Konfigurieren von Exchange 2013 für geteilte Berechtigungen
Gilt für: Exchange Server 2013
Geteilte Berechtigungen ermöglichen es zwei separaten Gruppen, z. B. Active Directory-Administratoren und Microsoft Exchange Server 2013-Administratoren, ihre jeweiligen Dienste, Objekte und Attribute zu verwalten. Active Directory-Administratoren verwalten Sicherheitsprinzipale, z. B. Benutzer, die Berechtigungen für den Zugriff auf eine Active Directory-Gesamtstruktur bereitstellen. Exchange-Administratoren verwalten die Exchange-bezogenen Attribute für Active Directory-Objekte und die Exchange-spezifische Objekterstellung und -verwaltung.
Microsoft Exchange Server 2013 bietet die folgenden Modelltypen mit geteilten Berechtigungen an:
Geteilte RBAC-Berechtigungen: Berechtigungen zum Erstellen von Sicherheitsprinzipalen in der Active Directory-Domänenpartition werden von RBAC (Role Based Access Control) gesteuert. Nur Mitglieder der entsprechenden Rollengruppen können Sicherheitsprinzipale erstellen.
Geteilte Active Directory-Berechtigungen: Berechtigungen zum Erstellen von Sicherheitsprinzipalen in der Active Directory-Domänenpartition werden von allen Exchange-Benutzern, -Diensten oder -Servern vollständig entfernt. In RBAC wird keine Option zur Erstellung von Sicherheitsprinzipalen bereitgestellt. Die Erstellung von Sicherheitsprinzipalen in Active Directory muss mithilfe von Active Directory-Verwaltungstools durchgeführt werden.
Hinweis
Geteilte Active Directory-Berechtigungen stehen in Organisationen zur Verfügung, in denen Microsoft Exchange Server 2010 Service Pack 1 (SP1) oder höher, Exchange 2013 oder beide Versionen von Exchange ausgeführt werden.
Das von Ihnen ausgewählte Modell hängt von der Struktur und den Anforderungen der Organisation ab. Wählen Sie das Verfahren aus, das auf das zu konfigurierende Modell zutrifft. Es wird empfohlen, dass Sie das geteilte RBAC-Berechtigungsmodell verwenden. Das geteilte RBAC-Berechtigungsmodell stellt wesentlich mehr Flexibilität sowie dieselbe Administrationstrennung wie geteilte Active Directory-Berechtigungen bereit.
Weitere Informationen zu Freigabe- und geteilten Berechtigungen finden Sie unter Grundlegendes zu geteilten Berechtigungen.
Weitere Informationen zum Verwalten von Rollengruppen, Verwaltungsrollen sowie regulären und delegierenden Verwaltungsrollenzuweisungen finden Sie in den folgenden Themen:
Möchten Sie wissen, welche anderen Verwaltungsaufgaben es im Zusammenhang mit Berechtigungen gibt? Weitere Informationen finden Sie hier: Erweiterte Berechtigungen.
Was sollten Sie wissen, bevor Sie beginnen?
Geschätzte Zeit bis zum Abschließen der einzelnen Verfahren: 5 Minuten
Bevor Sie diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Geteilte Active Directory-Berechtigungen" im Thema Berechtigungen für die Rollenverwaltung.
Sie müssen die Windows PowerShell, die Windows Command Shell oder beide verwenden, um diese Verfahren durchzuführen. Weitere Informationen finden Sie unter den jeweiligen Verfahren.
Wenn in Ihrer Organisation Exchange 2010-Server vorhanden sind, wird das von Ihnen ausgewählte Berechtigungsmodell auch auf diese Server angewendet.
Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.
Tipp
Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren auf Exchange Server.
Wechsel zu geteilten RBAC-Berechtigungen
Sie können Ihre Exchange 2013-Organisation für geteilte RBAC-Berechtigungen konfigurieren. Anschließend können nur Active Directory-Administratoren Active Directory-Sicherheitsprinzipale erstellen. Dies bedeutet, dass Exchange-Administratoren die folgenden Cmdlets nicht verwenden können:
New-Mailbox
New-MailContact
New-MailUser
New-RemoteMailbox
Remove-Mailbox
Remove-MailContact
Remove-MailUser
Remove-RemoteMailbox
Exchange-Administratoren können lediglich die Exchange-Attribute für bereits vorhandene Active Directory-Sicherheitsprinzipale verwalten. Sie können jedoch Exchange-spezifische Objekte wie Transportregeln und Verteilergruppen erstellen und verwalten. Weitere Informationen finden Sie im Abschnitt "Geteilte RBAC-Berechtigungen" unter Grundlegendes zu geteilten Berechtigungen.
Um Exchange 2013 für geteilte Berechtigungen zu konfigurieren, müssen Sie die Rollen "Erstellung von E-Mail-Empfängern" und "Sicherheitsgruppenerstellung und -mitgliedschaft" einer Rollengruppe mit Mitgliedern zuordnen, bei denen es sich um Active Directory-Administratoren handelt. Anschließend müssen Sie die Zuweisungen zwischen diesen Rollen und allen Rollengruppen oder universellen Sicherheitsgruppen entfernen, die Exchange-Administratoren enthalten.
So konfigurieren Sie geteilte RBAC-Berechtigungen:
Wenn Ihre Organisation derzeit für geteilte Active Directory-Berechtigungen konfiguriert ist, gehen Sie an einer Eingabeaufforderung der Windows-Verwaltungsshell folgendermaßen vor.
Deaktivieren Sie geteilte Active Directory-Berechtigungen, indem Sie von dem Exchange 2013-Installationsmedium aus den folgenden Befehl ausführen.
setup.exe /PrepareAD /ActiveDirectorySplitPermissions:false
Starten Sie die Exchange 2013-Server in Ihrer Organisation neu, oder warten Sie, bis das Active Directory-Zugriffstoken alle Exchange 2013-Server repliziert hat.
Hinweis
Wenn in Ihrer Organisation Exchange 2010-Server vorhanden sind, müssen Sie diese Server auch neu starten.
Führen Sie Folgendes an der Exchange-Verwaltungsshell aus:
Erstellen Sie eine Rollengruppe für die Active Directory-Administratoren. Neben der Rollengruppe werden mit dem Befehl auch die regulären Rollenzuweisungen zwischen der neuen Rollengruppe und der Rolle "Erstellung von E-Mail-Empfängern" und der Rolle "Sicherheitsgruppenerstellung und -mitgliedschaft" erstellt.
New-RoleGroup "Active Directory Administrators" -Roles "Mail Recipient Creation", "Security Group Creation and Membership"
Hinweis
Wenn Sie möchten, dass Mitglieder dieser Rollengruppe Rollenzuweisungen erstellen können, müssen Sie die Rolle "Rollenverwaltung" einschließen. Sie müssen diese Rolle nicht zu diesem Zeitpunkt hinzufügen. Wenn Sie jedoch zu einem späteren Zeitpunkt die Rollen "Erstellung von E-Mail-Empfängern" oder "Sicherheitsgruppenerstellung und -mitgliedschaft" zu anderen Rollenempfängern zuweisen möchten, müssen Sie die Rolle "Rollenverwaltung" dieser neuen Rollengruppe zuweisen. Mithilfe der folgenden Schritte wird die Rollengruppe "Active Directory-Administratoren" als einzige Rollengruppe konfiguriert, die diese Rolle delegieren kann.
Erstellen Sie delegierende Rollenzuweisungen zwischen der neuen Rollengruppe und den Rollen "Erstellung von E-Mail-Empfängern" und "Sicherheitsgruppenerstellung und -mitgliedschaft", indem Sie die folgenden Befehle verwenden.
New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Active Directory Administrators" -Delegating
Fügen Sie der neuen Rollengruppe Mitglieder hinzu, indem Sie den folgenden Befehl verwenden.
Add-RoleGroupMember "Active Directory Administrators" -Member <user to add>
Ersetzen Sie die Stellvertreterliste für die neue Rollengruppe, sodass nur Mitglieder der Rollengruppe Mitglieder hinzufügen oder entfernen können.
Set-RoleGroup "Active Directory Administrators" -ManagedBy "Active Directory Administrators"
Wichtig
Mitglieder der Rollengruppe Organisationsverwaltung oder Mitglieder, denen die Rolle "Rollenverwaltung" direkt oder über eine andere Rollengruppe oder universelle Sicherheitsgruppe zugewiesen wurde, können diese Sicherheitsprüfung für Stellvertreter umgehen. Wenn Sie verhindern möchten, dass sich ein Exchange-Administrator der neuen Rollengruppe selbst hinzufügt, müssen Sie die Rollenzuweisung zwischen der Rolle "Rollenverwaltung" und allen Exchange-Administratoren entfernen und diese einer anderen Rollengruppe zuordnen.
Ermitteln Sie alle regulären und delegierenden Rollenzuweisungen zur Rolle "Erstellung von E-Mail-Empfängern", indem Sie den folgenden Befehl verwenden. Der Befehl zeigt nur die Eigenschaften Name, Role und RoleAssigneeName an.
Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Format-Table Name, Role, RoleAssigneeName -Auto
Entfernen Sie mit dem folgenden Befehl alle regulären und delegierenden Rollenzuweisungen zur Rolle "Erstellung von E-Mail-Empfängern", die nicht der neuen Rollengruppe oder anderen Rollengruppen, universellen Sicherheitsgruppen oder direkten Zuweisungen, die beibehalten werden sollen, zugeordnet sind.
Remove-ManagementRoleAssignment <Mail Recipient Creation role assignment to remove>
Hinweis
Wenn Sie alle regulären und delegierenden Rollenzuweisungen der Rolle "Erstellung von E-Mail-Empfängern" oder jedes Rollenempfängers außer der Rollengruppe "Active Directory-Administratoren" entfernen möchten, verwenden Sie den folgenden Befehl. Mit der WhatIf-Option können Sie sehen, welche Rollenzuweisungen entfernt werden. Entfernen Sie den Schalter WhatIf, und führen Sie den Befehl erneut aus, um die Rollenzuweisungen zu entfernen.
Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where {$_.RoleAssigneeName -NE "Active Directory Administrators"} | Remove-ManagementRoleAssignment -WhatIf
Ermitteln Sie alle regulären und delegierenden Rollenzuweisungen zur Rolle "Sicherheitsgruppenerstellung und -mitgliedschaft", indem Sie den folgenden Befehl verwenden. Der Befehl zeigt nur die Eigenschaften Name, Role und RoleAssigneeName an.
Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Format-Table Name, Role, RoleAssigneeName -Auto
Entfernen Sie mit dem folgenden Befehl alle regulären und delegierenden Rollenzuweisungen zur Rolle "Sicherheitsgruppenerstellung und -mitgliedschaft", die nicht der neuen Rollengruppe oder anderen Rollengruppen, universellen Sicherheitsgruppen oder direkten Zuweisungen, die beibehalten werden sollen, zugeordnet sind.
Remove-ManagementRoleAssignment <Security Group Creation and Membership role assignment to remove>
Hinweis
Sie können denselben Befehl in der vorangehenden Anmerkung verwenden, um alle regulären und delegierenden Rollenzuweisungen zur Rolle "Sicherheitsgruppenerstellung und -mitgliedschaft" oder jedem Rollenempfänger außer der Rollengruppe "Active Directory-Administratoren" zu entfernen, wie in diesem Beispiel beschrieben.
Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where {$_.RoleAssigneeName -NE "Active Directory Administrators"} | Remove-ManagementRoleAssignment -WhatIf
Ausführliche Informationen zu Syntax und Parametern finden Sie in den folgenden Themen:
Wechsel der geteilten Active Directory-Berechtigungen
Sie können Ihre Exchange 2013-Organisation für geteilte Active Directory-Berechtigungen konfigurieren. Geteilte Active Directory-Berechtigungen entfernen alle Berechtigungen vollständig, die zulassen, dass Exchange-Administratoren und -Server Sicherheitsprinzipale in Active Directory erstellen oder Nicht-Exchange-Attribute auf diesen Objekten ändern. Anschließend können nur Active Directory-Administratoren Active Directory-Sicherheitsprinzipale erstellen. Dies bedeutet, dass Exchange-Administratoren die folgenden Cmdlets nicht verwenden können:
Add-DistributionGroupMember
New-DistributionGroup
New-Mailbox
New-MailContact
New-MailUser
New-RemoteMailbox
Remove-DistributionGroup
Remove-DistributionGroupMember
Remove-Mailbox
Remove-MailContact
Remove-MailUser
Remove-RemoteMailbox
Update-DistributionGroupMember
Exchange-Administratoren und -Server können lediglich die Exchange-Attribute für bereits vorhandene Active Directory-Sicherheitsprinzipale verwalten. Sie können jedoch Exchange-spezifische Objekte wie Transportregeln und Unified Messaging-Wählpläne erstellen und verwalten.
Warnung
Nach der Aktivierung von geteilten Active Directory-Berechtigungen können Exchange-Administratoren und -Server keine Sicherheitsprinzipale in Active Directory mehr erstellen und keine Mitgliedschaft in Verteilergruppen verwalten. Diese Aufgaben müssen mithilfe der Active Directory-Verwaltungstools mit den erforderlichen Active Directory-Berechtigungen durchgeführt werden. Vor dieser Änderung sollten Sie sich über die Auswirkungen bewusst sein, die sie auf Ihre Verwaltungsprozesse und Anwendungen von Drittanbietern, die im Exchange 2013- und RBAC-Berechtigungsmodell haben werden.
Weitere Informationen finden Sie im Abschnitt "Geteilte Active Directory-Berechtigungen" unter Grundlegendes zu geteilten Berechtigungen.
So wechseln Sie von geteilten RBAC-Berechtigungen zu geteilten Active Directory-Berechtigungen:
Führen Sie über eine Windows-Befehlsshell den folgendem Befehl auf dem Exchange 2013-Installationsmedium aus, um geteilte Active Directory-Berechtigungen zu aktivieren.
setup.exe /PrepareAD /ActiveDirectorySplitPermissions:true
Wenn Sie in Ihrer Organisation über mehrere Active Directory-Domänen verfügen, müssen Sie entweder in jeder untergeordneten Domäne ausführen
setup.exe /PrepareDomain
, die Exchange-Server oder -Objekte enthält, oder von einem Standort aus ausgeführtsetup.exe /PrepareAllDomains
werden, der über einen Active Directory-Server aus jeder Domäne verfügt.Starten Sie die Exchange 2013-Server in Ihrer Organisation neu, oder warten Sie, bis das Active Directory-Zugriffstoken alle Exchange 2013-Server repliziert hat.
Hinweis
Wenn in Ihrer Organisation Exchange 2010-Server vorhanden sind, müssen Sie diese Server auch neu starten.