Freigeben über


Erstellen einer verknüpften Rollengruppe

Gilt für: Exchange Server 2010

Letztes Änderungsdatum des Themas: 2009-10-05

Mit einer verknüpften Verwaltungsrollengruppe können Mitglieder einer universellen Sicherheitsgruppe (USG) in einer fremden Active Directory-Gesamtstruktur dazu ermächtigt werden, eine Microsoft Exchange Server 2010-Organisation in einer Active Directory-Ressourcenstruktur zu verwalten. Wenn Sie eine universelle Sicherheitsgruppe in einer fremden Gesamtstruktur einer verknüpften Rollengruppe zuordnen, werden den Mitgliedern der Sicherheitsgruppe die Berechtigungen der Verwaltungsrollen gewährt, die der verknüpften Rollengruppe zugewiesen sind. Weitere Informationen zu verknüpften Rollengruppen finden Sie unter Grundlegendes zu Verwaltungsrollengruppen.

Wichtig

Um Benutzer zu einer verknüpften Rollengruppe hinzuzufügen oder aus dieser zu entfernen, müssen Sie der universellen Sicherheitsgruppe in der fremden Active Directory-Gesamtstruktur Mitglieder hinzufügen bzw. aus dieser entfernen. Die Cmdlets Add-RoleGroupMember, Remove-RoleGroupMember oder Update-RoleGroupMember können nicht zum Ändern der Mitgliedschaft in einer verknüpften Rollengruppe verwendet werden.

Möchten Sie wissen, welche anderen Verwaltungsaufgaben es im Zusammenhang mit spezialisierten Benutzern gibt? Weitere Informationen finden Sie hier: Verwalten von Administratoren und spezialisierten Benutzern.

Voraussetzungen

  • Mindestvoraussetzung für die Konfiguration einer verknüpften Rollengruppe ist die Einrichtung einer unidirektionalen Vertrauensstellung zwischen der Active Directory-Ressourcengesamtstruktur, in der sich die verknüpfte Rollengruppe befinden soll, und der fremden Active Directory-Gesamtstruktur, in der sich die Benutzer bzw. die universellen Sicherheitsgruppen befinden. Zwischen der Ressourcengesamtstruktur und der fremden Gesamtstruktur muss eine Vertrauensstellung bestehen.
  • Sie müssen über die folgenden Informationen zur fremden Active Directory-Gesamtstruktur verfügen:
    • Anmeldeinformationen   Sie müssen über einen Benutzernamen und ein Kennwort verfügen, die den Zugriff auf die fremde Active Directory-Gesamtstruktur ermöglichen. Diese Informationen werden mit dem Parameter LinkedCredential des Cmdlets New-RoleGroup verwendet.
    • Domänencontroller   Sie müssen über den vollqualifizierten Domänennamen (FQDN) eines Active Directory-Domänencontrollers in der fremden Active Directory-Gesamtstruktur verfügen. Diese Informationen werden mit dem Parameter LinkedDomainController des Cmdlets New-RoleGroup verwendet.
    • Fremde universelle Sicherheitsgruppe   Sie müssen über den vollständigen Namen einer universellen Sicherheitsgruppe in der fremden Active Directory-Gesamtstruktur verfügen, die die Mitglieder enthält, die Sie der verknüpften Rollengruppe zuweisen möchten. Diese Informationen werden mit dem Parameter LinkedForeignGroup des Cmdlets New-RoleGroup verwendet.

Erstellen einer verknüpften Rollengruppe ohne Bereich mithilfe der Shell

Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Rollengruppen" im Thema Berechtigungen für die Rollenverwaltung.

Hinweis

Die Exchange-Verwaltungskonsole kann nicht zum Erstellen einer verknüpften Rollengruppe ohne Bereich verwendet werden.

Gehen Sie zum Erstellen einer verknüpften Rollengruppe und zum Zuordnen von Verwaltungsrollen folgendermaßen vor:

  1. Speichern Sie die Anmeldeinformationen für die fremde Active Directory-Gesamtstruktur in einer Variablen.

    $ForeignCredential = Get-Credential
    
  2. Erstellen Sie die verknüpfte Rollengruppe mit folgender Syntax.

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>
    
  3. Fügen Sie mit Active Directory-Benutzer und -Computer auf einem Computer in der fremden Active Directory-Gesamtstruktur Mitglieder der fremden universellen Sicherheitsgruppe hinzu, oder entfernen Sie sie daraus.

In diesem Beispiel werden folgende Schritte ausgeführt:

  • Abrufen der Anmeldeinformationen für die fremde Active Directory-Gesamtstruktur "users.contoso.com". Mit diesen Anmeldeinformationen wird eine Verbindung mit dem Domänencontroller "DC01.users.contoso.com" in der fremden Gesamtstruktur hergestellt.
  • Erstellen der verknüpften Rollengruppe "Compliance Role Group" in der Ressourcengesamtstruktur, in der Exchange 2010 installiert ist.
  • Verknüpfen der neuen Rollengruppe mit der universellen Sicherheitsgruppe (USG) "Compliance Administrators" in der fremden Active Directory-Gesamtstruktur "users.contoso.com".
  • Zuordnen von Transportregeln und Journalverwaltungsrollen zu der neuen verknüpften Rollengruppe.
$ForeignCredential = Get-Credential
New-RoleGroup "Compliance Role Group" -LinkedForeignGroup "Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -Roles "Transport Rules", "Journaling"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-RoleGroup.

Erstellen einer verknüpften Rollengruppe mit einem benutzerdefinierten Verwaltungsbereich mithilfe der Shell

Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Rollengruppen" im Thema Berechtigungen für die Rollenverwaltung.

Hinweis

Die Exchange-Verwaltungskonsole kann nicht zum Erstellen einer verknüpften Rollengruppe mit einem benutzerdefinierten Verwaltungsbereich verwendet werden.

Sie können verknüpfte Rollengruppen mit benutzerdefinierten Empfängerverwaltungsbereichen und/oder benutzerdefinierten Konfigurationsverwaltungsbereichen erstellen. Gehen Sie zum Erstellen einer verknüpften Rollengruppe und zum Zuordnen von Verwaltungsrollen mit benutzerdefinierten Bereichen folgendermaßen vor:

  1. Speichern Sie die Anmeldeinformationen für die fremde Active Directory-Gesamtstruktur in einer Variablen.

    $ForeignCredential = Get-Credential
    
  2. Erstellen Sie die verknüpfte Rollengruppe mit folgender Syntax.

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -CustomConfigWriteScope <name of configuration scope> -CustomRecipientWriteScope <name of recipient scope> -LinkedCredential $ForeignCredential -Roles <role1, role2, role3...>
    
  3. Fügen Sie mit Active Directory-Benutzer und -Computer auf einem Computer in der fremden Active Directory-Gesamtstruktur Mitglieder der fremden universellen Sicherheitsgruppe hinzu, oder entfernen Sie sie daraus.

In diesem Beispiel werden folgende Schritte ausgeführt:

  • Ruft die Anmeldeinformationen für die fremde Active Directory-Gesamtstruktur "users.contoso.com" ab. Mit diesen Anmeldeinformationen wird eine Verbindung mit dem Domänencontroller "DC01.users.contoso.com" in der fremden Gesamtstruktur hergestellt.
  • Erstellen einer verknüpften Rollengruppe namens "Seattle Compliance Role Group" in der Ressourcengesamtstruktur, in der Exchange 2010 installiert ist.
  • Verknüpfen der neuen Rollengruppe mit der universellen Sicherheitsgruppe (USG) "Seattle Compliance Administrators" in der fremden Active Directory-Gesamtstruktur "users.contoso.com".
  • Zuordnen von Transportregeln und Journalverwaltungsrollen zu der neuen verknüpften Rollengruppe mit dem benutzerdefinierten Empfängerbereich "Seattle Recipients".
$ForeignCredential = Get-Credential
New-RoleGroup "Seattle Compliance Role Group" -LinkedForeignGroup "Seattle Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -CustomRecipientWriteScope "Seattle Recipients" -Roles "Transport Rules", "Journaling"

Weitere Informationen zu Verwaltungsbereichen finden Sie unter Grundlegendes zu Verwaltungsrollenbereichen.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-RoleGroup.

Erstellen einer verknüpften Rollengruppe mit einem Organisationseinheitenbereich mithilfe der Shell

Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Rollengruppen" im Thema Berechtigungen für die Rollenverwaltung.

Hinweis

Die Exchange-Verwaltungskonsole kann nicht zum Erstellen einer verknüpften Rollengruppe mit Organisationseinheitenbereich verwendet werden.

Sie können verknüpfte Rollengruppen erstellen, die einen Organisationseinheitenempfängerbereich verwenden. Gehen Sie zum Erstellen einer verknüpften Rollengruppe und zum Zuordnen von Verwaltungsrollen mit einem Organisationseinheitenbereich folgendermaßen vor:

  1. Speichern Sie die Anmeldeinformationen für die fremde Active Directory-Gesamtstruktur in einer Variablen.

    $ForeignCredential = Get-Credential
    
  2. Erstellen Sie die verknüpfte Rollengruppe mit folgender Syntax.

    New-RoleGroup <role group name> -LinkedForeignGroup <name of foreign USG> -LinkedDomainController <FQDN of foreign Active Directory domain controller> -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope <OU name> -Roles <role1, role2, role3...>
    
  3. Fügen Sie mit Active Directory-Benutzer und -Computer auf einem Computer in der fremden Active Directory-Gesamtstruktur Mitglieder der fremden universellen Sicherheitsgruppe hinzu, oder entfernen Sie sie daraus.

In diesem Beispiel werden folgende Schritte ausgeführt:

  • Ruft die Anmeldeinformationen für die fremde Active Directory-Gesamtstruktur "users.contoso.com" ab. Mit diesen Anmeldeinformationen wird eine Verbindung mit dem Domänencontroller "DC01.users.contoso.com" in der fremden Gesamtstruktur hergestellt.
  • Erstellen der verknüpften Rollengruppe "Executives Compliance Role Group" in der Ressourcengesamtstruktur, in der Exchange 2010 installiert ist.
  • Verknüpfen der neuen Rollengruppe mit der universellen Sicherheitsgruppe (USG) "Executives Compliance Administrators" in der fremden Active Directory-Gesamtstruktur "users.contoso.com".
  • Zuordnen von Transportregeln und Journalverwaltungsrollen zu der neuen verknüpften Rollengruppe mit dem Organisationseinheitenempfängerbereich "Executives OU".
$ForeignCredential = Get-Credential
New-RoleGroup "Executives Compliance Role Group" -LinkedForeignGroup "Executives Compliance Administrators" -LinkedDomainController DC01.users.contoso.com -LinkedCredential $ForeignCredential -RecipientOrganizationalUnitScope "Executives OU" -Roles "Transport Rules", "Journaling"

Weitere Informationen zu Verwaltungsbereichen finden Sie unter Grundlegendes zu Verwaltungsrollenbereichen.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-RoleGroup.

Weitere Aufgaben

Nachdem Sie eine verknüpfte Rollengruppe erstellt haben, können Sie die folgenden Aufgaben ausführen: