt werden kann, darf die Rollenzuweisung nicht über einen benutzerdefinierten Schreibbereich verfügen.

Funktionsbereiche und zugehörige Datenbank- und Serverbereiche

Funktionsbereich Cmdlet Erforderliche Bereiche
Databases Dismount-Database Database
Datenbanken Mount-Database Database
Datenbanken Move-DatabasePath Server und Datenbank
Datenbanken Remove-MailboxDatabase Server oder Datenbank
Datenbanken Set-MailboxDatabase Database
Hohe Verfügbarkeit Add-DatabaseAvailabilityGroupServer Server
Hohe Verfügbarkeit Add-MailboxDatabaseCopy Server
Hohe Verfügbarkeit Move-ActiveMailboxDatabase Server
Hohe Verfügbarkeit Remove-DatabaseAvailabilityGroupServer Server
Hohe Verfügbarkeit Remove-MailboxDatabaseCopy Server oder Datenbank
Hohe Verfügbarkeit Resume-MailboxDatabaseCopy Server oder Datenbank
Hohe Verfügbarkeit Set-MailboxDatabaseCopy Server oder Datenbank
Hohe Verfügbarkeit Suspend-MailboxDatabaseCopy Server oder Datenbank
Hohe Verfügbarkeit Update-MailboxDatabaseCopy Server oder Datenbank
Empfänger Connect-Mailbox Database
Empfänger Enable-Mailbox Database
Empfänger New-Mailbox Database
Empfänger New-MoveRequest Database
Problembehandlung Test-MapiConnectivity Database

Datenbankbereiche und frühere Exchange-Versionen

Datenbankbereiche wurden erstmalig in Microsoft Exchange 2010 Service Pack 1 (SP1) eingeführt und werden in Exchange 2013 weiterhin unterstützt. Exchange-Versionen vor Exchange 2010 SP1 unterstützen lediglich Empfängerbereiche und Serverkonfigurationsbereiche. Wenn Sie einen neuen Datenbankbereich auf einem Server mit Exchange 2010 SP1 oder höher erstellen, wird die folgende Warnung angezeigt:

WARNING: Database management scopes will only be applied when a user connects to a server running Exchange 2010 SP1 or later. Servers running a version of Exchange prior to Exchange 2010 SP1 won't apply any roles from a role assignment linked to a database scope. Database management scopes also won't be visible to the Get-ManagementScope cmdlet when it's run from a pre-Exchange 2010 SP1 server.

Wenn Sie einen Datenbankbereich erstellen, wird er nur auf Benutzer angewendet, die Verbindungen mit Servern mit Exchange 2010 SP1 oder höher herstellen. Auf Benutzer, die Verbindungen mit Servern vor Exchange 2010 SP1 herstellen, werden keine Rollenzuweisungen mit Datenbankbereichen angewendet. Dies bedeutet, dass jegliche Berechtigungen, die von diesen Rollenzuweisungen bereitgestellt werden, Benutzern mit Servern vor Exchange 2010 SP1 bei der Verbindungsherstellung nicht erteilt werden. Datenbankbereiche können von Servern vor Exchange 2010 SP1 nicht erstellt, entfernt, geändert oder angezeigt werden.

Ein Datenbankbereich kann jegliche Datenbanken in der Exchange-Organisation einschließen. Dies umfasst Server mit Exchange Server 2007, Exchange 2010 und Exchange 2013. Hiermit können Sie unabhängig von der Exchange-Version steuern, welche Datenbanken Benutzer verwalten können. Wie bei anderen Datenbankbereichen auch, werden Rollenzuweisungen mit Datenbankbereichen, die Exchange 2007- und Exchange 2010-Datenbanken enthalten, nur dann auf Benutzer angewendet, wenn sie eine Verbindung mit einem Server mit Exchange 2010 SP1 oder höher herstellen.

Benutzer, die eine Verbindung mit einem Server vor Exchange 2010 SP1 herstellen, können Rollenzuweisungen anzeigen und ändern, die Datenbankbereichen zugeordnet sind. Hierzu gehört auch das Ändern des Konfigurationsbereichs einer vorhandenen Rollenzuweisung in einen Serverbereich, wenn er zurzeit einem Datenbankbereich zugeordnet ist. Wenn der Konfigurationsbereich einer Rollenzuweisung jedoch in einen Serverbereich geändert wird und ein Benutzer ihn später wieder in einen Datenbankbereich ändern möchte, oder wenn der Benutzer den Konfigurationsbereich in einen anderen Datenbankbereich ändern möchte, muss der Benutzer beim Vornehmen der Änderung über eine Verbindung mit einem Server mit Exchange 2010 SP1 oder höher verfügen. Benutzer, die über eine Verbindung mit einem Server vor Exchange 2010 SP1 verfügen, können beim Ändern des Konfigurationsbereichs für eine Rollenzuweisung nur Serverbereiche angeben.