Konfigurieren eines Identitätswechsels

Erfahren Sie, wie Sie einem Dienstkonto mithilfe der Exchange-Verwaltungsshell die Identitätswechselrolle gewähren können.

Durch den Identitätswechsel kann ein Aufrufer wie eine Dienstanwendung ein Benutzerkonto imitieren. Der Aufrufer kann Vorgänge mithilfe der Berechtigungen durchführen, die dem imitierten Konto zugewiesen sind, statt die dem Aufruferkonto zugewiesenen Berechtigungen zu verwenden.

Exchange Online, Exchange Online als Teil von Office 365 und Versionen von Exchange ab Exchange 2013 verwenden die rollenbasierte Zugriffssteuerung (RBAC), um Konten Berechtigungen zu gewähren. Ihr Exchange-Serveradministrator muss den Dienstkonten die ApplicationImpersonation-Rolle mithilfe des New-ManagementRoleAssignment-Cmdlets gewähren, die andere Benutzer imitieren.

Konfigurieren der ApplicationImpersonation-Rolle

Verwenden Sie oder Ihr Exchange-Serveradministrator beim Zuweisen der ApplicationImpersonation-Rolle folgende Parameter des New-ManagementRoleAssignment-Cmdlets:

• Name : Der Anzeigename der Rollenzuweisung. Jedes Mal, wenn eine Rolle zugewiesen wird, wird ein Eintrag in der Liste der RBAC-Rollen vorgenommen. Verwenden Sie das Cmdlet Get-ManagementRoleAssignment, um Rollenzuweisungen zu überprüfen.
• Rolle : Die zuzuweisende RBAC-Rolle. Beim Einrichten des Identitätswechsels weisen Sie die ApplicationImpersonation-Rolle zu.
• Benutzer : Das Dienstkonto.
• CustomRecipientScope : Der Benutzerbereich, den das Dienstkonto annehmen kann. Das Dienstkonto darf den Identitätswechsel nur für andere Benutzer innerhalb des angegebenen Bereichs zulassen. Wenn kein Umfang angegeben ist, wird dem Dienstkonto die ApplicationImpersonation-Rolle für alle Benutzer in einem Unternehmen gewährt. Sie können benutzerdefinierte Verwaltungsbereiche mithilfe des New-ManagementScope-Cmdlets angeben.

Bevor Sie den Identitätswechsel konfigurieren, benötigen Sie Folgendes:

• Administratoranmeldeinformationen für den Exchange-Server
• Domänenadministrator-Anmeldeinformationen oder andere Anmeldeinformationen mit der Berechtigung zum Erstellen und Zuweisen von Rollen und Bereichen
• Exchange-Verwaltungstools. Sie werden auf dem Computer installiert, über den Sie die Befehle ausführen.

So konfigurieren Sie den Identitätswechsel für alle Benutzer in einem Unternehmen

1. Öffnen Sie die Exchange-Verwaltungsshell. Wählen Sie im Startmenü Alle Programme>Microsoft Exchange Server 2013.

2. Führen Sie das New-ManagementRoleAssignment-Cmdlet aus, um die Identitätswechselberechtigung für den angegebenen Benutzer hinzuzufügen. Im folgenden Beispiel wird veranschaulicht, wie man den Identitätswechsel konfigurieren muss, damit ein Dienstkonto alle anderen Benutzer in einem Unternehmen imitieren kann.

   New-ManagementRoleAssignment -name:impersonationAssignmentName -Role:ApplicationImpersonation -User:serviceAccount 
   

So konfigurieren Sie den Identitätswechsel für bestimmte Benutzer oder Benutzergruppen

1. Öffnen Sie die Exchange-Verwaltungsshell. Wählen Sie im Startmenü Alle Programme>Microsoft Exchange Server 2013.

2. Führen Sie das New-ManagementScope-Cmdlet aus, um einen Bereich zu erstellen, dem die Identitätswechselrolle zugewiesen werden kann. Wenn ein vorhandener Bereich verfügbar ist, können Sie diesen Schritt überspringen. Im folgenden Beispiel wird veranschaulicht, wie ein Verwaltungsbereich für eine bestimmte Gruppe erstellt werden kann.

    New-ManagementScope -Name:scopeName -RecipientRestrictionFilter:recipientFilter
   

   Der RecipientRestrictionFilter-Parameter des New-ManagementScope-Cmdlets definiert die Elemente des Bereichs. Sie können die Eigenschaften des Identity-Objekt verwenden, um den Filter zu erstellen. Das folgende Beispiel ist ein Filter, der das Ergebnis auf einen einzelnen Benutzer mit dem Benutzernamen „John" begrenzt.

   Name -eq "john"
   

3. Führen Sie das New-ManagementRoleAssignment-Cmdlet aus, um die Berechtigung zum Imitieren der Elemente des angegebenen Bereichs hinzuzufügen. Im folgenden Beispiel wird veranschaulicht, wie ein Dienstkonto zum Imitieren aller Benutzer in einem Bereich konfiguriert werden muss.

    New-ManagementRoleAssignment -Name:impersonationAssignmentName -Role:ApplicationImpersonation -User:serviceAccount -CustomRecipientWriteScope:scopeName
   
   

Nachdem der Administrator die Identitätswechsel-Berechtigungen gewährt hat, können Sie das Dienstkonto verwenden, um Aufrufe zu anderen Benutzerkonten auszuführen. Verwenden Sie das Cmdlet Get-ManagementRoleAssignment, um Rollenzuweisungen zu überprüfen.

Siehe auch

• Identitätswechsel und EWS in Exchange
• ApplicationImpersonation-Rolle
• New-ManagementRoleAssignment
• Get-ManagementRoleAssignment