Praxis-Workshop
Exchange Server 2010: rollenbasierte Berechtigungen und Delegierung
Verwaltungsrolleneinträge bearbeiten
Für jede Verwaltungsrolle gibt es mindestens einen Verwaltungsrolleneintrag.
Ein Eintrag besteht aus einem einzelnen Cmdlet und dessen Optionen, einem Skript oder einer speziellen Berechtigung. Rollen, die auf integrierten Exchange-Rollen basieren, können nur Exchange-Server-2010-Cmdlets enthalten.
Die Namen von Verwaltungsrolleneinträgen bestehen aus der Verwaltungsrolle und dem Namen des Cmdlets und sind durch einen umgekehrten Schrägstrich (\) getrennt, zum Beispiel Mail Recipients\Set-Mailbox. Mit dem Cmdlet Get-ManagementRoleEntry können Sie die Verwaltungsrolleneinträge einer Verwaltungsrolle anzeigen lassen: Get-ManagementRoleEntry "<Verwaltungsrolle>\*".
Sie können hier mit dem Platzhalter arbeiten und auch eine Zeichenfolge innerhalb eines CMDlets verwenden. Der Text hinter Get-ManagementRoleEntry ist in Anführungszeichen zu setzen. Es lassen sich alle Verwaltungsrollen anzeigen, die einen bestimmten Verwaltungsrolleneintrag vorweisen: Get-ManagementRoleEntry *\<CMDlet>, oder wie in folgendem Beispiel:
Get-ManagementRoleEntry *\Set-Mailbox
Wollen Sie zusätzliche CMDlets den Administratoren zur Verfügung stellen, nehmen Sie diese als Verwaltungsrolleneinträge in eine Verwaltungsrolle auf.
Verwaltungsrollen |
Aufgabe |
Geltungsbereich |
ActiveDirectoryPermissions |
Konfigurieren von Active Directory-Berechtigungen in der Organisation. |
Organisation |
AddressLists |
Verwaltung der Adresslisten, und Offline-Adresslisten. |
Organisation |
DatabaseAvailabilityGroups |
Verwalten von Datenbankverfügbarkeitsgruppen. |
Organisation |
DatabaseCopies |
Verwalten der Datenbankkopien auf einzelnen Servern. |
Server |
Databases |
Verwalten der Datenbanken für Postfächer oder für öffentliche Ordner |
Server |
DisasterRecovery |
Rechte für die Wiederherstellung auch für Datenbankverfügbarkeitsgruppen |
Organisation |
DistributionGroups |
Verwalten von Verteilergruppen. |
Organisation |
EdgeSubscriptions |
Konfiguration von Edge-Synchronisation und -Abonnement zwischen Edge-Transport- und Hub-Transport-Servern. |
Organisation |
EMailAddressPolicies |
Verwalten der Richtlinien für E-Mail-Adressen. |
Organisation |
ExchangeConnectors |
Verwalten der Connectoren in einer Organisation, inklusive Sende- und Empfangsconnectoren handelt. |
Organisation |
ExchangeServerCertificates |
Verwalten der Exchange-Serverzertifikate auf einzelnen Servern, inklusive erstellen, importieren und exportieren. |
Server |
ExchangeServers |
Verwalten der Exchange-Serverkonfiguration auf einzelnen Servern. |
Server |
ExchangeVirtualDirectories |
Verwalten der virtuellen Verzeichnisse für Outlook Web App, ActiveSync, Offlineadressbuch, AutoDiscovery und PowerShell. |
Server |
FederatedSharing |
Administratoren die gesamtstruktur- und organisationsweite Freigaben in einer Organisation verwalten können. |
Organisation |
InformationRightsManagement |
Verwalten der IRM-Funktionen (Information Rights Management) von Exchange. |
Organisation |
Journaling |
Verwalten der Journalkonfiguration. |
Organisation |
LegalHold |
Verwalten der LegalHold-Konfiguration im Bereich der Archivierung. |
Organisation |
MailboxSearch |
Postfächer in einer Organisation durchsuchen. |
Organisation |
MailEnabledPublicFolders |
Öffentliche Ordner in einer Organisation E-Mail-aktivieren oder E-Mail-deaktivieren. Mit diesem Rollentyp können Sie nur die E-Mail-Eigenschaften von Öffentlichen Ordnern verwalten. Um andere Eigenschaften Öffentlicher Ordner zu verwalten, muss eine Rolle des Rollentyps PublicFolders zugewiesen sein. |
Organisation |
MailRecipientCreation |
Erstellen von Postfächern, Kontakten, Verteilergruppen Kombination mit dem Rollentyp MailRecipients möglich, für die Erstellung und Verwaltung von Empfängern. Mit diesem Rollentyp können Sie keine Öffentlichen Ordner E-Mail-aktivieren. Dazu benötigen Sie den Rollentyp MailEnabledPublicFolders. |
Organisation |
MailRecipients |
Mit diesem Rollentyp dürfen bereits existierende Postfächer, verwaltet werden. Empfänger können nicht erstellt werden. In Kombination mit Rollen des Rollentyps MailRecipientCreation ist auch die Erstellung und Verwaltung von Empfängern möglich. |
Organisation |
MessageTracking |
Nachverfolgen von E-Mails in der Organisation. |
Organisation |
Migration |
Postfächer in einen oder von einem Server migrieren. |
Server |
Monitoring |
Verfügbarkeit von Exchange-Diensten und -Komponenten in überwachen können. Überwachungsanwendungen von Drittanbietern verwenden die Rollen um Informationen zum Status von Exchange-Servern zu erfassen. |
Organisation |
MoveMailboxes |
Postfächer zwischen Servern innerhalb einer Organisation und zwischen mehreren Organisation verschieben können. |
Organisation |
OrganizationClientAccess |
Einstellungen der Clientzugriffsserver verwalten. |
Organisation |
OrganizationConfiguration |
Organisationsweite Einstellungen in verwalten. Der Rollentyp verfügt nicht über die in den Rollentypen OrganizationClientAccess oder OrganizationTransportSettings enthaltenen Berechtigungen. |
Organisation |
OrganizationTransportSettings |
Organisationsweite Transporteinstellungen verwalten. Die Rolle erlaubt nicht Transport-Empfangs- oder Sendeconnectoren oder Warteschlangen, Remote- und akzeptierte Domänen oder Rollen zu erstellen oder zu verwalten. Um die einzelnen Transportfunktionen zu erstellen oder zu verwalten, müssen Rollen der folgenden Rollentypen zugewiesen sein:ReceiveConnectorsSendConnectorsTransportQueuesTransportHygieneTransportAgentsRemoteandAcceptedDomainsTransportRules |
Organisation |
Pop3andIMAP4Protocols |
Verwalten der POP3- und IMAP4-Konfiguration, zum Beispiel Authentifizierungs- und Verbindungseinstellungen auf einzelnen Servern. |
Server |
PublicFolderReplication |
Replikation Öffentlicher Ordner starten und stoppen. |
Organisation |
PublicFolders |
Verwalten der öffentlichen Ordner. Mit diesem Rollentyp können Sie öffentliche Ordner nicht E-Mail-aktivieren und auch nicht die Replikation Öffentlicher Ordner verwalten. Für die Konfiguration der Replikation Öffentlicher Ordner muss eine Rolle des Rollentyps PublicFolderReplication zugewiesen sein. |
Organisation |
ReceiveConnectors |
Empfangsconnectoren und die Größenbeschränkungen auf einem einzelnen Server verwalten. |
Server |
RecipientPolicies |
Empfängerrichtlinien verwalten können. |
Organisation |
RemoteandAcceptedDomains |
Remote- und akzeptierte Domänen in einer Organisation verwalten. |
Organisation |
Resetpassword |
Kennwörter zurücksetzen. |
Organisation |
RetentionManagement |
Aufbewahrungsrichtlinien in einer Organisation verwalten. |
Organisation |
RoleManagement |
Verwaltungsrollengruppen, Rollenzuweisungsrichtlinien, Verwaltungsrollen, Rolleneinträge, Zuweisungen und Bereiche in einer Organisation verwalten. Benutzer dürfen Rollengruppen konfigurieren oder einer Rollengruppe Mitglieder hinzufügen oder entfernen. |
Organisation |
SecurityGroupCreationandMembership |
Universelle Sicherheitsgruppen und die Mitgliedschaft erstellen und verwalten. |
Organisation |
SendConnectors |
Sendeconnectoren in einer Organisation verwalten. |
Organisation |
SupportDiagnostics |
Diagnosefunktionen unter Anleitung der Microsoft Support Services in einer Organisation ausführen. |
Organisation |
TransportAgents |
Transport-Agents verwalten. |
Organisation |
TransportHygiene |
Antiviren- und Antispam-Funktionen in einer Organisation verwalten. |
Organisation |
TransportQueues |
Transportwarteschlangen verwalten. |
Server |
TransportRules |
Transportregeln in einer Organisation verwalten. |
Organisation |
UMMailboxes |
UM-Konfiguration von Postfächern und anderen Empfängern in einer Organisation verwalten. |
Organisation |
UMPrompts |
Benutzerdefinierte UM-Sprachansagen in einer Organisation erstellen und verwalten. |
Organisation |
UnifiedMessaging |
UM-Server in einer Organisation verwalten können. Diese Rolle ermöglicht nicht, UM-spezifische Postfachkonfigurationen oder UM-Ansagen zu verwalten. Dazu sind die beiden Rollentypen UMMailboxes und UMPrompts zuständig. |
Organisation |
UnScopedRoleManagement |
Verwaltungsrollen auf oberster Ebene ohne Bereichseinschränkung in einer Organisation erstellen und verwalten. |
Organisation |
UserOptionsSupport |
Outlook-Web-App-Optionen eines Benutzers in einer Organisation anzeigen. Rollen dieses Rollentyps können dazu verwendet werden, Benutzern bei der Diagnose von Problemen in Zusammenhang mit ihrer Konfiguration zu unterstützen. |
Organisation |
ViewOnlyConfiguration |
Konfigurationseinstellungen in einer Organisation anzeigen, zum Beispiel Serverkonfigurationen, Transportkonfigurationen, Datenbankkonfigurationen und unternehmensweite Konfigurationen. Zusammen mit Rollen des Rollentyps ViewOnlyRecipients können alle Objekte in einer Organisation angezeigt werden. |
Organisation |
ViewOnlyRecipients |
Konfiguration von Empfängern |
Organisation |
Den Standardrollen in Exchange Server 2010 können Sie keine weiteren Einträge hinzufügen, sondern nur selbst erstellten Verwaltungsrollen. Um einen Eintrag hinzuzufügen, verwenden Sie folgenden Befehl: Add-ManagementRoleEntry <Verwaltungsrolle>\<CMDlet>.
Wollen Sie einen Rolleneintrag hinzufügen, aber nur bestimmte Optionen des entsprechenden CMDlets in den Rolleneintrag aufnehmen, verwenden Sie die folgende Syntax: Add-ManagementRoleEntry <Verwaltungsrolle>\<CMDlet> -Parameters <Option 1>, <Option 2>,…. (mje)