Grundlegendes zu Berechtigungen für mehrere Gesamtstrukturen
Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Letztes Änderungsdatum des Themas: 2015-03-09
Viele Organisationen stellen mehrere Gesamtstrukturen bereit, um Sicherheitsgrenzen innerhalb ihrer Organisationen zu erstellen. Das Verwenden mehrerer Gesamtstrukturen unterstützt Administratoren beim Definieren dieser Sicherheitsgrenzen, um die jeweiligen Sicherheitsanforderungen zu erfüllen – ob es sich darum handelt, den Zugriff auf eine Ressource auf möglichst wenige Personen zu beschränken, oder um Abteilungen innerhalb einer Organisation zu segmentieren.
Microsoft Exchange Server 2010 unterstützt zwei Arten von Topologien mit mehreren Gesamtstrukturen:
Gesamtstrukturübergreifend Gesamtstrukturübergreifende Topologien können mehrere Gesamtstrukturen aufweisen, die jeweils über eine eigene Installation von Exchange verfügen.
Ressourcengesamtstruktur Topologien mit einer Ressourcengesamtstruktur haben eine Exchange-Gesamtstruktur und eine oder mehrere Kontengesamtstrukturen.
Im Rahmen dieses Themas wird die Gesamtstruktur, die universelle Sicherheitsgruppen (USGs) und Benutzer außerhalb der Gesamtstruktur enthält, in der Exchange 2010 installiert ist, als fremde Gesamtstruktur bezeichnet (unabhängig davon, ob es sich um eine Kontengesamtstruktur oder eine andere Ressourcengesamtstruktur handelt).
Die Konfiguration von Berechtigungen in einer Topologie mit mehreren Gesamtstrukturen basiert auf der ordnungsgemäßen Konfiguration von Gesamtstrukturvertrauensstellungen und der GAL-Synchronisierung (Global Address List, globale Adressliste) zur Erstellung verknüpfter Postfächer. Die Exchange 2010-Gesamtstruktur muss der fremden Gesamtstruktur vertrauen, welche die universellen Sicherheitsgruppen enthält, die den verknüpften Rollengruppen zugeordnet sind, und die Benutzer enthält, die den verknüpften Postfächern zugeordnet sind. Weitere Informationen zu Topologien mit mehreren Gesamtstrukturen finden Sie unter Bereitstellen von Topologien mit mehreren Gesamtstrukturen.
Exchange 2010 verwendet ein Berechtigungsmodell für die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC). Die Verwaltungsrollengruppen, denen Administratoren angehören, sowie die Zuweisungsrichtlinien für Verwaltungsrollen, denen Endbenutzer zugeordnet sind, bestimmen, welche Aufgaben Administratoren und Endbenutzer ausführen können. Um Berechtigungen für mehrere Gesamtstrukturen verstehen zu können, müssen Sie mit dem RBAC-Modell vertraut sein. Weitere Informationen zu der rollenbasierten Zugriffssteuerung, Rollengruppen und Rollenzuweisungsrichtlinien finden Sie unter den folgenden Themen:
Möchten Sie wissen, welche Verwaltungsaufgaben es im Zusammenhang mit der Berechtigungsverwaltung gibt? Informationen hierzu finden Sie unter Verwalten von Berechtigungen.
Inhalt
Berechtigungen in einer Topologie mit mehreren Gesamtstrukturen
Grenzübergreifende Berechtigungen
Konfigurieren von grenzübergreifenden Berechtigungen
Berechtigungen in einer Topologie mit mehreren Gesamtstrukturen
RBAC wendet Berechtigungen auf alle Exchange-Objekte innerhalb einer einzelnen Gesamtstruktur an, und die RBAC-Konfiguration in jeder Gesamtstruktur wird unabhängig von allen anderen Gesamtstrukturen konfiguriert. Wenn Sie eine Rollengruppe in einer Gesamtstruktur erstellen, ist diese Rollengruppe in keiner anderen Gesamtstruktur vorhanden. Die Berechtigungen, die dieser Rollengruppe erteilt werden, gelten nur für die Gesamtstruktur, in der die Rollengruppe erstellt wurde. Beispielsweise kann ein Mitglied einer Rollengruppe, die Berechtigungen zum Erstellen eines Postfachs erteilt, Postfächer nur in der Gesamtstruktur erstellen, die diese Rollengruppe enthält.
Wenn Sie über mehrere Exchange-Gesamtstrukturen verfügen und identische Berechtigungen in allen Gesamtstrukturen konfigurieren möchten, müssen Sie dieselbe Konfiguration explizit in jeder Gesamtstruktur anwenden. Wenn Sie beispielsweise über zwei Exchange 2010-Gesamtstrukturen verfügen und eine Rollengruppe namens "Verwaltung der Vorschrifteneinhaltung" zum Verwalten von Berechtigungen für Ihre Rechtsabteilung erstellen möchten, müssen Sie folgendermaßen vorgehen:
Erstellen Sie in jeder Gesamtstruktur eine Rollengruppe namens "Verwaltung der Vorschrifteneinhaltung". Wenn sich Ihre Administratoren in einer von den Exchange-Gesamtstrukturen getrennten fremden Gesamtstruktur befinden, erstellen Sie beide Rollengruppen als verknüpfte Rollengruppen. Weitere Informationen zu Rollengruppen finden Sie im Abschnitt Grenzübergreifende Berechtigungen.
Erstellen Sie in jeder Gesamtstruktur Rollenzuweisungen zwischen den neuen Rollengruppen und den Rollen, die Sie verwenden möchten.
Optional können Sie den neuen Rollenzuweisungen Verwaltungsbereiche hinzufügen, die die Server- und Empfängerobjekte innerhalb jeder Gesamtstruktur umfassen.
Wenn Sie die Rollengruppen als verknüpfte Rollengruppen erstellt haben, müssen Sie der verknüpften universellen Sicherheitsgruppe in der fremden Gesamtstruktur Mitglieder hinzufügen.
Die folgende Abbildung zeigt, wie die in Exchange 2010-Gesamtstrukturen konfigurierten Rollengruppen an ihre jeweiligen Gesamtstrukturen gebunden sind. Die Rollengruppe "Organisationsverwaltung" in Exchange 2010-Gesamtstruktur A erteilt ausschließlich Berechtigungen zum Verwalten der Postfächer und Server, die sich innerhalb dieser Gesamtstruktur befinden. Ebenso erteilen die Rollengruppen in Exchange 2010-Gesamtstruktur B ausschließlich Berechtigungen für die Postfächer und Server innerhalb dieser Gesamtstruktur.
Die Abbildung zeigt ferner, dass die benutzerdefinierte Rollengruppe A in jeder Gesamtstruktur erstellt wird. Selbst wenn sie mit demselben Namen erstellt werden, handelt es sich bei jeder Rollengruppe um eine eigene Entität. Tatsächlich können jeder Rollengruppe (wie die Abbildung zeigt) in der jeweiligen Gesamtstruktur verschiedene Verwaltungsrollen zugewiesen werden. Die benutzerdefinierte Rollengruppe A in Exchange 2010-Gesamtstruktur A ist den Rollen Postfachsuche und Nachrichtenverfolgung zugewiesen, während die benutzerdefinierte Rollengruppe A in Exchange 2010-Gesamtstruktur B den Rollen Postfachsuche und Aufbewahrungsmanagement zugewiesen ist.
Schließlich sind Verwaltungsbereiche in jeder Gesamtstruktur ebenfalls an die Gesamtstruktur gebunden. Serverbereiche, die in einer Gesamtstruktur erstellt werden, können nur Server umfassen, die Mitglied dieser Gesamtstruktur sind. Serverbereich A kann nur Server in Exchange 2010-Gesamtstruktur A enthalten, während Serverbereich B nur Server in Exchange 2010-Gesamtstruktur B enthalten kann. Ähnlich kann der Empfängerbereich in Exchange 2010-Gesamtstruktur B nur Postfächer enthalten, die sich in Exchange 2010-Gesamtstruktur B befinden.
Rollenbasierte Zugriffssteuerung und Gesamtstrukturbereichsgrenze – Beziehung
Zurück zum Seitenanfang
Grenzübergreifende Berechtigungen
Die über die rollenbasierte Zugriffssteuerung erteilten Berechtigungen ermöglichen Benutzern lediglich das Anzeigen oder Ändern von Exchange-Objekten innerhalb einer bestimmten Gesamtstruktur. Sie können jedoch Benutzern außerhalb dieser Gesamtstruktur Berechtigungen zum Anzeigen und Ändern von Exchange-Objekten in einer Gesamtstruktur erteilen. Durch das Verwenden grenzübergreifender Berechtigungen können Sie Exchange-Verwaltungskonten in einer einzelnen Gesamtstruktur zentralisieren, statt für jede Gesamtstruktur einzeln die Ausführung von Aufgaben zu genehmigen.
Hinweis
Die Berechtigungen, die einem Benutzer außerhalb einer Exchange-Gesamtstruktur gewährt werden, gelten weiterhin nur für diese spezifische Exchange-Gesamtstruktur. Wenn beispielsweise ein Benutzer in einer fremden Gesamtstruktur Mitglied der verknüpften Rollengruppe "Organisationsverwaltung" ist, die sich in Gesamtstruktur A befindet, kann der Benutzer nur die Exchange-Objekte in Gesamtstruktur A verwalten. Ein Benutzer muss zu einem Mitglied der verknüpften Rollengruppen in jeder Exchange-Gesamtstruktur gemacht werden, um Berechtigungen zum Verwalten jeder Gesamtstruktur zu erhalten.
Grenzübergreifende Berechtigungen ermöglichen es Ihnen außerdem, Rollenzuweisungsrichtlinien auf die Postfächer der Benutzer anzuwenden, die über Postfächer in einer Exchange-Gesamtstruktur verfügen, deren Benutzerkonten jedoch in einer Kontengesamtstruktur vorliegen. Exchange 2010 unterstützt grenzübergreifende Berechtigungen mithilfe von verknüpften Rollengruppen und verknüpften Postfächern, die in den folgenden Abschnitten besprochen werden.
Administrative Berechtigungen
Administrative Berechtigungen werden mithilfe von verknüpften Rollengruppen und verknüpften Postfächern gesamtstrukturübergreifend gewährt.
Eine verknüpfte Rollengruppe wird in der Exchange 2010-Organisation erstellt und über die Gesamtstrukturgrenze hinweg mit einer universellen Sicherheitsgruppe in der fremden Gesamtstruktur verknüpft. Folgende universelle Sicherheitsgruppen (USG) können mit einer verknüpften Rollengruppe verknüpft werden:
Eine dedizierte USG zur Verwendung mit der verknüpften Rollengruppe
Eine USG, die mit verschiedenen verknüpften Rollengruppen in mehreren Exchange 2010-Gesamtstrukturen verknüpft ist
Eine USG einer Rollengruppe in einer anderen Exchange 2010-Gesamtstruktur
Eine USG, die einer Exchange Server 2007-Verwaltungsrolle zugeordnet ist
Eine USG, die zur Erteilung von Berechtigungen für die Verwaltung einer Exchange Server 2003-Organisation verwendet wird
Die USG, mit der eine verknüpfte Rollengruppe verknüpft ist, muss sich in einer anderen Gesamtstruktur befinden. Sie können eine verknüpfte Rollengruppe nicht mit einer universellen Sicherheitsgruppe in derselben Gesamtstruktur verknüpfen.
Die folgende Abbildung zeigt, dass universelle Sicherheitsgruppen in einer Kontengesamtstruktur mit Rollengruppen in einer oder mehreren Exchange 2010-Ressourcengesamtstrukturen verknüpft werden können. Die Mitglieder der universellen Sicherheitsgruppen in den Kontengesamtstrukturen werden über die USGs zu Mitgliedern der Rollengruppen.
Verknüpfte Rollengruppen, die USGs in einer separaten Gesamtstruktur zugeordnet sind
Wenn Sie eine verknüpfte Rollengruppe erstellen, weisen Sie der verknüpften Rolle in der Exchange 2010-Gesamtstruktur Rollen zu. Die Zuweisungen zwischen den Rollen und der verknüpften Rollengruppe können bei Bedarf Verwaltungsbereiche umfassen. Diese Bereiche sind auf die Gesamtstruktur beschränkt, in der die verknüpfte Rollengruppe erstellt wurde.
Die Mitgliedschaft in der verknüpften Rollengruppe wird durch das Hinzufügen und Entfernen von Mitgliedern zu und aus der USG in der fremden Gesamtstruktur verwaltet. Wenn Sie der universellen Sicherheitsgruppe Mitglieder hinzufügen, erhalten diese die Berechtigungen, die der verknüpften Rollengruppe in der Exchange 2010-Gesamtstruktur zugewiesen wurden. Wenn Sie mehrere verknüpfte Rollengruppen mit einer universellen Sicherheitsgruppe verknüpft haben, erhalten die Mitglieder dieser universellen Sicherheitsgruppe alle Berechtigungen, die jeder verknüpften Rollengruppe in jeder Exchange 2010-Gesamtstruktur zugewiesen wurden.
Sie können die Mitgliedschaft einer verknüpften Rollengruppe nicht in der Exchange 2010-Gesamtstruktur verwalten.
Eine zweite Methode zum Zuweisen administrativer Berechtigungen über Gesamtstrukturgrenzen hinweg stellen verknüpfte Postfächer dar. Damit Benutzer in einer Kontengesamtstruktur eine Exchange 2010-Bereitstellung in einer separaten Exchange 2010-Ressourcengesamtstruktur verwenden können, müssen Sie für jeden Benutzer ein verknüpftes Postfach konfigurieren. Verknüpfte Postfächer können als Mitglieder zu Rollengruppen innerhalb der Exchange 2010-Gesamtstruktur hinzugefügt werden. Wenn ein verknüpftes Postfach zu einem Mitglied einer Rollengruppe wird, werden dem verknüpften Postfach – und damit dem Benutzer in der Kontengesamtstruktur, der dem verknüpften Postfach zugeordnet ist – die Berechtigungen der Rollengruppe zugewiesen.
Weitere Informationen zu verknüpften Postfächern finden Sie unter Grundlegendes zu Empfängern.
Die folgende Abbildung zeigt die Beziehung zwischen Benutzern in einer Kontengesamtstruktur, den diesen Benutzern zugeordneten Postfächern und den Rollengruppen, in denen sie Mitglied sind.
Benutzer in einer Kontengesamtstruktur, die verknüpften Postfächern zugeordnet sind, die Mitglieder von Rollengruppen sind
Verknüpfte Rollengruppen und verknüpfte Postfächer haben in Bezug auf die gesamtstrukturübergreifende Zuweisung administrativer Berechtigungen Vorteile und Nachteile. In der folgenden Tabelle werden einige davon beschrieben.
Vor- und Nachteile verknüpfter Rollengruppen und verknüpfter Postfächer
Verknüpfte Rollengruppen oder verknüpfte Postfächer | Vorteil | Nachteil |
---|---|---|
Verknüpfte Rollengruppen |
Sie können mehrere verknüpfte Rollengruppen aus mehreren Exchange 2010-Gesamtstrukturen einer einzelnen universellen Sicherheitsgruppe (USG) in einer Kontengesamtstruktur oder einer anderen Exchange-Ressourcengesamtstruktur zuordnen. Auf diese Weise können Sie komplexe Exchange-Gesamtstrukturtopologien mithilfe einer kleinen Gruppe universeller Sicherheitsgruppen in einer einzelnen Gesamtstruktur verwalten. |
Eine herkömmliche Rollengruppe kann nicht in eine verknüpfte Rollengruppe geändert werden. Sie müssen verknüpfte Rollengruppen manuell erstellen, um jede herkömmliche Rollengruppe zu ersetzen, deren Berechtigungen Sie gesamtstrukturübergreifend erteilen möchten. Weitere Informationen finden Sie unter Konfigurieren von grenzübergreifenden Berechtigungen. |
Verknüpfte Postfächer |
Verknüpfte Postfächer ermöglichen die Verwendung vorhandener Rollengruppen in der Exchange-Gesamtstruktur. Verknüpfte Postfächer werden den vorhandenen Rollengruppen wie herkömmliche Postfächer, universtellen Sicherheitsgruppen und Benutzer als Mitglieder in derselben Exchange-Gesamtstruktur hinzugefügt. |
Wenn Sie mithilfe von verknüpften Postfächern, die einem einzelnen Benutzer in einer Kontengesamtstruktur zugeordnet sind, in mehreren Exchange 2010-Gesamtstrukturen Berechtigungen erteilen, müssen Sie die Rollengruppenmitgliedschaft in jeder Exchange 2010-Gesamtstruktur ändern, wenn Sie die dem Benutzer erteilten Berechtigungen ändern möchten. |
Es wird empfohlen, verknüpfte Rollengruppen zum Erteilen gesamtstrukturübergreifender Berechtigungen zu verwenden, wenn Sie den Einsatz mehrerer Exchange-Ressourcengesamtstrukturen planen.
Endbenutzerberechtigungen
Endbenutzerberechtigungen werden einzelnen Postfächern mithilfe von Rollenzuweisungsrichtlinien zugewiesen. Wenn Exchange 2010 in einer Ressourcengesamtstruktur installiert wird, werden verknüpfte Postfächer in der Ressourcengesamtstruktur erstellt und mit den Benutzerkonten in der Kontengesamtstruktur verknüpft.
Weitere Informationen zu verknüpften Postfächern finden Sie unter Grundlegendes zu Empfängern.
Wenn Sie ein verknüpftes Postfach erstellen, wird es wie ein herkömmliches Postfach einer standardmäßigen Rollenzuweisungsrichtlinie zugeordnet. Die Rollenzuweisungsrichtlinie legt fest, welche Endbenutzerberechtigungen dem Postfach erteilt werden. Diese Berechtigungen ermöglichen den Benutzern das Anzeigen und Ändern von Einstellungen in Bezug auf die folgenden und weitere Funktionen:
Profilinformationen für Endbenutzer
Endbenutzer-Voicemail
Endbenutzermitgliedschaft in Verteilergruppen und Besitz
Wenn eine Rollenzuweisungsrichtlinie einem verknüpften Postfach zugewiesen wird, erhält der Benutzer in der Kontengesamtstruktur, der dem verknüpften Postfach zugeordnet ist, Berechtigungen zum Verwalten der Funktionen, die diesem Benutzer zur Verfügung stehen. Die Berechtigungen gelten nur für die Ressourcen in der Exchange-Gesamtstruktur, in der sich das verknüpfte Postfach befindet. Die folgende Abbildung zeigt die Beziehung zwischen dem Endbenutzer in der Kontengesamtstruktur, dem zugeordneten verknüpften Postfach und der Rollenzuweisungsrichtlinie, die dem verknüpften Postfach zugewiesen ist. Zusätzlich zu einer Rollenzuweisungsrichtlinie kann ein verknüpftes Postfach, das einem administrativen Benutzer in der Kontengesamtstruktur zugeordnet ist, mit mehreren Rollengruppen verknüpft werden.
Benutzer in einer Kontengesamtstruktur, die verknüpften Postfächern zugeordnet sind, die jeweils einer Rollenzuweisungsrichtlinie zugewiesen sind
Weitere Informationen zu verknüpften Postfächern finden Sie unter Grundlegendes zu Empfängern.
Zurück zum Seitenanfang
Konfigurieren von grenzübergreifenden Berechtigungen
Zum Konfigurieren von grenzübergreifenden Berechtigungen in einer Topologie mit mehreren Gesamtstrukturen müssen Sie verknüpfte Rollengruppen für jede der Rollengruppen erstellen, die Sie mit einer USG in einer fremden Gesamtstruktur verknüpfen möchten. Dies bedeutet, dass Sie eine verknüpfte Rollengruppe für jede integrierte Rollengruppe erstellen müssen. Folgende Schritte sind erforderlich:
Erstellen Sie für die zu erstellenden verknüpften Rollengruppen eine USG in der fremden Gesamtstruktur. Fügen Sie dieser USG Mitglieder hinzu, denen Sie Berechtigungen erteilen möchten.
Erstellen Sie eine verknüpfte Rollengruppe für jede integrierte Rollengruppe. Folgendes geschieht, wenn die verknüpfte Rollengruppe erstellt wird:
Die Rollen, die der integrierten Rollengruppe zugewiesen sind, werden der neuen verknüpften Rollengruppe zugewiesen.
Die verknüpfte Rollengruppe wird der USG in der fremden Gesamtstruktur zugeordnet.
Erstellen Sie verknüpfte Rollengruppen für alle benutzerdefinierten Rollengruppen, die Sie erstellt haben.
Weisen Sie den neuen verknüpften Rollengruppen optional benutzerdefinierte Bereiche zu.
Ausführliche Anweisungen zum Ausführen dieser Schritte finden Sie unter den folgenden Themen:
Erstellen verknüpfter Rollengruppen, die integrierte Rollengruppen spiegeln
Ändern des Bereichs von Rollenzuweisungen in einer Rollengruppe
Wenn Sie die USG ändern müssen, der eine verknüpfte Rollengruppe zugeordnet ist, finden Sie weitere Informationen unter Ändern einer verknüpften fremden universellen Sicherheitsgruppe in eine verknüpfte Rollengruppe.
Beim Erstellen eines verknüpften Postfachs wird dieses automatisch einer Rollenzuweisungsrichtlinie zugewiesen. Sie können die Rollenzuweisungsrichtlinie ändern, die dem verknüpften Postfach zugeordnet ist, oder Sie ändern die Rollenzuweisungsrichtlinie, die Postfächern bei deren Erstellung standardmäßig zugeordnet wird. Weitere Informationen hierzu finden Sie unter den folgenden Themen:
Zurück zum Seitenanfang
© 2010 Microsoft Corporation. Alle Rechte vorbehalten.