Grundlegendes zu Verwaltungsrollenbereichen
Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Letztes Änderungsdatum des Themas: 2015-03-09
Verwaltungsrollenbereiche ermöglichen Ihnen die Definition spezifischer Wirkungs- oder Einflussbereiche für eine Verwaltungsrolle, wenn eine Verwaltungsrollenzuweisung erstellt wird. Wenn Sie einen Bereich anwenden, kann der Rollenempfänger, dem die Rolle zugewiesen wird, nur die in diesem Bereich enthaltenen Objekte ändern. Ein Rollenempfänger kann eine Verwaltungsrollengruppe, eine Verwaltungsrolle, eine Richtlinie für eine Verwaltungsrollenzuweisung, ein Benutzer oder eine universelle Sicherheitsgruppe (Universal Security Group, USG) sein. Weitere Informationen zu Verwaltungsrollen finden Sie unter Grundlegendes zur rollenbasierten Zugriffssteuerung.
Jede Verwaltungsrolle, ob integriert oder benutzerdefiniert, verfügt über Verwaltungsbereiche. Es kann sich dabei um folgende Verwaltungsbereiche handeln:
Regulär Ein regulärer Bereich ist nicht exklusiv. Er bestimmt, wo Objekte in Active Directory von Benutzern, denen die Verwaltungsrolle zugewiesen ist, angezeigt oder geändert werden können. Im Allgemeinen gibt eine Verwaltungsrolle an, was Sie erstellen oder ändern können, und ein Verwaltungsrollenbereich, wo Sie etwas erstellen oder ändern können. Reguläre Bereiche können implizite oder explizite Bereiche sein. Beide werden weiter unten in diesem Thema erläutert.
Exklusive Ein exklusiver Bereich verhält sich nahezu identisch wie ein regulärer Bereich. Der wichtigste Unterschied besteht darin, dass Sie Benutzern den Zugriff auf Objekte innerhalb des exklusiven Bereichs verweigern können, wenn diesen Benutzern keine dem exklusiven Bereich zugeordnete Rolle zugewiesen ist. Alle exklusiven Bereiche sind explizite Bereiche, die weiter unten in diesem Thema erläutert werden.
Weitere Informationen zu exklusiven Bereichen finden Sie unter Grundlegendes zu exklusiven Bereichen.
Bereiche können von der Verwaltungsrolle geerbt, als vordefinierter relativer Bereich für eine Verwaltungsrollenzuweisung festgelegt oder mithilfe benutzerdefinierter Filter erstellt und einer Verwaltungsrollenzuweisung hinzugefügt werden. Von Verwaltungsrollen geerbte Bereiche werden implizite Bereiche genannt, während vordefinierte und benutzerdefinierte Bereiche als explizite Bereiche bezeichnet werden. In den folgenden Abschnitten werden die einzelnen Bereichstypen beschrieben:
Implizite Bereiche
Explizite Bereiche
Vordefinierte relative Bereiche
Benutzerdefinierte Bereiche
Filterbasierte Empfängerbereiche
Konfigurationsbereiche
Jede Rolle kann die folgenden Bereichstypen haben:
Empfängerlesebereich Der implizite Empfängerlesebereich bestimmt, welche Empfängerobjekte der Benutzer, dem die Verwaltungsrolle zugewiesen wird, aus Active Directory lesen kann.
Empfängerschreibbereich Der implizite Empfängerschreibbereich bestimmt, welche Empfängerobjekte der Benutzer, dem die Verwaltungsrolle zugewiesen wird, in Active Directory ändern kann.
Konfigurationslesebereich Der implizite Konfigurationslesebereich bestimmt, welche Konfigurationsobjekte der Benutzer, dem die Verwaltungsrolle zugewiesen wird, aus Active Directory lesen kann.
Konfigurationsschreibbereich Der implizite Konfigurationsschreibbereich bestimmt, welche Organisations-, Datenbank- und Serverobjekte der Benutzer, dem die Verwaltungsrolle zugewiesen wird, in Active Directory ändern kann.
Empfängerobjekte umfassen Postfächer, Verteilergruppen, E-Mail-aktivierte Benutzer und andere Objekte. Konfigurationsobjekte umfassen Server mit Microsoft Exchange Server 2010 sowie Datenbanken auf Servern mit Exchange. Bei den Bereichstypen kann es sich jeweils um einen impliziten oder einen expliziten Bereich handeln.
Implizite Bereiche
Implizite Bereiche sind die für einen Verwaltungsrollentyp geltenden Standardbereiche. Da implizite Bereiche einem Verwaltungsrollentyp zugeordnet sind, besitzen alle übergeordneten und untergeordneten Verwaltungsrollen mit demselben Rollentyp auch dieselben impliziten Bereiche. Implizite Bereiche gelten sowohl für integrierte Verwaltungsrollen als auch für benutzerdefinierte Verwaltungsrollen. Weitere Informationen zu Verwaltungsrollen und Verwaltungsrollentypen finden Sie unter Grundlegendes zu Verwaltungsrollen.
In der folgenden Tabelle sind alle impliziten Bereiche aufgeführt, die für Verwaltungsrollen definiert werden können.
Implizite Bereiche, die für Verwaltungsrollen definiert sind
| Implizite Bereiche | Beschreibung |
|---|---|
|
Wenn im Schreibbereich des Rollenempfängers Wenn im Lesebereich des Rollenempfängers Dieser Bereich wird nur für Lese- und Schreibbereiche von Empfängern verwendet. |
|
Wenn im Lesebereich des Rollenempfängers Wenn im Lesebereich des Rollenempfängers Dieser Bereich wird nur mit Empfängerlesebereichen verwendet. |
|
Ist im Schreibbereich des Rollenempfängers Ist im Lesebereich des Rollenempfängers Dieser Bereich wird nur für Lese- und Schreibbereiche von Empfängern verwendet. |
|
Wenn im Schreibbereich des Rollenempfängers Wenn im Lesebereich des Rollenempfängers Dieser Bereich wird nur für Lese- und Schreibbereiche von Empfängern verwendet. |
|
Wenn Wenn Dieser Bereich wird mit Konfigurationslese- und -schreibbereichen verwendet. |
|
Wenn sich |
Wird eine Rolle einem Rollenempfänger zugewiesen und es sind keine vordefinierten oder benutzerdefinierten Bereiche angegeben, werden die für die Rolle definierten impliziten Bereiche verwendet, um zu steuern, welche Empfänger- bzw. Organisationsobjekte der Benutzer anzeigen oder ändern kann.
Der implizite Schreibbereich einer Rolle ist stets kleiner oder gleich dem impliziten Lesebereich. Dies bedeutet, dass eine Rolle keine Objekte ändern kann, die vom Bereich nicht angezeigt werden können.
Sie können die für Verwaltungsrollen definierten impliziten Bereiche nicht ändern. Sie können jedoch den impliziten Schreibbereich und Konfigurationsbereich für eine Verwaltungsrolle außer Kraft setzen. Wenn ein vordefinierter relativer Bereich oder benutzerdefinierter Bereich für eine Rollenzuweisung verwendet wird, wird der implizite Schreibbereich der Rolle außer Kraft gesetzt, und der neue Bereich hat Vorrang. Der implizite Lesebereich einer Rolle ist stets gültig und kann nicht außer Kraft gesetzt werden. Weitere Informationen finden Sie unter Vordefinierte relative Bereiche und Benutzerdefinierte Bereiche.
Erweitern Sie die folgende Tabelle, um eine Liste aller integrierten Verwaltungsrollen und ihrer impliziten Bereiche anzuzeigen. Weitere Informationen zu den einzelnen integrierten Rollen finden Sie unter Integrierte Verwaltungsrollen.
Implizite Bereiche integrierter Verwaltungsrollen
| Verwaltungsrolle | Empfängerlesebereich | Empfängerschreibbereich | Konfigurationslesebereich | Konfigurationsschreibbereich |
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Explizite Bereiche
Explizite Bereiche sind Bereiche, die Sie selbst festlegen, um zu steuern, welche Objekte eine Verwaltungsrolle ändern kann. Während implizite Bereiche für eine Verwaltungsrolle definiert sind, sind explizite Bereiche für eine Verwaltungsrollenzuweisung definiert. Auf diese Weise können implizite Bereiche konsistent für alle Verwaltungsrollen angewendet werden, wenn sie nicht von Ihnen durch einen expliziten Bereich außer Kraft gesetzt werden. Weitere Informationen zu Verwaltungsrollenzuweisungen finden Sie unter Grundlegendes zu Verwaltungsrollenzuweisungen.
Explizite Bereiche setzen die impliziten Schreib- und Konfigurationsbereiche einer Verwaltungsrolle außer Kraft. Sie setzen nicht den impliziten Lesebereich einer Verwaltungsrolle außer Kraft. Der implizite Lesebereich definiert weiterhin, welche Objekte die Verwaltungsrolle lesen kann.
Explizite Bereiche sind nützlich, wenn der implizite Schreibbereich einer Verwaltungsrolle den Anforderungen Ihres Unternehmens nicht entspricht. Sie können einen expliziten Bereich hinzufügen, der nahezu alles Gewünschte enthält, solange der neue Bereich nicht die Grenzen des impliziten Lesebereichs überschreitet. Die zu einer Verwaltungsrolle gehörenden Cmdlets müssen Informationen zu den Objekten oder Containern lesen können, die Objekte enthalten, damit die Cmdlets Objekte erstellen oder ändern können. Wenn beispielsweise der implizite Lesebereich für eine Verwaltungsrolle auf Self festgelegt wird, können Sie keinen expliziten Schreibbereich Organization hinzufügen, da der explizite Schreibbereich die Grenzen des impliziten Lesebereichs überschreitet.
Weitere Informationen hierzu finden Sie in den folgenden Abschnitten:
Vordefinierte relative Bereiche
Benutzerdefinierte Bereiche
Vordefinierte relative Bereiche
Exchange 2010 bietet mehrere vordefinierte relative Schreibbereiche, die Sie zum Ändern des Bereichs einer Verwaltungsrolle verwenden können. Vordefinierte relative Bereiche bieten eine einfache Möglichkeit, um stärker auf die Anforderungen Ihres Unternehmens einzugehen, ohne manuell benutzerdefinierte Bereiche erstellen zu müssen. Die Bereiche werden deshalb als relativ bezeichnet, weil sie relativ sind für den Rollenempfänger, dem die zugeordnete Rollenzuweisung zugewiesen wird. So beschränkt beispielsweise der vordefinierte relative Bereich Self den Schreibbereich allein auf den aktuellen Benutzer. Der vordefinierte relative Bereich MyDistributionGroups beschränkt den Schreibbereich auf die Verteilergruppe, die der aktuelle Benutzer besitzt. Vordefinierte relative Bereiche können nur für Empfängerobjektbereiche verwendet werden. Vordefinierte relative Bereiche können nicht für Konfigurationsobjektbereiche verwendet werden. In der folgenden Tabelle sind die vordefinierten relativen Bereiche aufgeführt, die Sie verwenden können.
Vordefinierte relative Bereiche
| Implizite Bereiche | Beschreibung |
|---|---|
|
Wenn im Schreibbereich des Rollenempfängers Wenn im Lesebereich des Rollenempfängers Dieser Bereich wird nur für Lese- und Schreibbereiche von Empfängern verwendet. |
|
Ist im Schreibbereich des Rollenempfängers Ist im Lesebereich des Rollenempfängers Dieser Bereich wird nur für Lese- und Schreibbereiche von Empfängern verwendet. |
|
Wenn im Schreibbereich des Rollenempfängers Wenn im Lesebereich des Rollenempfängers Dieser Bereich wird nur für Lese- und Schreibbereiche von Empfängern verwendet. |
Vordefinierte relative Bereiche werden angewendet, wenn Sie eine neue Verwaltungsrollenzuweisung erstellen. Beim Erstellen der Rollenzuweisung können Sie mithilfe des Cmdlets New-ManagementRoleAssignment einen vordefinierten relativen Bereich mit dem Parameter RecipientRelativeWriteScope angeben. Wenn die neue Rollenzuweisung erstellt wird, setzt die neue vordefinierte Rolle den impliziten Schreibbereich der Verwaltungsrolle außer Kraft. Beim Erstellen einer Rollenzuweisung mit einem vordefinierten relativen Bereich können Sie keinen benutzerdefinierten Empfängerbereich angeben. Falls erforderlich, können Sie jedoch einen benutzerdefinierten Konfigurationsbereich angeben.
Weitere Informationen zum Hinzufügen einer Verwaltungsrollenzuweisung mit einem vordefinierten relativen Bereich finden Sie unter Hinzufügen einer Rolle zu einem Benutzer oder einer universellen Sicherheitsgruppe.
Benutzerdefinierte Bereiche
Benutzerdefinierte Bereiche sind erforderlich, wenn weder der implizite Schreibbereich noch die vordefinierten relativen Bereiche den Anforderungen Ihres Unternehmens entsprechen. Benutzerdefinierte Bereiche ermöglichen Ihnen eine genaue Definition des Bereichs, auf den Ihre Verwaltungsrolle angewendet werden soll. Dabei kann es sich beispielsweise um eine bestimmte Organisationseinheit, einen bestimmten Empfängertyp oder beides handeln. Möglicherweise möchten Sie auch nur einer Gruppe von Administratoren die Verwaltung einer bestimmten Gruppe von Postfachdatenbanken gestatten.
Genau wie vordefinierte relative Bereiche setzen auch benutzerdefinierte Bereiche die für Verwaltungsrollen definierten impliziten Schreib- und Organisationskonfigurationsbereiche außer Kraft. Der implizite Lesebereich für Verwaltungsrollen wird auch weiterhin angewendet, und der resultierende benutzerdefinierte Bereich darf die Grenzen des impliziten Lesebereichs nicht überschreiten. Sie können die folgenden drei Arten von benutzerdefinierten Bereichen erstellen:
OU-Bereich Ein OU-Bereich (Organizational Unit, Organisationseinheit) ist der einfachste benutzerdefinierte Bereich und wird mithilfe des Parameters RecipientOrganizationalUnitScope für das Cmdlet New-ManagementRoleAssignment erstellt. Wenn beim Zuweisen einer Rolle ein OU-Bereich angegeben wird, kann der Rollenempfänger, dem die Rolle zugewiesen wird, nur Empfängerobjekte innerhalb dieser Organisationseinheit ändern. Weitere Informationen zum Hinzufügen einer Verwaltungsrollenzuweisung mit einem OU-Bereich finden Sie unter Hinzufügen einer Rolle zu einem Benutzer oder einer universellen Sicherheitsgruppe.
Filterbasierter Empfängerbereich Filterbasierte Empfängerbereiche umfassen bestimmte Empfänger, die ermittelt werden, indem nach dem Empfängertyp oder nach anderen Empfängereigenschaften wie Abteilung, Vorgesetztem, Standort usw. gefiltert wird. Weitere Informationen finden Sie im Abschnitt Filterbasierte Empfängerbereiche.
Konfigurationsbereich Konfigurationsbereiche werden anhand von Filtern oder Listen festgelegt. Sie erfassen bestimmte Server anhand von Serverlisten oder filterbaren Eigenschaften, die für Server definiert werden können, z. B. einem Active Directory-Standort oder einer Serverrolle. In Exchange 2010 Service Pack 1 (SP1) können Konfigurationsbereiche auch anhand von Datenbankbereichen bestimmte Datenbanken erfassen. Hierfür werden Datenbanklisten oder filterbare Datenbankeigenschaften verwendet. Weitere Informationen finden Sie im Abschnitt Konfigurationsbereiche.
Einfache, umfassende oder komplexe, differenzierte benutzerdefinierte Empfänger- und Konfigurationsbereiche können mit dem Cmdlet New-ManagementScope erstellt werden. Wenn Sie einen Empfänger- oder Konfigurationsbereich erstellen, werden nur die Empfänger-, Server- oder Datenbankobjekte zurückgegeben, die dem jeweiligen Bereich entsprechen. Wenn diese Bereiche mithilfe des Cmdlets New-ManagementRoleAssignment oder Set-ManagementRoleAssignment auf eine Rollenzuweisung angewendet werden, können nur die Objekte, die dem jeweiligen Bereich entsprechen, von den Rollenempfängern geändert werden, denen die Rolle zugewiesen wird. Sie können den Bereichstyp nach dem Erstellen eines benutzerdefinierten Bereichs nicht mehr ändern. Ein Empfängerbereich bleibt stets Empfängerbereich, ein Konfigurationsbereich stets Konfigurationsbereich.
Standardmäßig ermöglicht ein benutzerdefinierter Bereich einem Rollenempfänger den Zugriff auf einen Satz von Objekten, die den von Ihnen definierten Bereichen entsprechen. Der Zugriff für andere Rollenempfänger, denen nicht der gleiche oder ein äquivalenter Bereich zugewiesen wurde, ist jedoch nicht aktiv ausgeschlossen. Jeder benutzerdefinierte Bereich kann auf dieselben Objekte zugreifen, wenn den Listen oder Filtern für diese Bereiche dieselben Objekte entsprechen. Dieses Verhalten ist für bestimmte Objekte möglicherweise nicht wünschenswert, z. B. bei wichtigen Mitarbeitern wie Führungskräften. Für diese Objekte können Sie exklusive Bereiche definieren. Bei exklusiven Bereichen werden Filter oder Listen auf die gleiche Weise wie bei regulären Bereichen verwendet, aber anders als bei regulären Bereichen wird der Zugriff auf Objekte im Bereich allen Benutzern verweigert, die nicht demselben oder einem äquivalenten exklusiven Bereich angehören. Weitere Informationen zu exklusiven Bereichen finden Sie unter Grundlegendes zu exklusiven Bereichen.
Filterbasierte Empfängerbereiche
Mit filterbasierten Empfängerbereichen können Sie steuern, welche Empfängerobjekte Rollenempfänger verwalten können. Hierfür wird mindestens eine Eigenschaft eines Empfängerobjekts anhand eines Werts ausgewertet, den Sie in einer Filteranweisung angeben. Empfänger, die in Empfängerbereichen enthalten sind, sind Postfächer, E-Mail-aktivierte Benutzer, Verteilergruppen und E-Mail-Kontakte. Nur die Empfänger, die dem angegebenen Filter entsprechen, können von den Rollenempfängern mit dieser Rollenzuweisung verwaltet werden. Ein Beispiel für eine Filteranweisung ist { Name -Eq "David" }, wobei Name die Eigenschaft des Empfängerobjekts ist, die ausgewertet wird, und David der Wert, den Sie anhand der Eigenschaft auswerten möchten. Der Vergleichsoperator -Eq zeigt an, dass der in der Eigenschaft gespeicherte Wert gleich dem angegebenen Wert sein muss, damit der Filter zu TRUE ausgewertet wird. Wenn der Filter zu TRUE ausgewertet wird, ist der Empfänger im Bereich enthalten.
Filterbasierte Empfängerbereiche werden erstellt, indem der Empfängerfilter angegeben wird, der mit dem Parameter RecipientRestrictionFilter des Cmdlets New-ManagementScope verwendet werden soll. Standardmäßig werden mit dem Cmdlet New-ManagementScope reguläre Bereiche erstellt. Wenn Sie einen exklusiven Bereich erstellen möchten, schließen Sie die Option Exclusive des Parameters RecipientRestrictionFilter ein.
Wenn Sie einen Empfängereinschränkungsfilter erstellen, wertet Exchange standardmäßig jedes Empfängerobjekt in der Organisation anhand des bereitgestellten Filters aus. Wenn Sie die für den Bereich auszuwertenden Empfänger beschränken möchten, können Sie den Parameter RecipientRoot zusammen mit dem Parameter RecipientRestrictionFilter verwenden. Im Parameter RecipientRoot kann eine Organisationseinheit angegeben werden. Wenn Sie den Parameter RecipientRoot verwenden, wertet Exchange nur die in die angegebene Organisationseinheit eingeschlossenen Empfänger anhand des bereitgestellten Filters aus.
Wenn Sie einer Rollenzuweisung einen filterbasierten Empfängerbereich hinzufügen, geben Sie den Namen des Empfängerbereichs im Parameter CustomRecipientWriteScope des Cmdlets New-ManagementRoleAssignment (beim Erstellen einer neuen Rollenzuweisung) oder des Cmdlets Set-ManagementRoleAssignment (beim Aktualisieren einer vorhandenen Rollenzuweisung) an. Jede Rollenzuweisung kann nur einen Empfängerbereich aufweisen, einschließlich vordefinierter relativer Bereiche. Sie können einer Rollenzuweisung, der Sie einen Empfängerbereich hinzugefügt haben, außerdem höchstens einen Konfigurationsbereich hinzufügen.
Weitere Informationen zur Filtersyntax und eine vollständige Liste filterbarer Empfängereigenschaften von Empfängern finden Sie unter Grundlegendes zu Bereichsfiltern für Verwaltungsrollen.
Konfigurationsbereiche
Die folgenden beiden Arten von Konfigurationsbereichen stehen in Exchange 2010 zur Verfügung:
Serverbereiche Es gibt zwei Arten von Serverbereichen, und zwar filterbasierte und listenbasierte Serverbereiche. Aspekte der Serverkonfiguration, die verwaltet werden können, wenn ein Serverobjekt in einen Serverbereich eingeschlossen ist, sind Empfangsconnectors, Transportwarteschlangen, Serverzertifikate, virtuelle Verzeichnisse usw.
Filterbasierte Serverbereiche Mit filterbasierten Serverbereichen können Sie steuern, welche Serverobjekte Rollenempfänger verwalten können. Hierfür wird mindestens eine Eigenschaft eines Serverobjekts anhand eines Werts ausgewertet, den Sie in einer Filteranweisung angeben. Verwenden Sie den Parameter ServerRestrictionFilter des Cmdlets New-ManagementScope, um einen filterbasierten Serverbereich zu erstellen.
Listenbasierte Serverbereiche Mit listenbasierten Serverbereichen können Sie steuern, welche Serverobjekte Rollenempfänger verwalten können. Hierfür definieren Sie eine Liste der Server, auf die der Rollenempfänger zugreifen kann. Verwenden Sie den Parameter ServerList des Cmdlets New-ManagementScope, um einen listenbasierten Serverbereich zu erstellen.
Datenbankbereiche Es gibt zwei Arten von Datenbankbereichen, und zwar filterbasierte und listenbasierte Datenbankbereiche. Aspekte der Datenbankkonfiguration, die verwaltet werden können, wenn ein Datenbankobjekt in einen Datenbankbereich eingeschlossen ist, sind Datenbank-Kontingentgrenzwerte, Datenbankwartung, Replikation Öffentlicher Ordner, die Frage, ob eine Datenbank eingebunden ist, usw. Außer für die Datenbankkonfiguration können Datenbankbereiche auch verwendet werden, um zu steuern, in welchen Datenbanken Empfänger erstellt werden können. Datenbankbereiche stehen nur in Exchange 2010 SP1 zur Verfügung.
Filterbasierte Datenbankbereiche Mit filterbasierten Datenbankbereichen können Sie steuern, welche Datenbankobjekte Rollenempfänger verwalten können. Hierfür wird mindestens eine Eigenschaft eines Datenbankobjekts anhand eines Werts ausgewertet, den Sie in einer Filteranweisung angeben. Verwenden Sie den Parameter DatabaseRestrictionFilter des Cmdlets New-ManagementScope, um einen filterbasierten Datenbankbereich zu erstellen.
Listenbasierte Datenbankbereiche Mit listenbasierten Datenbankbereichen können Sie steuern, welche Datenbankobjekte Rollenempfänger verwalten können. Hierfür definieren Sie eine Liste der Datenbanken, auf die der Rollenempfänger zugreifen kann. Verwenden Sie den Parameter DatabaseList des Cmdlets New-ManagementScope, um einen listenbasierten Datenbankbereich zu erstellen.
Weitere Informationen zur Filtersyntax und eine vollständige Liste filterbarer Server- und Datenbankeigenschaften finden Sie unter Grundlegendes zu Bereichsfiltern für Verwaltungsrollen.
Sie können Server- und Datenbanklisten definieren, indem Sie jeden Server und jede Datenbank angeben, der/die in den jeweiligen Bereich eingeschlossen werden soll. Sie können mehrere Server oder Datenbanken in den entsprechenden Bereichen angeben, indem Sie die Server- und Datenbanknamen durch Kommas trennen.
Wenn Sie einer Rollenzuweisung einen Server- oder Datenbankkonfigurationsbereich hinzufügen, geben Sie den Namen dieses Bereichs im Parameter CustomConfigWriteScope des Cmdlets New-ManagementRoleAssignment (beim Erstellen einer neuen Rollenzuweisung) oder des Cmdlets Set-ManagementRoleAssignment (beim Aktualisieren einer vorhandenen Rollenzuweisung) an. Jede Rollenzuweisung kann nur einen Konfigurationsbereich aufweisen.
Mit Datenbankbereichen können Sie nicht nur steuern, welche Datenbanken Rollenempfänger verwalten können, sondern auch, in welchen Datenbanken Rollenempfänger Postfächer erstellen können. Dies wird separat davon gesteuert, welche Empfänger ein Rollenempfänger verwalten kann. Wenn ein Rollenempfänger über die Berechtigungen zum Erstellen eines neuen Postfachs, Einrichten der E-Mail-Aktivierung für einen vorhandenen Benutzer oder Verschieben von Postfächern verfügt, können Sie diese Berechtigungen weiter verfeinern, indem Sie mithilfe von Datenbankbereichen steuern, in welcher Datenbank das Postfach erstellt wird oder in welche Datenbank ein Postfach verschoben wird. Wenn Sie steuern möchten, welche Empfänger ein Rollenempfänger verwalten kann, verwenden Sie einen Empfängerbereich, der im Parameter CustomRecipientWriteScope des Cmdlets New-ManagementRoleAssignment oder Set-ManagementRoleAssignment angegeben wird. Wenn Sie steuern möchten, in welchen Datenbanken ein Postfach erstellt werden kann oder in welche Datenbanken es verschoben werden kann, verwenden Sie einen Datenbankbereich, der im Parameter CustomConfigurationWriteScope derselben Cmdlets angegeben wird.
Hinweis
Die automatische Postfachverteilung kann mithilfe von Datenbankbereichen gesteuert werden. Weitere Informationen finden Sie unter Grundlegendes zur automatischen Postfachverteilung.
Für bestimmte Funktionen von Exchange 2010 SP1 müssen möglicherweise Serverbereiche, Datenbankbereiche oder beides verwaltet werden. Wenn für eine Funktion sowohl Server- als auch Datenbankbereiche verwaltet werden müssen, müssen Sie zwei Rollenzuweisungen erstellen und dem Rollenempfänger zuweisen, der über Verwaltungszugriff auf die Funktion verfügen soll. Ordnen Sie eine Rollenzuweisung dem Serverbereich zu und die andere dem Datenbankbereich.
Für einige Cmdlets werden möglicherweise Konfigurationsbereiche verwendet, die nicht sofort offensichtlich sind. Die folgende Tabelle enthält eine Liste von Cmdlets und den Konfigurationsbereichen, mit denen Sie ihre Verwendung steuern können. Für Cmdlets im Empfängerfunktionsbereich können Sie mit Konfigurationsbereichen steuern, in welchen Datenbanken Empfänger erstellt werden können. Sie steuern nicht, welche Empfänger verwaltet werden können. Die Spalte Erforderliche Bereiche kann Folgendes enthalten:
Datenbank Zum Ausführen des Cmdlets muss der Rollenempfänger eine Rollenzuweisung mit einem Datenbankbereich erhalten, der die zu verwaltende Datenbank einschließt, oder der implizite Konfigurationsschreibbereich der Rolle muss die zu verwaltende Datenbank einschließen.
Server Zum Ausführen des Cmdlets muss der Rollenempfänger eine Rollenzuweisung mit einem Serverbereich erhalten, der den zu verwaltenden Server einschließt, oder der implizite Konfigurationsschreibbereich der Rolle muss den zu verwaltenden Server einschließen.
Server oder Datenbank Zum Ausführen des Cmdlets muss der Rollenempfänger eine Rollenzuweisung erhalten, in der ein Datenbankbereich die zu verwaltende Datenbank enthält oder in der ein Serverbereich den Server enthält, auf dem sich die Datenbank befindet. Alternativ muss der implizite Konfigurationsschreibbereich der Rolle die zu verwaltende Datenbank einschließen oder den Server enthalten, auf dem sich die Datenbank befindet, und die Rollenzuweisung darf nicht über einen benutzerdefinierten Schreibbereich verfügen.
Server und Datenbank Zum Ausführen dieses Cmdlets muss der Rollenempfänger zwei Rollenzuweisungen erhalten. Die erste Rollenzuweisung muss einen Datenbankbereich enthalten, der die zu verwaltende Datenbank einschließt. Die zweite Rollenzuweisung muss einen Serverbereich enthalten, der den Server einschließt, auf dem sich die Datenbank befindet. Für die Rollenzuweisungen können benutzerdefinierte Konfigurationsbereiche definiert sein, oder die Rollenzuweisungen können den impliziten Konfigurationsschreibbereich von der Rolle erben. Damit der implizite Schreibbereich von der Rolle geerbt werden kann, darf die Rollenzuweisung nicht über einen benutzerdefinierten Schreibbereich verfügen.
Funktionsbereiche und zugehörige Datenbank- und Serverbereiche
| Funktionsbereich | Cmdlet | Erforderliche Bereiche |
|---|---|---|
Datenbanken |
Clean-MailboxDatabase |
Database |
Databases |
Dismount-Database |
Database |
Datenbanken |
Mount-Database |
Database |
Datenbanken |
Move-DatabasePath |
Server und Datenbank |
Datenbanken |
Remove-MailboxDatabase |
Server oder Datenbank |
Datenbanken |
Remove-PublicFolderDatabase |
Server oder Datenbank |
Databases |
Set-MailboxDatabase |
Database |
Databases |
Set-PublicFolderDatabase |
Database |
Hohe Verfügbarkeit |
Add-DatabaseAvailabilityGroupServer |
Server |
Hohe Verfügbarkeit |
Add-MailboxDatabaseCopy |
Server |
Hohe Verfügbarkeit |
Move-ActiveMailboxDatabase |
Server |
Hohe Verfügbarkeit |
New-DatabaseAvailabilityGroup |
Server |
Hohe Verfügbarkeit |
Remove-DatabaseAvailabilityGroup |
Server |
Hohe Verfügbarkeit |
Remove-DatabaseAvailabilityGroupServer |
Server |
Hohe Verfügbarkeit |
Remove-MailboxDatabaseCopy |
Server oder Datenbank |
Hohe Verfügbarkeit |
Resume-MailboxDatabaseCopy |
Server oder Datenbank |
Hohe Verfügbarkeit |
Set-DatabaseAvailabilityGroup |
Server |
Hohe Verfügbarkeit |
Set-MailboxDatabaseCopy |
Server oder Datenbank |
Hohe Verfügbarkeit |
Start-DatabaseAvailabilityGroup |
Server |
Hohe Verfügbarkeit |
Stop-DatabaseAvailabilityGroup |
Server |
Hohe Verfügbarkeit |
Suspend-MailboxDatabaseCopy |
Server oder Datenbank |
Hohe Verfügbarkeit |
Update-MailboxDatabaseCopy |
Server oder Datenbank |
Empfänger |
Connect-Mailbox |
Database |
Empfänger |
Enable-Mailbox |
Database |
Empfänger |
New-Mailbox |
Database |
Empfänger |
New-MoveRequest |
Database |
Problembehandlung |
Test-MapiConnectivity |
Database |
Datenbankbereiche und Installationen vor Exchange 2010 SP1
Datenbankbereiche werden in Exchange 2010SP1 eingeführt. Die RTM-Version (Release To Manufacturing) von Exchange 2010 unterstützt nur Empfängerbereiche und Serverkonfigurationsbereiche. Wenn Sie einen neuen Datenbankbereich auf einem Server mit Exchange 2010 SP1 erstellen, wird die folgende Warnung angezeigt:
WARNING: Database management scopes will only apply when connected to a server running Exchange 2010 SP1 or greater.
Exchange 2010 RTM servers will not apply any roles from a role assignment linked to a database scope. Database
management scopes will also not be visible to reporting cmdlets (Get-ManagementScope) when executed from an Exchange
2010 RTM server.
Wenn Sie einen Datenbankbereich erstellen, wird er nur auf Benutzer angewendet, die Verbindungen mit Servern mit Exchange 2010 SP1 herstellen. Auf Benutzer, die Verbindungen mit Servern mit Exchange 2010 RTM herstellen, werden keine Rollenzuweisungen mit Datenbankbereichen angewendet. Dies bedeutet, dass jegliche Berechtigungen, die von diesen Rollenzuweisungen bereitgestellt werden, Benutzern mit Servern mit Exchange 2010 RTM bei der Verbindungsherstellung nicht erteilt werden. Datenbankbereiche können von Servern mit Exchange 2010 RTM nicht erstellt, entfernt, geändert oder angezeigt werden.
Ein Datenbankbereich kann jegliche Datenbanken in der Exchange-Organisation einschließen. Dazu zählen auch Exchange Server 2007 und Exchange 2010 RTM. Hiermit können Sie unabhängig von der Exchange-Version steuern, welche Datenbanken Benutzer verwalten können. Wie bei anderen Datenbankbereiche auch, werden Rollenzuweisungen mit Datenbankbereichen, die Datenbanken von Exchange 2007 und Exchange 2010 RTM enthalten, nur dann auf Benutzer angewendet, wenn sie eine Verbindung mit einem Server mit Exchange 2010 SP1 herstellen.
Benutzer, die eine Verbindung mit einem Server mit Exchange 2010 RTM herstellen, können Rollenzuweisungen anzeigen und ändern, die Datenbankbereichen zugeordnet sind. Hierzu gehört auch das Ändern des Konfigurationsbereichs einer vorhandenen Rollenzuweisung in einen Serverbereich, wenn er zurzeit einem Datenbankbereich zugeordnet ist. Wenn der Konfigurationsbereich einer Rollenzuweisung jedoch in einen Serverbereich geändert wird und ein Benutzer ihn später wieder in einen Datenbankbereich ändern möchte, oder wenn der Benutzer den Konfigurationsbereich in einen anderen Datenbankbereich ändern möchte, muss der Benutzer beim Vornehmen der Änderung über eine Verbindung mit einem Server mit Exchange 2010 SP1 verfügen. Benutzer, die über eine Verbindung mit einem Server mit Exchange 2010 RTM verfügen, können beim Ändern des Konfigurationsbereichs für eine Rollenzuweisung nur Serverbereiche angeben.
© 2010 Microsoft Corporation. Alle Rechte vorbehalten.