Grundlegendes zu Verwaltungsrollenbereichen
Gilt für: Exchange Server 2010
Letztes Änderungsdatum des Themas: 2009-10-14
Verwaltungsrollenbereiche ermöglichen Ihnen die Definition spezifischer Wirkungs- oder Einflussbereiche für eine Verwaltungsrolle, wenn eine Verwaltungsrollenzuweisung erstellt wird. Wenn Sie einen Bereich anwenden, kann der Rollenempfänger, dem die Rolle zugewiesen wird, nur die in diesem Bereich enthaltenen Objekte ändern. Ein Rollenempfänger kann eine Verwaltungsrollengruppe, eine Verwaltungsrolle, eine Richtlinie für eine Verwaltungsrollenzuweisung, ein Benutzer oder eine universelle Sicherheitsgruppe (Universal Security Group, USG) sein. Weitere Informationen zu Verwaltungsrollen finden Sie unter Grundlegendes zur rollenbasierten Zugriffssteuerung.
Jede Verwaltungsrolle, ob integrierte oder benutzerdefinierte Rolle, hat Verwaltungsbereiche. Es kann sich dabei um folgende Verwaltungsbereiche handeln:
- Regulär Ein regulärer Bereich ist nicht exklusiv. Er bestimmt, wo Objekte in Active Directory von Benutzern, denen die Verwaltungsrolle zugewiesen ist, angezeigt oder geändert werden können. Im Allgemeinen gibt eine Verwaltungsrolle an, was Sie erstellen oder ändern können, und ein Verwaltungsrollenbereich, wo Sie etwas erstellen oder ändern können. Reguläre Bereiche können implizite oder explizite Bereiche sein. Beide werden weiter unten in diesem Thema erläutert.
- Exklusive Ein exklusiver Bereich verhält sich nahezu identisch wie ein regulärer Bereich. Der wichtigste Unterschied besteht darin, dass Sie Benutzern den Zugriff auf Objekte innerhalb des exklusiven Bereichs verweigern können, wenn diesen Benutzern keine mit dem exklusiven Bereich verknüpfte Rolle zugewiesen ist. Alle exklusiven Bereiche sind explizite Bereiche, die weiter unten in diesem Thema erläutert werden.
Weitere Informationen zu exklusiven Bereichen finden Sie unter Grundlegendes zu exklusiven Bereichen.
Bereiche können von der Verwaltungsrolle geerbt, als vordefinierter relativer Bereich für eine Verwaltungsrollenzuweisung festgelegt oder mithilfe benutzerdefinierter Filter erstellt und einer Verwaltungsrollenzuweisung hinzugefügt werden. Von Verwaltungsrollen geerbte Bereiche werden implizite Bereiche genannt, während vordefinierte und benutzerdefinierte Bereiche als explizite Bereiche bezeichnet werden. In den folgenden Abschnitten werden die einzelnen Bereichstypen beschrieben:
- Implizite Bereiche
- Explizite Bereiche
- Vordefinierte relative Bereiche
- Benutzerdefinierte Bereiche
Jede Rolle kann die folgenden Bereichstypen haben:
- Empfängerlesebereich Der implizite Empfängerlesebereich bestimmt, welche Empfängerobjekte der Benutzer, dem die Verwaltungsrolle zugewiesen wird, aus Active Directory lesen kann.
- Empfängerschreibbereich Der implizite Empfängerschreibbereich bestimmt, welche Empfängerobjekte der Benutzer, dem die Verwaltungsrolle zugewiesen wird, in Active Directory ändern kann.
- Konfigurationslesebereich Der implizite Konfigurationslesebereich bestimmt, welche Konfigurationsobjekte der Benutzer, dem die Verwaltungsrolle zugewiesen wird, aus Active Directory lesen kann.
- Konfigurationsschreibbereich Der Konfigurationsschreibbereich bestimmt, welche Organisations- und Serverobjekte der Benutzer, dem die Verwaltungsrolle zugewiesen wird, in Active Directory ändern kann.
Empfängerobjekte umfassen Postfächer, Verteilergruppen, E-Mail-aktivierte Benutzer und andere Objekte. Konfigurationsobjekte beinhalten Server mit Microsoft Exchange Server 2010. Bei den Bereichstypen kann es sich jeweils um einen impliziten oder einen expliziten Bereich handeln.
Implizite Bereiche
Implizite Bereiche sind die für einen Verwaltungsrollentyp geltenden Standardbereiche. Da implizite Bereiche mit einem Verwaltungsrollentyp verknüpft sind, besitzen alle übergeordneten und untergeordneten Verwaltungsrollen mit demselben Rollentyp auch dieselben impliziten Bereiche. Implizite Bereiche gelten sowohl für integrierte Verwaltungsrollen als auch für benutzerdefinierte Verwaltungsrollen. Weitere Informationen zu Verwaltungsrollen und Verwaltungsrollentypen finden Sie unter Grundlegendes zu Verwaltungsrollen.
In der folgenden Tabelle sind alle impliziten Bereiche aufgeführt, die für Verwaltungsrollen definiert werden können.
Implizite Bereiche, die für Verwaltungsrollen definiert sind
Implizite Bereiche | Beschreibung |
---|---|
|
Wenn im Schreibbereich des Rollenempfängers Wenn im Lesebereich des Rollenempfängers Dieser Bereich wird nur mit Empfängerlese- und -schreibbereichen verwendet. |
|
Wenn im Lesebereich des Rollenempfängers Wenn im Lesebereich des Rollenempfängers Dieser Bereich wird nur mit Empfängerlesebereichen verwendet. |
|
Ist im Schreibbereich des Rollenempfängers Ist im Lesebereich des Rollenempfängers Dieser Bereich wird nur mit Empfängerlese- und -schreibbereichen verwendet. |
|
Wenn im Schreibbereich des Rollenempfängers Wenn im Lesebereich des Rollenempfängers Dieser Bereich wird nur mit Empfängerlese- und -schreibbereichen verwendet. |
|
Wenn im Konfigurationsschreibbereich des Rollenempfängers Wenn im Konfigurationslesebereich des Rollenempfängers Dieser Bereich wird mit Konfigurationslese- und -schreibbereichen verwendet. |
|
Wenn sich |
Wird eine Rolle einem Rollenempfänger zugewiesen und es sind keine vordefinierten oder benutzerdefinierten Bereiche angegeben, werden die für die Rolle definierten impliziten Bereiche verwendet, um zu steuern, welche Empfänger- bzw. Organisationsobjekte der Benutzer anzeigen oder ändern kann.
In der folgenden Tabelle sind alle integrierten Verwaltungsrollen und ihre impliziten Bereiche aufgeführt.
Implizite Bereiche integrierter Verwaltungsrollen
Verwaltungsrolle | Empfängerlesebereich | Empfängerschreibbereich | Konfigurationslesebereich | Konfigurationsschreibbereich |
---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Der implizite Schreibbereich einer Rolle ist stets kleiner oder gleich dem impliziten Lesebereich. Dies bedeutet, dass eine Rolle keine Objekte ändern kann, die vom Bereich nicht angezeigt werden können.
Sie können die für Verwaltungsrollen definierten impliziten Bereiche nicht ändern. Sie können jedoch den impliziten Schreibbereich und Konfigurationsbereich für eine Verwaltungsrolle außer Kraft setzen. Wenn für eine Rollenzuweisung ein vordefinierter relativer Bereich oder benutzerdefinierter Bereich verwendet wird, wird der implizite Schreibbereich oder Konfigurationsbereich der Rolle außer Kraft gesetzt und der neue Bereich erhält Vorrang. Der implizite Lesebereich einer Rolle ist stets gültig und kann nicht außer Kraft gesetzt werden. Weitere Informationen zu vordefinierten oder benutzerdefinierten expliziten Bereichen finden Sie in den zugehörigen Abschnitten weiter unten in diesem Thema.
Explizite Bereiche
Explizite Bereiche sind Bereiche, die Sie selbst festlegen, um zu steuern, welche Objekte eine Verwaltungsrolle ändern kann. Während implizite Bereiche für eine Verwaltungsrolle definiert werden, werden explizite Bereiche für eine Verwaltungsrollenzuweisung definiert. Auf diese Weise können implizite Bereiche konsistent für alle Verwaltungsrollen angewendet werden, wenn sie nicht von Ihnen durch einen expliziten Bereich außer Kraft gesetzt werden. Weitere Informationen zu Verwaltungsrollenzuweisungen finden Sie unter Grundlegendes zu Verwaltungsrollenzuweisungen.
Explizite Bereiche setzen die impliziten Schreib- und Konfigurationsbereiche einer Verwaltungsrolle außer Kraft. Sie setzen nicht den impliziten Lesebereich einer Verwaltungsrolle außer Kraft. Der implizite Lesebereich definiert weiterhin, welche Objekte die Verwaltungsrolle lesen kann.
Explizite Bereiche sind nützlich, wenn der implizite Schreibbereich einer Verwaltungsrolle den Anforderungen Ihres Unternehmens nicht entspricht. Sie können einen expliziten Bereich hinzufügen, der nahezu alles Gewünschte enthält, solange der neue Bereich nicht die Grenzen des impliziten Lesebereichs überschreitet. Die zu einer Verwaltungsrolle gehörenden Cmdlets müssen Informationen zu den Objekten oder Containern lesen können, die Objekte enthalten, damit die Cmdlets Objekte erstellen oder ändern können. Wenn beispielsweise der implizite Lesebereich für eine Verwaltungsrolle auf Self
festgelegt wird, können Sie keinen expliziten Schreibbereich Organization
hinzufügen, da der explizite Schreibbereich die Grenzen des impliziten Lesebereichs überschreitet.
In den folgenden Abschnitten werden die vordefinierten relativen Bereiche und benutzerdefinierten Bereiche beschrieben.
Vordefinierte relative Bereiche
Exchange 2010 bietet mehrere vordefinierte relative Schreibbereiche, die Sie zum Ändern des Bereichs einer Verwaltungsrolle verwenden können. Vordefinierte relative Bereiche bieten eine einfache Möglichkeit, um stärker auf die Anforderungen Ihres Unternehmens einzugehen, ohne manuell benutzerdefinierte Bereiche erstellen zu müssen. Die Bereiche werden deshalb als relativ bezeichnet, weil sie relativ sind für den Rollenempfänger, dem die dazugehörige Rollenzuweisung zugewiesen wird. So beschränkt beispielsweise der vordefinierte relative Bereich Self
den Schreibbereich allein auf den aktuellen Benutzer. Der vordefinierte relative Bereich MyDistributionGroups
beschränkt den Schreibbereich auf die Verteilergruppe, die der aktuelle Benutzer besitzt. Vordefinierte relative Bereiche können nur für Empfängerobjektbereiche verwendet werden. Vordefinierte relative Bereiche können nicht für Konfigurationsobjektbereiche verwendet werden. In der folgenden Tabelle sind die vordefinierten relativen Bereiche aufgeführt, die Sie verwenden können.
Vordefinierte relative Bereiche
Implizite Bereiche | Beschreibung |
---|---|
|
Wenn im Schreibbereich des Rollenempfängers Wenn im Lesebereich des Rollenempfängers Dieser Bereich wird nur mit Empfängerlese- und -schreibbereichen verwendet. |
|
Ist im Schreibbereich des Rollenempfängers Ist im Lesebereich des Rollenempfängers Dieser Bereich wird nur mit Empfängerlese- und -schreibbereichen verwendet. |
|
Wenn im Schreibbereich des Rollenempfängers Wenn im Lesebereich des Rollenempfängers Dieser Bereich wird nur mit Empfängerlese- und -schreibbereichen verwendet. |
Vordefinierte relative Bereiche werden angewendet, wenn Sie eine neue Verwaltungsrollenzuweisung erstellen. Beim Erstellen der Rollenzuweisung können Sie mithilfe des Cmdlets New-ManagementRoleAssignment einen vordefinierten relativen Bereich mit dem Parameter RecipientRelativeWriteScope angeben. Wenn die neue Rollenzuweisung erstellt wird, setzt die neue vordefinierte Rolle den impliziten Schreibbereich der Verwaltungsrolle außer Kraft.
Weitere Informationen zum Hinzufügen einer Verwaltungsrollenzuweisung mit einem vordefinierten relativen Bereich finden Sie unter Hinzufügen einer Rolle zu einem Benutzer oder einer universellen Sicherheitsgruppe.
Benutzerdefinierte Bereiche
Benutzerdefinierte Bereiche sind erforderlich, wenn weder der implizite Schreibbereich noch die vordefinierten relativen Bereiche den Anforderungen Ihres Unternehmens entsprechen. Benutzerdefinierte Bereiche ermöglichen Ihnen eine genaue Definition des Bereichs, auf den Ihre Verwaltungsrolle angewendet werden soll. Dabei kann es sich beispielsweise um eine bestimmte Organisationseinheit, einen bestimmten Empfängertyp oder beides handeln.
Genau wie vordefinierte relative Bereiche setzen auch benutzerdefinierte Bereiche die für Verwaltungsrollen definierten impliziten Schreib- und Organisationskonfigurationsbereiche außer Kraft. Der implizite Lesebereich für Verwaltungsrollen wird auch weiterhin angewendet, und der resultierende benutzerdefinierte Bereich darf die Grenzen des impliziten Lesebereichs nicht überschreiten.
Der einfachste benutzerdefinierte Bereich ist ein Organisationseinheitsbereich, der mithilfe des Parameters RecipientOrganizationalUnitScope im Cmdlet New-ManagementRoleAssignment erstellt wird. Durch das Festlegen eines Organisationseinheitsbereichs beim Zuweisen einer Rolle kann der Benutzer, dem die Rolle zugewiesen wird, nur Empfängerobjekte innerhalb der Organisationseinheit ändern.
Weitere Informationen zum Hinzufügen einer Verwaltungsrollenzuweisung mit einem Organisationseinheitsbereich finden Sie unter Hinzufügen einer Rolle zu einem Benutzer oder einer universellen Sicherheitsgruppe.
Komplexere und detailliertere benutzerdefinierte Bereiche können Sie mithilfe des Cmdlets New-ManagementScope erstellen. Mit dem Cmdlet New-ManagementScope können Sie Empfänger- und Konfigurationsfilterbereiche erstellen. Empfängerfilterbereiche verwenden Filter, um auf der Grundlage des Empfängertyps oder anderer Empfängereigenschaften wie Abteilung, Manager, Standort und mehr nach bestimmten Empfängern zu filtern. Konfigurationsfilterbereiche verwenden Filter, um auf der Grundlage filterbarer Eigenschaften, die sich auf Servern definieren lassen, wie ein Active Directory-Standort oder eine Serverrolle, zu filtern.
Wenn Sie einen Empfänger- oder einen Konfigurationsfilterbereich erstellen, werden nur die Empfänger- bzw. Serverobjekte zurückgegeben, die mit den jeweiligen gefilterten Bereichen übereinstimmen. Wenn diese Bereiche mithilfe des Cmdlets New-ManagementRoleAssignment oder Set-ManagementRoleAssignment auf eine Rollenzuweisung angewendet werden, können nur die Objekte, die mit den Filtern übereinstimmen, von den Rollenempfängern geändert werden, denen die Rolle zugewiesen wurde. Sie können den Bereichstyp nach dem Erstellen eines benutzerdefinierten Bereichs nicht mehr ändern. Ein Empfängerbereich bleibt stets Empfängerbereich, ein Konfigurationsbereich stets Konfigurationsbereich.
Standardmäßig ermöglicht ein benutzerdefinierter Bereich einem Rollenempfänger den Zugriff auf eine Reihe von Objekten, die den von Ihnen festgelegten Filtern entsprechen. Der Zugriff für andere Rollenempfänger, denen nicht der gleiche oder ein äquivalenter Bereich zugewiesen wurde, ist jedoch nicht aktiv ausgeschlossen. Jeder benutzerdefinierte Bereich kann auf dieselben Objekte zugreifen, wenn die Filter für diese Bereiche denselben Objekten entsprechen. Dieses Verhalten ist für bestimmte Objekte möglicherweise nicht wünschenswert, z. B. bei wichtigen Mitarbeitern wie Führungskräften. Für diese Objekte können Sie exklusive Bereiche definieren. Exklusive Bereiche verwenden Filter genauso wie reguläre Bereiche. Anders als diese verweigern sie jedoch allen, die nicht zu demselben oder zu einem äquivalenten exklusiven Bereich gehören, den Zugriff auf Objekte in diesem Bereich. Weitere Informationen zu exklusiven Bereichen finden Sie unter Grundlegendes zu exklusiven Bereichen.
Weitere Informationen
Grundlegendes zu Bereichsfiltern für Verwaltungsrollen
Erstellen eines regulären oder exklusiven Bereichs
Ändern des Bereichs von Rollenzuweisungen in einer Rollengruppe