Exchange Server 2010: rollenbasierte Berechtigungen und Delegierung

Verwaltungsrollen verstehen

Rollen sind eine Gruppe von Cmdlets, die das Verwalten verschiedener Exchange-Aufgaben ermöglichen. Verwaltungsrollen können Sie zu Verwaltungsrollengruppen zusammenfügen. Sie können Empfängern Verwaltungsrollen auch direkt zuweisen, allerdings ist das nicht zu empfehlen, da die Berechtigungsstruktur dann schnell unübersichtlich wird.

Mit den standardmäßigen Verwaltungsrollen, die den bereits besprochenen Verwaltungsrollengruppen zugeordnet sind, legen Sie fest, welche Rechte die einzelnen Administratoren haben. Benutzerkonten, die Sie zu einer Verwaltungsrollengruppe hinzufügen, erhalten die Rechte, die in jenen Verwaltungsrollen hinterlegt sind, die Bestandteile der Verwaltungsrollengruppen sind. Sie können Verwaltungsrollen über die Exchange-Verwaltungs-Shell zu Verwaltungsrollengruppen hinzufügen (zuweisen) oder nach der Installation von Service Pack 1 für Exchange Server 2010 via Exchange-Systemsteuerung über die Details einer Verwaltungsrollengruppe.

Bei Verwaltungsrollen gibt es die beiden Rechte regulär und delegierend. Weisen Sie eine Verwaltungsrolle regulär einem Rollenempfänger zu, hat dieser das Recht, die Rolle und die damit verbundenen CMDlets zu nutzen. Der Rollenempfänger darf aber keinerlei andere Rollenempfänger berechtigen. Weisen Sie einem Rollenempfänger ein delegierendes Recht der Verwaltungsrolle zu, darf der Empfänger nicht die CMDlets nutzen, aber dafür Rechte der Rolle verwalten.

Welche Rechte Benutzer haben, die Sie einer Verwaltungsrollengruppe hinzufügen, hängt von den Verwaltungsrollen ab, die mit der entsprechenden Verwaltungsrollengruppe verknüpft sind. Weisen Sie eine Verwaltungsrolle einer Verwaltungsrollengruppe hinzu, müssen Sie noch den Namen dieser Zuweisung festlegen. Der Vorgang hat folgende Syntax:

New-ManagementRoleAssignment -Name <Name der Zuweisung> -SecurityGroup <Verwaltungsrollengruppe> -Role <Verwaltungsrolle>