Die Verwaltung der Berechtigungen in Exchange Server 2010 lassen sich standardmäßig nur in der Exchange-Verwaltungs-Shell durchführen.
Neben zahlreichen Verbesserungen integriert Microsoft mit dem Service Pack 1 auch mehr Möglichkeiten in die Exchange-Verwaltungskonsole. Vor allem die Exchange-Systemsteuerung, die Sie über die Adresse https://<Servername>/ecp erreichen, erhält mehr Funktionen.
Nach der Installation von Service Pack 1 lassen sich in der Exchange-Systemsteuerung Transport- und Journalregeln anlegen. Auch die rollenbasierte Berechtigung (RBAC) kann man jetzt in der Systemsteuerung von Exchange anpassen.
Verwaltungsrollengruppen verstehen und einsetzen
In Exchange Server 2010 führen Sie alle Exchange-Aufgaben über die Exchange-Verwaltungskonsole, die Exchange-Verwaltungs-Shell oder die Exchange-Webverwaltungsschnittstelle durch. Diese Verwaltungs-Tools verwenden die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC) zur Autorisierung.
Bei RBAC spielen Verwaltungsrollengruppen die wichtigste Rolle. Lässt RBAC eine Aktion zu, führt Exchange diese Aufgabe im Kontext des Vertrauenswürdigen Exchange-Teilsystems (Exchange Trusted Subsystem) und nicht im Kontext des Benutzers durch. Das Vertrauenswürdige Exchange-Teilsystem ist eine universelle Sicherheitsgruppe mit Berechtigungen, die Lese- und Schreibzugriff auf jedes Exchange-bezogene Objekt in der Exchange-Organisation besitzt. Außerdem gehört sie zur lokalen Sicherheitsgruppe Administratoren und zur Gruppe Exchange-Windows-Permissions, die Exchange das Erstellen und Verwalten von Active Directory-Objekten ermöglicht.
Verwaltungsrollengruppen sind universelle Sicherheitsgruppen (Universal Security Group, USG). Rollengruppen definieren wichtige Verwaltungsaufgaben und ermöglichen den Mitgliedern verschiedene Rechte. Auf Edge-Transport-Server verwalten die lokalen Administratoren die Einstellungen. Hier steuern Sie die Berechtigung über die Mitgliedschaft der lokalen Administratorengruppe. Fügen Sie ein Postfach einer Rollengruppe als Mitglied hinzu, weist Exchange dem Postfach alle von der Verwaltungsrolle bereitgestellten Berechtigungen hinzu.
Benutzer aufnehmen
In der Exchange-Verwaltungs-Shell können Sie sich alle Verwaltungsrollengruppen anzeigen lassen, wenn Sie den Befehl Get-RoleGroup eingeben. Mit dem Befehl Get-RoleGroup |fl können Sie sich detaillierte Informationen und mit dem CmdLet Get-RoleGroupMember sowie dem Namen der Gruppe als Parameter die aktuellen Mitglieder der Gruppe anzeigen lassen, etwa mit Get-RoleGroupMember "Organization Management".
Die Rollengruppe Organization Management entspricht der Exchange-Rolle Organisationsadministratoren in Exchange Server 2007. Diese Administratoren besitzen Administratorzugriff auf die gesamte Exchange-2010-Organisation und können nahezu alle Aufgaben für alle Exchange 2010-Objekte ausführen. Mit diesem Recht ist es auch möglich, selbst Rechte in der Organisation zu vergeben. Standardmäßig darf lediglich diese Rollengruppe anderen Rollenempfängern Rollen zuweisen. Mitglied dieser Gruppe ist nur das Benutzerkonto, mit dem Sie Exchange Server 2010 installiert haben.
Wollen Sie einem Benutzer Berechtigungen erteilen, fügen Sie der entsprechenden Rollengruppe das Postfach des Benutzers als Mitglied hinzu. Ist ein Benutzer Mitglied mehrerer Rollengruppen, fasst Exchange die Verwaltungsrollen der einzelnen Rollengruppen zusammen und weist diese dem Benutzer zu. Der Befehl für die Exchange-Verwaltungs-Shell zur Aufnahme eines Benutzers zu einer Rollengruppe lautet:
Add-RoleGroupMember <Verwaltungsrollengruppe> -Member <Benutzerpostfach>
Wollen Sie Mitglieder aus einer Verwaltungsrollengruppe entfernen, verwenden Sie den Befehl:
Remove-RoleGroupMember <Verwaltungsrollengruppe> -Member <Benutzerpostfach>
Stellvertreter einrichten und hinzufügen
Stellvertreter von Verwaltungsrollengruppen können Mitglieder zu Verwaltungsrollengruppen hinzufügen oder aus ihnen entfernen und Eigenschaften einer Rollengruppe anpassen, haben aber selbst keine Rechte in der Verwaltungsrollengruppe.
Die Konfiguration des Stellvertreters erfolgt durch die Option ManagedBy für die Cmdlets Set-RoleGroup oder New-RoleGroup. Sollen die Benutzer auch die Rechte der Gruppe erhalten, müssen diese Mitglieder sein, nicht nur Stellvertreter. Das erlaubt Benutzern aber nicht, die Rollengruppe selbst zu delegieren. Das funktioniert nur, wenn die Rollengruppe als ManagedBy festgelegt ist. Die Option ManagedBy für das Cmdlet Set-RoleGroup überschreibt die gesamte Stellvertreterliste für eine Rollengruppe.
Wollen Sie einzelne Stellvertreter zu einer Rollengruppe hinzufügen, ohne die gesamte Stellvertreterliste zu löschen, gehen Sie folgendermaßen vor:
1. Sie speichern die Rollengruppe mit einem Befehl in eine Variable: $RoleGroup = Get-RoleGroup <Verwaltungsrollengruppe>.
2. Sie fügen den Stellvertreter zu der Rollengruppe hinzu, die Sie als Variable gespeichert haben: $RoleGroup.ManagedBy += (Get-User <Postfach das Sie hinzufügen wollen>).Identity. Wollen Sie eine universelle Gruppe hinzufügen, verwenden Sie das Cmdlet Get-Group.
3. Wiederholen Sie Schritt 2 für jeden Stellvertreter, den Sie hinzufügen wollen.
4. Die Liste in der Variablen müssen Sie noch der echten Verwaltungsrollengruppe hinzufügen: Set-RoleGroup <Verwaltungsrollengruppe> -ManagedBy $RoleGroup.ManagedBy
In dem folgenden Beispiel wollen Sie den Benutzer Thomas Joos als Stellvertreter der Rollengruppe Organisationsverwaltung hinzufügen:
$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy += (Get-User "Thomas Joos").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy
Sie entfernen den Stellvertreter aus der Rollengruppe, die Sie als Variable gespeichert haben, wie folgt: $RoleGroup.ManagedBy -= (Get-User <Benutzer den Sie entfernen wollen>).Identity.
Neben den Standardgruppen können Sie auch selbst Verwaltungsrollengruppen erstellen und diesen Benutzer zuordnen. Neue Verwaltungsrollengruppen erstellen Sie mit dem CMDlet New-RoleGroup. Nachfolgend ein Beispiel:
New-RoleGroup -Name "Contoso Recipient Management" -Roles "Mail Recipients", "Distribution Groups", "Move Mailboxes", "UM Mailboxes", "Reset Password" -CustomRecipientWriteScope "Contoso Users", -ManagedBy "Thomas", "Tami", "Fynn" -Members "Stefan", "Marc", "Marco", "Hans", "Michael", "Lukas", "Flo", "Lukas", "Isabel", "Manuela", "Thomas", "Karl"
Wollen Sie eine Verwaltungsrollengruppe löschen, verwenden Sie das CMDlet Remove-RoleGroup <Verwaltungsrollengruppe>.
Wenn Sie das Service Pack 1 für Exchange Server 2010 installiert haben, können Sie neue Verwaltungsrollengruppen auch in der Exchange-Systemsteuerung erstellen.
Verwaltungsrollen verstehen
Rollen sind eine Gruppe von Cmdlets, die das Verwalten verschiedener Exchange-Aufgaben ermöglichen. Verwaltungsrollen können Sie zu Verwaltungsrollengruppen zusammenfügen. Sie können Empfängern Verwaltungsrollen auch direkt zuweisen, allerdings ist das nicht zu empfehlen, da die Berechtigungsstruktur dann schnell unübersichtlich wird.
Mit den standardmäßigen Verwaltungsrollen, die den bereits besprochenen Verwaltungsrollengruppen zugeordnet sind, legen Sie fest, welche Rechte die einzelnen Administratoren haben. Benutzerkonten, die Sie zu einer Verwaltungsrollengruppe hinzufügen, erhalten die Rechte, die in jenen Verwaltungsrollen hinterlegt sind, die Bestandteile der Verwaltungsrollengruppen sind. Sie können Verwaltungsrollen über die Exchange-Verwaltungs-Shell zu Verwaltungsrollengruppen hinzufügen (zuweisen) oder nach der Installation von Service Pack 1 für Exchange Server 2010 via Exchange-Systemsteuerung über die Details einer Verwaltungsrollengruppe.
Bei Verwaltungsrollen gibt es die beiden Rechte regulär und delegierend. Weisen Sie eine Verwaltungsrolle regulär einem Rollenempfänger zu, hat dieser das Recht, die Rolle und die damit verbundenen CMDlets zu nutzen. Der Rollenempfänger darf aber keinerlei andere Rollenempfänger berechtigen. Weisen Sie einem Rollenempfänger ein delegierendes Recht der Verwaltungsrolle zu, darf der Empfänger nicht die CMDlets nutzen, aber dafür Rechte der Rolle verwalten.
Welche Rechte Benutzer haben, die Sie einer Verwaltungsrollengruppe hinzufügen, hängt von den Verwaltungsrollen ab, die mit der entsprechenden Verwaltungsrollengruppe verknüpft sind. Weisen Sie eine Verwaltungsrolle einer Verwaltungsrollengruppe hinzu, müssen Sie noch den Namen dieser Zuweisung festlegen. Der Vorgang hat folgende Syntax:
New-ManagementRoleAssignment -Name <Name der Zuweisung> -SecurityGroup <Verwaltungsrollengruppe> -Role <Verwaltungsrolle>
Verwaltungsrollen verwalten
Nach der Installation von Service Pack 1 für Exchange Server 2010, können Sie in der Exchange-Systemsteuerung über die Details von Verwaltungsrollengruppen einzelne Verwaltungsrollen hinzufügen. Die Exchange-Systemsteuerung zeigt für alle Verwaltungsrollen eine Hilfe an. Die Berechtigungen eines Benutzers mit administrativen Rechten setzen sich aus der Summe aller Verwaltungsrollen zusammen, die den Verwaltungsrollengruppen zugewiesen sind, bei denen er Mitglied ist.
Mit dem Befehl Remove-ManagementRoleAssignment <Name der Zuweisung> entfernen Sie die entsprechende Verwaltungsrolle über deren Zuweisung von der Verwaltungsrollengruppe. Sie können Verwaltungsrollen auch über die Exchange-Systemsteuerung von Verwaltungsrollengruppen entfernen. Dazu muss auf dem Server aber das Service Pack 1 für Exchange Server 2010 installiert sein.
Eine Liste von Verwaltungsrollen, die ein bestimmtes Cmdlet enthalten, können Sie anzeigen lassen, indem Sie die Option Cmdlet für das Cmdlet Get-ManagementRole verwenden: Get-ManagementRole -Cmdlet <CMDlet>. Oder Sie gehen vor wie in folgendem Beispiel:
Get-ManagementRole -Cmdlet New-Mailbox
Neben den standardmäßig vorhandenen Verwaltungsrollen in Exchange Server 2010 können Sie auch eigene Verwaltungsrollen erstellen. Allerdings ist das selten notwendig, da die meisten notwendigen Aufgaben bereits in den angelegten Verwaltungsrollen abgebildet sind. Neue Verwaltungsrollen basieren auf vorhandenen Verwaltungsrollen.
Wenn Sie eine neue Verwaltungsrolle erstellen wollen, kopieren Sie eine vorhandene Verwaltungsrolle und deren Verwaltungsrolleneinträge, also die enthaltenen CMDlets, in die neue Rolle. Die vorhandene Rolle wird dabei zur übergeordneten Rolle der neuen untergeordneten Rolle. Untergeordnete Rollen können keine Verwaltungsrolleneinträge enthalten, die in der übergeordneten Rolle nicht vorhanden sind. Um eine neue Verwaltungsrolle zu erstellen, verwenden Sie folgenden Befehl: New-ManagementRole -Parent <Existierende übergeordnete Verwaltungsrolle> -Name <Name der neuen Verwaltungsrolle>. Oder Sie gehen wie folgt vor:
New-ManagementRole -Parent "Mail Recipients" -Name "Berlin-Postfächer"
Wenn Sie eine neue Verwaltungsrolle erstellt haben, können Sie Einträge der Verwaltungsrolle ändern. Löschen Sie beispielsweise einen Rolleneintrag, können Administratoren, denen die Rolle zugewiesen ist, auf das zugehörige Cmdlet nicht mehr zugreifen. Um eine Verwaltungsrolle zu löschen, verwenden Sie folgenden Befehl: Remove-ManagementRole <Verwaltungsrolle>.
Verwaltungsrolleneinträge bearbeiten
Für jede Verwaltungsrolle gibt es mindestens einen Verwaltungsrolleneintrag.
Ein Eintrag besteht aus einem einzelnen Cmdlet und dessen Optionen, einem Skript oder einer speziellen Berechtigung. Rollen, die auf integrierten Exchange-Rollen basieren, können nur Exchange-Server-2010-Cmdlets enthalten.
Die Namen von Verwaltungsrolleneinträgen bestehen aus der Verwaltungsrolle und dem Namen des Cmdlets und sind durch einen umgekehrten Schrägstrich (\) getrennt, zum Beispiel Mail Recipients\Set-Mailbox. Mit dem Cmdlet Get-ManagementRoleEntry können Sie die Verwaltungsrolleneinträge einer Verwaltungsrolle anzeigen lassen: Get-ManagementRoleEntry "<Verwaltungsrolle>\*".
Sie können hier mit dem Platzhalter arbeiten und auch eine Zeichenfolge innerhalb eines CMDlets verwenden. Der Text hinter Get-ManagementRoleEntry ist in Anführungszeichen zu setzen. Es lassen sich alle Verwaltungsrollen anzeigen, die einen bestimmten Verwaltungsrolleneintrag vorweisen: Get-ManagementRoleEntry *\<CMDlet>, oder wie in folgendem Beispiel:
Get-ManagementRoleEntry *\Set-Mailbox
Wollen Sie zusätzliche CMDlets den Administratoren zur Verfügung stellen, nehmen Sie diese als Verwaltungsrolleneinträge in eine Verwaltungsrolle auf.
Verwaltungsrollen |
Aufgabe |
Geltungsbereich |
ActiveDirectoryPermissions |
Konfigurieren von Active Directory-Berechtigungen in der Organisation. |
Organisation |
AddressLists |
Verwaltung der Adresslisten, und Offline-Adresslisten. |
Organisation |
DatabaseAvailabilityGroups |
Verwalten von Datenbankverfügbarkeitsgruppen. |
Organisation |
DatabaseCopies |
Verwalten der Datenbankkopien auf einzelnen Servern. |
Server |
Databases |
Verwalten der Datenbanken für Postfächer oder für öffentliche Ordner |
Server |
DisasterRecovery |
Rechte für die Wiederherstellung auch für Datenbankverfügbarkeitsgruppen |
Organisation |
DistributionGroups |
Verwalten von Verteilergruppen. |
Organisation |
EdgeSubscriptions |
Konfiguration von Edge-Synchronisation und -Abonnement zwischen Edge-Transport- und Hub-Transport-Servern. |
Organisation |
EMailAddressPolicies |
Verwalten der Richtlinien für E-Mail-Adressen. |
Organisation |
ExchangeConnectors |
Verwalten der Connectoren in einer Organisation, inklusive Sende- und Empfangsconnectoren handelt. |
Organisation |
ExchangeServerCertificates |
Verwalten der Exchange-Serverzertifikate auf einzelnen Servern, inklusive erstellen, importieren und exportieren. |
Server |
ExchangeServers |
Verwalten der Exchange-Serverkonfiguration auf einzelnen Servern. |
Server |
ExchangeVirtualDirectories |
Verwalten der virtuellen Verzeichnisse für Outlook Web App, ActiveSync, Offlineadressbuch, AutoDiscovery und PowerShell. |
Server |
FederatedSharing |
Administratoren die gesamtstruktur- und organisationsweite Freigaben in einer Organisation verwalten können. |
Organisation |
InformationRightsManagement |
Verwalten der IRM-Funktionen (Information Rights Management) von Exchange. |
Organisation |
Journaling |
Verwalten der Journalkonfiguration. |
Organisation |
LegalHold |
Verwalten der LegalHold-Konfiguration im Bereich der Archivierung. |
Organisation |
MailboxSearch |
Postfächer in einer Organisation durchsuchen. |
Organisation |
MailEnabledPublicFolders |
Öffentliche Ordner in einer Organisation E-Mail-aktivieren oder E-Mail-deaktivieren. Mit diesem Rollentyp können Sie nur die E-Mail-Eigenschaften von Öffentlichen Ordnern verwalten. Um andere Eigenschaften Öffentlicher Ordner zu verwalten, muss eine Rolle des Rollentyps PublicFolders zugewiesen sein. |
Organisation |
MailRecipientCreation |
Erstellen von Postfächern, Kontakten, Verteilergruppen Kombination mit dem Rollentyp MailRecipients möglich, für die Erstellung und Verwaltung von Empfängern. Mit diesem Rollentyp können Sie keine Öffentlichen Ordner E-Mail-aktivieren. Dazu benötigen Sie den Rollentyp MailEnabledPublicFolders. |
Organisation |
MailRecipients |
Mit diesem Rollentyp dürfen bereits existierende Postfächer, verwaltet werden. Empfänger können nicht erstellt werden. In Kombination mit Rollen des Rollentyps MailRecipientCreation ist auch die Erstellung und Verwaltung von Empfängern möglich. |
Organisation |
MessageTracking |
Nachverfolgen von E-Mails in der Organisation. |
Organisation |
Migration |
Postfächer in einen oder von einem Server migrieren. |
Server |
Monitoring |
Verfügbarkeit von Exchange-Diensten und -Komponenten in überwachen können. Überwachungsanwendungen von Drittanbietern verwenden die Rollen um Informationen zum Status von Exchange-Servern zu erfassen. |
Organisation |
MoveMailboxes |
Postfächer zwischen Servern innerhalb einer Organisation und zwischen mehreren Organisation verschieben können. |
Organisation |
OrganizationClientAccess |
Einstellungen der Clientzugriffsserver verwalten. |
Organisation |
OrganizationConfiguration |
Organisationsweite Einstellungen in verwalten. Der Rollentyp verfügt nicht über die in den Rollentypen OrganizationClientAccess oder OrganizationTransportSettings enthaltenen Berechtigungen. |
Organisation |
OrganizationTransportSettings |
Organisationsweite Transporteinstellungen verwalten. Die Rolle erlaubt nicht Transport-Empfangs- oder Sendeconnectoren oder Warteschlangen, Remote- und akzeptierte Domänen oder Rollen zu erstellen oder zu verwalten. Um die einzelnen Transportfunktionen zu erstellen oder zu verwalten, müssen Rollen der folgenden Rollentypen zugewiesen sein:ReceiveConnectorsSendConnectorsTransportQueuesTransportHygieneTransportAgentsRemoteandAcceptedDomainsTransportRules |
Organisation |
Pop3andIMAP4Protocols |
Verwalten der POP3- und IMAP4-Konfiguration, zum Beispiel Authentifizierungs- und Verbindungseinstellungen auf einzelnen Servern. |
Server |
PublicFolderReplication |
Replikation Öffentlicher Ordner starten und stoppen. |
Organisation |
PublicFolders |
Verwalten der öffentlichen Ordner. Mit diesem Rollentyp können Sie öffentliche Ordner nicht E-Mail-aktivieren und auch nicht die Replikation Öffentlicher Ordner verwalten. Für die Konfiguration der Replikation Öffentlicher Ordner muss eine Rolle des Rollentyps PublicFolderReplication zugewiesen sein. |
Organisation |
ReceiveConnectors |
Empfangsconnectoren und die Größenbeschränkungen auf einem einzelnen Server verwalten. |
Server |
RecipientPolicies |
Empfängerrichtlinien verwalten können. |
Organisation |
RemoteandAcceptedDomains |
Remote- und akzeptierte Domänen in einer Organisation verwalten. |
Organisation |
Resetpassword |
Kennwörter zurücksetzen. |
Organisation |
RetentionManagement |
Aufbewahrungsrichtlinien in einer Organisation verwalten. |
Organisation |
RoleManagement |
Verwaltungsrollengruppen, Rollenzuweisungsrichtlinien, Verwaltungsrollen, Rolleneinträge, Zuweisungen und Bereiche in einer Organisation verwalten. Benutzer dürfen Rollengruppen konfigurieren oder einer Rollengruppe Mitglieder hinzufügen oder entfernen. |
Organisation |
SecurityGroupCreationandMembership |
Universelle Sicherheitsgruppen und die Mitgliedschaft erstellen und verwalten. |
Organisation |
SendConnectors |
Sendeconnectoren in einer Organisation verwalten. |
Organisation |
SupportDiagnostics |
Diagnosefunktionen unter Anleitung der Microsoft Support Services in einer Organisation ausführen. |
Organisation |
TransportAgents |
Transport-Agents verwalten. |
Organisation |
TransportHygiene |
Antiviren- und Antispam-Funktionen in einer Organisation verwalten. |
Organisation |
TransportQueues |
Transportwarteschlangen verwalten. |
Server |
TransportRules |
Transportregeln in einer Organisation verwalten. |
Organisation |
UMMailboxes |
UM-Konfiguration von Postfächern und anderen Empfängern in einer Organisation verwalten. |
Organisation |
UMPrompts |
Benutzerdefinierte UM-Sprachansagen in einer Organisation erstellen und verwalten. |
Organisation |
UnifiedMessaging |
UM-Server in einer Organisation verwalten können. Diese Rolle ermöglicht nicht, UM-spezifische Postfachkonfigurationen oder UM-Ansagen zu verwalten. Dazu sind die beiden Rollentypen UMMailboxes und UMPrompts zuständig. |
Organisation |
UnScopedRoleManagement |
Verwaltungsrollen auf oberster Ebene ohne Bereichseinschränkung in einer Organisation erstellen und verwalten. |
Organisation |
UserOptionsSupport |
Outlook-Web-App-Optionen eines Benutzers in einer Organisation anzeigen. Rollen dieses Rollentyps können dazu verwendet werden, Benutzern bei der Diagnose von Problemen in Zusammenhang mit ihrer Konfiguration zu unterstützen. |
Organisation |
ViewOnlyConfiguration |
Konfigurationseinstellungen in einer Organisation anzeigen, zum Beispiel Serverkonfigurationen, Transportkonfigurationen, Datenbankkonfigurationen und unternehmensweite Konfigurationen. Zusammen mit Rollen des Rollentyps ViewOnlyRecipients können alle Objekte in einer Organisation angezeigt werden. |
Organisation |
ViewOnlyRecipients |
Konfiguration von Empfängern |
Organisation |
Den Standardrollen in Exchange Server 2010 können Sie keine weiteren Einträge hinzufügen, sondern nur selbst erstellten Verwaltungsrollen. Um einen Eintrag hinzuzufügen, verwenden Sie folgenden Befehl: Add-ManagementRoleEntry <Verwaltungsrolle>\<CMDlet>.
Wollen Sie einen Rolleneintrag hinzufügen, aber nur bestimmte Optionen des entsprechenden CMDlets in den Rolleneintrag aufnehmen, verwenden Sie die folgende Syntax: Add-ManagementRoleEntry <Verwaltungsrolle>\<CMDlet> -Parameters <Option 1>, <Option 2>,…. (mje)