Praxis-Workshop

Exchange Server 2010: rollenbasierte Berechtigungen und Delegierung

Verwaltungsrollen verwalten

Nach der Installation von Service Pack 1 für Exchange Server 2010, können Sie in der Exchange-Systemsteuerung über die Details von Verwaltungsrollengruppen einzelne Verwaltungsrollen hinzufügen. Die Exchange-Systemsteuerung zeigt für alle Verwaltungsrollen eine Hilfe an. Die Berechtigungen eines Benutzers mit administrativen Rechten setzen sich aus der Summe aller Verwaltungsrollen zusammen, die den Verwaltungsrollengruppen zugewiesen sind, bei denen er Mitglied ist.

Mit dem Befehl Remove-ManagementRoleAssignment <Name der Zuweisung> entfernen Sie die entsprechende Verwaltungsrolle über deren Zuweisung von der Verwaltungsrollengruppe. Sie können Verwaltungsrollen auch über die Exchange-Systemsteuerung von Verwaltungsrollengruppen entfernen. Dazu muss auf dem Server aber das Service Pack 1 für Exchange Server 2010 installiert sein.

Eine Liste von Verwaltungsrollen, die ein bestimmtes Cmdlet enthalten, können Sie anzeigen lassen, indem Sie die Option Cmdlet für das Cmdlet Get-ManagementRole verwenden: Get-ManagementRole -Cmdlet <CMDlet>. Oder Sie gehen vor wie in folgendem Beispiel:

Get-ManagementRole -Cmdlet New-Mailbox

Neben den standardmäßig vorhandenen Verwaltungsrollen in Exchange Server 2010 können Sie auch eigene Verwaltungsrollen erstellen. Allerdings ist das selten notwendig, da die meisten notwendigen Aufgaben bereits in den angelegten Verwaltungsrollen abgebildet sind. Neue Verwaltungsrollen basieren auf vorhandenen Verwaltungsrollen.

Zusammengehörigkeit: Anzeigen aller Verwaltungsrollen mit einem bestimmten CMDlet.
Zusammengehörigkeit: Anzeigen aller Verwaltungsrollen mit einem bestimmten CMDlet.

Wenn Sie eine neue Verwaltungsrolle erstellen wollen, kopieren Sie eine vorhandene Verwaltungsrolle und deren Verwaltungsrolleneinträge, also die enthaltenen CMDlets, in die neue Rolle. Die vorhandene Rolle wird dabei zur übergeordneten Rolle der neuen untergeordneten Rolle. Untergeordnete Rollen können keine Verwaltungsrolleneinträge enthalten, die in der übergeordneten Rolle nicht vorhanden sind. Um eine neue Verwaltungsrolle zu erstellen, verwenden Sie folgenden Befehl: New-ManagementRole -Parent <Existierende übergeordnete Verwaltungsrolle> -Name <Name der neuen Verwaltungsrolle>. Oder Sie gehen wie folgt vor:

New-ManagementRole -Parent "Mail Recipients" -Name "Berlin-Postfächer"

Wenn Sie eine neue Verwaltungsrolle erstellt haben, können Sie Einträge der Verwaltungsrolle ändern. Löschen Sie beispielsweise einen Rolleneintrag, können Administratoren, denen die Rolle zugewiesen ist, auf das zugehörige Cmdlet nicht mehr zugreifen. Um eine Verwaltungsrolle zu löschen, verwenden Sie folgenden Befehl: Remove-ManagementRole <Verwaltungsrolle>.