Freigeben über


Rolle "Konfiguration (nur Anzeige)"

Gilt für: Exchange Server 2010

Letztes Änderungsdatum des Themas: 2009-10-12

Die Verwaltungsrolle View-Only Configuration ermöglicht Administratoren die Anzeige aller nicht empfängerbezogenen Exchange-Konfigurationseinstellungen in einer Organisation. Beispiele für anzeigbare Konfigurationen sind Serverkonfigurationen, Transportkonfigurationen, Datenbankkonfigurationen und unternehmensweite Konfigurationen.

Diese Rolle kann mit Rollen kombiniert werden, die in Zusammenhang mit der Rolle View-Only Recipients stehen, um eine Rollengruppe zu erstellen, die alle Objekte in einer Organisation anzeigen kann. Weitere Informationen finden Sie unter Rolle "Empfänger mit Leserechten".

Diese Verwaltungsrolle ist eine von mehreren integrierten Rollen im Modell für rollenbasierte Zugriffssteuerungsberechtigungen (Role Based Access Control, RBAC) in Microsoft Exchange Server 2010. Verwaltungsrollen werden einer oder mehreren Verwaltungsrollengruppen, Zuweisungsrichtlinien für Verwaltungsrollen, Benutzern oder universellen Sicherheitsgruppen zugewiesen. Sie dienen als logische Gruppierung von Cmdlets oder Skripts, die zusammengefasst werden, um das Anzeigen oder Ändern der Konfiguration von Exchange 2010-Komponenten wie Postfächern, Transportregeln und Empfängern zu ermöglichen. Wenn ein Cmdlet oder Skript und seine Parameter, die zusammen einen sogenannten Verwaltungsrolleneintrag bilden, in einer Rolle enthalten sind, können das Cmdlet bzw. Skript und seine Parameter von allen ausgeführt werden, denen die Rolle zugewiesen ist. Weitere Informationen zu Verwaltungsrollen und Verwaltungsrolleneinträgen finden Sie unter Grundlegendes zu Verwaltungsrollen.

Weitere Informationen zu Verwaltungsrollen, Verwaltungsrollengruppen und anderen RBAC-Komponenten finden Sie unter Grundlegendes zur rollenbasierten Zugriffssteuerung.

Verwaltungsrollenzuweisungen

Um über diese Rolle Berechtigungen erteilen zu können, muss sie einem Rollenempfänger zugewiesen werden. Dabei kann es sich um eine Rollengruppe, einen Benutzer oder eine universelle Sicherheitsgruppe handeln. Die Zuweisung erfolgt über Verwaltungsrollenzuweisungen. Rollenzuweisungen verknüpfen Rollenempfänger und Rollen miteinander. Werden einem Rollenempfänger mehrere Rollen zugewiesen, wird dem Rollenempfänger die Gesamtheit aller Berechtigungen erteilt, die durch alle zugewiesenen Rollen erteilt werden.

Neben der Verknüpfung von Rollenempfängern mit Rollen können Rollenzuweisungen auch für benutzerdefinierte oder integrierte Verwaltungsbereiche gelten. Verwaltungsbereiche steuern, welche Empfänger- und Serverobjekte durch Rollenempfänger geändert werden können. Wenn diese Rolle einem Rollenempfänger zugewiesen wird, ein Verwaltungsbereich dem Rollenempfänger jedoch nur das Verwalten bestimmter Objekte auf der Basis eines definierten Bereichs erlaubt, kann der Rollenempfänger nur die Berechtigungen verwenden, die über diese Rolle für die jeweiligen Objekte erteilt werden. Die durch diese Rolle bereitgestellten Berechtigungen können nicht auf Objekte außerhalb des in der Rollenzuweisung definierten Bereichs angewendet werden. Weitere Informationen zu Rollenzuweisungen und Bereichen finden Sie unter den folgenden Themen:

Diese Rolle wird standardmäßig einer oder mehreren Rollengruppen zugewiesen. Weitere Informationen finden Sie im Abschnitt "Standard-Verwaltungsrollenzuweisungen".

Verwenden Sie den folgenden Befehl, wenn Sie eine Liste der dieser Rolle zugewiesenen Rollengruppen, Benutzer oder universellen Sicherheitsgruppen anzeigen möchten.

Get-ManagementRoleAssignment -Role "Active Directory Permissions"

Reguläre und delegierende Rollenzuweisungen

Diese Rolle kann Rollenempfängern entweder mithilfe von regulären oder mithilfe von delegierenden Rollenzuweisungen zugewiesen werden. Reguläre Rollenzuweisungen erteilen die dem Rollenempfänger von der Rolle bereitgestellten Berechtigungen. Delegierende Rollenzuweisungen geben dem Rollenempfänger die Möglichkeit, die Rolle anderen Rollenempfängern zuzuweisen. Weitere Informationen zu regulären und delegierenden Rollenzuweisungen finden Sie unter Grundlegendes zu Verwaltungsrollenzuweisungen.

Hinzufügen oder Entfernen von Rollenzuweisungen

Sie können ändern, welchen Rollenempfängern diese Rolle zugewiesen wird. Dadurch ändern Sie, an wen die entsprechenden Berechtigungen erteilt werden. Sie können diese Rolle anderen integrierten Rollengruppen zuweisen oder Rollengruppen erstellen und ihnen dann diese Rolle zuweisen. Sie können diese Rolle auch Benutzern oder universellen Sicherheitsgruppen zuweisen. Sie sollten die Zuweisung von Rollen an Benutzer und universelle Sicherheitsgruppen jedoch beschränken, da die Komplexität Ihres Berechtigungsmodells durch solche Zuweisungen stark zunehmen kann.

Zum Zuweisen dieser Rolle zu Rollenempfängern mithilfe einer delegierenden Rollenzuweisung, muss die ‏Rolle einer Rollengruppe (deren Mitglied Sie sind), Ihnen direkt oder einer universellen Sicherheitsgruppe (deren Mitglied Sie sind) zugewiesen werden. Weitere Informationen zum Delegieren von Rollenzuweisungen finden Sie im Abschnitt "Reguläre und delegierende Rollenzuweisungen".

Sie können diese Rolle auch aus integrierten Rollengruppen, selbst erstellten Rollengruppen, Benutzern und universellen Sicherheitsgruppen entfernen. Es muss jedoch stets mindestens eine delegierende Rollenzuweisung zwischen dieser Rolle und einer Rollengruppe oder universellen Sicherheitsgruppe bestehen. Die letzte delegierende Rollenzuweisung kann nicht gelöscht werden. Durch diese Einschränkung wird verhindert, dass Sie das System für sich selbst sperren.

Wichtig

Es muss mindestens eine delegierende Rollenzuweisung zwischen dieser Rolle und einer Rollengruppe oder universellen Sicherheitsgruppe bestehen. Sie können die letzte delegierende Rollenzuweisung, die dieser Rolle zugeordnet ist, nicht entfernen, wenn es sich dabei um eine Zuweisung an einen Benutzer handelt.

Weitere Informationen zum Hinzufügen oder Entfernen von Rollenzuweisungen zwischen dieser Rolle und Rollengruppen, Benutzern und universellen Sicherheitsgruppen finden Sie unter den folgenden Themen:

Ändern der Verwaltungsbereiche für Rollenzuweisungen

Sie können auch die Verwaltungsbereiche für vorhandene Rollenzuweisungen zwischen dieser Rolle und Rollenempfängern ändern. Durch das Ändern von Verwaltungsbereichen für Rollenzuweisungen steuern Sie, welche Objekte mithilfe der von dieser Rolle bereitgestellten Berechtigungen verwaltet werden können. Sie haben mehrere Möglichkeiten, wenn Sie den Bereich für eine Rollenzuweisung ändern. Sie können eine der folgenden Aktionen durchführen:

  • Fügen Sie einen neuen benutzerdefinierten Bereich mithilfe des Cmdlets Set-ManagementRoleAssignment hinzu. Weitere Informationen hierzu finden Sie unter den folgenden Themen:
  • Fügen Sie den Bereich für eine Organisationseinheit mithilfe des Cmdlets Set-ManagementRoleAssignment hinzu oder ändern Sie diesen. Weitere Informationen finden Sie unter Ändern einer Rollenzuweisung.
  • Fügen Sie einen vordefinierten Bereich mithilfe des Cmdlets Set-ManagementRoleAssignment hinzu oder ändern Sie diesen. Weitere Informationen finden Sie unter Ändern einer Rollenzuweisung.
  • Ändern Sie die Empfänger- oder Serverbereichsfilter oder die Serverliste für den einer Rollenzuweisung zugeordneten benutzerdefinierten Bereich mithilfe des Cmdlets Set-ManagementScope. Weitere Informationen finden Sie unter Ändern eines Rollenbereichs.

Aktivieren oder Deaktivieren von Rollenzuweisungen

Durch das Aktivieren oder Deaktivieren einer Rollenzuweisung steuern Sie, ob diese Rollenzuweisung wirksam sein soll. Ist eine Rollenzuweisung deaktiviert, werden die von der zugehörigen Rolle erteilten Berechtigungen nicht auf den Rollenempfänger angewendet. Dies ist hilfreich, wenn Sie Berechtigungen vorübergehend entfernen möchten, ohne die Rollenzuweisung zu löschen. Weitere Informationen finden Sie unter Ändern einer Rollenzuweisung.

Standard-Verwaltungsrollenzuweisungen

Diese Rolle verfügt über Rollenzuweisungen für einen oder mehrere Rollenempfänger. Die folgende Tabelle zeigt, ob diese Rollenzuweisung regulär oder delegierend ist. Außerdem gibt sie die auf die einzelnen Zuweisungen angewendeten Verwaltungsbereiche an. Die folgende Liste beschreibt jede Spalte:

  • Reguläre Zuweisung   Reguläre Rollenzuweisungen ermöglichen dem Rollenempfänger den Zugriff auf die von den Verwaltungsrolleneinträgen dieser Rolle bereitgestellten Berechtigungen.
  • Delegierende Zuweisung   Delegierende Rollenzuweisungen geben dem Rollenempfänger die Möglichkeit, diese Rolle zu Rollengruppen, Benutzern oder universellen Sicherheitsgruppen zuzuweisen.
  • Empfängerlesebereich  Der Empfängerlesebereich bestimmt, welche Empfängerobjekte der Rollenempfänger aus Active Directory lesen kann.
  • Empfängerschreibbereich  Der Empfängerschreibbereich bestimmt, welche Empfängerobjekte der Rollenempfänger in Active Directory ändern kann.
  • Konfigurationslesebereich  Der Konfigurationslesebereich bestimmt, welche Konfigurations- und Serverobjekte der Rollenempfänger aus Active Directory lesen kann.
  • Konfigurationsschreibbereich  Der Konfigurationsschreibbereich bestimmt, welche Organisations- und Serverobjekte der Rollenempfänger in Active Directory ändern kann.

Standard-Verwaltungsrollenzuweisungen für diese Rolle

Rollengruppe Reguläre Zuweisung Delegierende Zuweisung Empfängerlesebereich Empfängerschreibbereich Konfigurationslesebereich Konfigurationsschreibbereich

Delegiertes Setup

X

 

Organization

None

OrganizationConfig

None

Verwaltung von Nachrichtenschutz

X

 

Organization

None

OrganizationConfig

None

Organisationsverwaltung

X

X

Organization

None

OrganizationConfig

None

Organisationsverwaltung – nur Leserechte

X

 

Organization

None

OrganizationConfig

None

Verwaltungsrollenanpassung

Diese Rolle wurde konfiguriert, um einem Rollenempfänger alle erforderlichen Cmdlets und dazugehörigen Parameter für die Verwaltung der zu Beginn dieses Themas genannten Funktionen und Komponenten zur Verfügung zu stellen. Andere Rollen wurden ebenfalls bereitgestellt, um die Verwaltung anderer Funktionen zu ermöglichen. Durch das Hinzufügen und Entfernen von Rollen zu bzw. aus diesen Gruppen können Sie ein benutzerdefiniertes Berechtigungsmodell erstellen, ohne einzelne Verwaltungsrollen anpassen zu müssen. Eine vollständige Liste der Rollen finden Sie unter Integrierte Verwaltungsrollen. Weitere Informationen zum Anpassen von Rollengruppen finden Sie unter den folgenden Themen:

Wenn Sie sich für das Erstellen einer benutzerdefinierten Version dieser Rolle entscheiden, müssen Sie eine dieser Rolle untergeordnete Rolle erstellen und die neue Rolle anpassen.

Warnung

Mithilfe der folgenden Informationen können Sie eine erweiterte Verwaltung von Berechtigungen durchführen. Das Anpassen von Verwaltungsrollen kann die Komplexität Ihres Berechtigungsmodells erheblich erhöhen. Wenn Sie eine integrierte Verwaltungsrolle durch eine nicht ordnungsgemäß konfigurierte Rolle ersetzen, kann dies dazu führen, dass bestimmte Funktionen nicht mehr ausgeführt werden können.

Im Folgenden handelt es sich um die am häufigsten verwendeten Schritte, um eine benutzerdefinierte Rolle zu erstellen und diese einem Rollenempfänger zuzuweisen:

  1. Erstellen Sie eine Kopie dieser Rolle mithilfe des Cmdlets New-ManagementRole. Weitere Informationen finden Sie unter Erstellen einer Rolle.
  2. Ändern oder entfernen Sie die Rolleneinträge in der neuen Rolle mithilfe der Cmdlets Set-ManagementRoleEntry und Remove-ManagementRoleEntry. Sie können der neuen Rolle keine zusätzlichen Rolleneinträge hinzufügen, da sie nur die Rolleneinträge der übergeordneten integrierten Rolle enthalten darf. Weitere Informationen hierzu finden Sie unter den folgenden Themen:
  3. Wenn Sie die integrierte Rolle durch diese neue benutzerdefinierte Rolle ersetzen möchten, entfernen Sie alle zu der integrierten Rolle gehörenden Rollenzuweisungen mithilfe des Cmdlets Remove-ManagementRoleAssignment. Weitere Informationen hierzu finden Sie unter den folgenden Themen:
  4. Fügen Sie die neue benutzerdefinierte Rolle den erforderlichen Rollenempfängern mithilfe des Cmdlets New-ManagementRoleAssignment hinzu. Weitere Informationen hierzu finden Sie unter den folgenden Themen: