Konfigurieren von Exchange 2013 für gemeinsame Berechtigungen

Gilt für: Exchange Server 2013

Mithilfe von gemeinsamen Berechtigungen können Sie als Administrator von Microsoft Exchange Server 2013Active Directory-Sicherheitsprinzipale (beispielsweise Benutzer) erstellen und diese als Exchange-Empfänger konfigurieren. Anders als bei geteilten Berechtigungen, bei denen Verwaltungsaufgaben zwischen den Gruppen der Exchange-Administratoren und der Active Directory-Administratoren aufgeteilt sind, gibt es bei gemeinsamen Berechtigungen keine Aufgabenteilung.

Weitere Informationen zu gemeinsamen und geteilten Berechtigungen finden Sie unter Grundlegendes zu geteilten Berechtigungen.

Sie können für Ihre Exchange 2013-Organisation gemeinsame Berechtigungen konfigurieren, sofern Sie zuvor geteilte Berechtigungen verwendet haben. Das Verfahren zum Wechsel zu gemeinsamen Berechtigungen unterscheidet sich in Abhängigkeit davon, ob Sie aktuell geteilte Berechtigungen der rollenbasierten Zugriffssteuerung (Role Based Access Control, RBAC) oder geteilte Active Directory-Berechtigungen verwenden. Wählen Sie das Verfahren aus den folgenden aus, das auf Ihre aktuelle Konfiguration anwendbar ist. Wenn Folgendes zutrifft, verwendet Ihr Unternehmen geteilte Active Directory-Berechtigungen:

  • Die Microsoft Exchange-Organisationseinheit "Geschützte Gruppen" ist vorhanden.

  • Die Sicherheitsgruppe Exchange Windows-Berechtigungen befindet sich in der Organisationseinheit Für geschützte Microsoft Exchange-Gruppen.

  • Die Sicherheitsgruppe "Vertrauenswürdiges Exchange-Subsystem" ist Mitglied der Sicherheitsgruppe Exchange Windows-Berechtigungen.

  • Es gibt keine regulären Verwaltungsrollenzuordnungen zur Rolle "Erstellung von E-Mail-Empfängern" oder "Sicherheitsgruppenerstellung und -mitgliedschaft".

Falls für Ihre Organisation niemals geteilte Berechtigungen konfiguriert waren, müssen Sie dieses Verfahren nicht ausführen. Exchange 2013 wird standardmäßig mit gemeinsamen Berechtigungen konfiguriert.

Weitere Informationen zum Verwalten von Rollengruppen, Verwaltungsrollen sowie regulären und delegierenden Verwaltungsrollenzuweisungen finden Sie in den folgenden Themen:

Möchten Sie wissen, welche anderen Verwaltungsaufgaben es im Zusammenhang mit Berechtigungen gibt? Weitere Informationen finden Sie hier: Erweiterte Berechtigungen.

Was sollten Sie wissen, bevor Sie beginnen?

  • Geschätzte Zeit bis zum Abschließen der einzelnen Verfahren: 5 Minuten

  • Für die Verfahren in diesem Thema sind bestimmte Berechtigungen erforderlich. Informationen zu den Berechtigungen finden Sie in den einzelnen Verfahren.

  • Sie müssen die Windows PowerShell, die Windows Command Shell oder beide verwenden, um diese Verfahren durchzuführen. Weitere Informationen finden Sie unter den jeweiligen Verfahren.

  • Die Exchange 2013-Organisation muss aktuell für die rollenbasierte Zugriffssteuerung (RBAC) oder für geteilte Active Directory-Berechtigungen konfiguriert sein.

  • Wenn in Ihrer Organisation Exchange Server 2010-Server vorhanden sind, wird das Berechtigungsmodell, das Sie auswählen, auch auf diese Server angewendet.

  • Sie benötigen die Berechtigungen zum Delegieren der Verwaltungsrollen "Erstellung von E-Mail-Empfängern" und "Sicherheitsgruppenerstellung und -mitgliedschaft" an die Verwaltungsrollengruppe Organisationsverwaltung oder an eine andere Rollengruppe, der die Rolle "E-Mail-Empfänger" zugewiesen ist.

  • Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.

Tipp

Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren auf Exchange Server.

Wechseln von geteilten RBAC-Berechtigungen zu gemeinsamen Berechtigungen

Bevor Sie dieses Verfahren bzw. diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Rollengruppen" im Thema Berechtigungen für die Rollenverwaltung.

Zum Wechseln von geteilten RBAC-Berechtigungen zu gemeinsamen Exchange 2013-Berechtigungen müssen die Rollen "Erstellung von E-Mail-Empfängern" und "Sicherheitsgruppenerstellung und -mitgliedschaft" einer Rollengruppe zugewiesen werden, der auch die Rolle "E-Mail-Empfänger" zugewiesen ist und in der Exchange 2013-Administratoren Mitglied sind. In der standardmäßigen Konfiguration mit gemeinsamen Berechtigungen sind alle diese Rollen in der Rollengruppe Organisationsverwaltung enthalten. Daher wird in diesem Verfahren die Rollengruppe Organisationsverwaltung verwendet.

Konfigurieren von gemeinsamen Berechtigungen

Führen Sie zum Konfigurieren von gemeinsamen Berechtigungen in der Rollengruppe Organisationsverwaltung die folgenden Schritte unter Verwendung eines Kontos aus, das über Berechtigungen zum Delegieren von Rollenzuweisungen für die Rollen "Erstellung von E-Mail-Empfängern" und "Sicherheitsgruppenerstellung und -mitgliedschaft" verfügt:

  1. Fügen Sie mithilfe der folgenden Befehle eine delegierende Rollenzuweisung für die Rolle "Erstellung von E-Mail-Empfängern" und die Rolle "Sicherheitsgruppenerstellung und -mitgliedschaft" zur Organisationsverwaltung-Rollengruppe hinzu.

    New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" -Delegating
    New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management" -Delegating
    

    Hinweis

    Der Rollengruppe (in diesem Verfahren die Rollengruppe "Active Directory-Administratoren"), die über delegierende Rollenzuweisungen für die Rolle "Erstellung von E-Mail-Empfängern" und für die Rolle "Sicherheitsgruppenerstellung und -mitgliedschaft" verfügt, muss die Rolle "Rollenverwaltung" zugeordnet werden, um das Cmdlet New-ManagementRoleAssignment auszuführen. Der Rollenempfänger, der die Rolle "Rollenverwaltung" delegieren kann, muss diese Rolle der Rollengruppe "Active Directory-Administratoren" zuweisen.

  2. Fügen Sie mit den folgenden Befehlen den Rollengruppen Organisationsverwaltung und Empfängerverwaltung reguläre Rollenzuweisungen für die Rolle "Erstellung von E-Mail-Empfängern" hinzu.

    New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
    New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Recipient Management"
    
  3. Fügen Sie mit dem folgenden Befehl der Rollengruppe Organisationsverwaltung eine reguläre Rollenzuweisung für die Rolle "Sicherheitsgruppenerstellung und -mitgliedschaft" hinzu.

    New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management"
    

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementRoleAssignment.

Entfernen von Berechtigungen von Active Directory-Administratoren (optional)

Sie können optional die Berechtigungen von Active Directory-Administratoren entfernen, falls diese nicht mehr Active Directory-Objekte mithilfe der Exchange-Verwaltungstools erstellen oder verwalten sollen. Wenn Sie Berechtigungen von Active Directory-Administratoren entfernen möchten, führen Sie dieses Verfahren durch.

Hinweis

Obwohl Sie Berechtigungen für Active Directory-Administratoren zum Verwalten von Active Directory-Objekten mithilfe der Exchange-Verwaltungstools entfernen können, können Active Directory-Administratoren Active Directory-Objekte weiterhin mithilfe von Active Directory-Verwaltungstools verwalten, wenn ihre Active Directory-Berechtigungen dies zulassen. Sie können jedoch keine Exchange-spezifischen Attribute für Active Directory-Objekte verwalten. Weitere Informationen finden Sie unter Grundlegendes zu geteilten Berechtigungen.

Gehen Sie zum Entfernen von Exchange-bezogenen geteilten Berechtigungen von Active Directory-Administratoren folgendermaßen vor:

  1. Entfernen Sie mit dem folgenden Befehl die regulären und delegierenden Rollenzuweisungen, die die Rolle "Erstellung von E-Mail-Empfängern" der Rollengruppe oder der universellen Sicherheitsgruppe (Universal Security Group, USG) zuweisen, in der die Active Directory-Administratoren Mitglied sind. In diesem Befehl wird die Rollengruppe "Active Directory-Administratoren" als Beispiel verwendet. Mit der WhatIf-Option können Sie sehen, welche Rollenzuweisungen entfernt werden. Entfernen Sie den Schalter WhatIf , und führen Sie den Befehl erneut aus, um die Rollenzuweisungen zu entfernen.

    Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where {$_.RoleAssigneeName -EQ "Active Directory Administrators"} | Remove-ManagementRoleAssignment -WhatIf
    
  2. Entfernen Sie mit dem folgenden Befehl die regulären und delegierenden Rollenzuweisungen, die die Rolle "Sicherheitsgruppenerstellung und -mitgliedschaft" der Rollengruppe oder der USG zuweisen, in der die Active Directory-Administratoren Mitglied sind. In diesem Befehl wird die Rollengruppe "Active Directory-Administratoren" als Beispiel verwendet. Mit der WhatIf-Option können Sie sehen, welche Rollenzuweisungen entfernt werden. Entfernen Sie den Schalter WhatIf , und führen Sie den Befehl erneut aus, um die Rollenzuweisungen zu entfernen.

    Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where {$_.RoleAssigneeName -EQ "Active Directory Administrators"} | Remove-ManagementRoleAssignment -WhatIf
    
  3. Optional. Falls Sie alle Exchange-Berechtigungen der Active Directory-Administratoren entfernen möchten, können Sie die Rollengruppe oder USG entfernen, in der diese Mitglied sind. Weitere Informationen zum Entfernen einer Rollengruppe finden Sie unter Verwalten von Rollengruppen.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-ManagementRoleAssignment oder Remove-ManagementRoleAssignment.

Wechseln von geteilten Active Directory-Berechtigungen zu gemeinsamen Berechtigungen

Bevor Sie dieses Verfahren bzw. diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Geteilte Active Directory-Berechtigungen" im Thema Berechtigungen für die Rollenverwaltung.

Um von geteilten Active Directory-Berechtigungen zu freigegebenen Exchange 2013-Berechtigungen zu wechseln, müssen Sie das Exchange-Setup erneut ausführen, um geteilte Active Directory-Berechtigungen in der Exchange-Organisation zu deaktivieren, und dann Rollenzuweisungen zwischen einer Rollengruppe und der Rolle "E-Mail-Empfängererstellung" und "Sicherheitsgruppenerstellung und Mitgliedschaft" erstellen. In der standardmäßigen Konfiguration mit gemeinsamen Berechtigungen sind alle diese Rollen in der Rollengruppe Organisationsverwaltung enthalten. Daher wird in diesem Verfahren die Rollengruppe Organisationsverwaltung verwendet.

Wichtig

Der befehl setup.com in diesem Verfahren nimmt Änderungen an Active Directory vor. Sie müssen ein Konto verwenden, das über die erforderlichen Berechtigungen verfügt, um diese Änderungen vorzunehmen. Dieses Konto ist möglicherweise nicht dasselbe Konto, das über Berechtigungen zum Erstellen von Rollenzuweisungen mit dem Cmdlet New-ManagementRoleAssignment verfügt. Verwenden Sie das Konto bzw. die Konten mit den erforderlichen Berechtigungen, um die einzelnen Schritte in diesem Verfahren erfolgreich abzuschließen.

Gehen Sie wie folgt vor, um von geteilten Active Directory-Berechtigungen zu gemeinsamen Berechtigungen zu wechseln:

  1. Führen Sie über eine Windows-Befehlsshell den folgendem Befehl auf dem Exchange 2013-Installationsmedium aus, um geteilte Active Directory-Berechtigungen zu deaktivieren.

    setup.exe /PrepareAD /ActiveDirectorySplitPermissions:false
    
  2. Führen Sie über die Exchange-Verwaltungsshell die folgenden Befehle aus, um reguläre Rollenzuweisungen zwischen der Rolle "Erstellung von E-Mail-Empfängern" und der Rolle "Sicherheitsgruppenerstellung und -mitgliedschaft" sowie den Rollengruppen Organisationsverwaltung und Empfängerverwaltung hinzuzufügen.

    New-ManagementRoleAssignment "Mail Recipient Creation_Organization Management" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
    New-ManagementRoleAssignment "Security Group Creation and Membership_Org Management" -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management"
    New-ManagementRoleAssignment "Mail Recipient Creation_Recipient Management" -Role "Mail Recipient Creation" -SecurityGroup "Recipient Management"
    
  3. Starten Sie die Exchange 2013-Server im Unternehmen neu.

    Hinweis

    Wenn in Ihrer Organisation Exchange 2010-Server vorhanden sind, müssen Sie diese Server auch neu starten.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementRoleAssignment.