Praxis-Workshop

Exchange Server 2010: rollenbasierte Berechtigungen und Delegierung

Mit Exchange Server 2010 hat Microsoft das Berechtigungsmodell deutlich überarbeitet. Der folgende Beitrag beschäftigt sich praxisnah mit Verwaltungsrollen und erläutert Schritt für Schritt den Umgang mit den rollenbasierten Berechtigungen.

Die Verwaltung der Berechtigungen in Exchange Server 2010 lassen sich standardmäßig nur in der Exchange-Verwaltungs-Shell durchführen.

Oberflächlich: Die rollenbasierten Berechtigungen lassen sich mit Service Pack 1 für Exchange Server 2010 auch in der Exchange-Systemsteuerung verwalten.
Oberflächlich: Die rollenbasierten Berechtigungen lassen sich mit Service Pack 1 für Exchange Server 2010 auch in der Exchange-Systemsteuerung verwalten.

Neben zahlreichen Verbesserungen integriert Microsoft mit dem Service Pack 1 auch mehr Möglichkeiten in die Exchange-Verwaltungskonsole. Vor allem die Exchange-Systemsteuerung, die Sie über die Adresse https://<Servername>/ecp erreichen, erhält mehr Funktionen.

Nach der Installation von Service Pack 1 lassen sich in der Exchange-Systemsteuerung Transport- und Journalregeln anlegen. Auch die rollenbasierte Berechtigung (RBAC) kann man jetzt in der Systemsteuerung von Exchange anpassen.

Verwaltungsrollengruppen verstehen und einsetzen

In Exchange Server 2010 führen Sie alle Exchange-Aufgaben über die Exchange-Verwaltungskonsole, die Exchange-Verwaltungs-Shell oder die Exchange-Webverwaltungsschnittstelle durch. Diese Verwaltungs-Tools verwenden die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC) zur Autorisierung.

Zurordnung: Durch das Hinzufügen zu Verwaltungsrollengruppen erhalten Administratoren Rechte in der Organisation.
Zurordnung: Durch das Hinzufügen zu Verwaltungsrollengruppen erhalten Administratoren Rechte in der Organisation.

Bei RBAC spielen Verwaltungsrollengruppen die wichtigste Rolle. Lässt RBAC eine Aktion zu, führt Exchange diese Aufgabe im Kontext des Vertrauenswürdigen Exchange-Teilsystems (Exchange Trusted Subsystem) und nicht im Kontext des Benutzers durch. Das Vertrauenswürdige Exchange-Teilsystem ist eine universelle Sicherheitsgruppe mit Berechtigungen, die Lese- und Schreibzugriff auf jedes Exchange-bezogene Objekt in der Exchange-Organisation besitzt. Außerdem gehört sie zur lokalen Sicherheitsgruppe Administratoren und zur Gruppe Exchange-Windows-Permissions, die Exchange das Erstellen und Verwalten von Active Directory-Objekten ermöglicht.

Verwaltungsrollengruppen sind universelle Sicherheitsgruppen (Universal Security Group, USG). Rollengruppen definieren wichtige Verwaltungsaufgaben und ermöglichen den Mitgliedern verschiedene Rechte. Auf Edge-Transport-Server verwalten die lokalen Administratoren die Einstellungen. Hier steuern Sie die Berechtigung über die Mitgliedschaft der lokalen Administratorengruppe. Fügen Sie ein Postfach einer Rollengruppe als Mitglied hinzu, weist Exchange dem Postfach alle von der Verwaltungsrolle bereitgestellten Berechtigungen hinzu.