Grundlegendes zu VerwaltungsrollengruppenUnderstanding management role groups

Gilt für: Exchange Server 2013Applies to: Exchange Server 2013

Eine Verwaltungsrollengruppe ist eine universelle Sicherheitsgruppe (Universal Security Group, USG), die im Berechtigungsmodell der rollenbasierten Zugriffssteuerung (Role Based Access Control, RBAC) in Microsoft Exchange Server 2013 verwendet wird.A management role group is a universal security group (USG) used in the Role Based Access Control (RBAC) permissions model in Microsoft Exchange Server 2013. Eine Verwaltungsrollengruppe vereinfacht die Zuweisung von Verwaltungsrollen an eine Gruppe von Benutzern.A management role group simplifies the assignment of management roles to a group of users. Allen Mitgliedern einer Rollengruppe werden dieselben Rollen zugewiesen.All members of a role group are assigned the same set of roles. Rollengruppen werden Administrator-und Spezialrollen zugewiesen, die wichtige administrative Aufgaben in Exchange 2013 wie Organisationsverwaltung, Empfängerverwaltung und andere Aufgaben definieren.Role groups are assigned administrator and specialist roles that define major administrative tasks in Exchange 2013 such as organization management, recipient management, and other tasks. Mithilfe von Rollengruppen können Sie einer Gruppe von Administratoren oder spezialisierten Benutzern einfacher eine Reihe von Berechtigungen erteilen.Role groups enable you to more easily assign a broader set of permissions to a group of administrators or specialist users.

Hinweis

Inhalt dieses Themas ist die erweiterte RBAC-Funktionalität. Informationen zum Verwalten grundlegender Exchange 2013-Berechtigungen finden Sie unter Berechtigungen. In diesem Thema wird z. B. beschrieben, wie Sie das Exchange Admin Center (EAC) verwenden, um Mitglieder zu Rollengruppen hinzuzufügen oder aus diesen zu entfernen oder um Rollengruppen und Rollenzuweisungsrichtlinien zu erstellen oder zu ändern.This topic focuses on advanced RBAC functionality. If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

Informationen zum Zuweisen von Berechtigungen an Benutzer, damit diese die eigenen Postfächer oder Verteilergruppen verwalten können, finden Sie unter Grundlegendes zu Verwaltungsrollen-Zuweisungsrichtlinien.If you want to assign permissions to users to manage their own mailbox or distribution groups, see Understanding management role assignment policies.

RollengruppenebenenRole group layers

Im Folgenden handelt es sich um die Ebenen, aus denen das Rollengruppenmodell besteht:The following are the layers that make up the role group model:

  • Rollengruppenmitglied: ein Rollengruppenmitglied ist ein Postfach, eine universelle Sicherheitsgruppe (Universal Security Group, USG) oder eine andere Rollengruppe, die als Mitglied einer Rollengruppe hinzugefügt werden kann.Role group member: A role group member is a mailbox, universal security group (USG), or other role group that can be added as a member of a role group. Wenn ein Postfach, eine USG oder eine andere Rollengruppe der Rollengruppe als Mitglied hinzugefügt wird, werden alle Zuweisungen, die zwischen Verwaltungsrollen und Rollengruppen erfolgt sind, auf das neue Mitglied angewendet.When a mailbox, USG, or another role group is added as a member of a role group, the assignments that have been made between management roles and a role group are applied to the new member. Dadurch werden dem neuen Mitglied sämtliche von den Verwaltungsrollen bereitgestellten Berechtigungen erteilt.This grants the new member all of the permissions provided by the management roles.

  • Verwaltungsrollengruppe: die Verwaltungsrollengruppe ist eine spezielle USG, die Postfächer, universelle Sicherheitsgruppen und andere Rollengruppen enthält, die Mitglieder der Rollengruppe sind.Management role group: The management role group is a special USG that contains mailboxes, USGs, and other role groups that are members of the role group. Hier werden Mitglieder hinzugefügt und entfernt und auch Verwaltungsrollen zugewiesen.This is where you add and remove members, and it's also what management roles are assigned to. Die Kombination all dieser Rollen in einer Rollengruppe definiert alle Elemente, welche die einer Rollengruppe hinzugefügten Mitglieder in der Exchange-Organisation verwalten können.The combination of all the roles on a role group defines everything that members added to a role group can manage in the Exchange organization.

  • Verwaltungsrollenzuweisung: eine Verwaltungsrollenzuweisung verbindet eine Verwaltungsrolle mit einer Rollengruppe.Management role assignment: A management role assignment links a management role and a role group. Durch das Zuweisen einer Verwaltungsrolle zu einer Rollengruppe wird Mitgliedern der Rollengruppe die Möglichkeit gegeben, die in der Verwaltungsrolle definierten Cmdlets und Parameter zu verwenden.Assigning a management role to a role group grants members of the role group the ability to use the cmdlets and parameters defined in the management role. ‏Rollenzuweisungen können Verwaltungsbereiche verwenden, um zu steuern, wo die Zuweisung verwendet werden kann.Role assignments can use management scopes to control where the assignment can be used. Weitere Informationen finden Sie unter Grundlegendes zu Verwaltungsrollenzuweisungen.For more information, see Understanding management role assignments.

  • Verwaltungsrollenbereich: ein Verwaltungsrollenbereich ist der Einflussbereich oder die Auswirkung auf eine Rollenzuweisung.Management role scope: A management role scope is the scope of influence or impact on a role assignment. Wird eine Rolle mit einem Bereich einer Rollengruppe zugewiesen, grenzt der Verwaltungsbereich genau ein, welche Objekte diese Zuweisung verwalten darf.When a role is assigned with a scope to a role group, the management scope targets specifically what objects that assignment is allowed to manage. Die Zuweisung und ihr Bereich werden dann den Mitgliedern der Rollengruppe zugewiesen, wodurch die Elemente eingeschränkt werden, die diese Mitglieder verwalten können.The assignment, and its scope, are then given to the members of the role group, which restricts what those members can manage. Ein Bereich kann aus Listen von Servern oder Datenbanken, Organisationseinheiten oder Filtern für Server-, Datenbank-oder Recipient-Objekte bestehen.A scope can be made up of lists of servers or databases, organizational units, or filters on server, database or recipient objects. Weitere Informationen finden Sie unter Grundlegendes zu Verwaltungsrollenbereichen.For more information, see Understanding management role scopes.

  • Verwaltungsrolle: eine Verwaltungs Rolle ist ein Container für eine Gruppierung von Verwaltungsrolleneinträgen.Management role: A management role is a container for a grouping of management role entries. Rollen werden verwendet, um die spezifischen Aufgaben zu definieren, die von den Mitgliedern einer Rollengruppe, der die Rolle zugewiesen wird, ausgeführt werden können.Roles are used to define the specific tasks that can be performed by the members of a role group assigned the role. Weitere Informationen finden Sie unter Grundlegendes zu Verwaltungsrollen.For more information, see Understanding management roles.

  • Verwaltungsrolleneinträge: Verwaltungsrolleneinträge sind die einzelnen Einträge in einer Verwaltungsrolle, die Zugriff auf Cmdlets, Skripts und andere spezielle Berechtigungen bieten, die den Zugriff zum Ausführen einer bestimmten Aufgabe ermöglichen.Management role entries: Management role entries are the individual entries on a management role that provide access to cmdlets, scripts, and other special permissions that enable access to perform a specific task. Meistens bestehen Rolleneinträge aus einem Cmdlet oder Skript und den Parametern, auf die von der Verwaltungsrolle und damit der Rollengruppe, der die Rolle zugewiesen ist, zugegriffen werden kann.Most often, role entries consist of a single cmdlet or script and the parameters that can be accessed by the management role, and therefore the role group to which the role is assigned.

Die folgende Abbildung zeigt die einzelnen Rollengruppenebenen in der vorhergehenden Liste und die Beziehung der einzelnen Ebenen zueinander an.The following figure shows each of the role group layers in the preceding list and how each of the layers relates to the other.

Ebenen der VerwaltungsrollengruppenManagement role group layers

![Ebenen der Verwaltungsrollengruppe] (images/Dd638105.a98c237c-7bdb-434b-8c98-22509e46cccf(EXCHG.150).gif "Ebenen der Verwaltungsrollengruppe")Management role group layers

Weitere Informationen zu RBAC finden Sie unter Grundlegendes zur rollenbasierten Zugriffssteuerung.For more information about RBAC, see Understanding Role Based Access Control.

RollengruppenverwaltungRole group management

Wenn Sie eine Rollengruppe erstellen, erstellen Sie die universelle Sicherheitsgruppe für die Mitglieder der Rollengruppe, und Sie erstellen die Zuweisungen zwischen der Rollengruppe und den von Ihnen festgelegten Verwaltungsrollen. Sie können optional auch einen Verwaltungsbereich für die Rollenzuweisungen festlegen und Postfächer, die Mitglieder der neuen Rollengruppe werden sollen, hinzufügen.When you create a role group, you create the USG that holds the members of the role group, and you create the assignments between the role group and the management roles you specify. Optionally, you can also specify a management scope to apply to the role assignments, and you can add any mailboxes that you want to be members of the new role group.

Nachdem Sie eine Rollengruppe erstellt haben, wird jede Ebene zu einem unabhängigen Objekt. Die Rollengruppe ist auch weiterhin der zentrale Punkt, an dem alle Ebenen zusammentreffen. Allerdings wird jede Ebene einzeln verwaltet. Wenn Sie beispielsweise den Verwaltungsbereich ändern wollen, den Sie beim Erstellen der Rollengruppe angewendet haben, müssen Sie den Bereich nach dem Erstellen der Rollengruppe für jede einzelne Rollenzuweisung ändern. Die Verwaltung des Rollengruppenmodells erfolgt mithilfe der Cmdlets zur Verwaltung der einzelnen Ebenen des Rollengruppenmodells.After you create a role group, each layer becomes an independent object. The role group continues to be the central point at which all of the layers are joined together, however, each layer is managed individually. For example, to modify the management scope that you applied to the role group when it was created, you need to change the scope on each individual role assignment after the role group is created. The management of the role group model is performed using the cmdlets that manage the individual layers of the role group model.

Die folgende Tabelle enthält eine Liste der Rollengruppenebenen und Links zu Vorgehensweisen bei der Verwaltung der einzelnen Ebenen.The following table lists the role group layer and the procedural topics that you can use to manage each layer.

RollengruppenverwaltungRole group management topics

Ebene des RollengruppenmodellsRole group model layer VerwaltungsthemaManagement topic

RollengruppenmitgliedRole group member

Verwalten von RollengruppenmitgliedernManage role group members

RollengruppeRole group

Verwalten von RollengruppenManage role groups

Verwaltungsrollen und -zuweisungenManagement roles and assignments

Verwalten von RollengruppenManage role groups

VerwaltungsrolleneinträgeManagement role entries

Hinzufügen eines Rolleneintrags zu einer RolleAdd a role entry to a role

Ändern Sie einen rolleneintragChange a role entry

Entfernen eines Rolleneintrags aus einer RolleRemove a role entry from a role

Hinweis

Beim Ändern der Verwaltungsrolleneinträge in Verwaltungsrollen einer Rollengruppe handelt es sich um eine fortgeschrittene Aufgabe, die in den meisten Fällen nicht erforderlich ist.Changing the management role entries in management roles in a role group is an advanced task and is generally not required in most cases. Sie können stattdessen wahrscheinlich eine bereits bestehende Verwaltungsrolle verwenden, die Ihren Anforderungen entspricht.Instead, you may be able to use a pre-existing management role that suits your requirements. Weitere Informationen finden Sie unter Integrierte Rollengruppen.For more information, see Built-in role groups.

Integrierte RollengruppenBuilt-in role groups

Integrierte Rollengruppen sind Rollen, die im Lieferumfang von Exchange 2013 enthalten sind. Ihnen wird damit eine Reihe von Rollengruppen an die Hand gegeben, mit denen Sie verschiedene Ebenen an Administratorrechten für Benutzergruppen bereitstellen können. Sie können Benutzer allen integrierten Rollengruppen hinzufügen oder aus diesen entfernen. Sie können auch Rollenzuweisungen den meisten Rollengruppen hinzufügen oder aus diesen entfernen. Ausnahmen:Built-in roles groups are roles shipped with Exchange 2013. They provide you with a set of role groups that you can use to provide varying levels of administrative permissions to groups of users. You can add or remove users to or from any built-in role group. You can also add or remove role assignments to or from most role groups. The only exceptions are the following:

  • Sie können keine delegierenden Rollenzuweisungen aus der Rollengruppe Organisationsverwaltung entfernen.You can't remove any delegating role assignments from the Organization Management role group.

  • Sie können die Rollenverwaltungsgruppe nicht aus der Rollengruppe Organisationsverwaltung entfernen.You can't remove the Role Management role from the Organization Management role group.

Die folgende Tabelle führt alle in Exchange 2013 enthaltenen integrierten Rollengruppen auf. Weitere Informationen zu integrierten Rollengruppen finden Sie unter Integrierte Rollengruppen.The following table lists all the built-in role groups included with Exchange 2013. For more information about built-in role groups, see Built-in role groups.

Integrierte RollengruppenBuilt-in role groups

RollengruppeRole group BeschreibungDescription

OrganisationsverwaltungOrganization Management

Administratoren, die Mitglied der Rollengruppe Organisationsverwaltung sind, verfügen über Administratorzugriff auf die gesamte Exchange 2013-Organisation und können fast jede Aufgabe für beliebige Exchange 2013-Objekte durchführen, mit einigen Ausnahmen. Mitglieder dieser Rollengruppe können Postfachsuchen und die Verwaltung von Verwaltungsrollen oberster Ebene ohne Bereichseinschränkung standardmäßig nicht durchführen.Administrators who are members of the Organization Management role group have administrative access to the entire Exchange 2013 organization and can perform almost any task against any Exchange 2013 object, with some exceptions. By default, members of this role group can't perform mailbox searches and management of unscoped top-level management roles.

Organisationsverwaltung mit LeserechtenView-only Organization Management

Administratoren, die Mitglied der Rollengruppe Organisationsverwaltung - nur Leserechte sind, können die Eigenschaften aller Objekte in der Exchange-Organisation anzeigen.Administrators who are members of the View Only Organization Management role group can view the properties of any object in the Exchange organization.

EmpfängerverwaltungRecipient Management

Administratoren, die Mitglied der Rollengruppe Empfängerverwaltung sind, haben Administratorzugriff zum Erstellen oder Ändern von Exchange 2013-Empfängern innerhalb der Exchange 2013-Organisation.Administrators who are members of the Recipient Management role group have administrative access to create or modify Exchange 2013 recipients within the Exchange 2013 organization.

UM-VerwaltungUM Management

Administratoren, die Mitglied der Rollengruppe UM-Verwaltung sind, können Funktionen in der Exchange-Organisation wie z. B. UM-Dienste (Unified Messaging), UM-Eigenschaften für Postfächer, UM-Telefonansagen und automatische UM-Telefonzentralen konfigurieren und verwalten.Administrators who are members of the UM Management role group can manage features in the Exchange organization such as Unified Messaging (UM) service configuration, UM properties on mailboxes, UM prompts, and UM auto attendant configuration.

ErkennungsverwaltungDiscovery Management

Administratoren oder Benutzer, die Mitglied der Rollengruppe Discoveryverwaltung sind, können Postfächer in der Exchange-Organisation nach Daten durchsuchen, die mit bestimmten Kriterien übereinstimmen. Zudem können diese Mitglieder Beweissicherungsverfahren für Postfächer konfigurieren.Administrators or users who are members of the Discovery Management role group can perform searches of mailboxes in the Exchange organization for data that meets specific criteria and can also configure litigation holds on mailboxes.

DatensatzverwaltungRecords Management

Benutzer, die Mitglied der Rollengruppe Datensatzverwaltung sind, können Funktionen für die Einhaltung von Vorschriften, z. B. Aufbewahrungsrichtlinientags, Nachrichtenklassifikationen, Transportregeln usw., konfigurieren.Users who are members of the Records Management role group can configure compliance features, such as retention policy tags, message classifications, transport rules, and more.

SerververwaltungServer Management

Administratoren, die Mitglied dieser Rollengruppe sind, können die serverspezifische Konfiguration von Transport-, Clientzugriffs- und Postfachfunktionen wie Datenbankkopien, Zertifikate, Transportwarteschlangen und Sendeconnectors, virtuelle Verzeichnisse und Clientzugriffsprotokolle konfigurieren.Administrators who are members of this role group can configure server-specific configuration of transport , client access, and mailbox features such as database copies, certificates, transport queues and Send connectors, virtual directories, and client access protocols.

HelpdeskHelp Desk

Benutzer, die Mitglied der Rollengruppe "Helpdesk" sind, können eine eingeschränkte Empfängerverwaltung von Exchange 2013-Empfängern ausführen.Users who are members of the Help Desk role group can perform limited recipient management of Exchange 2013 recipients.

Verwaltung von NachrichtenschutzHygiene Management

Benutzer, die Mitglied der Rollengruppe für die Verwaltung von aktivem Nachrichtenschutz sind, können die Antispam- und Antischadsoftwarefunktionen von Exchange 2013 konfigurieren. Drittanbieterprogramme, die in Exchange 2013 integriert werden können, können dieser Rollengruppe Dienstkonten hinzufügen, damit Programme Zugriff auf die Cmdlets haben, die zum Abrufen und Konfigurieren der Exchange-Konfiguration erforderlich sind.Users who are members of the Hygiene Management role group can configure the anti-spam and anti-malware features of Exchange 2013. Third-party programs that integrate with Exchange 2013 can add service accounts to this role group to grant those programs access to the cmdlets required to retrieve and configure the Exchange configuration.

Verwaltung der RichtlinientreueCompliance Management

Benutzer, die Mitglied der Rollengruppe für die Verwaltung der Richtlinientreue sind, können die Exchange-Richtlinientreue in Übereinstimmung mit ihren Richtlinien konfigurieren und verwalten.Users who are members of the Compliance Management role group can configure and manage Exchange compliance configuration in accordance with their policies.

Verwaltung Öffentlicher OrdnerPublic Folder Management

Administratoren, die Mitglied der Rollengruppe zur Verwaltung öffentlicher Ordner sind, können öffentliche Ordner auf Exchange 2013-Servern verwalten.Administrators who are members of the Public Folder Management role group can manage public folders on servers running Exchange 2013.

Delegiertes SetupDelegated Setup

Administratoren, die Mitglied der Rollengruppe Delegiertes Setup sind, können Exchange 2013-Server bereitstellen, die zuvor durch ein Mitglied der Rollengruppe Organisationsverwaltung bereitgestellt wurden.Administrators who are members of the Delegated Setup role group can deploy servers running Exchange 2013 that have been previously provisioned by a member of the Organization Management role group.

Verknüpfte RollengruppenLinked role groups

Verknüpfte Rollengruppen werden in Organisationen verwendet, die Exchange 2013 in einer dedizierten Ressourcengesamtstruktur installieren und Benutzer in anderen vertrauenswürdigen, fremden Gesamtstrukturen platzieren. Wie der Name bereits andeutet, erstellen verknüpfte Rollengruppen einen Link zwischen einer Rollengruppe in der Exchange-Gesamtstruktur und einer universellen Sicherheitsgruppe in einer fremden Gesamtstruktur. Dies ist hilfreich, wenn sich die Active Directory-Domänendienst-Benutzerkonten (AD DS) der Administratoren, die Exchange verwalten sollen, nicht in derselben Gesamtstruktur befinden wie Exchange. Verknüpfte Rollengruppen können nur einer fremden universellen Sicherheitsgruppe zugeordnet werden. Außerdem müssen Sie keine bidirektionale Vertrauensstellung zwischen der Exchange-Gesamtstruktur und der fremden Gesamtstruktur erstellen. Die Exchange-Gesamtstruktur muss der fremden Gesamtstruktur vertrauen, aber die fremde Gesamtstruktur muss der Exchange-Gesamtstruktur nicht vertrauen.Linked role groups are used in organizations that install Exchange 2013 in a dedicated resource forest and place users in other, trusted foreign forests. Linked role groups, as the name implies, create a link between a role group in the Exchange forest and a USG in a foreign forest. This is useful when the Active Directory Domain Services (AD DS) user accounts of the administrators you want to administer Exchange don't reside in the same resource forest as Exchange. Linked role groups can only be associated with one foreign USG. Additionally, you don't need to create a two-way trust between the Exchange forest and the foreign forest. The Exchange forest needs to trust the foreign forest but the foreign forest doesn't need to trust the Exchange forest.

Weitere Informationen zu Berechtigungen in Topologien mit mehreren Gesamtstrukturen finden Sie unter Grundlegendes zu Berechtigungen für mehrere Gesamtstrukturen.For more information about permissions in multiple-forest topologies, see Understanding multiple-forest permissions.

Eine verknüpfte Rollengruppe besteht aus zwei Teilen:A linked role group consists of two parts:

  • Verknüpfte Rollengruppe: die verknüpfte Rollengruppe ist ein Containerobjekt, das die fremde universelle Sicherheitsgruppe mit den Verwaltungsrollenzuweisungen verknüpft, die der Rollengruppe zugewiesen sind.Linked role group: The linked role group is a container object that associates the foreign USG with the management role assignments assigned to the role group.

  • Fremde USG: die fremde universelle Sicherheitsgruppe enthält die Mitglieder, denen die von der verknüpften Rollengruppe bereitgestellten Berechtigungen erteilt werden sollten.Foreign USG: The foreign USG contains the members that should be granted the permissions provided by the linked role group.

Wenn Sie eine verknüpfte Rollengruppe erstellen, stellen Sie einen Domänencontroller in der fremden Gesamtstruktur bereit, in der sich die Benutzer befinden, die die Exchange-Gesamtstruktur verwalten sollen, die universelle Sicherheitsgruppe mit diesen Benutzern als Mitglieder, den Namen der fremden universellen Sicherheitsgruppe sowie die für den Zugriff auf die fremde Gesamtstruktur erforderlichen Anmeldeinformationen. Exchange fügt die Sicherheits-ID (SID) der fremden universellen Sicherheitsgruppe der verknüpften Rollengruppe hinzu. Da die SID der universellen Sicherheitsgruppe die einzige Identifikation der fremden Gesamtstruktur darstellt, sollten Sie die fremde Gesamtstruktur unbedingt im Namen der Rollengruppe angeben, sofern mehrere Gesamtstrukturen vorliegen.When you create a linked role group, you provide a domain controller in the foreign forest that contains the users you want to manage the Exchange forest and the USG that contains those users as members, the foreign USG name, and the credentials required to access the foreign forest. Exchange adds the security identifier (SID) of the foreign USG to the linked role group. Because the USG SID is the only identification of the foreign USG, we strongly recommend that you specify the foreign forest in the name of the role group if you have multiple foreign forests.

Eine verknüpfte Rollengruppe enthält keine Mitglieder. Alle Mitglieder der Rollengruppe werden mithilfe der fremden universellen Sicherheitsgruppe verwaltet. Das bedeutet, dass Sie die Cmdlets Update-RoleGroupMember, Add-RoleGroupMember oder Remove-RoleGroupMember nicht zum Hinzufügen oder Entfernen von Rollengruppenmitgliedern verwenden können. Wenn Sie der fremden universellen Sicherheitsgruppe Mitglieder hinzufügen, erhalten diese die von der verknüpften Rollengruppe bereitgestellten Berechtigungen.A linked role group doesn't contain any members. All of the members of that role group are managed using the foreign USG. This means you can't use the Update-RoleGroupMember, Add-RoleGroupMember, or Remove-RoleGroupMember cmdlets to add or remove role group members. When you add members to the foreign USG, they are given the permissions provided by the linked role group.

Sie können eine Standardrollengruppe, die eigene Mitglieder enthält, nicht in eine verknüpfte Rollengruppe ändern oder umgekehrt. Wenn Sie eine Rollengruppe von einer Standardrollengruppe in eine verknüpfte Rollengruppe ändern möchten, müssen Sie eine neue verknüpfte Rollengruppe erstellen und die Verwaltungsrollenzuweisungen aus der Standardrollengruppe in der verknüpften Rollengruppe replizieren. Dies gilt auch für integrierte Rollengruppen, da es sich ebenfalls um Standardrollengruppen handelt. Wenn Sie die gesamte Verwaltung der Exchange-Gesamtstruktur aus einer fremden Gesamtstruktur ausführen möchten, müssen Sie neue verknüpfte Rollengruppen erstellen und die in den integrierten Rollengruppen vorhandenen Verwaltungsrollen den neuen verknüpften Rollengruppen hinzufügen. Weitere Informationen hierzu finden Sie unter Erstellen verknüpfter Rollengruppen, die integrierte Rollengruppen spiegeln.You can't change a standard role group, which contains its own members, to a linked role group and vice versa. If you want to change a role group from a standard role group to a linked role group, you must create a new linked role group and replicate the management role assignments that are present on the standard role group on the linked role group. This is also the case for built-in role groups because they're standard role groups. If you want to perform all of the management of your Exchange forest from a foreign forest, you need to create new linked role groups and add the management roles that exist on the built-in role groups to the new linked role groups. For more information about how to accomplish this, see Create linked role groups that mirror built-in role groups.

RollengruppendelegierungRole group delegation

Standardmäßig können Mitglieder der Rollengruppe Organisationsverwaltung Mitglieder zu Rollengruppen hinzufügen und daraus entfernen. Unter Umständen möchten Sie jedoch Benutzern, die keine Mitglieder der Rollengruppe Organisationsverwaltung sind, das Hinzufügen und Entfernen von Rollengruppenmitgliedern ermöglichen. In diesem Fall können Sie die Rollengruppendelegierung verwenden.By default, members of the Organization Management role group can add and remove members to and from role groups. However, you might want to enable users who aren't members of the Organization Management role group to add and remove role group members. If so, you can use role group delegation.

Die Rollengruppendelegierung wird durch die Eigenschaft ManagedBy der jeweiligen Rollengruppe gesteuert. Die Eigenschaft ManagedBy enthält eine Liste der Benutzer, die Mitglieder zur Rollengruppe hinzufügen und daraus entfernen oder die Konfiguration einer Rollengruppe ändern können. Den Benutzern werden keine von der Rollengruppe erteilten Berechtigungen zugewiesen, sofern sie nicht zugleich Mitglieder der Rollengruppe sind.Role group delegation is controlled by the ManagedBy property on each role group. The ManagedBy property contains a list of users who can add and remove members to and from that role group or change the configuration of a role group. The users aren't assigned any permissions given by the role group unless they're also members of the role group.

Wird für eine Rollengruppe die Eigenschaft ManagedBy festgelegt, können nur die Benutzer, die als Rollengruppenmanager für diese Eigenschaft aufgeführt sind, eine Rollengruppe oder die Mitgliedschaft einer Rollengruppe standardmäßig ändern.If the ManagedBy property is set on a role group, only those users who are listed as role group managers on that property can modify a role group or the membership of a role group by default. Diese Einschränkung kann jedoch durch einen optionalen Parameter für Cmdlets zum Ändern von Rollengruppen oder Rollengruppenmitgliedschaften außer Kraft gesetzt werden.However, an optional parameter on cmdlets that modify role groups or role group membership can override that restriction. Die BypassSecurityGroupManagerCheck -Option kann von Benutzern verwendet werden, die Mitglied der Rolle Organisationsverwaltung sind oder entweder direkt oder indirekt die Verwaltungsrolle "Role Management" zugewiesen haben.The BypassSecurityGroupManagerCheck switch can be used by users who are members of the Organization Management role or are assigned, either directly or indirectly, the Role Management management role. Wird diese Option verwendet, wird die Eigenschaft ManagedBy ignoriert, und der Benutzer kann die Rollengruppe oder Rollengruppenmitgliedschaft ändern.When this switch is used, the ManagedBy property is ignored and the user can modify the role group or role group membership.

Ist die Eigenschaft ManagedBy für eine Rollengruppe nicht festgelegt, können nur Benutzer eine Rollengruppe oder Rollengruppenmitgliedschaft ändern, die Mitglied der Rolle Organisationsverwaltung sind oder denen, direkt oder indirekt, die Verwaltungsrolle "Rollenverwaltung" zugewiesen ist.If the ManagedBy property isn't set on a role group, only users who are members of the Organization Management role or are assigned, either directly or indirectly, the Role Management management role can modify a role group or role group membership.

Hinweis

Einer Rollengruppe zugewiesene Rollen können mithilfe der delegierenden Rollenzuweisung zugewiesen werden. Mit delegierenden Rollenzuweisungen können Mitglieder einer Rollengruppe, der eine delegierte Rolle zugewiesen ist, diese Rolle einer anderen Rollengruppe, Zuweisungsrichtlinie oder universellen Sicherheitsgruppe zuweisen. Mitglieder der Rollengruppe können nur diese Rolle zuweisen und nicht die Rollengruppe delegieren, es sei denn, sie werden auch der Eigenschaft ManagedBy hinzugefügt. Weitere Informationen zu delegierenden Rollenzuweisungen finden Sie unter Grundlegendes zu Verwaltungsrollenzuweisungen.Roles assigned to a role group may be assigned using delegating role assignments. With delegating role assignments, members of a role group that's assigned a delegated role can assign that role to another role group, assignment policy, user, or USG. Members of the role group can assign only that role and can't delegate the role group, unless they're also added to the ManagedBy property. For more information about delegated role assignments, see Understanding management role assignments.

Weitere Informationen zum Verwalten der Rollengruppendelegierung finden Sie unter Verwalten von Rollengruppen.For more information about how to manage role group delegation, see Manage role groups.

RollengruppenmitgliedschaftRole group membership

Wenn ein Benutzer zum Mitglied einer Rollengruppe gemacht wird, werden die der Rollengruppe zugewiesenen Verwaltungsrollen dem Benutzer zugewiesen. Ist ein Benutzer Mitglied mehrerer Rollengruppen, werden die Verwaltungsrollen der einzelnen Rollengruppen zusammengefasst und dem Benutzer zugewiesen. Benutzer, universelle Sicherheitsgruppen und andere Rollengruppen können Mitglieder von Rollengruppen sein.When a user is made a member of a role group, the management roles assigned to the role group are assigned to the user. If a user is a member of multiple role groups, the management roles from each role group are aggregated and assigned to the user. Users, USGs, and other role groups can be members of role groups.

Nur Benutzer, die Mitglied der Rollengruppe Organisationsverwaltung oder "Rollenverwaltung" sind, und Benutzer, denen die Berechtigung zum Hinzufügen oder Entfernen von Benutzern zu bzw. aus Rollengruppen erteilt wurde, können Rollengruppenmitgliedschaften verwalten.Only users who are members of the Organization Management or Role Management role groups and users who have been delegated the ability to add and remove users to or from role groups can manage role group membership.

Weitere Informationen zum Verwalten der Rollengruppenmitgliedschaft finden Sie unter Verwalten von Rollengruppenmitgliedern.For more information about how to manage role group membership, see Manage role group members.

Rollengruppenerstellung (Workflow)Role group creation workflow

Wie bereits erwähnt, besteht eine Rollengruppe aus mehreren Ebenen. Das Erstellen einer neuen Rollengruppe wird im folgenden Beispiel veranschaulicht.As mentioned previously, a role group is made up of several layers. To help you understand what happens when a role group is created, consider the following example, which creates a new role group.

New-RoleGroup -Name "Seattle Recipient Management" -Roles "Mail Recipients", "Distribution Groups", "Move Mailboxes", "UM Mailboxes" -CustomRecipientWriteScope "Seattle Users", -ManagedBy "Brian", "David", "Katie" -Members "Ray", "Jenn", "Maria", "Chris", "Maija", "Carter", "Jenny", "Sam", "Lukas", "Isabel", "Katie"

Wenn der obige Befehl ausgeführt wird, geschieht Folgendes:When the preceding command is run, the following happens:

  1. Ein neues Rollengruppenobjekt, das eine spezielle universelle Sicherheitsgruppe namens "Seattle Recipient Management" ist, wird unter Microsoft Exchange Sicherheitsgruppen-ou in der Gesamtstruktur-Stammdomäne erstellt.A new role group object, which is a special USG, called Seattle Recipient Management is created under Microsoft Exchange Security Groups OU in the forest root domain.

  2. Die Postfächer für Ray, Jenn, Maria, Chris, Maija, Carter, Jenny, Sam, Lukas, Isabel und Katie werden als Mitglieder der Rollengruppe hinzugefügt. Diese Benutzer erhalten die von dieser Rollengruppe bereitgestellten Berechtigungen.The mailboxes for Ray, Jenn, Maria, Chris, Maija, Carter, Jenny, Sam, Lukas, Isabel, and Katie are added as members of the role group. These users receive the permissions provided by this role group.

  3. Die Benutzer Brian und David werden der Eigenschaft ManagedBy der Rollengruppe hinzugefügt. Diese Benutzer können Mitglieder zur Rollengruppe hinzufügen und daraus entfernen, erhalten jedoch keine von der Rollengruppe bereitgestellten Berechtigungen, da sie keine Mitglieder sind. Auch Katie wird der Eigenschaft ManagedBy der Rollengruppe hinzugefügt. Da sie der Eigenschaft ManagedBy hinzugefügt wird und ein Mitglied der Rollengruppe ist, kann sie Mitglieder zur Rollengruppe hinzufügen und daraus entfernen und erhält darüber hinaus die von der Rollengruppe bereitgestellten Berechtigungen.The users Brian and David are added to the ManagedBy property of the role group. These users can add and remove members to and from the role group but won't be given any permissions provided by the role group because they're not members. Katie is also added to the ManagedBy property of the role group. Because she's added to the ManagedBy property, and she's a member of the role group, she can add or remove members to and from the role group, and she also receives the permissions provided by the role group.

  4. Die folgenden Verwaltungsrollenzuweisungen werden erstellt. Die Rollenzuweisungen weisen der Rollengruppe jede im Befehl angegebene Verwaltungsrolle zu. Der Verwaltungsbereich "Seattle Users" wird jeder Rollenzuweisung hinzugefügt. Der Name der einzelnen Rollenzuweisungen besteht aus einer Kombination der zugewiesenen Verwaltungsrolle und des Rollengruppennamens.The following management role assignments are created. The role assignments assign each management role specified in the command to the role group. The management scope Seattle Users is added to each role assignment. The name of each role assignment is a combination of the management role being assigned and the role group name.

    • Mail Recipients_Seattle Recipient Management

    • Distribution Groups_Seattle Recipient Management

    • Move Mailboxes_Seattle Recipient Management

    • UM Mailboxes_Seattle Recipient Management

Wenn Sie die Ergebnisse dieses Befehls mit der Abbildung zu den Ebenen der Verwaltungsrollengruppe weiter oben in diesem Thema vergleichen, können Sie sehen, in welchem Zusammenhang die einzelnen Schritte mit den Rollengruppenebenen stehen. Informationen zum Verwalten der einzelnen Rollengruppenebenen finden Sie weiter oben in den Themen zur Rollengruppenverwaltung.If you compare the results of this command to the Management role group layers figure earlier in this topic, you can see where each step correlates to the role group layers. You can then refer to the Management role group management topics shown in "Role group management" earlier in this topic to manage each role group layer.