Hinzufügen einer Rolle zu einem Benutzer oder einer universellen SicherheitsgruppeAdd a role to a user or USG

Gilt für: Exchange Server 2013Applies to: Exchange Server 2013

Mithilfe von Verwaltungsrollenzuweisungen können Sie einem Benutzer oder einer universellen Sicherheitsgruppe (Universal Security Group, USG) eine Verwaltungsrolle zuweisen. Durch das Zuweisen einer Rolle zu einem Benutzer oder einer universellen Sicherheitsgruppe ermöglichen Sie den Benutzern das Ausführen von Aufgaben – abhängig davon, welche Cmdlets oder Skripts sowie Parameter für die Verwaltungsrolle definiert sind.Management role assignments can assign a management role to a user or universal security group (USG). By assigning a role to a user or USG, you enable those users to perform tasks dependent on cmdlets or scripts and their parameters defined on the management role.

Wenn Sie einer Verwaltungsrollengruppe Rollen oder eine Zuweisungsrichtlinie für Verwaltungsrollen zuweisen möchten, finden Sie weitere Informationen in den folgenden Themen:If you want to assign roles to a management role group or a management role assignment policy, see the following topics:

Wenn Sie Mitglieder zu einer Rollengruppe hinzufügen oder einem Endbenutzer eine Rollenzuweisungsrichtlinie zuordnen möchten, finden Sie weitere Informationen in diesen Themen:If you want to add members to a role group or assign a role assignment policy to an end user, see the following topics:

Weitere Informationen finden Sie unter Grundlegendes zur rollenbasierten Zugriffssteuerung.For more information, see Understanding Role Based Access Control.

Möchten Sie wissen, welche anderen Verwaltungsaufgaben es im Zusammenhang mit Rollen gibt? Weitere Informationen finden Sie hier: Erweiterte Berechtigungen.Looking for other management tasks related to roles? Check out Advanced permissions.

Was sollten Sie wissen, bevor Sie beginnen?What do you need to know before you begin?

  • Geschätzte Zeit bis zum Abschließen der einzelnen Verfahren: 5 MinutenEstimated time to complete each procedure: 5 minutes

  • Bevor Sie diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Rollenzuweisungen" im Thema Berechtigungen für die Rollenverwaltung.You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "Role assignments" entry in the Role management permissions topic.

  • Sie müssen diese Verfahren mithilfe der Shell ausführen.You must use the Shell to perform these procedures.

  • Wenngleich Sie Benutzern und universellen Sicherheitsgruppen Rollen direkt zuweisen können, besteht die empfohlene Methode zum Gewähren von Berechtigungen für Administratoren und Endbenutzer darin, Verwaltungsrollengruppen und Zuweisungsrichtlinien für Verwaltungsrollen zu verwenden. Wenn Sie Rollengruppen und Zuweisungsrichtlinien verwenden, vereinfachen Sie Ihr Berechtigungsmodell.Although you can assign roles directly to users and USGs, the recommended method of granting permissions to administrators and end users is to use management role groups and management role assignment policies. When you use role groups and assignment policies, you simplify your permissions model.

  • Rollenzuweisungen sind additiv. Dies bedeutet, dass alle Rollen bei ihrer Auswertung addiert werden. Wenn einem Benutzer zwei Rollen zugewiesen werden und nur eine von ihnen ein Cmdlet enthält, steht das Cmdlet dem Benutzer dennoch zur Verfügung.Role assignments are additive. This means that all the roles are added together when they're evaluated. If two roles are assigned to a user and one role contains a cmdlet but the other doesn't, the cmdlet will still be available to the user.

    Standardmäßig bieten Rollenzuweisungen nicht die Möglichkeit, anderen Benutzern Rollen zuzuweisen. Informationen dazu, wie Sie einem Benutzer das Zuweisen von Rollen zu anderen Benutzern oder universellen Sicherheitsgruppen zu ermöglichen, finden Sie unter Delegieren von Rollenzuweisungen.By default, role assignments don't grant the ability to assign roles to other users. To enable a user to assign roles to other users or USGs, see Delegate role assignments.

  • Wenn Sie eine Zuweisung mit einem Bereich erstellen, setzt der Bereich den impliziten Schreibbereich der Rolle außer Kraft. Der implizite Lesebereich der Rolle hat jedoch weiterhin Gültigkeit. Der neue Bereich kann keine Objekte außerhalb des impliziten Lesebereichs der Rolle zurückgeben. Weitere Informationen finden Sie unter Grundlegendes zu Verwaltungsrollenbereichen.If you create an assignment with a scope, the scope overrides the role's implicit write scope. However, the role's implicit read scope still applies. The new scope can't return objects outside of the role's implicit read scope. For more information, see Understanding management role scopes.

  • Alle in diesem Thema genannten Verfahren verwenden den Parameter SecurityGroup zum Zuweisen von Rollen zu einer universellen Sicherheitsgruppe.All the procedures in this topic use the SecurityGroup parameter to assign roles to a USG. Wenn Sie die Rolle einem spezifischen Benutzer zuweisen möchten, verwenden Sie anstelle von User den Parameter SecurityGroup.If you want to assign the role to a specific user, use the User parameter instead of the SecurityGroup parameter. Die weitere Syntax für jeden Befehl ist identisch.All other syntax for each command is the same.

  • Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Tipp

Liegt ein Problem vor?Having problems? Bitten Sie in den Exchange-Foren um Hilfe.Ask for help in the Exchange forums. Besuchen Sie die Foren unter Exchange Server.Visit the forums at Exchange Server.

Erstellen einer Rollenzuweisung ohne BereichCreate a role assignment with no scope

Sie können eine Rollenzuweisung ohne Bereich erstellen. Wenn Sie dies machen, gelten die impliziten Lese- und Schreibbereiche der Rolle.You can create a role assignment with no scope. When you do this, the implicit read and implicit write scopes of the role apply.

Verwenden Sie die folgende Syntax, um einer universellen Sicherheitsgruppe eine Rolle ohne Bereich zuzuweisen.Use the following syntax to assign a role to a USG without any scope.

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name>

In diesem Beispiel wird die Rolle "Exchange Servers" der universellen Sicherheitsgruppe "SeattleAdmins" zugewiesen.This example assigns the Exchange Servers role to the SeattleAdmins USG.

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementRoleAssignment.For detailed syntax and parameter information, see New-ManagementRoleAssignment.

Erstellen einer Rollenzuweisung mit einem vordefinierten relativen BereichCreate a role assignment with a predefined relative scope

Wenn ein vordefinierter relativer Bereich Ihren Geschäftsanforderungen entspricht, können Sie diesen Bereich auf die Rollenzuweisung anwenden, statt einen benutzerdefinierten Bereich zu erstellen. Eine Liste vordefinierter Bereiche und ihrer Beschreibungen finden Sie unter Grundlegendes zu Verwaltungsrollenbereichen.If a predefined relative scope meets your business requirements, you can apply that scope to the role assignment rather than create a custom scope. For a list of predefined scopes and their descriptions, see Understanding management role scopes.

Verwenden Sie die folgende Syntax, um einer universellen Sicherheitsgruppe eine Rolle mit einem vordefinierten Bereich zuzuweisen.Use the following syntax to assign a role to a USG with a predefined scope.

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -RecipientRelativeWriteScope < MyDistributionGroups | Organization | Self >

In diesem Beispiel wird die Rolle "Exchange Servers" der universellen Sicherheitsgruppe "SeattleAdmins" zugewiesen und der vordefinierte Bereich "Organization" angewendet.This example assigns the Exchange Servers role to the SeattleAdmins USG and applies the Organization predefined scope.

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers" -RecipientRelativeWriteScope Organization

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementRoleAssignment.For detailed syntax and parameter information, see New-ManagementRoleAssignment.

Erstellen einer Rollenzuweisung mit einem filterbasierten EmpfängerbereichCreate a role assignment with a recipient filter-based scope

Wenn Sie einen filterbasierten Empfängerbereich erstellt haben und diesen bei einer Rollenzuweisung verwenden möchten, müssen Sie den Bereich unter Verwendung des Parameters CustomRecipientWriteScope in den Befehl zum Zuweisen der Rolle zu einer universellen Sicherheitsgruppe einschließen.If you created a recipient filter-based scope and want to use it with a role assignment, you need to include the scope in the command used to assign the role to a USG by using the CustomRecipientWriteScope parameter. Wenn Sie den CustomRecipientWriteScope -Parameter verwenden, können Sie den RecipientOrganizationalUnitScope -Parameter nicht verwenden.If you use the CustomRecipientWriteScope parameter, you can't use the RecipientOrganizationalUnitScope parameter.

Bevor Sie einer Rollenzuweisung einen Bereich hinzufügen können, müssen Sie einen erstellen. Weitere Informationen finden Sie unter Erstellen eines regulären oder exklusiven Bereichs.Before you can add a scope to a role assignment, you need to create one. For more information, see Create a regular or exclusive scope.

Verwenden Sie die folgende Syntax, um einer universellen Sicherheitsgruppe eine Rolle mit filterbasiertem Empfängerbereich zuzuweisen.Use the following syntax to assign a role to a USG with a recipient filter-based scope.

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -CustomRecipientWriteScope <role scope name>

In diesem Beispiel wird die Rolle "Mail Recipients" der universellen Sicherheitsgruppe "Seattle Recipient Admins" zugewiesen und der Bereich "Seattle Recipients" angewendet.This example assigns the Mail Recipients role to the Seattle Recipient Admins USG and applies the Seattle Recipients scope.

New-ManagementRoleAssignment -Name "Mail Recipients_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -CustomRecipientWriteScope "Seattle Recipients"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementRoleAssignment.For detailed syntax and parameter information, see New-ManagementRoleAssignment.

Erstellen einer Rollenzuweisung mit einem filter- oder listenbasierten Server- oder DatenbankkonfigurationsbereichCreate a role assignment with a server or database filter or list-based configuration scope

Wenn Sie einen filter- oder listenbasierten Server- oder Datenbankkonfigurationsbereich erstellt haben und diesen bei einer Rollenzuweisung verwenden möchten, müssen Sie den Bereich unter Verwendung des Parameters CustomConfigWriteScope in den Befehl zum Zuweisen einer Rolle zu einer universellen Sicherheitsgruppe einschließen.If you created a server or database filter or list-based configuration scope and want to use it with a role assignment, you need to include the scope in the command used to assign the role to a USG by using the CustomConfigWriteScope parameter.

Bevor Sie einer Rollenzuweisung einen Bereich hinzufügen können, müssen Sie einen erstellen. Weitere Informationen finden Sie unter Erstellen eines regulären oder exklusiven Bereichs.Before you can add a scope to a role assignment, you need to create one. For more information, see Create a regular or exclusive scope.

Verwenden Sie die folgende Syntax, um einer universellen Sicherheitsgruppe eine Rolle mit einem Konfigurationsbereich zuzuweisen.Use the following syntax to assign a role to a USG with a configuration scope.

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -CustomConfigWriteScope <role scope name>

In diesem Beispiel wird die Rolle "Exchange Servers" der universellen Sicherheitsgruppe "MailboxAdmins" zugewiesen und der Bereich "Mailbox Servers" angewendet.This example assigns the Exchange Servers role to the MailboxAdmins USG and applies the Mailbox Servers scope.

New-ManagementRoleAssignment -Name "Exchange Servers_MailboxAdmins" -SecurityGroup MailboxAdmins -Role "Exchange Servers" -CustomConfigWriteScope "Mailbox Servers"

Das vorstehende Beispiel zeigt, wie eine Rollenzuweisung mit einem Serverkonfigurationsbereich hinzugefügt werden kann. Die Syntax zum Hinzufügen eines Datenbankkonfigurationsbereich ist identisch. Anstelle eines Serverbereichs geben Sie den Namen eines Datenbankbereichs an.The preceding example shows how to add a role assignment with a server configuration scope. The syntax to add a database configuration scope is the same. You specify the name of a database scope instead of a server scope.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementRoleAssignment.For detailed syntax and parameter information, see New-ManagementRoleAssignment.

Erstellen einer Rollenzuweisung mit einem OU-BereichCreate a role assignment with an OU scope

Wenn Sie den Schreibbereich einer Rolle auf eine Organisationseinheit (Organizational Unit, OU) beschränken möchten, können Sie die OU direkt im Parameter RecipientOrganizationalUnitScope angeben.If you want to scope a role's write scope to an organizational unit (OU), you can specify the OU in the RecipientOrganizationalUnitScope parameter directly. Bei Verwendung des Parameters RecipientOrganizationalUnitScope kann der Parameter CustomRecipientWriteScope nicht verwendet werden.If you use the RecipientOrganizationalUnitScope parameter, you can't use the CustomRecipientWriteScope parameter.

Verwenden Sie die folgende Syntax, um einer universellen Sicherheitsgruppe eine Rolle zuzuweisen und den Schreibbereich einer Rolle auf eine spezifische OU zu beschränken.Use the following syntax to assign a role to a USG and restrict the write scope of a role to a specific OU.

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -RecipientOrganizationalUnitScope <OU>

In diesem Beispiel wird die Rolle "Mail Recipients" der universellen Sicherheitsgruppe "SalesRecipientAdmins" zugewiesen und der Bereich auf die OU "sales/user" in der Domäne "contoso.com" festgelegt.This example assigns the Mail Recipients role to the SalesRecipientAdmins USG and scopes the assignment to the sales/users OU in the contoso.com domain.

New-ManagementRoleAssignment -Name "Mail Recipients_SalesRecipientAdmins" -SecurityGroup SalesRecipientAdmins -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementRoleAssignment.For detailed syntax and parameter information, see New-ManagementRoleAssignment.

Erstellen einer Rollenzuweisung mit exklusivem Empfänger- oder KonfigurationsbereichCreate a role assignment with an exclusive recipient or configuration scope

Um eine exklusive Rollenzuweisung mit einem exklusiven Empfänger- oder Konfigurationsbereich zu erstellen, gelten die gleichen Verfahren, die in den Abschnitten Create a role assignment with a recipient filter-based scope und Create a role assignment with a server or database filter or list-based configuration scope vorgestellt wurden.To create an exclusive role assignment with an exclusive recipient or configuration scope, the same procedures provided in the Create a role assignment with a recipient filter-based scope and Create a role assignment with a server or database filter or list-based configuration scope sections can be used. Der einzige Unterschied besteht darin, dass beim Erstellen einer Rollenzuweisung mit exklusivem Bereich die folgenden exklusiven Parameter angegeben werden müssen – abhängig davon, ob Sie einen exklusiven Empfänger- oder Konfigurationsbereich verwenden:The only difference is that when you create a role assignment with an exclusive scope, you must specify the following exclusive parameters depending on whether you're using an exclusive recipient scope or an exclusive configuration scope:

  • Exklusive Empfängerbereiche: Verwenden Sie den ExclusiveRecipientWriteScope -Parameter anstelle des CustomRecipientWriteScope -Parameters.Exclusive recipient scopes: Use the ExclusiveRecipientWriteScope parameter instead of the CustomRecipientWriteScope parameter.

  • Exklusive Konfigurationsbereiche: Verwenden Sie den ExclusiveConfigWriteScope -Parameter anstelle des CustomConfigWriteScope -Parameters.Exclusive configuration scopes: Use the ExclusiveConfigWriteScope parameter instead of the CustomConfigWriteScope parameter.

Wenn Sie dieses Verfahren ausführen, kann der der Rolle zugewiesene Benutzer Aktionen für die Objekte ausführen, die im exklusiven Bereich enthalten sind. Weitere Informationen zu exklusiven Bereichen finden Sie unter Grundlegendes zu exklusiven Bereichen.When you perform this procedure, the role assignees assigned the role can perform actions against the objects included in the exclusive scope. For more information about exclusive scopes, see Understanding exclusive scopes.

Eine Rollenzuweisung kann nicht sowohl mit exklusiven als auch mit regulären Bereichen erstellt werden.You can't create a role assignment with both exclusive and regular scopes.

In diesem Beispiel wird die Rolle "Mail Recipients" der universellen Sicherheitsgruppe "Protected User Admins" zugewiesen und der exklusive Bereich "Protected Users" angewendet.This example assigns the Mail Recipients role to the Protected User Admins USG and applies the Protected Users exclusive scope.

New-ManagementRoleAssignment -Name "Mail Recipients_Protected User Admins" -SecurityGroup "Protected User Admins" -Role "Mail Recipients" -ExclusiveRecipientWriteScope "Protected Users"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementRoleAssignment.For detailed syntax and parameter information, see New-ManagementRoleAssignment.