Grundlegendes zu VerwaltungsrollenzuweisungenUnderstanding management role assignments

Gilt für: Exchange Server 2013Applies to: Exchange Server 2013

Eine Verwaltungsrollenzuweisung, die Teil des Berechtigungsmodells für die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC) in Microsoft Exchange Server 2013 ist, ist die Verknüpfung zwischen einer Verwaltungsrolle und einem Rollenempfänger.A management role assignment, which is part of the Role Based Access Control (RBAC) permissions model in Microsoft Exchange Server 2013, is the link between a management role and a role assignee. Ein Rollenempfänger ist eine Rollengruppe, eine Rollenzuweisungsrichtlinie, ein Benutzer oder eine universelle Sicherheitsgruppe (Universal Security Group, USG).A role assignee is a role group, role assignment policy, user, or universal security group (USG). Eine Rolle muss einem Rollenempfänger zugewiesen sein, damit Sie wirksam wird.A role must be assigned to a role assignee for it to take effect. Weitere Informationen zu RBAC finden Sie unter Grundlegendes zur rollenbasierten Zugriffssteuerung.For more information about RBAC, see Understanding Role Based Access Control.

Hinweis

Inhalt dieses Themas ist die erweiterte RBAC-Funktionalität. Informationen zum Verwalten grundlegender Exchange 2013-Berechtigungen finden Sie unter Berechtigungen. In diesem Thema wird z. B. beschrieben, wie Sie das Exchange Admin Center (EAC) verwenden, um Mitglieder zu Rollengruppen hinzuzufügen oder aus diesen zu entfernen oder um Rollengruppen und Rollenzuweisungsrichtlinien zu erstellen oder zu ändern.This topic focuses on advanced RBAC functionality. If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

In diesem Thema werden die Zuweisung von Rollen zu Rollengruppen und Rollenzuweisungsrichtlinien sowie die direkte Rollenzuweisung zu Benutzern und USGs erörtert. Die Zuweisung von Rollengruppen oder Rollenzuweisungsrichtlinien zu Benutzern werden hier nicht berücksichtigt. Weitere Informationen zu Rollengruppen und Rollenzuweisungsrichtlinien, die für die Zuweisung von Berechtigungen zu Benutzern empfohlenen Methoden, finden Sie in den folgenden Themen:This topic discusses the assignment of roles to role groups and role assignment policies and direct role assignment to users and USGs. It doesn't talk about assignment of role groups or role assignment policies to users. For more information about role groups and role assignment policies, which are the recommended way to assign permissions to users, see the following topics:

Sie können die folgenden Typen von Rollenzuweisungen erstellen, die weiter unten in diesem Thema detailliert erläutert werden:You can create the following types of role assignments, which are explained in detail later in this topic:

  • Regular and delegating role assignmentsRegular and delegating role assignments

  • Exclusive role assignmentsExclusive role assignments

Verwalten von RollenzuweisungenManaging role assignments

Beim Ändern von Rollenzuweisungen führen Sie im Allgemeinen Änderungen zwischen Rollengruppen und Rollenzuweisungsrichtlinien durch. Indem Sie Rollenzuweisungen für diese Rollenempfänger hinzufügen, entfernen oder ändern, können Sie steuern, welche Berechtigungen den Administratoren und Benutzern erteilt werden. Damit aktivieren oder deaktivieren Sie im Endeffekt die Verwaltung zugehöriger Funktionen.When you change role assignments, the changes you make will probably be between role groups and role assignment policies. By adding, removing, or modifying role assignments to or from these role assignees, you can control what permissions are given to your administrators and users, in effect turning on and off management of related features.

Sie können Rollen auch Benutzern oder universellen Sicherheitsgruppen direkt zuweisen. Dies ist eine fortgeschrittenere Aufgabe, mit der Sie genau definieren können, welche Berechtigungen den Benutzern erteilt werden sollen. Diese Möglichkeit bietet Flexibilität, erhöht jedoch auch die Komplexität Ihres Berechtigungsmodells. Wenn ein Benutzer beispielsweise die berufliche Position wechselt, sollten Sie möglicherweise die bisher diesem Benutzer zugewisenen Rollen manuell einem anderen Benutzer zuweisen. Daher sollten Sie Rollengruppen und Rollenzuweisungsrichtlinien verwenden, um Benutzern Berechtigungen zu erteilen. Sie können die Rollen einer Rollengruppe oder Rollenzuweisungsrichtlinie zuweisen und dann einfach Mitglieder der Rollengruppe hinzufügen oder aus ihr entfernen bzw. Rollenzuweisungsrichtlinien nach Bedarf ändern.You might also want to assign roles directly to users or USGs. This is a more advanced task that enables you to define at a granular level what permissions your users are given. Although this provides you with flexibility, it also increases the complexity of your permissions model. For example, if the user changes jobs, you might need to manually reassign the roles assigned to that user to another user. This is why we recommend that you use role groups and role assignment policies to give permissions to your users. You can assign the roles to a role group or role assignment policy, and then just add or remove members of the role group, or change role assignment policies as needed.

Sie können Rollenzuweisungen hinzufügen, entfernen und aktivieren, den Verwaltungsbereich einer vorhandenen Rollenzuweisung ändern sowie Rollenzuweisungen zu anderen Rollenempfängern verschieben. Das Verfahren für das Zuweisen von Rollen zu Rollengruppen, Rollenzuweisungrichtlinien, Benutzern und USGs ist im Wesentlichen für alle Rollenempfänger gleich. Die einzigen Ausnahmen sind:You can add, remove, and enable role assignments, modify the management scope on an existing role assignment, and move role assignments to other role assignees. The process of assigning roles to role groups, role assignment policies, users, and USGs is largely the same for each role assignee. The following are the only exceptions:

  • Rollenzuweisungsrichtlinien können nur Endbenutzer-Verwaltungsrollen zugewiesen werden.Role assignment policies can only be assigned end-user management roles.

  • Rollenzuweisungsrichtlinien können delegierten Rollenzuweisungen nicht zugewiesen werden.Role assignment policies can't be assigned delegating role assignments.

  • Sie können bei der Erstellung einer Rollenzuweisung für Rollenzuweisungsrichtlinien keinen Verwaltungsbereich angeben.You can't specify a management scope when creating a role assignment to role assignment policies.

Weitere Informationen zum Verwalten von Rollenzuweisungen finden Sie unter den folgenden Themen:For more information about managing role assignments, see the following topics:

Reguläre und delegierende RollenzuweisungenRegular and delegating role assignments

Reguläre Rollenzuweisungen ermöglichen es dem Rollenempfänger, auf die Verwaltungsrolleneinträge zuzugreifen, die von der zugeordneten Verwaltungsrolle zur Verfügung gestellt werden. Wenn einem Rollenempfänger mehrere Verwaltungsrollen zugewiesen sind, werden die Verwaltungsrolleneinträge aus den einzelnen Verwaltungsrollen aggregiert und angewendet. Dies bedeutet beispielsweise, dass bei einem Rollenempfänger, dem die Rollen "Transportregeln" und "Journale" zugeordnet wurden, diese Rollen kombiniert werden und dann alle zugehörigen Verwaltungrolleneinträge dem Rollenempfänger zugeordnet werden. Wenn es sich bei dem Rollenempfänger um eine Rollengruppe oder eine Rollenzuweisungsrichtlinie handelt, werden die von den Rollen bereitgestellten Berechtigungen den Benutzern erteilt, die der Rollengruppe oder Rollenzuweisungsrichtlinie zugewiesen sind. Weitere Informationen zu Verwaltungsrollen und Rolleneinträgen finden Sie unter Grundlegendes zu Verwaltungsrollen.Regular role assignments enable the role assignee to access the management role entries made available by the associated management role. If multiple management roles are assigned to a role assignee, the management role entries from each management role are aggregated and applied. This means that if a role assignee is assigned the Transport Rules and Journaling roles, the roles are combined, and all the associated management role entries are given to the role assignee. If the role assignee is a role group or role assignment policy, the permissions provided by the roles are then given to the users assigned to the role group or role assignment policy. For more information about management roles and role entries, see Understanding management roles.

Durch das Delegieren von Rollenzuweisungen wird kein Zugriff auf die Verwaltung von Funktionen erteilt. Das Delegieren von Rollenzuweisungen ermöglicht dem Rollenempfänger, die angegebene Rolle anderen Rollenempfängern zuzuweisen. Wenn es sich bei dem Rollenempfänger um eine Rollengruppe handelt, kann jedes Mitglied der Rollengruppe die Rolle einem anderen Rollenempfänger zuweisen. Standardmäßig kann nur die Rollengruppe "Organisationsverwaltung" anderen Rollenempfängern Rollen zuweisen. Standardmäßig ist ausschließlich der Benutzer, der Exchange 2013 installiert hat, Mitglied der Rollengruppe "Organisationsverwaltung". Sie können jedoch dieser Rollengruppe bei Bedarf andere Benutzer hinzufügen oder andere Rollengruppen erstellen und ihnen delegierende Rollenzuweisungen zuweisen.Delegating role assignments doesn't give access to manage features. Delegating role assignments gives a role assignee the ability to assign the specified role to other role assignees. If the role assignee is a role group, any member of the role group can assign the role to another role assignee. By default, only the Organization Management role group has the ability to assign roles to other role assignees. Only the user that installed Exchange 2013 is a member of the Organization Management role group by default. You can, however, add other users to this role group as needed, or create other role groups and assign delegating role assignments to those groups.

Hinweis

Durch das Delegieren von Rollenzuweisungen können Rollenempfänger Verwaltungsrollen an andere Rollenempfänger delegieren. Dies ermöglicht den Benutzern nicht, Rollengruppen zu delegieren. Weitere Informationen zum Delegieren von Rollengruppen finden Sie unter Grundlegendes zu Verwaltungsrollengruppen.Delegating role assignments enables role assignees to delegate management roles to other role assignees. This doesn't enable users to delegate role groups. For more information about role group delegation, see Understanding management role groups.

Wenn ein Benutzer in der Lage sein soll, eine Funktion zu verwalten und die Rolle, mit der die Berechtigung zum Verwenden der Funktionen erteilt wird, anderen Benutzern zuzuweisen, weisen Sie Folgendes zu:If you want a user to be able to manage a feature and assign the role that gives permissions to use the feature to other users, assign the following:

  1. Eine reguläre Rollenzuweisung für jede Verwaltungsrolle, mit der der Zugriff auf die zu verwaltenden Funktionen erteilt wird.A regular role assignment for each management role that grants access to the features that need to be managed.

  2. Eine delegierende Rollenzuweisung für jede Verwaltungsrolle, für die Sie die Zuweisung zu anderen Rollenempfängern zulassen.A delegating role assignment for each management role that you allow to be assigned to other role assignees.

Die regulären Rollenzuweisungen und die delegierenden Rollenzuweisungen, die einem Rollenempfänger zugewiesen sind, müssen nicht identisch sein. Beispielsweise ist ein Benutzer Mitglied einer Rollengruppe, der die Rolle "Transportregeln" mithilfe einer regulären Rollenzuweisung zugewiesen wurde. Dies ermöglicht es dem Benutzer, die Funktion "Transportregeln" zu verwalten. Dem Benutzer wird jedoch keine delegierende Rollenzuweisung für die Rolle "Transportregeln" zugewiesen. Daher kann der Benutzer diese Rolle nicht anderen Benutzern zuweisen. Der Benutzer ist allerdings Mitglied einer Rollengruppe, der die Verwaltungsrolle "Journale" mithilfe einer delegierenden Rollenzuweisung zugewiesen wurde. Die Rollengruppe, in der der Benutzer Mitglied ist, verfügt nicht über eine reguläre Rollenzuweisung für die Rolle "Journale". Da sie aber über eine delegierende Rollenzuweisung verfügt, kann der Benutzer die Rolle anderen Rollenempfängern zuweisen.The regular and delegating role assignments for a role assignee don't need to be identical. For example, a user is a member of a role group assigned the Transport Rules role using a regular role assignment. This enables the user to manage the Transport Rules feature. However the user isn't assigned a delegating role assignment for the Transport Rules role so the user can't assign this role to other users. However, the user is a member of a role group assigned the Journaling management role using a delegating role assignment. The role group the user is a member of doesn't have a regular role assignment for the Journaling role but because it has a delegating role assignment, the user can assign the role to other role assignees.

VerwaltungsbereicheManagement scopes

Wenn Sie eine reguläre oder delegierende Verwaltungsrollenzuweisung erstellen, können Sie die Zuweisung mit einem Verwaltungsbereich erstellen, um einzuschränken, welche Objekte der Benutzer bearbeiten kann. Sie können Empfängerbereiche oder Konfigurationsbereiche erstellen. Mit Empfängerbereichen können Sie steuern, wer Postfächer, E-Mail-Benutzer, Verteilergruppen usw. bearbeiten kann. Mit Konfigurationsbereichen können Sie steuern, wer Server und Datenbanken bearbeiten kann.When you create either a regular or delegating management role assignment, you have the option of creating the assignment with a management scope to limit the objects that the user can manipulate. You can create recipient scopes or configuration scopes. Recipient scopes enable you to control who can manipulate mailboxes, mail users, distribution groups, and so on. Configuration scopes enable you to control who can manipulate servers and databases.

Mit Empfänger- und Konfigurationsbereichen können Sie die Verwaltung von Server-, Datenbank- oder Empfängerobjekten in Ihrer Organisation aufteilen. Beispielsweise kann ein Empfängerbereich einer Rollenzuweisung hinzugefügt werden, sodass Administratoren in Vancouver nur Empfänger im selben Büro verwalten können. Ein Serverkonfigurationsbereich könnte einer anderen Rollenzuweisung hinzugefügt werden, sodass Administratoren in Sydney nur Server an ihrem Active Directory-Standort verwalten können.Recipient and configuration scopes enable you to segment the management of server, database or recipient objects in your organization. For example, a recipient scope can be added to a role assignment so that administrators in Vancouver can only manage recipients in the same office. A server configuration scope could be added to a different role assignment so that administrators in Sydney can only manage servers in their Active Directory site.

Mithilfe von Bereichen können Sie Benutzergruppen Berechtigungen zuweisen sowie steuern, wo diese Administratoren ihre Verwaltungsaufgaben ausführen dürfen. So können Sie ein Berechtigungsmodell erstellen, das den geografischen oder organisatorischen Grenzen Ihrer Organisation entspricht.Scopes enable permissions to be assigned to groups of users and enable you to direct where those administrators can perform their administration. This enables you to create a permissions model that maps to your geographic or organizational boundaries.

Sie können eine Zuweisung mit einem vordefinierten Bereich erstellen oder der Zuweisung einen benutzerdefinierten Bereich hinzufügen. Vordefinierte Bereiche, die z. B. einen Benutzer auf das eigene Postfach oder die eigenen Verteilergruppen einschränken, können mithilfe von Optionen angewendet werden, die für die Zuweisung zur Verfügung stehen. Alternativ können Sie einen benutzerdefinierten Empfänger- oder Konfigurationsbereich erstellen und der Rollenzuweisung hinzufügen. Mit benutzerdefinierten Bereichen können Sie genauer bestimmen, welche Objekte in den jeweiligen Bereich aufgenommen werden.You can create an assignment with a predefined scope, or you can add a custom scope to the assignment. Predefined scopes, such as limiting a user to only his or her mailbox or distribution groups, can be applied using options available on the assignment itself. Alternatively, you can create a custom recipient or configuration scope, and then add that scope to the role assignment. Custom scopes give you more granularity over which objects are included in the scope.

Sie können vordefinierte und benutzerdefinierte Bereiche nicht in derselben Zuweisung angeben. Sie können außerdem exklusive und reguläre Bereiche nicht in derselben Zuweisung kombinieren.You can't specify predefined and custom scopes on the same assignment. You also can't mix exclusive and regular scopes on the same assignment.

Jede Rollenzuweisung kann nur einen Empfängerbereich und einen Konfigurationsbereich aufweisen. Wenn Sie einem Rollenempfänger mehrere Empfängerbereiche oder Konfigurationsbereiche für dieselbe Verwaltungsrolle zuordnen möchten, müssen Sie mehrere Rollenzuweisungen erstellen.Each role assignment can only have one recipient scope and one configuration scope. If you want to apply more than one recipient scope, or one configuration scope, to a role assignee for the same management role, you must create multiple role assignments.

Wenn weder ein benutzerdefinierter noch ein vordefinierter Bereich vorhanden ist, sind Rollenzuweisungen auf die Empfänger- und Konfigurationsbereiche beschränkt, die für die Rolle selbst definiert sind. Diese Bereiche werden als implizite Bereiche bezeichnet. Jede Rollenzuweisung, die keinen vordefinierten oder benutzerdefinierten Bereich aufweist, erbt die impliziten Bereiche von der Rolle, der sie zugeordnet ist.With neither a custom or predefined scope, role assignments are limited to the recipient and configuration scopes that are defined on the role itself. These scopes are called implicit scopes. Any role assignment that doesn't have a predefined or custom scope inherits the implicit scopes from the role it's associated with.

Weitere Informationen zu Bereichen finden Sie unter Grundlegendes zu Verwaltungsrollenbereichen.For more information about scopes, see Understanding management role scopes.

Exklusive RollenzuweisungenExclusive role assignments

Exklusive Rollenzuweisungen werden erstellt, wenn Sie einen exklusiven Bereich einer Rollenzuweisung zuordnen. Exklusive Bereiche werden wie reguläre Bereiche verwendet und ermöglichen es Rollenempfängern, Empfänger zu verwalten, die dem exklusiven Bereich entsprechen. Anders als bei regulären Bereichen können jedoch alle anderen Rollenempfänger den Empfänger nicht verwalten, auch wenn der Empfänger Bereichen entspricht, die auf ihre Rollenzuweisungen angewendet werden. Dies kann hilfreich sein, wenn Sie die Verwaltung eines Empfängers auf wenige Administratoren einschränken möchten. Nur diese Administratoren können den Empfänger verwalten, und allen anderen Administratoren wird der Zugriff verweigert.Exclusive role assignments are created when you associate an exclusive scope with a role assignment. Exclusive scopes work like regular scopes and enable role assignees to manage recipients that match the exclusive scope. However, unlike regular scopes, all other role assignees are denied the ability to manage the recipient, even if the recipient matches scopes applied to their role assignments. This can be useful when you want to limit who can manage a recipient to a few administrators. Only those specific administrators can manage the recipient, and all other administrators are denied access.

Beachten Sie folgende Beispiele:For example, consider the following:

  • John ist Führungskraft bei Contoso. Sein Postfach entspricht dem exklusiven Bereich "VIP Users", der der exklusiven Zuweisung "VIP Restricted" zugeordnet ist.John is an executive at Contoso. His mailbox matches an exclusive scope called VIP Users, which is associated with the VIP Restricted exclusive assignment.

  • Außedem ist Johns Postfach in den regulären Bereich "Redmond Users", eingeschlossen, der der regulären Zuweisung "Redmond Administration" zugeordnet ist.John's mailbox is also included in a regular scope called Redmond Users, which is associated with the Redmond Administration regular assignment.

  • Bill ist Administrator und ist der exklusiven Zuweisung "VIP Restricted" zugeordnet.Bill is an administrator who is associated with the VIP Restricted exclusive assignment.

  • Chris ist Administrator und ist der regulären Zuweisung "Redmond Administration" zugeordnet.Chris is an administrator who is associated with the Redmond Administration regular assignment.

Da Johns Postfach dem exklusiven Bereich "VIP Users" entspricht, kann nur Bill sein Postfach verwalten. Zwar entspricht Johns Postfach auch dem regulären Bereich "Redmond Users", aber Chris ist nicht der exklusiven Zuweisung "VIP Restricted" zugeordnet. Daher verweigert Exchange Chris die Berechtigung zum Verwalten von Johns Postfach. Damit Chris Johns Postfach verwalten kann, muss Chris eine exklusive Zuweisung zugewiesen werden, die einen exklusiven Bereich umfasst, der Johns Postfach entspricht.Because John's mailbox matches the VIP Users exclusive scope, only Bill can manage his mailbox. Even though John's mailbox also matches the Redmond Users regular scope, Chris isn't associated with the VIP Restricted exclusive assignment. Therefore, Exchange denies Chris the ability to manage John's mailbox. For Chris to manage John's mailbox, Chris needs to be assigned an exclusive assignment that has an exclusive scope that matches John's mailbox.

Weitere Informationen finden Sie unter Grundlegendes zu exklusiven Bereichen.For more information, see Understanding exclusive scopes.