Erstellen eines regulären oder exklusiven BereichsCreate a regular or exclusive scope

Gilt für: Exchange Server 2013Applies to: Exchange Server 2013

Verwaltungsrollenbereiche bestimmen, welche Objekte einem Benutzer zur Verfügung gestellt werden, damit die Objekte mithilfe der ihm zugeordneten Cmdlets und Parameter geändert werden können. Durch das Hinzufügen eines Verwaltungsbereichs können Sie Verwaltungsrollenzuweisungen konfigurieren, sodass Benutzer bestimmte Server, Datenbanken, Empfänger und andere Objekte in Ihrer Organisation verwalten, jedoch keine anderen Objekte ändern können.Management role scopes determine what objects are made available to a user so that the objects can be changed using the cmdlets and parameters assigned to them. By adding a management scope, you can configure management role assignments so users can administer specific servers, databases, recipients, and other objects in your organization while being restricted from changing other objects.

Wichtig

Beim Erstellen eines regulären oder exklusiven Bereichs wird der Schreibbereich außer Kraft gesetzt, der für die von Ihnen zugewiesene Verwaltungsrolle definiert ist. Der für die Verwaltungsrolle konfigurierte Lesebereich kann nicht außer Kraft gesetzt werden.When you create a regular or exclusive scope, you override the write scope that's defined on the management role you're assigning. You can't override the read scope that's configured on the management role.

Sie können einen benutzerdefinierten Verwaltungsbereich erstellen und eine Verwaltungsrollenzuweisung hinzufügen oder ändern. Informationen zum Erstellen einer Verwaltungsrollenzuweisung mit einem vordefinierten oder einem OU-Verwaltungsbereich (Organizational Unit, Organisationseinheit) finden Sie unter Hinzufügen einer Rolle zu einem Benutzer oder einer universellen Sicherheitsgruppe.You can create a custom management scope and add or change a management role assignment. If you want to create a management role assignment with a prebuilt or organizational unit (OU) management scope, see Add a role to a user or USG.

Weitere Informationen zu Verwaltungsrollenbereichen und -zuweisungen in Microsoft Exchange Server 2013 finden Sie unter den folgenden Themen:For more information about management role scopes and assignments in Microsoft Exchange Server 2013, see the following topics:

Möchten Sie wissen, welche anderen Verwaltungsaufgaben es im Zusammenhang mit Bereichen gibt? Weitere Informationen finden Sie hier: Erweiterte Berechtigungen.Looking for other management tasks related to scopes? Check out Advanced permissions.

Was sollten Sie wissen, bevor Sie beginnen?What do you need to know before you begin?

  • Geschätzte Zeit bis zum Abschließen der einzelnen Verfahren: 5 MinutenEstimated time to complete each procedure: 5 minutes

  • Bevor Sie diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Verwaltungsbereiche" im Thema Berechtigungen für die Rollenverwaltung.You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "Management scopes" entry in the Role management permissions topic.

  • Sie müssen diese Verfahren mithilfe der Shell ausführen.You must use the Shell to perform these procedures.

  • Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Tipp

Liegt ein Problem vor?Having problems? Bitten Sie in den Exchange-Foren um Hilfe.Ask for help in the Exchange forums. Besuchen Sie die Foren unter Exchange Server.Visit the forums at Exchange Server.

Schritt 1: Erstellen eines benutzerdefinierten BereichsStep 1: Create a custom scope

Wählen Sie zum Erstellen eines benutzerdefinierten Bereichs einen der folgenden Bereichstypen.To create a custom scope, choose one of the following types of scopes.

Filterbasierter EmpfängerbereichRecipient filter scope

Filterbasierte Empfängerbereiche werden unter Verwendung des Parameters RecipientRestrictionFilter mit dem Cmdlet New-ManagementScope erstellt.Recipient filter-based scopes are created by using the RecipientRestrictionFilter parameter on the New-ManagementScope cmdlet. Beim Erstellen eines Empfängerfilters können Sie neben den zu filternden Empfängereigenschaften die Organisationseinheit angeben, in welcher die Filterabfrage ausgeführt wird.When you create a recipient filter, in addition to the recipient properties to filter, you can specify the OU in which the filter query runs. Bei Angabe einer Basisorganisationseinheit schränken Sie den Schreibbereich der Rolle weiter ein.When you specify a base OU, you further restrict the write scope of the role.

Weitere Informationen zu Verwaltungsbereichsfiltern finden Sie unter Grundlegendes zu Verwaltungsrollenbereichs-Filtern.For more information about management scope filters, see Understanding management role scope filters.

Verwenden Sie zum Erstellen eines Einschränkungsfilterbereichs für Domänen mit einer Basisorganisationseinheit die folgende Syntax.Use the following syntax to create a domain restriction filter scope with a base OU.

New-ManagementScope -Name <scope name> -RecipientRestrictionFilter <filter query> [-RecipientRoot <OU>]

In diesem Beispiel wird ein Bereich mit allen Postfächern innerhalb von "contoso.com/Sales OU" erstellt.This example creates a scope that includes all mailboxes within the contoso.com/Sales OU.

New-ManagementScope -Name "Mailboxes in Sales OU" -RecipientRestrictionFilter { RecipientType -eq 'UserMailbox' } -RecipientRoot "contoso.com/Sales OU"

Hinweis

Sie können den Parameter RecipientRoot weglassen, wenn der Filter auf den gesamten impliziten Lesebereich der Verwaltungsrolle und nicht nur auf eine bestimmte Organisationseinheit angewendet werden soll.You can omit the RecipientRoot parameter if you want the filter to apply to the entire implicit read scope of the management role and not just within a specific OU.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementScope.For detailed syntax and parameter information, see New-ManagementScope.

Filterbasierter ServerkonfigurationsbereichServer filter configuration scope

Filterbasierte Serverkonfigurationsbereiche werden unter Verwendung des Parameters ServerRestrictionFilter mit dem Cmdlet New-ManagementScope erstellt.Server filter-based configuration scopes are created by using the ServerRestrictionFilter parameter on the New-ManagementScope cmdlet. Ein Serverfilter ermöglicht das Erstellen eines Bereichs, der nur auf Server angewendet wird, die mit den angegebenen Filterkriterien übereinstimmen.A server filter enables you to create a scope that applies only to the servers that match the filter you specify.

Weitere Informationen zu Verwaltungsbereichsfiltern und eine Liste filterbarer Servereigenschaften finden Sie unter Grundlegendes zu Verwaltungsrollenbereichs-Filtern.For more information about management scope filters and for a list of filterable server properties, see Understanding management role scope filters.

Verwenden Sie zum Erstellen eines Serverfilterbereichs die folgende Syntax.Use the following syntax to create a server filter scope.

New-ManagementScope -Name <scope name> -ServerRestrictionFilter <filter query>

In diesem Beispiel wird ein Bereich erstellt, der alle Server im Active Directory-Standort "CN=Redmond,CN=Sites,CN=Configuration,DC=contoso,DC=com'" umfasst.This example creates a scope that includes all the servers within the 'CN=Redmond,CN=Sites,CN=Configuration,DC=contoso,DC=com' AD (Active Directory) site.

New-ManagementScope -Name "Servers in Seattle AD site" -ServerRestrictionFilter { ServerSite -eq 'CN=Redmond,CN=Sites,CN=Configuration,DC=contoso,DC=com' }

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementScope.For detailed syntax and parameter information, see New-ManagementScope.

Listenbasierter ServerkonfigurationsbereichServer list configuration scope

Listenbasierte Serverkonfigurationsbereiche werden unter Verwendung des Parameters ServerList mit dem Cmdlet New-ManagementScope erstellt.Server list-based configuration scopes are created by using the ServerList parameter on the New-ManagementScope cmdlet. Ein listenbasierter Serverbereich ermöglicht das Erstellen eines Bereichs, der nur auf die in einer Liste angegebenen Server angewendet wird.A server list scope enables you to create a scope that applies only to the servers you specify in a list.

Verwenden Sie zum Erstellen eines listenbasierten Serverbereichs die folgende Syntax.Use the following syntax to create a server list scope.

New-ManagementScope -Name <scope name> -ServerList <server 1>, <server 2...>

In diesem Beispiel wird ein Bereich erstellt, der nur auf "MBX1", "MBX3" und "MBX5" angewendet wird.This example creates a scope that applies only to MBX1, MBX3, and MBX5.

New-ManagementScope -Name "Mailbox servers" -ServerList MBX1,MBX3,MBX5

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementScope.For detailed syntax and parameter information, see New-ManagementScope.

Filterbasierter DatenbankkonfigurationsbereichDatabase filter configuration scope

Filterbasierte Datenbankkonfigurationsbereiche werden unter Verwendung des Parameters DatabaseRestrictionFilter mit dem Cmdlet New-ManagementScope erstellt.Database filter-based configuration scopes are created by using the DatabaseRestrictionFilter parameter on the New-ManagementScope cmdlet. Ein Datenbankfilter ermöglicht das Erstellen eines Bereichs, der nur auf Datenbanken angewendet wird, die mit den angegebenen Filterkriterien übereinstimmen.A database filter enables you to create a scope that applies only to the databases that match the filter you specify.

Wichtig

Rollenzuweisungen, die Datenbankbereichen zugeordnet sind, gelten nur für Benutzer, die eine Verbindung mit Servern herstellen, auf denen Microsoft Exchange Server 2010 Service Pack 1 (SP1) oder höher oder Exchange 2013 ausgeführt wird.Role assignments associated with database scopes are applied only to users who connect to servers running Microsoft Exchange Server 2010 Service Pack 1 (SP1) or later or Exchange 2013. Wenn ein Benutzer, dem eine dem Datenbankbereich zugeordnete Rollenzuweisung zugewiesen ist, eine Verbindung mit einem Exchange 2010 SP1 Server herstellt, wird die Rollenzuweisung nicht auf den Benutzer angewendet, und dem Benutzer werden keine von der Rollenzuweisung bereitgestellten Berechtigungen erteilt.If a user assigned a role assignment associated with a database scope connects to a pre-Exchange 2010 SP1 server, the role assignment isn't applied to the user, and the user won't be granted any permissions provided by the role assignment.

Weitere Informationen zu Verwaltungsbereichsfiltern und eine Liste filterbarer Datenbankeigenschaften finden Sie unter Grundlegendes zu Verwaltungsrollenbereichs-Filtern.For more information about management scope filters and for a list of filterable database properties, see Understanding management role scope filters.

Verwenden Sie zum Erstellen eines Datenbankeinschränkungsfilters die folgende Syntax.Use the following syntax to create a database restriction filter.

New-ManagementScope -Name <scope name> -DatabaseRestrictionFilter <filter query>

In diesem Beispiel wird ein Bereich mit allen Datenbanken erstellt, deren Eigenschaft Name die Zeichenfolge "Executive" enthält.This example creates a scope that includes all the databases that contain the string "Executive" in the Name property of the database.

New-ManagementScope -Name "Executive Databases" -DatabaseRestrictionFilter { Name -Like '*Executive*' }

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementScope.For detailed syntax and parameter information, see New-ManagementScope.

Listenbasierter DatenbankkonfigurationsbereichDatabase list configuration scope

Listenbasierte Datenbankkonfigurationsbereiche werden unter Verwendung des Parameters DatabaseList mit dem Cmdlet New-ManagementScope erstellt.Database list-based configuration scopes are created by using the DatabaseList parameter on the New-ManagementScope cmdlet. Ein listenbasierter Datenbankbereich ermöglicht das Erstellen eines Bereichs, der nur auf die in einer Liste angegebenen Datenbanken angewendet wird.A database list scope enables you to create a scope that applies only to the databases you specify in a list.

Wichtig

Rollenzuweisungen, die Datenbankbereichen zugeordnet sind, gelten nur für Benutzer, die eine Verbindung mit Servern herstellen, auf denen Microsoft Exchange Server 2010 Service Pack 1 (SP1) oder höher oder Exchange 2013 ausgeführt wird.Role assignments associated with database scopes are applied only to users who connect to servers running Microsoft Exchange Server 2010 Service Pack 1 (SP1) or later or Exchange 2013. Wenn ein Benutzer, dem eine dem Datenbankbereich zugeordnete Rollenzuweisung zugewiesen ist, eine Verbindung mit einem Exchange 2010 SP1 Server herstellt, wird die Rollenzuweisung nicht auf den Benutzer angewendet, und dem Benutzer werden keine von der Rollenzuweisung bereitgestellten Berechtigungen erteilt.If a user assigned a role assignment associated with a database scope connects to a pre-Exchange 2010 SP1 server, the role assignment isn't applied to the user, and the user won't be granted any permissions provided by the role assignment.

Verwenden Sie zum Erstellen eines listenbasierten Datenbankbereichs die folgende Syntax.Use the following syntax to create a database list scope.

New-ManagementScope -Name <scope name> -DatabaseList <database 1>, <database 2...>

In diesem Beispiel wird ein Bereich erstellt, der nur auf die Datenbanken "Database 1", "Database 2" und "Database 3" angewendet wird.This example creates a scope that applies only to the databases Database 1, Database 2, and Database 3.

New-ManagementScope -Name "Primary databases" -DatabaseList "Database 1", "Database 2", "Database 3"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementScope.For detailed syntax and parameter information, see New-ManagementScope.

Exklusiver BereichExclusive scope

Jeder Bereich, den Sie mit dem Cmdlet New-ManagementScope erstellen, kann als exklusiver Bereich festgelegt werden.Any scope that you create with the New-ManagementScope cmdlet can be designated as an exclusive scope. Um einen exklusiven Bereich zu erstellen, verwenden Sie dieselben Befehle in einem der vorstehenden Abschnitte zum Erstellen eines empfängerfilterbasierten Bereichs, eines Serverfilter basierten Bereichs, eines Serverlisten basierten Bereichs, eines Datenbankfilter basierten Bereichs oder eines Datenbanklisten basierten Bereichs, und fügen Sie dann die * Exklusiver* Wechsel zum Befehl.To create an exclusive scope, you use the same commands in one of the preceding sections to create a recipient filter-based scope, server filter-based scope, server list-based scope, database filter-based scope, or database list-based scope, and then add the Exclusive switch to the command.

Warnung

Wenn Sie exklusive Verwaltungsbereiche erstellen, können nur Rollenempfänger, denen exklusive Bereiche mit zu ändernden Objekten zugewiesen sind, auf diese Objekte zugreifen. Nur Administratoren, denen eine Rolle mit dem exklusiven Bereich zugewiesen ist, können auf diese exklusiven bzw. geschützten Objekte zugreifen.When you create exclusive management scopes, only the role assignees assigned exclusive scopes that contain objects to be modified can access those objects. Only those administrators assigned a role with the exclusive scope can access these exclusive, or protected, objects.

In diesem Beispiel wird ein exklusiver filterbasierter Empfängerbereich für alle Benutzer in der Abteilung "Executives" erstellt.This example creates an exclusive recipient filter-based scope that matches any user in the Executives department.

New-ManagementScope "Executive Users Exclusive Scope" -RecipientRestrictionFilter { Department -Eq "Executives" } -Exclusive

Bei der Erstellung eines exklusiven Bereichs müssen Sie standardmäßig bestätigen, dass Sie einen exklusiven Bereich erstellt haben und sich der Auswirkungen eines exklusiven Bereichs auf vorhandene Rollenzuweisungen bewusst sind, die nicht exklusiv sind.By default, when an exclusive scope is created, you're required to acknowledge that you created an exclusive scope and that you're aware of the impact that an exclusive scope has on existing role assignments that aren't exclusive. Wenn Sie die Warnung unterdrücken möchten, können Sie die Option Force verwenden.If you want to suppress the warning, you can use the Force switch. In diesem Beispiel wird derselbe Bereich wie im vorherigen Beispiel erstellt, jedoch ohne die Warnmeldung.This example creates the same scope as the previous example, but without a warning.

New-ManagementScope "Executive Users Exclusive Scope" -RecipientRestrictionFilter { Department -Eq "Executives" } -Exclusive -Force

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementScope.For detailed syntax and parameter information, see New-ManagementScope.

Schritt 2: Hinzufügen oder Ändern einer VerwaltungsrollenzuweisungStep 2: Add or change a management role assignment

Nach dem Erstellen des Bereichs muss dieser zu einer neuen oder vorhandenen Verwaltungsrollenzuweisung hinzugefügt werden.After you create the scope, you must add it to a new or existing management role assignment.

Wenn Sie einen Verwaltungsbereich erstellen und zu einer neuen Verwaltungsrollenzuweisung hinzufügen möchten, die erstellt werden soll, finden Sie unter den folgenden Themen weitere Informationen:If you create a management scope and want to add it to a new management role assignment that you're going to create, see the following topics:

Wenn Sie einen Verwaltungsrollenbereich erstellen und zu einer vorhandenen Verwaltungsrollenzuweisung hinzufügen möchten, finden Sie unter den folgenden Themen weitere Informationen:If you create a management role scope and want to add it to an existing management role assignment, see the following topics: