Exchange Server Berechtigungen

Microsoft Exchange Server enthält einen großen Satz vordefinierter Berechtigungen, die auf dem Rollenbasierten Access Control-Berechtigungsmodell (Role Based Access Control, RBAC) basieren und die Sie sofort verwenden können, um Ihren Administratoren und Benutzern problemlos Berechtigungen zu erteilen. Sie können die Berechtigungsfeatures in Exchange Server verwenden, damit Sie Ihre neue organization schnell in Betrieb nehmen können.

Hinweis

Das Deaktivieren der Vererbung von Berechtigungen für Active Directory-Objekte (AD) in einer AD-Domäne, die zum Hosten von Exchange vorbereitet ist, wird nicht unterstützt. Das Entfernen von Exchange-bezogenen Berechtigungen für AD-Objekte führt dazu, dass Exchange-Aufgaben und -Funktionen unterbrochen werden oder zu unbekannten Problemen führen können.

Rollenbasierte Berechtigungen

In Exchange Server basieren die Berechtigungen, die Sie Administratoren und Benutzern gewähren, auf Verwaltungsrollen. Eine Rolle definiert die Aufgaben, die ein Administrator oder Benutzer ausführen kann. Beispielsweise definiert eine Verwaltungsrolle namens Mail Recipients die Aufgaben, die jemand für eine Gruppe von Postfächern, Kontakten und Verteilergruppen ausführen kann. Wenn einem Administrator oder Benutzer eine Rolle zugewiesen wird, erhält dieser die von der Rolle bereitgestellten Berechtigungen.

Es gibt zwei Arten von Rollen, nämlich Administratorrollen und Endbenutzerrollen:

  • Administratorrollen: Diese Rollen enthalten Berechtigungen, die Administratoren oder Fachbenutzern mithilfe von Rollengruppen zugewiesen werden können, die einen Teil der Exchange-organization verwalten, z. B. Empfänger, Server oder Datenbanken.

  • Endbenutzerrollen: Diese Mithilfe von Rollenzuweisungsrichtlinien zugewiesenen Rollen können Benutzer Aspekte des Postfachs und der Verteilergruppen verwalten, die sie besitzen. Endbenutzerrollen beginnen mit dem Präfix My.

Wenn die Rollen Administratoren und Benutzern zugewiesen werden, erhalten sie die Berechtigungen zum Ausführen von Aufgaben, indem Cmdlets für sie zur Verfügung gestellt werden. Da das Exchange Admin Center (EAC) und die Exchange-Verwaltungsshell Cmdlets zum Verwalten von Exchange verwenden, erhält der Administrator oder Benutzer durch das Gewähren des Zugriffs auf ein Cmdlet die Berechtigung, die Aufgabe in jeder Exchange-Verwaltungsschnittstelle auszuführen.

Rollengruppen und Rollenzuweisungsrichtlinien

Rollen gewähren Berechtigungen zum Ausführen von Aufgaben in Exchange Server, aber Sie benötigen eine einfache Möglichkeit, die Rollen Administratoren und Benutzern zuzuweisen. Exchange Server bietet Ihnen die folgenden Methoden, die Ihnen dabei helfen:

  • Rollengruppen: Mit Rollengruppen können Sie Administratoren und fachspezifischen Benutzern Berechtigungen erteilen.

  • Rollenzuweisungsrichtlinien: Mit Rollenzuweisungsrichtlinien können Sie Endbenutzern Berechtigungen zum Ändern von Einstellungen für das Postfach oder die Verteilergruppen erteilen, die sie besitzen.

Weitere Informationen zu Rollengruppen und Rollenzuweisungsrichtlinien finden Sie in den folgenden Abschnitten.

Rollengruppen

Jedem Administrator, der Exchange Server verwaltet, muss mindestens eine Rolle zugewiesen werden. Administratoren verfügen möglicherweise über mehrere Rollen, da sie Aufgaben ausführen können, die mehrere Bereiche in Exchange umfassen. Beispielsweise kann ein Administrator sowohl Empfänger als auch Exchange-Server verwalten. In diesem Fall werden diesem Administrator möglicherweise sowohl die Mail RecipientsExchange Servers Rollen als auch zugewiesen.

Um das Zuweisen mehrerer Rollen zu einem Administrator zu vereinfachen, enthält Exchange Server Rollengruppen. Rollengruppen sind spezielle universelle Sicherheitsgruppen (UNIVERSAL Security Groups, USGs), die von Exchange Server verwendet werden und AD-Benutzer, USGs und andere Rollengruppen enthalten können. Beim Zuweisen einer Rolle zu einer Rollengruppe werden die Berechtigungen der Rolle allen Mitgliedern der Rollengruppe erteilt. Mit diesem Feature können Sie vielen Rollengruppenmitgliedern gleichzeitig viele Rollen zuweisen. Rollengruppen gelten typischerweise für umfassendere Verwaltungsbereiche, z. B. die Empfängerverwaltung. Sie werden nur mit Administratorrollen und nicht mit Endbenutzerrollen verwendet.

Hinweis

Eine Rolle kann einem Benutzer oder einer universellen Sicherheitsgruppe direkt und ohne Verwendung einer Rollengruppe zugewiesen werden. Diese Methode zur Rollenzuweisung ist jedoch ein erweitertes Verfahren, das in diesem Thema nicht behandelt wird. Es wird empfohlen, zur Verwaltung von Berechtigungen Rollengruppen einzusetzen.

Die folgende Abbildung zeigt die Beziehung zwischen Benutzern, Rollengruppen und Rollen.

Rollen, Rollengruppen und Rollengruppenmitglieder

Rollen-, Rollengruppen- und Mitgliedsbeziehung.

Exchange Server enthält mehrere integrierte Rollengruppen, von denen jede Berechtigungen zum Verwalten bestimmter Bereiche in Exchange Server bereitstellt. Bei einigen Rollengruppen gibt es möglicherweise Überschneidungen. In der folgenden Tabelle sind die einzelnen Rollengruppen sowie eine Beschreibung ihrer Verwendung aufgeführt. Wenn Sie die Rollen anzeigen möchten, die jeder Rollengruppe zugewiesen sind, klicken Sie in der Spalte "Rollengruppe" auf den Namen der Rollengruppe, und wechseln Sie dann zum Abschnitt "Dieser Rollengruppe zugewiesene Verwaltungsrollen".

Wichtig

Wenn ein Administrator Mitglied mehrerer Rollengruppen ist, gewährt Exchange Server dem Administrator alle Berechtigungen, die von diesen Rollengruppen bereitgestellt werden.

Integrierte Rollengruppen

Rollengruppe Beschreibung
Organisationsverwaltung Administratoren, die Mitglieder der Rollengruppe "Organisationsverwaltung" sind, haben Administratorzugriff auf die gesamte Exchange Server organization und können fast jede Aufgabe für jedes Exchange Server-Objekt ausführen, mit einigen Ausnahmen, z. B. der Discovery Management Rolle.
Wichtig: Da die Rollengruppe Organisationsverwaltung eine leistungsstarke Rolle ist, sollten nur Benutzer oder USGs, die administrative Aufgaben auf Organisationsebene ausführen, die sich potenziell auf das gesamte Exchange-organization auswirken können, Mitglieder dieser Rollengruppe sein.
View-Only Organization Management Administratoren, die Mitglied der Rollengruppe Organisationsverwaltung - nur Leserechte sind, können die Eigenschaften aller Objekte in der Exchange-Organisation anzeigen.
Empfängerverwaltung Administratoren, die Mitglieder der Rollengruppe Empfängerverwaltung sind, haben Administratorzugriff, um Exchange Server Empfänger innerhalb der Exchange Server organization zu erstellen oder zu ändern.
UM-Verwaltung Administratoren, die Mitglied der Rollengruppe UM-Verwaltung sind, können Funktionen in der Exchange-Organisation wie z. B. UM-Dienste (Unified Messaging), UM-Eigenschaften für Postfächer, UM-Telefonansagen und automatische UM-Telefonzentralen konfigurieren und verwalten. (Hinweis: UM ist in Exchange 2019 nicht verfügbar.)
Helpdesk Die Helpdesk-Rollengruppe ermöglicht es Mitgliedern standardmäßig, die Optionen "Outlook im Web" (früher als Outlook Web App bezeichnet) eines beliebigen Benutzers im organization anzuzeigen und zu ändern. Zu diesen Optionen gehört mitunter das Ändern des Anzeigenamens, der Adresse und der Telefonnummer des Benutzers. Diese Optionen enthalten keine Optionen, die in den Optionen "Outlook im Web" nicht verfügbar sind, z. B. das Ändern der Größe eines Postfachs oder das Konfigurieren der Postfachdatenbank, in der sich ein Postfach befindet.
Verwaltung von Nachrichtenschutz Administratoren, die Mitglieder der Rollengruppe Hygieneverwaltung sind, können die Antiviren- und Antispamfeatures von Exchange Server konfigurieren. Drittanbieterprogramme, die in Exchange Server integriert sind, können dieser Rollengruppe Dienstkonten hinzufügen, um diesen Programmen Zugriff auf die Cmdlets zu gewähren, die zum Abrufen und Konfigurieren der Exchange-Konfiguration erforderlich sind.
Datensatzverwaltung Benutzer, die Mitglieder der Rollengruppe Datensatzverwaltung sind, können Kompatibilitätsfeatures wie Aufbewahrungsrichtlinientags, Nachrichtenklassifizierungen und Nachrichtenflussregeln (auch als Transportregeln bezeichnet) konfigurieren.
Erkennungsverwaltung Administratoren oder Benutzer, die Mitglieder der Rollengruppe "Ermittlungsverwaltung" sind, können Postfächer im Exchange-organization nach Daten durchsuchen, die bestimmte Kriterien erfüllen, und auch gesetzliche Aufbewahrungspflichten für Postfächer konfigurieren.
Verwaltung Öffentlicher Ordner Administratoren, die Mitglieder der Rollengruppe Verwaltung öffentlicher Ordner sind, können öffentliche Ordner auf Servern mit Exchange Server verwalten.
Serververwaltung Administratoren, die Mitglied der Rollengruppe zur Serververwaltung sind, können die serverspezifische Konfiguration von Transport-, Unified Messaging-, Clientzugriffs- und Postfachfunktionen wie Datenbankkopien, Zertifikate, Transportwarteschlangen und Sendeconnectors, virtuelle Verzeichnisse und Clientzugriffsprotokolle konfigurieren. (Hinweis: UM ist in Exchange 2019 nicht verfügbar.)
Delegiertes Setup Administratoren, die Mitglieder der Rollengruppe Delegierte Einrichtung sind, können Server mit Exchange Server bereitstellen, die zuvor von einem Mitglied der Rollengruppe Organisationsmanagement bereitgestellt wurden.
Verwaltung der Richtlinientreue Benutzer, die Mitglied der Rollengruppe "Verwaltung der Richtlinientreue" sind, können Exchange-Einstellungen zur Richtlinientreue in Übereinstimmung mit der Richtlinie ihrer Organisation konfigurieren und verwalten.

Wenn Sie in einem kleinen organization mit nur wenigen Administratoren arbeiten, verwenden Sie möglicherweise nur die Rollengruppe Organisationsverwaltung und keine der anderen Rollengruppen. Wenn Sie in einem größeren organization arbeiten, verfügen Sie möglicherweise über Administratoren, die bestimmte Aufgaben zur Verwaltung von Exchange ausführen, z. B. die Verwaltung von Empfängern oder Servern. In diesen Fällen können Sie der Rollengruppe "Empfängerverwaltung" einen Administrator und der Rollengruppe "Serververwaltung" einen anderen Administrator hinzufügen. Diese Administratoren können dann ihre spezifischen Exchange Server verwalten, verfügen aber nicht über Berechtigungen zum Verwalten von Bereichen, für die sie nicht verantwortlich sind.

Wenn Sie eine integrierte Rollengruppe, die für die Aufgaben, die Ihr Administrator ausführen muss, nicht finden können, können Sie Rollengruppen erstellt und diesen Rollen hinzufügen. Weitere Informationen finden Sie weiter unten in diesem Thema im Abschnitt Arbeiten mit Rollengruppen.

Rollenzuweisungsrichtlinien

Exchange Server bietet Rollenzuweisungsrichtlinien, mit denen Sie steuern können, welche Einstellungen Ihre Benutzer für die Postfächer und Verteilergruppen konfigurieren können, die sie besitzen. Diese Einstellungen umfassen den Anzeigenamen, Kontaktinformationen, Voicemaileinstellungen und die Mitgliedschaft in Verteilergruppen.

Ihre Exchange Server organization kann über mehrere Rollenzuweisungsrichtlinien verfügen, die unterschiedliche Berechtigungsstufen für die verschiedenen Benutzertypen in Ihren Organisationen bereitstellen. Einige Benutzer können ihre Adresse ändern oder Verteilergruppen erstellen, andere hingegen nicht. Alles hängt von der Rollenzuweisungsrichtlinie ab, die ihrem Postfach zugeordnet ist. Rollenzuweisungsrichtlinien werden direkt zu Postfächern hinzugefügt, und jedem Postfach kann nur jeweils eine Rollenzuweisungsrichtlinie zugeordnet sein.

Eine Rollenzuweisungsrichtlinie in Ihrer Organisation ist als Standardrichtlinie gekennzeichnet. Die Standardrichtlinie für die Rollenzuweisung wird neuen Postfächern zugeordnet, denen bei der Erstellung nicht explizit eine Rollenzuweisungsrichtlinie zugeordnet wird. Die Standardrichtlinie für die Rollenzuweisung sollte die Berechtigungen umfassen, die dem Großteil Ihrer Postfächer erteilt werden sollen.

Berechtigungen werden über Endbenutzerrollen zu Rollenzuweisungsrichtlinien hinzugefügt. Endbenutzerrollen beginnen mit My und erteilen Benutzern Berechtigungen, nur das Postfach oder die Verteilergruppen zu verwalten, die sie besitzen. Sie können nicht zum Verwalten anderer Postfächer verwendet werden. Einer Rollenzuweisungsrichtlinie können nur Endbenutzerrollen zugewiesen werden.

Beim Zuweisen einer Endbenutzerrolle zu einer Rollenzuweisungsrichtlinie erhalten alle Postfächer, die dieser Rollenzuweisungsrichtlinie zugeordnet sind, die über die Rolle erteilten Berechtigungen. Daher können Sie Berechtigungen für Gruppen von Benutzern hinzufügen oder entfernen, ohne einzelne Postfächer konfigurieren zu müssen. Die folgende Abbildung zeigt Folgendes:

  • Endbenutzerrollen werden Rollenzuweisungsrichtlinien zugewiesen. Rollenzuweisungsrichtlinien können dieselben Endbenutzerrollen gemeinsam verwenden.

  • Rollenzuweisungsrichtlinien werden Postfächern zugeordnet. Jedem Postfach kann nur eine Rollenzuweisungsrichtlinie zugeordnet werden.

  • Nachdem einem Postfach eine Rollenzuweisungsrichtlinie zugeordnet wurde, werden die Endbenutzerrollen auf das Postfach angewendet. Die über die Rollen erteilten Berechtigungen werden dem Benutzer des Postfachs zugewiesen.

Rollen, Rollenzuweisungsrichtlinien und Postfächer

Rolle, Rollenzuweisungsrichtlinie, Postfachbeziehung.

Die Standardrichtlinie für die Rollenzuweisung ist in Exchange Server enthalten. Wie der Name schon sagt, handelt es sich um die Standardrichtlinie für Rollenzuweisung. Informationen zum Ändern der mit dieser Rollenzuweisungsrichtlinie bereitgestellten Berechtigungen oder zum Erstellen von Rollenzuweisungsrichtlinien finden Sie unter Arbeiten mit Rollenzuweisungsrichtlinien weiter unten in diesem Thema.

Arbeiten mit Rollengruppen

Um Ihre Berechtigungen mithilfe von Rollengruppen in Exchange Server zu verwalten, empfiehlt es sich, das Exchange Admin Center (EAC) zu verwenden. Wenn Sie zum Verwalten von Rollengruppen die Exchange-Verwaltungskonsole verwenden, können Sie mit ein paar Mausklicks Rollen und Mitglieder hinzufügen und entfernen, Rollengruppen erstellen oder Rollengruppen kopieren. Um diese Aufgaben auszuführen, bietet die Exchange-Verwaltungskonsole einfache Dialogfelder wie das in der folgenden Abbildung gezeigte Dialogfeld Neue Rollengruppe.

Dialogfeld "Neue Rollengruppe" in der Exchange-Verwaltungskonsole

Dialogfeld

Wenn keine der in Exchange Server enthaltenen Rollengruppen über die erforderlichen Berechtigungen verfügt, können Sie das EAC verwenden, um eine Rollengruppe zu erstellen und die Rollen hinzuzufügen, die über die erforderlichen Berechtigungen verfügen. Für eine neue Rollengruppe führen Sie die folgenden Aufgaben aus:

  1. Wählen Sie einen Namen aus.

  2. Wählen Sie die Rollen aus, die Sie hinzufügen möchten.

  3. Fügen Sie Mitglieder hinzu.

  4. Speichern Sie sie.

Nach dem Erstellen der Rollengruppe wird diese wie alle anderen Rollengruppen verwaltet.

Wenn eine vorhandene Rollengruppe einige, jedoch nicht alle erforderlichen Berechtigungen bietet, können Sie die Rollengruppe kopieren und anschließend Änderungen vornehmen, um eine neue Rollengruppe zu erstellen. Sie können eine vorhandene Rollengruppe kopieren und ändern, ohne dass sich dies auf die ursprüngliche Rollengruppe auswirkt. Wenn Sie die Rollengruppe kopieren, können Sie einen neuen Namen und eine Beschreibung angeben, Rollen zur neuen Rollengruppe hinzufügen oder aus dieser entfernen und neue Mitglieder hinzufügen. Beim Erstellen oder Kopieren einer Rollengruppe verwenden Sie erneut das in der Abbildung oben gezeigte Dialogfeld.

Bestehende Rollengruppen können ebenfalls geändert werden. Sie können Rollen zu vorhandenen Rollengruppen hinzufügen und daraus entfernen sowie gleichzeitig Mitglieder hinzufügen und daraus entfernen, indem Sie ein Dialogfeld für das Exchange-Verwaltungskonsole verwenden, das dem dialogfeld in der vorherigen Abbildung ähnelt. Durch das Hinzufügen und Entfernen von Rollen zu bzw. aus Rollengruppen aktivieren und deaktivieren Sie Verwaltungsfunktionen für Mitglieder dieser Rollengruppe.

Hinweis

Sie können zwar bestimmen, welche Rollen integrierten Rollengruppen zugewiesen sind, es wird jedoch empfohlen, integrierte Rollengruppen zu kopieren, die Rollengruppenkopie zu ändern und dann Mitglieder zur Rollengruppenkopie hinzuzufügen.

Arbeiten mit Rollenzuweisungsrichtlinien

Um die Berechtigungen zu verwalten, die Sie Endbenutzern für die Verwaltung ihres eigenen Postfachs in Exchange Server gewähren, wird empfohlen, das EAC zu verwenden. Wenn Sie zum Verwalten von Endbenutzerberechtigungen die Exchange-Verwaltungskonsole verwenden, können Sie mit ein paar Mausklicks Rollen hinzufügen und entfernen oder Rollenzuweisungsrichtlinien erstellen. Um diese Aufgaben auszuführen, bietet die Exchange-Verwaltungskonsole einfache Dialogfelder wie das in der folgenden Abbildung gezeigte Dialogfeld Rollenzuweisungsrichtlinie.

Dialogfeld "Rollenzuweisungsrichtlinie" in der Exchange-Verwaltungskonsole

Dialogfeld

Exchange Server enthält eine Rollenzuweisungsrichtlinie namens Standardrollenzuweisungsrichtlinie. Benutzer, deren Postfächer dieser Rollenzuweisungsrichtlinie zugeordnet sind, können folgende Aufgaben ausführen:

  • Beitreten zu oder Verlassen von Verteilergruppen, die Mitgliedern das Verwalten der eigenen Mitgliedschaft gestatten.

  • Anzeigen und Ändern grundlegender Postfacheinstellungen ihrer eigenen Postfächer. Dazu zählen z. B. Einstellungen für Posteingangsregeln, Rechtschreibprüfung, Junk-E-Mail und Microsoft ActiveSync-Geräte.

  • Ändern ihrer Kontaktinformationen, z. B. geschäftliche Adresse und Telefonnummer, Mobiltelefonnummer und Pagernummer.

  • Erstellen, Ändern oder Anzeigen von Einstellungen für Textnachrichten.

  • Anzeigen oder Ändern von Voicemaileinstellungen.

  • Anzeigen und Ändern ihrer Marketplace-Apps.

  • Erstellen von Teampostfächern und Verbinden dieser Postfächer mit Microsoft SharePoint-Listen.

Wenn Sie Berechtigungen aus der Standardrollenzuweisungsrichtlinie oder einer anderen Rollenzuweisungsrichtlinie hinzufügen oder entfernen möchten, können Sie das EAC verwenden. Wenn Sie die Rollenzuweisungsrichtlinie im EAC öffnen, aktivieren Sie das Kontrollkästchen neben den Rollen, die Sie ihr zuweisen möchten, oder deaktivieren Sie das Kontrollkästchen neben den Rollen, die Sie entfernen möchten. Die Änderung, die Sie an der Rollenzuweisungsrichtlinie vornehmen, wird auf jedes postfach angewendet, das ihr zugeordnet ist.

Wenn Sie den verschiedenen Typen von Benutzern in Ihrer Organisation unterschiedliche Endbenutzerberechtigungen zuweisen möchten, können Sie Rollenzuweisungsrichtlinien erstellen. Sie können einen neuen Namen für die Rollenzuweisungsrichtlinie angeben und anschließend die Rollen auswählen, die der Rollenzuweisungsrichtlinie zugewiesen werden sollen. Nach dem Erstellen einer Rollenzuweisungsrichtlinie können Sie die Richtlinie über die Exchange-Verwaltungskonsole Postfächern zuordnen.

Wenn Sie bestimmen möchten, welche Rollenzuweisungsrichtlinie die Standardeinstellung ist, müssen Sie die Exchange-Verwaltungsshell verwenden. Wenn Sie die Standard-Rollenzuweisungsrichtlinie ändern, werden alle neu erstellten Postfächer der neuen Standard-Rollenzuweisungsrichtlinie zugeordnet, sofern nicht explizit eine andere Richtlinie angegeben wurde. Die Rollenzuweisungsrichtlinie, die vorhandenen Postfächern zugeordnet ist, wird beim Auswählen einer neuen Standard-Rollenzuweisungsrichtlinie nicht geändert.

Hinweise:

  • Wenn Sie ein Kontrollkästchen für eine Rolle mit untergeordneten Rollen aktivieren, werden auch die Kontrollkästchen für die untergeordneten Rollen aktiviert. Wenn Sie das Kontrollkästchen für eine Rolle mit untergeordneten Rollen deaktivieren, werden auch die Kontrollkästchen für die untergeordneten Rollen deaktiviert.

  • Die Schritte zum Erstellen von Rollenzuweisungsrichtlinien bzw. zum Ändern von vorhandenen Rollenzuweisungsrichtlinien sind in den folgenden Themen näher beschrieben: