Konfigurieren eines IdentitätswechselsHow to: Configure impersonation

Erfahren Sie, wie Sie einem Dienstkonto mithilfe der Exchange-Verwaltungsshell die Identitätswechselrolle gewähren können.Learn how to grant the impersonation role to a service account by using the Exchange Management Shell.

Durch den Identitätswechsel kann ein Aufrufer wie eine Dienstanwendung ein Benutzerkonto imitieren. Der Aufrufer kann Vorgänge mithilfe der Berechtigungen durchführen, die dem imitierten Konto zugewiesen sind, statt die dem Aufruferkonto zugewiesenen Berechtigungen zu verwenden.Impersonation enables a caller, such as a service application, to impersonate a user account. The caller can perform operations by using the permissions that are associated with the impersonated account instead of the permissions associated with the caller's account.

Exchange Online, Exchange Online als Teil von Office 365 und Versionen von Exchange ab Exchange 2013 verwenden die rollenbasierte Zugriffssteuerung (RBAC), um Konten Berechtigungen zu gewähren. Ihr Exchange-Serveradministrator muss den Dienstkonten die ApplicationImpersonation-Rolle mithilfe des New-ManagementRoleAssignment-Cmdlets gewähren, die andere Benutzer imitieren.Exchange Online, Exchange Online as part of Office 365, and versions of Exchange starting with Exchange 2013 use role-based access control (RBAC) to assign permissions to accounts. Your Exchange server administrator will need to grant any service account that will be impersonating other users the ApplicationImpersonation role by using the New-ManagementRoleAssignment cmdlet.

Konfigurieren der ApplicationImpersonation-RolleConfiguring the ApplicationImpersonation role

Verwenden Sie oder Ihr Exchange-Serveradministrator beim Zuweisen der ApplicationImpersonation-Rolle folgende Parameter des New-ManagementRoleAssignment-Cmdlets:When you or your Exchanger server administrator assigns the ApplicationImpersonation role, use the following parameters of the New-ManagementRoleAssignment cmdlet:

  • Name – Der Anzeigename der Rollenzuweisung.Name – — The friendly name of the role assignment. Jedes Mal, wenn eine Rolle zugewiesen wird, wird ein Eintrag in der Liste der RBAC-Rollen vorgenommen.Each time that you assign a role, an entry is made in the RBAC roles list. Verwenden Sie das Cmdlet Get-ManagementRoleAssignment, um Rollenzuweisungen zu überprüfen.You can verify role assignments by using the Get-ManagementRoleAssignment cmdlet.

  • Role – Die zuzuweisende RBAC-Rolle.Role – — The RBAC role to assign. Beim Einrichten des Identitätswechsels weisen Sie die ApplicationImpersonation-Rolle zu.When you set up impersonation, you assign the ApplicationImpersonation role.

  • User – Das Dienstkonto.User – — The service account.

  • CustomRecipientScope – Der Benutzerumfang, den das Benutzerkonto imitieren kann.CustomRecipientScope – — The scope of users that the service account can impersonate. Das Dienstkonto darf den Identitätswechsel nur für andere Benutzer innerhalb des angegebenen Bereichs zulassen.The service account will only be allowed to impersonate other users within the specified scope. Wenn kein Umfang angegeben ist, wird dem Dienstkonto die ApplicationImpersonation-Rolle für alle Benutzer in einem Unternehmen gewährt.If no scope is specified, the service account is granted the ApplicationImpersonation role over all users in an organization. Sie können benutzerdefinierte Verwaltungsbereiche mithilfe des New-ManagementScope-Cmdlets angeben.You can create custom management scopes by using the New-ManagementScope cmdlet.

Bevor Sie den Identitätswechsel konfigurieren, benötigen Sie Folgendes:Before you can configure impersonation, you need:

  • Administratoranmeldeinformationen für den Exchange-ServerAdministrative credentials for the Exchange server.

  • Domänenadministrator-Anmeldeinformationen oder andere Anmeldeinformationen mit der Berechtigung zum Erstellen und Zuweisen von Rollen und BereichenDomain Administrator credentials, or other credentials with the permission to create and assign roles and scopes.

  • Exchange-Verwaltungstools. Sie werden auf dem Computer installiert, über den Sie die Befehle ausführen.Exchange management tools. These are installed on the computer from which you will run the commands.

So konfigurieren Sie den Identitätswechsel für alle Benutzer in einem UnternehmenTo configure impersonation for all users in an organization

  1. Öffnen Sie die Exchange-Verwaltungsshell. Wählen Sie im Startmenü Alle Programme > Microsoft Exchange Server 2013.Open the Exchange Management Shell. From the Start menu, choose All Programs > Microsoft Exchange Server 2013.

  2. Führen Sie das New-ManagementRoleAssignment-Cmdlet aus, um die Identitätswechselberechtigung für den angegebenen Benutzer hinzuzufügen. Im folgenden Beispiel wird veranschaulicht, wie man den Identitätswechsel konfigurieren muss, damit ein Dienstkonto alle anderen Benutzer in einem Unternehmen imitieren kann.Run the New-ManagementRoleAssignment cmdlet to add the impersonation permission to the specified user. The following example shows how to configure impersonation to enable a service account to impersonate all other users in an organization.

    New-ManagementRoleAssignment -name:impersonationAssignmentName -Role:ApplicationImpersonation -User:serviceAccount 
    

So konfigurieren Sie den Identitätswechsel für bestimmte Benutzer oder BenutzergruppenTo configure impersonation for specific users or groups of users

  1. Öffnen Sie die Exchange-Verwaltungsshell. Wählen Sie im Startmenü Alle Programme > Microsoft Exchange Server 2013.Open the Exchange Management Shell. From the Start menu, choose All Programs > Microsoft Exchange Server 2013.

  2. Führen Sie das New-ManagementScope-Cmdlet aus, um einen Bereich zu erstellen, dem die Identitätswechselrolle zugewiesen werden kann. Wenn ein vorhandener Bereich verfügbar ist, können Sie diesen Schritt überspringen. Im folgenden Beispiel wird veranschaulicht, wie ein Verwaltungsbereich für eine bestimmte Gruppe erstellt werden kann.Run the New-ManagementScope cmdlet to create a scope to which the impersonation role can be assigned. If an existing scope is available, you can skip this step. The following example shows how to create a management scope for a specific group.

     New-ManagementScope -Name:scopeName -RecipientRestrictionFilter:recipientFilter
    

    Der RecipientRestrictionFilter-Parameter des New-ManagementScope-Cmdlets definiert die Elemente des Bereichs.The RecipientRestrictionFilter parameter of the New-ManagementScope cmdlet defines the members of the scope. Sie können die Eigenschaften des Identity-Objekt verwenden, um den Filter zu erstellen.You can use the properties of the Identity object to create the filter. Das folgende Beispiel ist ein Filter, der das Ergebnis auf einen einzelnen Benutzer mit dem Benutzernamen „John" begrenzt.The following example is a filter that restricts the result to a single user with the user name "john."

    Name -eq "john"
    
  3. Führen Sie das New-ManagementRoleAssignment-Cmdlet aus, um die Berechtigung zum Imitieren der Elemente des angegebenen Bereichs hinzuzufügen. Im folgenden Beispiel wird veranschaulicht, wie ein Dienstkonto zum Imitieren aller Benutzer in einem Bereich konfiguriert werden muss.Run the New-ManagementRoleAssignment cmdlet to add the permission to impersonate the members of the specified scope. The following example shows how to configure a service account to impersonate all users in a scope.

     New-ManagementRoleAssignment -Name:impersonationAssignmentName -Role:ApplicationImpersonation -User:serviceAccount -CustomRecipientWriteScope:scopeName
    
    

Nachdem der Administrator die Identitätswechsel-Berechtigungen gewährt hat, können Sie das Dienstkonto verwenden, um Aufrufe zu anderen Benutzerkonten auszuführen. Sie können die Rollenzuweisungen mithilfe des Get-ManagementRoleAssignment-Cmdlets verifizieren.After your administrator grants impersonation permissions, you can use the service account to make calls against other users' accounts. You can verify role assignments by using the Get-ManagementRoleAssignment cmdlet.

Siehe auchSee also