Grundlegendes zu Verwaltungsrollenbereichen
Gilt für: Exchange Server 2013
Verwaltungsrollenbereiche ermöglichen Ihnen die Definition spezifischer Wirkungs- oder Einflussbereiche für eine Verwaltungsrolle, wenn eine Verwaltungsrollenzuweisung erstellt wird. Wenn Sie einen Bereich anwenden, kann der Rollenempfänger, dem die Rolle zugewiesen wird, nur die in diesem Bereich enthaltenen Objekte ändern. Ein Rollenempfänger kann eine Verwaltungsrollengruppe, eine Verwaltungsrolle, eine Richtlinie für eine Verwaltungsrollenzuweisung, ein Benutzer oder eine universelle Sicherheitsgruppe (Universal Security Group, USG) sein. Weitere Informationen zu Verwaltungsrollen finden Sie unter Grundlegendes zur rollenbasierten Zugriffssteuerung.
Hinweis
Dieses Thema konzentriert sich auf erweiterte RBAC-Funktionen. Wenn Sie grundlegende Exchange 2013-Berechtigungen verwalten möchten, z. B. das Exchange Admin Center (EAC), um Mitglieder zu und aus Rollengruppen hinzuzufügen und daraus zu entfernen, Rollengruppen zu erstellen und zu ändern oder Rollenzuweisungsrichtlinien zu erstellen und zu ändern, lesen Sie Berechtigungen.
Jede Verwaltungsrolle, ob integrierte oder benutzerdefinierte Rolle, hat Verwaltungsbereiche. Es kann sich dabei um folgende Verwaltungsbereiche handeln:
Normal: Ein regulärer Bereich ist nicht exklusiv. Sie bestimmt, wo Objekte in Active Directory von Benutzern, denen die Verwaltungsrolle zugewiesen ist, angezeigt oder geändert werden können. Im Allgemeinen gibt eine Verwaltungsrolle an, was Sie erstellen oder ändern können, und ein Verwaltungsrollenbereich, wo Sie etwas erstellen oder ändern können. Reguläre Bereiche können implizite oder explizite Bereiche sein. Beide Bereiche werden weiter unten in diesem Thema erläutert.
Exklusiv: Ein exklusiver Bereich verhält sich fast genauso wie ein regulärer Bereich. Der wichtigste Unterschied besteht darin, dass Sie Benutzern den Zugriff auf Objekte innerhalb des exklusiven Bereichs verweigern können, wenn diesen Benutzern keine dem exklusiven Bereich zugeordnete Rolle zugewiesen ist. Alle exklusiven Bereiche sind explizite Bereiche, die weiter unten in diesem Thema erläutert werden.
Weitere Informationen zu exklusiven Bereichen finden Sie unter Grundlegendes zu exklusiven Bereichen.
Bereiche können von der Verwaltungsrolle geerbt, als vordefinierter relativer Bereich für eine Verwaltungsrollenzuweisung festgelegt oder mithilfe benutzerdefinierter Filter erstellt und einer Verwaltungsrollenzuweisung hinzugefügt werden. Von Verwaltungsrollen geerbte Bereiche werden implizite Bereiche genannt, während vordefinierte und benutzerdefinierte Bereiche als explizite Bereiche bezeichnet werden. In den folgenden Abschnitten werden die einzelnen Bereichstypen beschrieben:
- Implicit Scopes
- Explicit Scopes
- Predefined Relative Scopes
- Custom Scopes
- Recipient Filter Scopes
- Configuration Scopes
Jede Rolle kann die folgenden Bereichstypen haben:
- Empfängerlesebereich: Der implizite Empfängerlesebereich bestimmt, welche Empfängerobjekte, denen der Benutzer die Verwaltungsrolle zugewiesen hat, aus Active Directory lesen dürfen.
- Empfängerschreibbereich: Der implizite Empfängerschreibbereich bestimmt, welche Empfängerobjekte, denen der Benutzer die Verwaltungsrolle zugewiesen hat, in Active Directory ändern dürfen.
- Konfigurationslesebereich: Der Implizite Konfigurationslesebereich bestimmt, welche Konfigurationsobjekte, denen der Benutzer die Verwaltungsrolle zugewiesen hat, aus Active Directory lesen dürfen.
- Konfigurationsschreibbereich: Der Implizite Konfigurationsschreibbereich bestimmt, welche Organisations-, Datenbank- und Serverobjekte der Benutzer, denen die Verwaltungsrolle zugewiesen wurde, in Active Directory ändern dürfen.
Empfängerobjekte umfassen Postfächer, Verteilergruppen, E-Mail-aktivierte Benutzer und andere Objekte. Konfigurationsobjekte umfassen Server mit Microsoft Exchange Server 2013 sowie Datenbanken auf Servern mit Exchange. Bei den Bereichstypen kann es sich jeweils um einen impliziten oder einen expliziten Bereich handeln.
Implizite Bereiche
Implizite Bereiche sind die für einen Verwaltungsrollentyp geltenden Standardbereiche. Da implizite Bereiche einem Verwaltungsrollentyp zugeordnet sind, besitzen alle übergeordneten und untergeordneten Verwaltungsrollen mit demselben Rollentyp auch dieselben impliziten Bereiche. Implizite Bereiche gelten sowohl für integrierte Verwaltungsrollen als auch für benutzerdefinierte Verwaltungsrollen. Weitere Informationen zu Verwaltungsrollen und Verwaltungsrollentypen finden Sie unter Grundlegendes zu Verwaltungsrollen.
In der folgenden Tabelle sind alle impliziten Bereiche aufgeführt, die für Verwaltungsrollen definiert werden können.
Implizite Bereiche, die für Verwaltungsrollen definiert sind
Implizite Bereiche | Beschreibung |
---|---|
Organization |
Wenn Organization im Empfängerschreibbereich der Rolle vorhanden ist, kann die Rolle Empfängerobjekte in der gesamten Exchange-Organisation erstellen oder ändern. Wenn Organization im Empfängerlesebereich der Rolle vorhanden ist, können Rollen jedes Empfängerobjekt in der exchange-Organisation anzeigen. Dieser Bereich wird nur für Lese- und Schreibbereiche von Empfängern verwendet. |
MyGAL |
Wenn MyGAL im Empfängerschreibbereich der Rolle vorhanden ist, kann die Rolle die Eigenschaften eines beliebigen Empfängers innerhalb der globalen Adressliste (GAL) des aktuellen Benutzers anzeigen. Wenn MyGAL im Empfängerlesebereich der Rolle vorhanden ist, kann die Rolle die Eigenschaften eines beliebigen Empfängers innerhalb der aktuellen GAL anzeigen. Dieser Bereich wird nur mit Empfängerlesebereichen verwendet. |
Self |
Wenn Self im Empfängerschreibbereich der Rolle vorhanden ist, kann die Rolle nur die Eigenschaften des Postfachs des aktuellen Benutzers ändern. Wenn Self im Empfängerlesebereich der Rolle vorhanden ist, kann die Rolle nur die Eigenschaften des Postfachs des aktuellen Benutzers anzeigen. Dieser Bereich wird nur für Lese- und Schreibbereiche von Empfängern verwendet. |
MyDistributionGroups |
Wenn MyDistributionGroups im Empfängerschreibbereich der Rolle vorhanden ist, kann die Rolle Verteilerlistenobjekte im Besitz des aktuellen Benutzers erstellen oder ändern. Wenn MyDistributionGroups im Empfängerlesebereich der Rolle vorhanden ist, kann die Rolle Verteilerlistenobjekte anzeigen, die dem aktuellen Benutzer gehören. Dieser Bereich wird nur für Lese- und Schreibbereiche von Empfängern verwendet. |
OrganizationConfig |
Wenn OrganizationConfig im Konfigurationsschreibbereich der Rolle vorhanden ist, kann die Rolle ein beliebiges Server- oder Datenbankkonfigurationsobjekt in der gesamten Exchange-Organisation erstellen oder ändern. Wenn OrganizationConfig im Lesebereich der Konfiguration der Rolle vorhanden ist, kann die Rolle jedes Server- oder Datenbankkonfigurationsobjekt in der gesamten Exchange-Organisation anzeigen. Dieser Bereich wird mit Konfigurationslese- und -schreibbereichen verwendet. |
None |
Wenn None sich in einem Bereich befindet, ist dieser Bereich für die Rolle nicht verfügbar. Beispielsweise kann eine Rolle, die im Empfängerschreibbereich verfügt None , empfängerobjekte in der Exchange-Organisation nicht ändern. |
Wird eine Rolle einem Rollenempfänger zugewiesen und es sind keine vordefinierten oder benutzerdefinierten Bereiche angegeben, werden die für die Rolle definierten impliziten Bereiche verwendet, um zu steuern, welche Empfänger- bzw. Organisationsobjekte der Benutzer anzeigen oder ändern kann.
Der implizite Schreibbereich einer Rolle ist stets kleiner oder gleich dem impliziten Lesebereich. Dies bedeutet, dass eine Rolle keine Objekte ändern kann, die vom Bereich nicht angezeigt werden können.
Sie können die für Verwaltungsrollen definierten impliziten Bereiche nicht ändern. Sie können jedoch den impliziten Schreibbereich und Konfigurationsbereich für eine Verwaltungsrolle außer Kraft setzen. Wenn ein vordefinierter relativer Bereich oder benutzerdefinierter Bereich für eine Rollenzuweisung verwendet wird, wird der implizite Schreibbereich der Rolle außer Kraft gesetzt, und der neue Bereich hat Vorrang. Der implizite Lesebereich einer Rolle ist stets gültig und kann nicht außer Kraft gesetzt werden. Weitere Informationen finden Sie unter Vordefinierte relative Bereiche und benutzerdefinierte Bereiche.
Erweitern Sie die folgende Tabelle, um eine Liste aller integrierten Verwaltungsrollen und ihrer impliziten Bereiche anzuzeigen. Weitere Informationen zu den einzelnen integrierten Rollen finden Sie unter Integrierte Verwaltungsrollen.
Implizite Bereiche integrierter Verwaltungsrollen
Verwaltungsrolle | Empfängerlesebereich | Empfängerschreibbereich | Konfigurationslesebereich | Konfigurationsschreibbereich |
---|---|---|---|---|
Active Directory Permissions |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Address Lists |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
ApplicationImpersonation |
Organization |
Organization |
None |
None |
ArchiveApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Audit Logs |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Cmdlet Extension Agents |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Data Loss Prevention |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Database Availability Groups |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Database Copies |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Databases |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Disaster Recovery |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Distribution Groups |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Edge Subscriptions |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
E-Mail Address Policies |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Connectors |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Server Certificates |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Servers |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Virtual Directories |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Federated Sharing |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Information Rights Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Journaling |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Legal Hold |
Organization |
Organization |
OrganizationConfig |
None |
LegalHoldApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Enabled Public Folders |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Recipient Creation |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Recipients |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Tips |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mailbox Import Export |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mailbox Search |
Organization |
Organization |
None |
None |
MailboxSearchApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Message Tracking |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Migration |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Monitoring |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Move Mailboxes |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
OfficeExtensionApplication |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
My Custom Apps |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
My Marketplace Apps |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyAddressInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyBaseOptions |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyContactInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyDiagnostics |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyDisplayName |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyDistributionGroupMembership |
MyGAL |
MyGAL |
None |
None |
MyDistributionGroups |
MyGAL |
MyDistributionGroups |
OrganizationConfig |
None |
MyMobileInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyName |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyPersonalInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyProfileInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyRetentionPolicies |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyTeamMailboxes |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
MyTextMessaging |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyVoiceMail |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
Organization Client Access |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Organization Configuration |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Organization Transport Settings |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
POP3 And IMAP4 Protocols |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Public Folders |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Receive Connectors |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Recipient Policies |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Remote and Accepted Domains |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Reset Password |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Retention Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Role Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Security Group Creation and Membership |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Send Connectors |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Support Diagnostics |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
TeamMailboxLifecycleApplication |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
Transport Agents |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Transport Hygiene |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Transport Queues |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Transport Rules |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UM Mailboxes |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UM Prompts |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Unified Messaging |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UnScoped Role Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UserApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
User Options |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
View-Only Audit Logs |
Organization |
None |
OrganizationConfig |
None |
View-Only Configuration |
Organization |
None |
OrganizationConfig |
None |
View-Only Recipients |
Organization |
None |
OrganizationConfig |
None |
WorkloadManagement |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Explizite Bereiche
Explizite Bereiche sind Bereiche, die Sie selbst festlegen, um zu steuern, welche Objekte eine Verwaltungsrolle ändern kann. Während implizite Bereiche für eine Verwaltungsrolle definiert sind, sind explizite Bereiche für eine Verwaltungsrollenzuweisung definiert. Auf diese Weise können implizite Bereiche konsistent für alle Verwaltungsrollen angewendet werden, wenn sie nicht von Ihnen durch einen expliziten Bereich außer Kraft gesetzt werden. Weitere Informationen zu Verwaltungsrollenzuweisungen finden Sie unter Grundlegendes zu Verwaltungsrollenzuweisungen.
Explizite Bereiche setzen die impliziten Schreib- und Konfigurationsbereiche einer Verwaltungsrolle außer Kraft. Sie setzen nicht den impliziten Lesebereich einer Verwaltungsrolle außer Kraft. Der implizite Lesebereich definiert weiterhin, welche Objekte die Verwaltungsrolle lesen kann.
Explizite Bereiche sind nützlich, wenn der implizite Schreibbereich einer Verwaltungsrolle den Anforderungen Ihres Unternehmens nicht entspricht. Sie können einen expliziten Bereich hinzufügen, der nahezu alles Gewünschte enthält, solange der neue Bereich nicht die Grenzen des impliziten Lesebereichs überschreitet. Die zu einer Verwaltungsrolle gehörenden Cmdlets müssen Informationen zu den Objekten oder Containern lesen können, die Objekte enthalten, damit die Cmdlets Objekte erstellen oder ändern können. Wenn beispielsweise der implizite Lesebereich für eine Verwaltungsrolle auf Self
festgelegt ist, können Sie keinen expliziten Schreibbereich von Organization
hinzufügen, da der explizite Schreibbereich die Grenzen des impliziten Lesebereichs überschreitet.
Weitere Informationen hierzu finden Sie in den folgenden Abschnitten:
Predefined Relative Scopes
Custom Scopes
Vordefinierte relative Bereiche
Exchange 2013 bietet mehrere vordefinierte relative Schreibbereiche, die Sie zum Ändern des Bereichs einer Verwaltungsrolle verwenden können. Vordefinierte relative Bereiche bieten eine einfache Möglichkeit, um stärker auf die Anforderungen Ihres Unternehmens einzugehen, ohne manuell benutzerdefinierte Bereiche erstellen zu müssen. Die Bereiche werden deshalb als relativ bezeichnet, weil sie relativ sind für den Rollenempfänger, dem die zugeordnete Rollenzuweisung zugewiesen wird. Beispielsweise schränkt der Self
vordefinierte relative Bereich diesen Schreibbereich nur auf den aktuellen Benutzer ein. Der MyDistributionGroups
vordefinierte relative Bereich schränkt den Schreibbereich auf die Verteilergruppe ein, die der aktuelle Benutzer besitzt. Vordefinierte relative Bereiche können nur für Empfängerobjektbereiche verwendet werden. Vordefinierte relative Bereiche können nicht für Konfigurationsobjektbereiche verwendet werden. In der folgenden Tabelle sind die vordefinierten relativen Bereiche aufgeführt, die Sie verwenden können.
Vordefinierte relative Bereiche
Implizite Bereiche | Beschreibung |
---|---|
Organization |
Wenn Organization im Empfängerschreibbereich der Rolle vorhanden ist, kann die Rolle Empfängerobjekte in der gesamten Exchange-Organisation erstellen oder ändern. Wenn Organization im Empfängerlesebereich der Rolle vorhanden ist, können Rollen jedes Empfängerobjekt in der exchange-Organisation anzeigen. Dieser Bereich wird nur für Lese- und Schreibbereiche von Empfängern verwendet. |
Self |
Wenn Self im Empfängerschreibbereich der Rolle vorhanden ist, kann die Rolle nur die Eigenschaften des Postfachs des aktuellen Benutzers ändern. Wenn Self im Empfängerlesebereich der Rolle vorhanden ist, kann die Rolle nur die Eigenschaften des Postfachs des aktuellen Benutzers anzeigen. Dieser Bereich wird nur für Lese- und Schreibbereiche von Empfängern verwendet. |
MyDistributionGroups |
Wenn MyDistributionGroups im Empfängerschreibbereich der Rolle vorhanden ist, kann die Rolle Verteilerlistenobjekte im Besitz des aktuellen Benutzers erstellen oder ändern. Wenn MyDistributionGroups im Empfängerlesebereich der Rolle vorhanden ist, kann die Rolle Verteilerlistenobjekte anzeigen, die dem aktuellen Benutzer gehören. Dieser Bereich wird nur für Lese- und Schreibbereiche von Empfängern verwendet. |
Vordefinierte relative Bereiche werden angewendet, wenn Sie eine neue Verwaltungsrollenzuweisung erstellen. Während der Erstellung der Rollenzuweisung können Sie mithilfe des Cmdlets New-ManagementRoleAssignment mithilfe des Parameters RecipientRelativeWriteScope einen vordefinierten relativen Bereich angeben. Wenn die neue Rollenzuweisung erstellt wird, setzt die neue vordefinierte Rolle den impliziten Schreibbereich der Verwaltungsrolle außer Kraft. Beim Erstellen einer Rollenzuweisung mit einem vordefinierten relativen Bereich können Sie keinen benutzerdefinierten Empfängerbereich angeben. Falls erforderlich, können Sie jedoch einen benutzerdefinierten Konfigurationsbereich angeben.
Weitere Informationen zum Hinzufügen einer Verwaltungsrollenzuweisung mit einem vordefinierten relativen Bereich finden Sie unter Hinzufügen einer Rolle zu einem Benutzer oder einer universellen Sicherheitsgruppe.
Benutzerdefinierte Bereiche
Benutzerdefinierte Bereiche sind erforderlich, wenn weder der implizite Schreibbereich noch die vordefinierten relativen Bereiche den Anforderungen Ihres Unternehmens entsprechen. Benutzerdefinierte Bereiche ermöglichen Ihnen eine genaue Definition des Bereichs, auf den Ihre Verwaltungsrolle angewendet werden soll. Dabei kann es sich beispielsweise um eine bestimmte Organisationseinheit, einen bestimmten Empfängertyp oder beides handeln. Möglicherweise möchten Sie auch nur einer Gruppe von Administratoren die Verwaltung einer bestimmten Gruppe von Postfachdatenbanken gestatten.
Genau wie vordefinierte relative Bereiche setzen auch benutzerdefinierte Bereiche die für Verwaltungsrollen definierten impliziten Schreib- und Organisationskonfigurationsbereiche außer Kraft. Der implizite Lesebereich für Verwaltungsrollen wird auch weiterhin angewendet, und der resultierende benutzerdefinierte Bereich darf die Grenzen des impliziten Lesebereichs nicht überschreiten. Sie können die folgenden drei Arten von benutzerdefinierten Bereichen erstellen:
OE-Bereich: Ein OE-Bereich, der einfachste benutzerdefinierte Bereich, wird mit dem Parameter RecipientOrganizationalUnitScope im Cmdlet New-ManagementRoleAssignment erstellt. Wenn beim Zuweisen einer Rolle ein OU-Bereich angegeben wird, kann der Rollenempfänger, dem die Rolle zugewiesen wird, nur Empfängerobjekte innerhalb dieser Organisationseinheit ändern. Weitere Informationen zum Hinzufügen einer Verwaltungsrollenzuweisung mit einem OU-Bereich finden Sie unter Hinzufügen einer Rolle zu einem Benutzer oder einer universellen Sicherheitsgruppe.
Empfängerfilterbereich: Empfängerfilterbereiche verwenden Filter, um bestimmte Empfänger auf der Grundlage des Empfängertyps oder anderer Empfängereigenschaften wie Abteilung, Vorgesetzter, Standort usw. als Ziel zu verwenden. Weitere Informationen finden Sie im Abschnitt Empfängerfilterbereiche.
Konfigurationsbereich: Konfigurationsbereiche verwenden Filter oder Listen, um bestimmte Server basierend auf Serverlisten oder filterbaren Eigenschaften als Ziel festzulegen, die auf Servern definiert werden können, z. B. ein Active Directory-Standort oder eine Serverrolle. Konfigurationsbereiche können auch Datenbankbereiche verwenden, um bestimmte Datenbanken basierend auf Datenbanklisten oder filterbaren Datenbankeigenschaften als Ziel zu verwenden. Weitere Informationen finden Sie im Abschnitt Konfigurationsbereiche.
Einfache, umfassende oder komplexe, differenzierte benutzerdefinierte Empfänger- und Konfigurationsbereiche können mit dem Cmdlet New-ManagementScope erstellt werden. Wenn Sie einen Empfänger- oder Konfigurationsbereich erstellen, werden nur die Empfänger-, Server- oder Datenbankobjekte zurückgegeben, die dem jeweiligen Bereich entsprechen. Wenn diese Bereiche mithilfe des Cmdlets New-ManagementRoleAssignment oder Set-ManagementRoleAssignment auf eine Rollenzuweisung angewendet werden, können nur die Objekte, die dem jeweiligen Bereich entsprechen, von den Rollenempfängern geändert werden, denen die Rolle zugewiesen wird. Sie können den Bereichstyp nach dem Erstellen eines benutzerdefinierten Bereichs nicht mehr ändern. Ein Empfängerbereich bleibt stets Empfängerbereich, ein Konfigurationsbereich stets Konfigurationsbereich.
Standardmäßig ermöglicht ein benutzerdefinierter Bereich einem Rollenempfänger den Zugriff auf einen Satz von Objekten, die den von Ihnen definierten Bereichen entsprechen. Der Zugriff für andere Rollenempfänger, denen nicht der gleiche oder ein äquivalenter Bereich zugewiesen wurde, ist jedoch nicht aktiv ausgeschlossen. Jeder benutzerdefinierte Bereich kann auf dieselben Objekte zugreifen, wenn den Listen oder Filtern für diese Bereiche dieselben Objekte entsprechen. Dieses Verhalten ist für bestimmte Objekte möglicherweise nicht wünschenswert, z. B. bei Führungskräften. Für diese Objekte können Sie exklusive Bereiche definieren. Bei exklusiven Bereichen werden Filter oder Listen auf die gleiche Weise wie bei regulären Bereichen verwendet, aber anders als bei regulären Bereichen wird der Zugriff auf Objekte im Bereich allen Benutzern verweigert, die nicht demselben oder einem äquivalenten exklusiven Bereich angehören. Weitere Informationen zu exklusiven Bereichen finden Sie unter Grundlegendes zu exklusiven Bereichen.
Filterbasierte Empfängerbereiche
Empfängerfilterbereiche ermöglichen es Ihnen, zu steuern, welche Empfängerobjekte Rollenempfänger verwalten können, indem Sie eine oder mehrere Eigenschaften eines Empfängerobjekts anhand eines Werts auswerten, den Sie in einer Filter-Anweisung angeben. Empfänger, die in Empfängerbereichen enthalten sind Postfächer, E-Mail-aktivierte Benutzer, Verteilergruppen und E-Mail-Kontakte. Nur die Empfänger, die dem von Ihnen angegebenen Filter entsprechen, können von den Rollenempfängern verwaltet werden, denen diese Rollenzuweisung zugewiesen ist. Ein Beispiel für eine Filter-Anweisung ist { Name -Eq "David" }
, wobei Name die Eigenschaft des empfängerobjekts ist, das ausgewertet wird, und David ist der Wert, den Sie anhand der Eigenschaft auswerten möchten. Der Vergleichsoperator -Eq gibt an, dass der in der -Eigenschaft gespeicherte Wert dem Wert entsprechen muss, der angegeben wurde, damit der Filter true ist. Wenn der Filter true ist, wird dieser Empfänger in den Bereich eingeschlossen.
Empfängerfilterbereiche werden erstellt, indem der Empfängerfilter angegeben wird, der mit dem Parameter RecipientRestrictionFilter im Cmdlet New-ManagementScope verwendet werden soll. Standardmäßig werden mit dem Cmdlet New-ManagementScope reguläre Bereiche erstellt. Wenn Sie einen exklusiven Bereich erstellen möchten, schließen Sie den Exklusiven Schalter zusammen mit dem Parameter RecipientRestrictionFilter ein.
Wenn Sie einen Empfängereinschränkungsfilter erstellen, wertet Exchange standardmäßig jedes Empfängerobjekt in der Organisation anhand des bereitgestellten Filters aus. Wenn Sie einschränken möchten, welche Empfänger der Bereich auswertet, können Sie den RecipientRoot-Parameter zusammen mit dem Parameter RecipientRestrictionFilter verwenden. Der RecipientRoot-Parameter akzeptiert eine Organisationseinheit. Wenn Sie den RecipientRoot-Parameter verwenden, wertet Exchange nur die in der angegebenen Organisationseinheit enthaltenen Empfänger anhand des von Ihnen bereitgestellten Filters aus.
Wenn Sie einer Rollenzuweisung einen Empfängerfilterbereich hinzufügen, geben Sie den Namen des Empfängerbereichs im Parameter CustomRecipientWriteScope für New-ManagementRoleAssignment an, wenn Sie eine neue Rollenzuweisung erstellen, oder das Cmdlet Set-ManagementRoleAssignment , wenn Sie eine vorhandene Rollenzuweisung aktualisieren. Jede Rollenzuweisung kann nur einen Empfängerbereich aufweisen, einschließlich vordefinierter relativer Bereiche. Sie können einer Rollenzuweisung, der Sie einen Empfängerbereich hinzugefügt haben, außerdem höchstens einen Konfigurationsbereich hinzufügen.
Weitere Informationen zur Filtersyntax und eine vollständige Liste filterbarer Empfängereigenschaften von Empfängern finden Sie unter Grundlegendes zu Verwaltungsrollenbereichs-Filtern.
Konfigurationsbereiche
Die folgenden beiden Arten von Konfigurationsbereichen stehen in Exchange 2013 zur Verfügung:
Serverbereiche: Es gibt zwei Arten von Serverbereichen: Serverfilterbereiche und Serverlistenbereiche. Aspekte der Serverkonfiguration, die verwaltet werden können, wenn ein Serverobjekt in einen Serverbereich eingeschlossen ist, sind Empfangsconnectors, Transportwarteschlangen, Serverzertifikate, virtuelle Verzeichnisse usw.
Serverfilterbereiche: Mithilfe von Serverfilterbereichen können Sie steuern, welche Serverobjekte von Rollen zugewiesen werden können, indem Sie eine oder mehrere Eigenschaften für ein Serverobjekt anhand eines Werts auswerten, den Sie in einer Filter-Anweisung angeben. Verwenden Sie zum Erstellen eines Serverfilterbereichs den Parameter ServerRestrictionFilter im Cmdlet New-ManagementScope .
Serverlistenbereiche: Mit Serverlistenbereichen können Sie steuern, welche Serverobjekte rollenseitig zugewiesen werden können, indem Sie eine Liste von Servern definieren, auf die ein Rollenempfänger zugreifen kann. Verwenden Sie zum Erstellen eines Serverlistenbereichs den ServerList-Parameter im Cmdlet New-ManagementScope .
Datenbankbereiche: Es gibt zwei Arten von Datenbankbereichen: Datenbankfilterbereiche und Datenbanklistenbereiche. Aspekte der Datenbankkonfiguration, die verwaltet werden können, wenn ein Datenbankobjekt in einen Datenbankbereich eingeschlossen ist, sind Datenbank-Kontingentgrenzwerte, Datenbankwartung, Replikation Öffentlicher Ordner, die Frage, ob eine Datenbank eingebunden ist, usw. Datenbankbereiche können neben der Datenbankkonfiguration auch verwendet werden, um zu steuern, in welchen Datenbanken Empfänger erstellt werden können. Wenn in Ihrer Organisation Server mit einer Version vor Exchange 2010 SP1 vorhanden sind, finden Sie im Abschnitt Datenbankbereiche und frühere Exchange-Versionen weiter unten in diesem Thema zusätzliche Informationen.
Datenbankfilterbereiche: Mit Datenbankfilterbereichen können Sie steuern, welche Datenbankobjekte von Rollen zugewiesenen Benutzern verwaltet werden können, indem Sie eine oder mehrere Eigenschaften eines Datenbankobjekts anhand eines Werts auswerten, den Sie in einer Filter-Anweisung angeben. Verwenden Sie zum Erstellen eines Datenbankfilterbereichs den Parameter DatabaseRestrictionFilter im Cmdlet New-ManagementScope .
Datenbanklistenbereiche: Mit Datenbanklistenbereichen können Sie steuern, welche Datenbankobjekte rollenseitig zugewiesen werden können, indem Sie eine Liste von Datenbanken definieren, auf die ein Rollenempfänger zugreifen kann. Verwenden Sie zum Erstellen eines Datenbanklistenbereichs den DatabaseList-Parameter im Cmdlet New-ManagementScope .
Weitere Informationen zur Filtersyntax und eine vollständige Liste filterbarer Server- und Datenbankeigenschaften finden Sie unter Grundlegendes zu Verwaltungsrollenbereichs-Filtern.
Sie können Server- und Datenbanklisten definieren, indem Sie jeden Server und jede Datenbank angeben, der/die in den jeweiligen Bereich eingeschlossen werden soll. Sie können mehrere Server oder Datenbanken in den entsprechenden Bereichen angeben, indem Sie die Server- und Datenbanknamen durch Kommas trennen.
Wenn Sie einer Rollenzuweisung einen Server- oder Datenbankkonfigurationsbereich hinzufügen, geben Sie den Namen des Server- oder Datenbankkonfigurationsbereichs im Parameter CustomConfigWriteScope des Cmdlets New-ManagementRoleAssignment an, wenn Sie eine neue Rollenzuweisung erstellen, oder das Cmdlet Set-ManagementRoleAssignment , wenn Sie eine vorhandene Rollenzuweisung aktualisieren. Jede Rollenzuweisung kann nur einen Konfigurationsbereich aufweisen.
Mit Datenbankbereichen können Sie nicht nur steuern, welche Datenbanken Rollenempfänger verwalten können, sondern auch, in welchen Datenbanken Rollenempfänger Postfächer erstellen können. Dies wird separat davon gesteuert, welche Empfänger ein Rollenempfänger verwalten kann. Wenn ein Rollenempfänger über die Berechtigungen zum Erstellen eines neuen Postfachs, Einrichten der E-Mail-Aktivierung für einen vorhandenen Benutzer oder Verschieben von Postfächern verfügt, können Sie diese Berechtigungen weiter verfeinern, indem Sie mithilfe von Datenbankbereichen steuern, in welcher Datenbank das Postfach erstellt wird oder in welche Datenbank ein Postfach verschoben wird. Die Kontrolle, welche Empfänger ein Rollenempfänger verwalten kann, erfolgt mithilfe eines Empfängerbereichs, der im Parameter CustomRecipientWriteScope im Cmdlet New-ManagementRoleAssignment oder Set-ManagementRoleAssignment angegeben ist. Die Steuerung der Datenbanken, auf denen ein Postfach erstellt oder verschoben werden kann, wird mithilfe eines Datenbankbereichs gesteuert, der im Parameter CustomConfigurationWriteScope für dieselben Cmdlets angegeben ist.
Hinweis
Die automatische Postfachverteilung kann mithilfe von Datenbankbereichen gesteuert werden.
Für bestimmte Funktionen von Exchange müssen möglicherweise Serverbereiche, Datenbankbereiche oder beides verwaltet werden. Wenn für eine Funktion sowohl Server- als auch Datenbankbereiche verwaltet werden müssen, müssen Sie zwei Rollenzuweisungen erstellen und dem Rollenempfänger zuweisen, der über Verwaltungszugriff auf die Funktion verfügen soll. Ordnen Sie eine Rollenzuweisung dem Serverbereich zu und die andere dem Datenbankbereich.
Für einige Cmdlets werden möglicherweise Konfigurationsbereiche verwendet, die nicht sofort offensichtlich sind. Die folgende Tabelle enthält eine Liste von Cmdlets und den Konfigurationsbereichen, mit denen Sie ihre Verwendung steuern können. Für Cmdlets im Empfängerfunktionsbereich können Sie mit Konfigurationsbereichen steuern, in welchen Datenbanken Empfänger erstellt werden können. Sie steuern nicht, welche Empfänger verwaltet werden können. Die Spalte Erforderliche Bereiche kann Folgendes enthalten:
Datenbank: Zum Ausführen des Cmdlets muss dem Rollenempfänger eine Rollenzuweisung mit einem Datenbankbereich zugewiesen werden, der die zu verwaltende Datenbank enthält, oder der implizite Konfigurationsschreibbereich der Rolle muss die zu verwaltende Datenbank enthalten.
Server: Zum Ausführen des Cmdlets muss dem Rollenempfänger eine Rollenzuweisung mit einem Serverbereich zugewiesen werden, der den zu verwaltenden Server enthält, oder der implizite Konfigurationsschreibbereich der Rolle muss den zu verwaltenden Server enthalten.
Server oder Datenbank: Zum Ausführen des Cmdlets muss dem Rollenempfänger eine Rollenzuweisung zugewiesen werden, bei der entweder ein Datenbankbereich die verwaltete Datenbank enthält oder ein Serverbereich den Server umfasst, auf dem sich die Datenbank befindet. Alternativ muss der implizite Konfigurationsschreibbereich der Rolle die zu verwaltende Datenbank einschließen oder den Server enthalten, auf dem sich die Datenbank befindet, und die Rollenzuweisung darf nicht über einen benutzerdefinierten Schreibbereich verfügen.
Server und Datenbank: Zum Ausführen dieses Cmdlets müssen dem Rollenempfänger zwei Rollenzuweisungen zugewiesen werden. Die erste Rollenzuweisung muss einen Datenbankbereich enthalten, der die zu verwaltende Datenbank einschließt. Die zweite Rollenzuweisung muss einen Serverbereich enthalten, der den Server einschließt, auf dem sich die Datenbank befindet. Für die Rollenzuweisungen können benutzerdefinierte Konfigurationsbereiche definiert sein, oder die Rollenzuweisungen können den impliziten Konfigurationsschreibbereich von der Rolle erben. Damit der implizite Schreibbereich von der Rolle geerbt werden kann, darf die Rollenzuweisung nicht über einen benutzerdefinierten Schreibbereich verfügen.
Funktionsbereiche und zugehörige Datenbank- und Serverbereiche
Funktionsbereich | Cmdlet | Erforderliche Bereiche |
---|---|---|
Datenbanken | Dismount-Database | Database |
Datenbanken | Mount-Database | Database |
Datenbanken | Move-DatabasePath | Server und Datenbank |
Datenbanken | Remove-MailboxDatabase | Server oder Datenbank |
Datenbanken | Set-MailboxDatabase | Database |
Hohe Verfügbarkeit | Add-DatabaseAvailabilityGroupServer | Server |
Hohe Verfügbarkeit | Add-MailboxDatabaseCopy | Server |
Hohe Verfügbarkeit | Move-ActiveMailboxDatabase | Server |
Hohe Verfügbarkeit | Remove-DatabaseAvailabilityGroupServer | Server |
Hohe Verfügbarkeit | Remove-MailboxDatabaseCopy | Server oder Datenbank |
Hohe Verfügbarkeit | Resume-MailboxDatabaseCopy | Server oder Datenbank |
Hohe Verfügbarkeit | Set-MailboxDatabaseCopy | Server oder Datenbank |
Hohe Verfügbarkeit | Suspend-MailboxDatabaseCopy | Server oder Datenbank |
Hohe Verfügbarkeit | Update-MailboxDatabaseCopy | Server oder Datenbank |
Empfänger | Connect-Mailbox | Database |
Empfänger | Enable-Mailbox | Database |
Empfänger | New-Mailbox | Database |
Empfänger | New-MoveRequest | Database |
Problembehandlung | Test-MapiConnectivity | Datenbank |
Datenbankbereiche und frühere Exchange-Versionen
Datenbankbereiche wurden erstmalig in Microsoft Exchange 2010 Service Pack 1 (SP1) eingeführt und werden in Exchange 2013 weiterhin unterstützt. Exchange-Versionen vor Exchange 2010 SP1 unterstützen lediglich Empfängerbereiche und Serverkonfigurationsbereiche. Wenn Sie einen neuen Datenbankbereich auf einem Server mit Exchange 2010 SP1 oder höher erstellen, wird die folgende Warnung angezeigt:
WARNING: Database management scopes will only be applied when a user connects to a server running Exchange 2010 SP1 or later. Servers running a version of Exchange prior to Exchange 2010 SP1 won't apply any roles from a role assignment linked to a database scope. Database management scopes also won't be visible to the Get-ManagementScope cmdlet when it's run from a pre-Exchange 2010 SP1 server.
Wenn Sie einen Datenbankbereich erstellen, wird er nur auf Benutzer angewendet, die Verbindungen mit Servern mit Exchange 2010 SP1 oder höher herstellen. Auf Benutzer, die Verbindungen mit Servern vor Exchange 2010 SP1 herstellen, werden keine Rollenzuweisungen mit Datenbankbereichen angewendet. Dies bedeutet, dass jegliche Berechtigungen, die von diesen Rollenzuweisungen bereitgestellt werden, Benutzern mit Servern vor Exchange 2010 SP1 bei der Verbindungsherstellung nicht erteilt werden. Datenbankbereiche können von Servern vor Exchange 2010 SP1 nicht erstellt, entfernt, geändert oder angezeigt werden.
Ein Datenbankbereich kann jegliche Datenbanken in der Exchange-Organisation einschließen. Dies umfasst Server mit Exchange Server 2007, Exchange 2010 und Exchange 2013. Hiermit können Sie unabhängig von der Exchange-Version steuern, welche Datenbanken Benutzer verwalten können. Wie bei anderen Datenbankbereichen auch, werden Rollenzuweisungen mit Datenbankbereichen, die Exchange 2007- und Exchange 2010-Datenbanken enthalten, nur dann auf Benutzer angewendet, wenn sie eine Verbindung mit einem Server mit Exchange 2010 SP1 oder höher herstellen.
Benutzer, die eine Verbindung mit einem Server vor Exchange 2010 SP1 herstellen, können Rollenzuweisungen anzeigen und ändern, die Datenbankbereichen zugeordnet sind. Hierzu gehört auch das Ändern des Konfigurationsbereichs einer vorhandenen Rollenzuweisung in einen Serverbereich, wenn er zurzeit einem Datenbankbereich zugeordnet ist. Wenn der Konfigurationsbereich einer Rollenzuweisung jedoch in einen Serverbereich geändert wird und ein Benutzer ihn später wieder in einen Datenbankbereich ändern möchte, oder wenn der Benutzer den Konfigurationsbereich in einen anderen Datenbankbereich ändern möchte, muss der Benutzer beim Vornehmen der Änderung über eine Verbindung mit einem Server mit Exchange 2010 SP1 oder höher verfügen. Benutzer, die über eine Verbindung mit einem Server vor Exchange 2010 SP1 verfügen, können beim Ändern des Konfigurationsbereichs für eine Rollenzuweisung nur Serverbereiche angeben.