Grundlegendes zu VerwaltungsrollenbereichenUnderstanding management role scopes

Gilt für: Exchange Server 2013Applies to: Exchange Server 2013

Verwaltungsrollenbereiche ermöglichen Ihnen die Definition spezifischer Wirkungs- oder Einflussbereiche für eine Verwaltungsrolle, wenn eine Verwaltungsrollenzuweisung erstellt wird.Management role scopes enable you to define the specific scope of impact or influence of a management role when a management role assignment is created. Wenn Sie einen Bereich anwenden, kann der Rollenempfänger, dem die Rolle zugewiesen wird, nur die in diesem Bereich enthaltenen Objekte ändern.When you apply a scope, the role assignee assigned to the role can only modify the objects contained within that scope. Ein Rollenempfänger kann eine Verwaltungsrollengruppe, eine Verwaltungsrolle, eine Richtlinie für eine Verwaltungsrollenzuweisung, ein Benutzer oder eine universelle Sicherheitsgruppe (Universal Security Group, USG) sein.A role assignee can be a management role group, management role, management role assignment policy, user, or universal security group (USG). Weitere Informationen zu Verwaltungsrollen finden Sie unter Grundlegendes zur rollenbasierten Zugriffssteuerung.For more information about management roles, see Understanding Role Based Access Control.

Hinweis

Inhalt dieses Themas ist die erweiterte RBAC-Funktionalität. Informationen zum Verwalten grundlegender Exchange 2013-Berechtigungen finden Sie unter Berechtigungen. In diesem Thema wird z. B. beschrieben, wie Sie das Exchange Admin Center (EAC) verwenden, um Mitglieder zu Rollengruppen hinzuzufügen oder aus diesen zu entfernen oder um Rollengruppen und Rollenzuweisungsrichtlinien zu erstellen oder zu ändern.This topic focuses on advanced RBAC functionality. If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

Jede Verwaltungsrolle, ob integrierte oder benutzerdefinierte Rolle, hat Verwaltungsbereiche. Es kann sich dabei um folgende Verwaltungsbereiche handeln:Every management role, whether it's a built-in role or a custom role, has management scopes. Management scopes can be either of the following:

  • Regular: ein regulärer Bereich ist nicht exklusiv.Regular: A regular scope isn't exclusive. Er bestimmt, wo Objekte in Active Directory von Benutzern, denen die Verwaltungsrolle zugewiesen wurde, angezeigt oder geändert werden können.It determines where, in Active Directory, objects can be viewed or modified by users assigned the management role. Im Allgemeinen gibt eine Verwaltungsrolle an, was Sie erstellen oder ändern können, und ein Verwaltungsrollenbereich gibt an, wo Sie erstellen oder ändern können.In general, a management role indicates what you can create or modify, and a management role scope indicates where you can create or modify. Reguläre Bereiche können implizite oder explizite Bereiche sein, die beide weiter unten in diesem Thema behandelt werden.Regular scopes can be either implicit or explicit scopes, both of which are discussed later in this topic.

  • Exklusiv: ein exklusiver Bereich verhält sich fast wie ein regulärer Bereich.Exclusive: An exclusive scope behaves almost the same as a regular scope. Der wichtigste Unterschied besteht darin, dass Sie Benutzern den Zugriff auf Objekte innerhalb des exklusiven Bereichs verweigern können, wenn diesen Benutzern keine dem exklusiven Bereich zugeordnete Rolle zugewiesen ist.The key difference is that it enables you to deny users access to objects contained within the exclusive scope if those users aren't assigned a role associated with the exclusive scope. Alle exklusiven Bereiche sind explizite Bereiche, die weiter unten in diesem Thema erläutert werden.All exclusive scopes are explicit scopes, which are discussed later in this topic.

    Weitere Informationen zu exklusiven Bereichen finden Sie unter Grundlegendes zu exklusiven Bereichen.For more information about exclusive scopes, see Understanding exclusive scopes.

Bereiche können von der Verwaltungsrolle geerbt, als vordefinierter relativer Bereich für eine Verwaltungsrollenzuweisung festgelegt oder mithilfe benutzerdefinierter Filter erstellt und einer Verwaltungsrollenzuweisung hinzugefügt werden. Von Verwaltungsrollen geerbte Bereiche werden implizite Bereiche genannt, während vordefinierte und benutzerdefinierte Bereiche als explizite Bereiche bezeichnet werden. In den folgenden Abschnitten werden die einzelnen Bereichstypen beschrieben:Scopes can be inherited from the management role, specified as a predefined relative scope on a management role assignment, or created using custom filters and added to a management role assignment. Scopes inherited from management roles are called implicit scopes while predefined and custom scopes are called explicit scopes. The following sections describe each type of scope:

  • Implicit ScopesImplicit Scopes

  • Explicit ScopesExplicit Scopes

  • Predefined Relative ScopesPredefined Relative Scopes

  • Custom ScopesCustom Scopes

    • Recipient Filter ScopesRecipient Filter Scopes

    • Configuration ScopesConfiguration Scopes

Jede Rolle kann die folgenden Bereichstypen haben:Each role can have the following types of scopes:

  • Empfängerlesebereich: der implizite Empfängerlesebereich bestimmt, welche Empfängerobjekte der Benutzer, dem die Verwaltungsrolle zugewiesen ist, aus Active Directory lesen darf.Recipient read scope: The implicit recipient read scope determines what recipient objects the user assigned the management role is allowed to read from Active Directory.

  • Empfängerschreibbereich: der implizite Empfängerschreibbereich bestimmt, welche Empfängerobjekte der Benutzer, dem die Verwaltungsrolle zugewiesen ist, in Active Directory ändern darf.Recipient write scope: The implicit recipient write scope determines what recipient objects the user assigned the management role is allowed to modify in Active Directory.

  • Konfigurationslesebereich: der implizite Konfigurationslesebereich bestimmt, welche Konfigurationsobjekte der Benutzer, dem die Verwaltungsrolle zugewiesen ist, aus Active Directory lesen darf.Configuration read scope: The implicit configuration read scope determines what configuration objects the user assigned the management role is allowed to read from Active Directory.

  • Konfigurationsschreibbereich: der implizite Konfigurationsschreibbereich bestimmt, welche Organisations-, Datenbank-und Serverobjekte der Benutzer, dem die Verwaltungsrolle zugewiesen ist, in Active Directory ändern darf.Configuration write scope: The implicit configuration write scope determines what organizational, database, and server objects the user assigned the management role is allowed to modify in Active Directory.

Empfängerobjekte umfassen Postfächer, Verteilergruppen, E-Mail-aktivierte Benutzer und andere Objekte. Konfigurationsobjekte umfassen Server mit Microsoft Exchange Server 2013 sowie Datenbanken auf Servern mit Exchange. Bei den Bereichstypen kann es sich jeweils um einen impliziten oder einen expliziten Bereich handeln.Recipient objects include mailboxes, distribution groups, mail enabled users, and other objects. Configuration objects include servers running Microsoft Exchange Server 2013, and databases located on servers running Exchange. Each type of scope can be either an implicit scope or explicit scope.

Implizite BereicheImplicit scopes

Implizite Bereiche sind die für einen Verwaltungsrollentyp geltenden Standardbereiche. Da implizite Bereiche einem Verwaltungsrollentyp zugeordnet sind, besitzen alle übergeordneten und untergeordneten Verwaltungsrollen mit demselben Rollentyp auch dieselben impliziten Bereiche. Implizite Bereiche gelten sowohl für integrierte Verwaltungsrollen als auch für benutzerdefinierte Verwaltungsrollen. Weitere Informationen zu Verwaltungsrollen und Verwaltungsrollentypen finden Sie unter Grundlegendes zu Verwaltungsrollen.Implicit scopes are the default scopes that apply to a management role type. Because implicit scopes are associated with a management role type, all of the parent and child management roles with the same role type also have the same implicit scopes. Implicit scopes apply to both built-in management roles and also to custom management roles. For more information about management roles and management role types, see Understanding management roles.

In der folgenden Tabelle sind alle impliziten Bereiche aufgeführt, die für Verwaltungsrollen definiert werden können.The following tables list all of the implicit scopes that can be defined on management roles.

Implizite Bereiche, die für Verwaltungsrollen definiert sindImplicit scopes defined on management roles

Implizite BereicheImplicit scopes BeschreibungDescription

Organization

Wenn Organization im Empfängerschreibbereich der Rolle vorhanden ist, kann die Rolle Empfängerobjekte in der gesamten Exchange-Organisation erstellen oder ändern.If Organization is present in the role's recipient write scope, the role can create or modify recipient objects across the Exchange organization.

Wenn Organization im Empfängerlesebereich der Rolle vorhanden ist, können Rollen alle Empfängerobjekte in der gesamten Exchange-Organisation anzeigen.If Organization is present in the role's recipient read scope, roles can view any recipient object across the Exchange organization.

Dieser Bereich wird nur für Lese- und Schreibbereiche von Empfängern verwendet.This scope is used only with recipient read and write scopes.

MyGAL

Wenn MyGAL im Empfängerschreibbereich der Rolle vorhanden ist, kann die Rolle die Eigenschaften aller Empfänger in der globalen Adressliste (GAL) des aktuellen Benutzers anzeigen.If MyGAL is present in the role's recipient write scope, the role can view the properties of any recipient within the current user's global address list (GAL).

Wenn MyGAL im Empfängerlesebereich der Rolle vorhanden ist, kann die Rolle die Eigenschaften aller Empfänger in der aktuellen GAL anzeigen.If MyGAL is present in the role's recipient read scope, the role can view the properties of any recipient within the current GAL.

Dieser Bereich wird nur mit Empfängerlesebereichen verwendet.This scope is used only with recipient read scopes.

Self

Wenn Self im Empfängerschreibbereich der Rolle vorhanden ist, kann die Rolle nur die Eigenschaften des Postfachs des aktuellen Benutzers ändern.If Self is present in the role's recipient write scope, the role can modify only the properties of the current user's mailbox.

Wenn Self im Empfängerlesebereich der Rolle vorhanden ist, kann die Rolle nur die Eigenschaften des Postfachs des aktuellen Benutzers anzeigen.If Self is present in the role's recipient read scope, the role can view only the properties of the current user's mailbox.

Dieser Bereich wird nur für Lese- und Schreibbereiche von Empfängern verwendet.This scope is used only with recipient read and write scopes.

MyDistributionGroups

Wenn MyDistributionGroups im Empfängerschreibbereich der Rolle vorhanden ist, kann die Rolle Verteilerlistenobjekte erstellen oder ändern, die dem aktuellen Benutzer gehören.If MyDistributionGroups is present in the role's recipient write scope, the role can create or modify distribution list objects owned by the current user.

Wenn MyDistributionGroups im Empfängerlesebereich der Rolle vorhanden ist, kann die Rolle Verteilerlistenobjekte anzeigen, die dem aktuellen Benutzer gehören.If MyDistributionGroups is present in the role's recipient read scope, the role can view distribution list objects owned by the current user.

Dieser Bereich wird nur für Lese- und Schreibbereiche von Empfängern verwendet.This scope is used only with recipient read and write scopes.

OrganizationConfig

Wenn OrganizationConfig im Konfigurationsschreibbereich der Rolle vorhanden ist, kann die Rolle alle Server-oder Daten Bank Konfigurationsobjekte in der gesamten Exchange-Organisation erstellen oder ändern.If OrganizationConfig is present in the role's configuration write scope, the role can create or modify any server or database configuration object across the Exchange organization.

Wenn OrganizationConfig im Konfigurationslesebereich der Rolle vorhanden ist, kann die Rolle alle Server-oder Daten Bank Konfigurationsobjekte in der gesamten Exchange-Organisation anzeigen.If OrganizationConfig is present in the role's configuration read scope, the role can view any server or database configuration object across the Exchange organization.

Dieser Bereich wird mit Konfigurationslese- und -schreibbereichen verwendet.This scope is used only with configuration read and write scopes.

None

Wenn None sich in einem Bereich befindet, ist dieser Bereich für die Rolle nicht verfügbar.If None is in a scope, that scope isn't available to the role. Beispielsweise kann eine Rolle None im Empfängerschreibbereich keine Empfängerobjekte in der Exchange-Organisation ändern.For example, a role that has None in the recipient write scope can't modify recipient objects in the Exchange organization.

Wird eine Rolle einem Rollenempfänger zugewiesen und es sind keine vordefinierten oder benutzerdefinierten Bereiche angegeben, werden die für die Rolle definierten impliziten Bereiche verwendet, um zu steuern, welche Empfänger- bzw. Organisationsobjekte der Benutzer anzeigen oder ändern kann.If a role is assigned to a role assignee and no predefined or custom scopes are specified, the implicit scopes defined on the role are used to control the recipient or organization objects the user can view or modify.

Der implizite Schreibbereich einer Rolle ist stets kleiner oder gleich dem impliziten Lesebereich. Dies bedeutet, dass eine Rolle keine Objekte ändern kann, die vom Bereich nicht angezeigt werden können.The implicit write scope of a role is always equal to, or less than, the implicit read scope. This means that a role can never modify objects that can't be seen by the scope.

Sie können die für Verwaltungsrollen definierten impliziten Bereiche nicht ändern.You can't change the implicit scopes defined on management roles. Sie können jedoch den impliziten Schreibbereich und Konfigurationsbereich für eine Verwaltungsrolle außer Kraft setzen.You can, however, override the implicit write scope and configuration scope on a management role. Wenn ein vordefinierter relativer Bereich oder benutzerdefinierter Bereich für eine Rollenzuweisung verwendet wird, wird der implizite Schreibbereich der Rolle außer Kraft gesetzt, und der neue Bereich hat Vorrang.When a predefined relative scope or custom scope is used on a role assignment, the implicit write scope of the role is overridden, and the new scope takes precedence. Der implizite Lesebereich einer Rolle ist stets gültig und kann nicht außer Kraft gesetzt werden.The implicit read scope of a role can't be overridden and always applies. Weitere Informationen finden Sie unter Vordefinierte relative Bereiche und benutzerdefinierte Bereiche.For more information, see Predefined Relative Scopes and Custom Scopes.

Erweitern Sie die folgende Tabelle, um eine Liste aller integrierten Verwaltungsrollen und ihrer impliziten Bereiche anzuzeigen. Weitere Informationen zu den einzelnen integrierten Rollen finden Sie unter Integrierte Verwaltungsrollen.Expand the following table to see a list of all the built-in management roles and their implicit scopes. For more information about each built-in role, see Built-in management roles.

Implizite Bereiche integrierter VerwaltungsrollenBuilt-in management role implicit scopes

VerwaltungsrolleManagement role EmpfängerlesebereichRecipient read scope EmpfängerschreibbereichRecipient write scope KonfigurationslesebereichConfiguration read scope KonfigurationsschreibbereichConfiguration write scope

Active Directory Permissions

Organization

Organization

OrganizationConfig

OrganizationConfig

Address Lists

Organization

Organization

OrganizationConfig

OrganizationConfig

ApplicationImpersonation

Organization

Organization

None

None

ArchiveApplication

Organization

Organization

OrganizationConfig

OrganizationConfig

Audit Logs

Organization

Organization

OrganizationConfig

OrganizationConfig

Cmdlet Extension Agents

Organization

Organization

OrganizationConfig

OrganizationConfig

Data Loss Prevention

Organization

Organization

OrganizationConfig

OrganizationConfig

Database Availability Groups

Organization

Organization

OrganizationConfig

OrganizationConfig

Database Copies

Organization

Organization

OrganizationConfig

OrganizationConfig

Databases

Organization

Organization

OrganizationConfig

OrganizationConfig

Disaster Recovery

Organization

Organization

OrganizationConfig

OrganizationConfig

Distribution Groups

Organization

Organization

OrganizationConfig

OrganizationConfig

Edge Subscriptions

Organization

Organization

OrganizationConfig

OrganizationConfig

E-Mail Address Policies

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Server Certificates

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Servers

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Virtual Directories

Organization

Organization

OrganizationConfig

OrganizationConfig

Federated Sharing

Organization

Organization

OrganizationConfig

OrganizationConfig

Information Rights Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Journaling

Organization

Organization

OrganizationConfig

OrganizationConfig

Legal Hold

Organization

Organization

OrganizationConfig

None

LegalHoldApplication

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Enabled Public Folders

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Recipient Creation

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Recipients

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Tips

Organization

Organization

OrganizationConfig

OrganizationConfig

Mailbox Import Export

Organization

Organization

OrganizationConfig

OrganizationConfig

Mailbox Search

Organization

Organization

None

None

MailboxSearchApplication

Organization

Organization

OrganizationConfig

OrganizationConfig

Message Tracking

Organization

Organization

OrganizationConfig

OrganizationConfig

Migration

Organization

Organization

OrganizationConfig

OrganizationConfig

Monitoring

Organization

Organization

OrganizationConfig

OrganizationConfig

Move Mailboxes

Organization

Organization

OrganizationConfig

OrganizationConfig

OfficeExtensionApplication

Self

Self

OrganizationConfig

OrganizationConfig

My Custom Apps

Self

Self

OrganizationConfig

OrganizationConfig

My Marketplace Apps

Self

Self

OrganizationConfig

OrganizationConfig

MyAddressInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyBaseOptions

Self

Self

OrganizationConfig

OrganizationConfig

MyContactInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyDiagnostics

Self

Self

OrganizationConfig

OrganizationConfig

MyDisplayName

Self

Self

OrganizationConfig

OrganizationConfig

MyDistributionGroupMembership

MyGAL

MyGAL

None

None

MyDistributionGroups

MyGAL

MyDistributionGroups

OrganizationConfig

None

MyMobileInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyName

Self

Self

OrganizationConfig

OrganizationConfig

MyPersonalInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyProfileInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyRetentionPolicies

Self

Self

OrganizationConfig

OrganizationConfig

MyTeamMailboxes

Organization

Organization

OrganizationConfig

OrganizationConfig

MyTextMessaging

Self

Self

OrganizationConfig

OrganizationConfig

MyVoiceMail

Self

Self

OrganizationConfig

OrganizationConfig

Organization Client Access

Organization

Organization

OrganizationConfig

OrganizationConfig

Organization Configuration

Organization

Organization

OrganizationConfig

OrganizationConfig

Organization Transport Settings

Organization

Organization

OrganizationConfig

OrganizationConfig

POP3 And IMAP4 Protocols

Organization

Organization

OrganizationConfig

OrganizationConfig

Public Folders

Organization

Organization

OrganizationConfig

OrganizationConfig

Receive Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Recipient Policies

Organization

Organization

OrganizationConfig

OrganizationConfig

Remote and Accepted Domains

Organization

Organization

OrganizationConfig

OrganizationConfig

Reset Password

Organization

Organization

OrganizationConfig

OrganizationConfig

Retention Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Role Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Security Group Creation and Membership

Organization

Organization

OrganizationConfig

OrganizationConfig

Send Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Support Diagnostics

Organization

Organization

OrganizationConfig

OrganizationConfig

TeamMailboxLifecycleApplication

Self

Self

OrganizationConfig

OrganizationConfig

Transport Agents

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Hygiene

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Queues

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Rules

Organization

Organization

OrganizationConfig

OrganizationConfig

UM Mailboxes

Organization

Organization

OrganizationConfig

OrganizationConfig

UM Prompts

Organization

Organization

OrganizationConfig

OrganizationConfig

Unified Messaging

Organization

Organization

OrganizationConfig

OrganizationConfig

UnScoped Role Management

Organization

Organization

OrganizationConfig

OrganizationConfig

UserApplication

Organization

Organization

OrganizationConfig

OrganizationConfig

User Options

Organization

Organization

OrganizationConfig

OrganizationConfig

View-Only Audit Logs

Organization

None

OrganizationConfig

None

View-Only Configuration

Organization

None

OrganizationConfig

None

View-Only Recipients

Organization

None

OrganizationConfig

None

WorkloadManagement

Organization

Organization

OrganizationConfig

OrganizationConfig

Explizite BereicheExplicit scopes

Explizite Bereiche sind Bereiche, die Sie selbst festlegen, um zu steuern, welche Objekte eine Verwaltungsrolle ändern kann. Während implizite Bereiche für eine Verwaltungsrolle definiert sind, sind explizite Bereiche für eine Verwaltungsrollenzuweisung definiert. Auf diese Weise können implizite Bereiche konsistent für alle Verwaltungsrollen angewendet werden, wenn sie nicht von Ihnen durch einen expliziten Bereich außer Kraft gesetzt werden. Weitere Informationen zu Verwaltungsrollenzuweisungen finden Sie unter Grundlegendes zu Verwaltungsrollenzuweisungen.Explicit scopes are scopes that you set yourself to control which objects a management role can modify. Although implicit scopes are defined on a management role, explicit scopes are defined on a management role assignment. This enables the implicit scopes to be applied consistently across all management roles unless you choose to use an overriding explicit scope. For more information about management role assignments, see Understanding management role assignments.

Explizite Bereiche setzen die impliziten Schreib- und Konfigurationsbereiche einer Verwaltungsrolle außer Kraft. Sie setzen nicht den impliziten Lesebereich einer Verwaltungsrolle außer Kraft. Der implizite Lesebereich definiert weiterhin, welche Objekte die Verwaltungsrolle lesen kann.Explicit scopes override the implicit write and configuration scopes of a management role. They don't override the implicit read scope of a management role. The implicit read scope continues to define what objects the management role can read.

Explizite Bereiche sind nützlich, wenn der implizite Schreibbereich einer Verwaltungsrolle den Anforderungen Ihres Unternehmens nicht entspricht.Explicit scopes are useful when the implicit write scope of a management role doesn't meet the needs of your business. Sie können einen expliziten Bereich hinzufügen, der nahezu alles Gewünschte enthält, solange der neue Bereich nicht die Grenzen des impliziten Lesebereichs überschreitet.You can add an explicit scope to include nearly anything you want as long as the new scope doesn't exceed the bounds of the implicit read scope. Die zu einer Verwaltungsrolle gehörenden Cmdlets müssen Informationen zu den Objekten oder Containern lesen können, die Objekte enthalten, damit die Cmdlets Objekte erstellen oder ändern können.The cmdlets that are part of a management role must be able to read information about the objects or containers that contain objects for the cmdlets to create or modify objects. Wenn beispielsweise der implizite Lesebereich für eine Verwaltungsrolle auf festgelegt Selfist, können Sie keinen expliziten Schreibbereich Organization hinzufügen, da der explizite Schreibbereich die Grenzen des impliziten Lesebereichs überschreitet.For example, if the implicit read scope on a management role is set to Self, you can't add an explicit write scope of Organization because the explicit write scope exceeds the bounds of the implicit read scope.

Weitere Informationen hierzu finden Sie in den folgenden Abschnitten:For more information, see the following sections:

  • Predefined Relative ScopesPredefined Relative Scopes

  • Custom ScopesCustom Scopes

Vordefinierte relative BereichePredefined relative scopes

Exchange 2013 bietet mehrere vordefinierte relative Schreibbereiche, die Sie zum Ändern des Bereichs einer Verwaltungsrolle verwenden können.Exchange 2013 provides several predefined relative write scopes that you can use to modify scope of a management role. Vordefinierte relative Bereiche bieten eine einfache Möglichkeit, um stärker auf die Anforderungen Ihres Unternehmens einzugehen, ohne manuell benutzerdefinierte Bereiche erstellen zu müssen.Predefined relative scopes provide an easy way for you to more closely match the needs of your business without having to create custom scopes manually. Die Bereiche werden deshalb als relativ bezeichnet, weil sie relativ sind für den Rollenempfänger, dem die zugeordnete Rollenzuweisung zugewiesen wird.They're called relative scopes because they're relative to the role assignee to which the associated role assignment is assigned. Beispielsweise schränkt der Self vordefinierte relative Bereich diesen Schreibbereich auf den aktuellen Benutzer ein.For example, the Self predefined relative scope restricts that write scope to the current user only. Der MyDistributionGroups vordefinierte relative Bereich schränkt den Schreibbereich auf die Verteilergruppe ein, die der aktuelle Benutzer besitzt.The MyDistributionGroups predefined relative scope restricts the write scope to the distribution group the current user owns only. Vordefinierte relative Bereiche können nur für Empfängerobjektbereiche verwendet werden.Predefined relative scopes can only be used to scope recipient objects. Vordefinierte relative Bereiche können nicht für Konfigurationsobjektbereiche verwendet werden.Predefined relative scopes can't be used to scope configuration objects. In der folgenden Tabelle sind die vordefinierten relativen Bereiche aufgeführt, die Sie verwenden können.The following table lists the predefined relative scopes that you can use.

Vordefinierte relative BereichePredefined relative scopes

Implizite BereicheImplicit scopes BeschreibungDescription

Organization

Wenn Organization im Empfängerschreibbereich der Rolle vorhanden ist, kann die Rolle Empfängerobjekte in der gesamten Exchange-Organisation erstellen oder ändern.If Organization is present in the role's recipient write scope, the role can create or modify recipient objects across the Exchange organization.

Wenn Organization im Empfängerlesebereich der Rolle vorhanden ist, können Rollen alle Empfängerobjekte in der gesamten Exchange-Organisation anzeigen.If Organization is present in the role's recipient read scope, roles can view any recipient object across the Exchange organization.

Dieser Bereich wird nur für Lese- und Schreibbereiche von Empfängern verwendet.This scope is used only with recipient read and write scopes.

Self

Wenn Self im Empfängerschreibbereich der Rolle vorhanden ist, kann die Rolle nur die Eigenschaften des Postfachs des aktuellen Benutzers ändern.If Self is present in the role's recipient write scope, the role can modify only the properties of the current user's mailbox.

Wenn Self im Empfängerlesebereich der Rolle vorhanden ist, kann die Rolle nur die Eigenschaften des Postfachs des aktuellen Benutzers anzeigen.If Self is present in the role's recipient read scope, the role can view only the properties of the current user's mailbox.

Dieser Bereich wird nur für Lese- und Schreibbereiche von Empfängern verwendet.This scope is used only with recipient read and write scopes.

MyDistributionGroups

Wenn MyDistributionGroups im Empfängerschreibbereich der Rolle vorhanden ist, kann die Rolle Verteilerlistenobjekte erstellen oder ändern, die dem aktuellen Benutzer gehören.If MyDistributionGroups is present in the role's recipient write scope, the role can create or modify distribution list objects owned by the current user.

Wenn MyDistributionGroups im Empfängerlesebereich der Rolle vorhanden ist, kann die Rolle Verteilerlistenobjekte anzeigen, die dem aktuellen Benutzer gehören.If MyDistributionGroups is present in the role's recipient read scope, the role can view distribution list objects owned by the current user.

Dieser Bereich wird nur für Lese- und Schreibbereiche von Empfängern verwendet.This scope is used only with recipient read and write scopes.

Vordefinierte relative Bereiche werden angewendet, wenn Sie eine neue Verwaltungsrollenzuweisung erstellen.Predefined relative scopes are applied when you create a new management role assignment. Beim Erstellen der Rollenzuweisung mithilfe des Cmdlets New-ManagementRoleAssignment können Sie einen vordefinierten relativen Bereich mithilfe des RecipientRelativeWriteScope -Parameters angeben.During the creation of the role assignment, using the New-ManagementRoleAssignment cmdlet, you can specify a predefined relative scope using the RecipientRelativeWriteScope parameter. Wenn die neue Rollenzuweisung erstellt wird, setzt die neue vordefinierte Rolle den impliziten Schreibbereich der Verwaltungsrolle außer Kraft.When the new role assignment is created, the new predefined role overrides the implicit write scope of the management role. Beim Erstellen einer Rollenzuweisung mit einem vordefinierten relativen Bereich können Sie keinen benutzerdefinierten Empfängerbereich angeben.You can't specify a custom recipient scope when you create a role assignment with a predefined relative scope. Falls erforderlich, können Sie jedoch einen benutzerdefinierten Konfigurationsbereich angeben.You can, however, specify a custom configuration scope if needed.

Weitere Informationen zum Hinzufügen einer Verwaltungsrollenzuweisung mit einem vordefinierten relativen Bereich finden Sie unter Hinzufügen einer Rolle zu einem Benutzer oder einer universellen Sicherheitsgruppe.For more information about how to add a management role assignment with a predefined relative scope, see Add a role to a user or USG.

Benutzerdefinierte BereicheCustom scopes

Benutzerdefinierte Bereiche sind erforderlich, wenn weder der implizite Schreibbereich noch die vordefinierten relativen Bereiche den Anforderungen Ihres Unternehmens entsprechen. Benutzerdefinierte Bereiche ermöglichen Ihnen eine genaue Definition des Bereichs, auf den Ihre Verwaltungsrolle angewendet werden soll. Dabei kann es sich beispielsweise um eine bestimmte Organisationseinheit, einen bestimmten Empfängertyp oder beides handeln. Möglicherweise möchten Sie auch nur einer Gruppe von Administratoren die Verwaltung einer bestimmten Gruppe von Postfachdatenbanken gestatten.Custom scopes are needed when neither the implicit write scope nor the predefined relative scopes meet the needs of your business. Custom scopes enable you to define, at a granular level, the scope to which your management role will be applied. For example, you might want to target a specific organizational unit (OU), a specific type of recipient, or both. Or, you might only want to allow a group of administrators to be able to manage a specific set of mailbox databases.

Genau wie vordefinierte relative Bereiche setzen auch benutzerdefinierte Bereiche die für Verwaltungsrollen definierten impliziten Schreib- und Organisationskonfigurationsbereiche außer Kraft. Der implizite Lesebereich für Verwaltungsrollen wird auch weiterhin angewendet, und der resultierende benutzerdefinierte Bereich darf die Grenzen des impliziten Lesebereichs nicht überschreiten. Sie können die folgenden drei Arten von benutzerdefinierten Bereichen erstellen:As with predefined relative scopes, custom scopes override the implicit write and organization configuration scopes defined on management roles. The implicit read scope on management roles continue to apply and the resulting custom scope must not exceed the boundaries of the implicit read scope. You can create the following three types of custom scopes:

  • OU-Bereich: ein OU-Bereich, bei dem es sich um den einfachsten benutzerdefinierten Bereich handelt, wird mithilfe des RecipientOrganizationalUnitScope -Parameters für das Cmdlet New-ManagementRoleAssignment erstellt.OU scope: An OU scope, which is the simplest custom scope, is created using the RecipientOrganizationalUnitScope parameter on the New-ManagementRoleAssignment cmdlet. Wenn beim Zuweisen einer Rolle ein OU-Bereich angegeben wird, kann der Rollenempfänger, dem die Rolle zugewiesen wird, nur Empfängerobjekte innerhalb dieser Organisationseinheit ändern.By specifying an OU scope when a role is assigned, the role assignee assigned the role can modify only recipient objects within that OU. Weitere Informationen zum Hinzufügen einer Verwaltungsrollenzuweisung mit einem OU-Bereich finden Sie unter Hinzufügen einer Rolle zu einem Benutzer oder einer universellen Sicherheitsgruppe.For more information about how to add a management role assignment with an OU scope, see Add a role to a user or USG.

  • Empfängerfilterbereich: Empfängerfilter Bereiche verwenden Filter, um bestimmte Empfänger basierend auf dem Empfängertyp oder anderen Empfänger Eigenschaften wie Abteilung, Manager, Standort und mehr abzuzielen.Recipient filter scope: Recipient filter scopes use filters to target specific recipients based on recipient type or other recipient properties such as department, manager, location, and more. Weitere Informationen finden Sie im Abschnitt Empfänger Filter Bereiche.For more information, see the Recipient Filter Scopes section.

  • Konfigurationsbereich: Konfigurationsbereiche Verwenden Filter oder Listen, um bestimmte Server auf der Grundlage von Serverlisten oder filterbaren Eigenschaften gezielt auf Servern, wie beispielsweise einem Active Directory Standort oder einer Serverrolle, festzulegen.Configuration scope: Configuration scopes use filters or lists to target specific servers based on server lists or filterable properties that can be defined on servers, such as an Active Directory site or a server role. Konfigurationsbereiche können auch Datenbankbereiche verwenden, um bestimmte Datenbanken basierend auf Datenbanklisten oder filterbaren Datenbankeigenschaften abzuzielen.Configuration scopes can also use database scopes to target specific databases based on database lists or filterable database properties. Weitere Informationen finden Sie im Abschnitt Konfigurationsbereiche.For more information, see the Configuration Scopes section.

Einfache, umfassende oder komplexe, differenzierte benutzerdefinierte Empfänger- und Konfigurationsbereiche können mit dem Cmdlet New-ManagementScope erstellt werden. Wenn Sie einen Empfänger- oder Konfigurationsbereich erstellen, werden nur die Empfänger-, Server- oder Datenbankobjekte zurückgegeben, die dem jeweiligen Bereich entsprechen. Wenn diese Bereiche mithilfe des Cmdlets New-ManagementRoleAssignment oder Set-ManagementRoleAssignment auf eine Rollenzuweisung angewendet werden, können nur die Objekte, die dem jeweiligen Bereich entsprechen, von den Rollenempfängern geändert werden, denen die Rolle zugewiesen wird. Sie können den Bereichstyp nach dem Erstellen eines benutzerdefinierten Bereichs nicht mehr ändern. Ein Empfängerbereich bleibt stets Empfängerbereich, ein Konfigurationsbereich stets Konfigurationsbereich.Simple and broad or complex and granular recipient and configuration custom scopes can be created by using the New-ManagementScope cmdlet. When you create either a recipient or configuration scope, only the recipient, server, or database objects that match their respective scopes are returned. When these scopes are applied to a role assignment using the New-ManagementRoleAssignment or Set-ManagementRoleAssignment cmdlets, only the objects that match the scopes can be modified by the role assignees who are assigned the role. After a custom scope has been created, you can't change the scope type. A recipient scope is always a recipient scope and a configuration scope is always a configuration scope.

Standardmäßig ermöglicht ein benutzerdefinierter Bereich einem Rollenempfänger den Zugriff auf einen Satz von Objekten, die den von Ihnen definierten Bereichen entsprechen. Der Zugriff für andere Rollenempfänger, denen nicht der gleiche oder ein äquivalenter Bereich zugewiesen wurde, ist jedoch nicht aktiv ausgeschlossen. Jeder benutzerdefinierte Bereich kann auf dieselben Objekte zugreifen, wenn den Listen oder Filtern für diese Bereiche dieselben Objekte entsprechen. Dieses Verhalten ist für bestimmte Objekte möglicherweise nicht wünschenswert, z. B. bei Führungskräften. Für diese Objekte können Sie exklusive Bereiche definieren. Bei exklusiven Bereichen werden Filter oder Listen auf die gleiche Weise wie bei regulären Bereichen verwendet, aber anders als bei regulären Bereichen wird der Zugriff auf Objekte im Bereich allen Benutzern verweigert, die nicht demselben oder einem äquivalenten exklusiven Bereich angehören. Weitere Informationen zu exklusiven Bereichen finden Sie unter Grundlegendes zu exklusiven Bereichen.By default, a custom scope enables a role assignee to access a set of objects that match the scopes you define. However, they don't actively exclude access to other role assignees who aren't also assigned the same or equivalent scope. Any custom scope can access the same objects if the lists or filters on those scopes match the same objects. There might be objects where this behavior isn't wanted, such as in the case of executives. For these objects, you can define exclusive scopes. Exclusive scopes use filters or lists in the same way as regular scopes but unlike regular scopes, deny access to objects included in the scope to anyone who isn't part of the same or equivalent exclusive scope. For more information about exclusive scopes, see Understanding exclusive scopes.

Filterbasierte EmpfängerbereicheRecipient filter scopes

Mithilfe von Empfängerfilter Bereichen können Sie steuern, welche Empfängerobjekte von Rollenempfängern verwaltet werden können, indem Sie eine oder mehrere Eigenschaften eines Recipient-Objekts anhand eines Werts auswerten, den Sie in einer Filteranweisung angeben.Recipient filter scopes enable you to control which recipient objects role assignees can manage by evaluating one or more properties on a recipient object against a value that you specify in a filter statement. In Empfänger Bereichen enthaltene Empfänger sind Postfächer, e-Mail-aktivierte Benutzer, Verteilergruppen und e-Mail-Kontakte.Recipients included in recipient scopes are mailboxes, mail-enabled users, distribution groups and mail contacts. Nur die Empfänger, die mit dem von Ihnen angegebenen Filter übereinstimmen, können von den Rollenempfängern verwaltet werden, denen diese Rollenzuweisung zugewiesen ist.Only the recipients that match the filter you specify can be managed by the role assignees assigned that role assignment. Ein Beispiel für eine Filter-Anweisung { Name -Eq "David" } ist, wobei Name die Eigenschaft für das Recipient-Objekt ist, das ausgewertet wird, und David ist der Wert, den Sie für die Eigenschaft auswerten möchten.An example of a filter statement is { Name -Eq "David" } where Name is the property on the recipient object that's being evaluated and David is the value you want to evaluate against the property. Der Vergleichsoperator -EQ gibt an, dass der in der Eigenschaft gespeicherte Wert mit dem Wert übereinstimmen muss, der für den Filter auf true festgelegt wurde.The -Eq comparison operator indicates that the value stored in the property must be equal to the value that was specified for the filter to be true. Wenn der Filter auf true festgelegt ist, ist dieser Empfänger im Bereich enthalten.If the filter is true, that recipient is included in scope.

Empfängerfilter Bereiche werden erstellt, indem der Empfängerfilter angegeben wird, der mit dem Parameter RecipientRestrictionFilter für das Cmdlet New-ManagementScope verwendet werden soll.Recipient filter scopes are created by specifying the recipient filter to use with the RecipientRestrictionFilter parameter on the New-ManagementScope cmdlet. Standardmäßig werden mit dem Cmdlet New-ManagementScope reguläre Bereiche erstellt.By default, the New-ManagementScope cmdlet creates regular scopes. Wenn Sie einen exklusiven Bereich erstellen möchten, schließen Sie den exklusiven Switch zusammen mit dem RecipientRestrictionFilter -Parameter ein.If you want to create an exclusive scope, include the Exclusive switch along with the RecipientRestrictionFilter parameter.

Wenn Sie einen Empfängereinschränkungsfilter erstellen, wertet Exchange standardmäßig jedes Empfängerobjekt in der Organisation anhand des bereitgestellten Filters aus.When you create a recipient restriction filter, Exchange evaluates the filter you provided against every recipient object in the organization by default. Wenn Sie einschränken möchten, welche Empfänger vom Bereich ausgewertet werden, können Sie den RecipientRoot -Parameter zusammen mit dem RecipientRestrictionFilter -Parameter verwenden.If you want to limit which recipients the scope evaluates, you can use the RecipientRoot parameter along with the RecipientRestrictionFilter parameter. Der RecipientRoot -Parameter akzeptiert eine Organisationseinheit.The RecipientRoot parameter accepts an OU. Wenn Sie den Parameter RecipientRoot verwenden, wertet Exchange nur die Empfänger aus, die in der angegebenen Organisationseinheit enthalten sind, anhand des von Ihnen bereitgestellten Filters.When you use the RecipientRoot parameter, Exchange evaluates only the recipients included in the specified OU against the filter you provided.

Wenn Sie einer Rollenzuweisung einen Empfängerfilterbereich hinzufügen, geben Sie den Namen des Empfängerbereichs im Parameter CustomRecipientWriteScope auf dem New-ManagementRoleAssignment an, wenn Sie eine neue Rollenzuweisung erstellen, oder ** **Cmdlet "ManagementRoleAssignment", wenn Sie eine vorhandene Rollenzuweisung aktualisieren.When you add a recipient filter scope to a role assignment, specify the name of the recipient scope in the CustomRecipientWriteScope parameter on the New-ManagementRoleAssignment if you're creating a new role assignment, or the Set-ManagementRoleAssignment cmdlet if you're updating an existing role assignment. Jede Rollenzuweisung kann nur einen Empfängerbereich aufweisen, einschließlich vordefinierter relativer Bereiche.Each role assignment can have one recipient scope, including predefined relative scopes. Sie können einer Rollenzuweisung, der Sie einen Empfängerbereich hinzugefügt haben, außerdem höchstens einen Konfigurationsbereich hinzufügen.You can add one configuration scope to the same role assignment you added a recipient scope to.

Weitere Informationen zur Filtersyntax und eine vollständige Liste filterbarer Empfängereigenschaften von Empfängern finden Sie unter Grundlegendes zu Verwaltungsrollenbereichs-Filtern.For more information about filter syntax and for a full list of filterable recipient properties on recipients, see Understanding management role scope filters.

KonfigurationsbereicheConfiguration scopes

Die folgenden beiden Arten von Konfigurationsbereichen stehen in Exchange 2013 zur Verfügung:The following are the two types of configuration scopes offered in Exchange 2013:

  • Server Bereiche: Es gibt zwei Arten von Server Bereichen, Serverfilter Bereiche und Serverlisten Bereiche.Server scopes: There are two types of server scopes, server filter scopes and server list scopes. Aspekte der Serverkonfiguration, die verwaltet werden können, wenn ein Serverobjekt in einen Serverbereich eingeschlossen ist, sind Empfangsconnectors, Transportwarteschlangen, Serverzertifikate, virtuelle Verzeichnisse usw.Server configuration, including Receive connectors, transport queues, server certificates, virtual directories, and so on, can be managed if a server object is included in a server scope.

    • Serverfilter Bereiche: mithilfe von Serverfilter Bereichen können Sie steuern, welche Server Objekte Rollenempfänger verwalten können, indem Sie eine oder mehrere Eigenschaften eines Serverobjekts anhand eines Werts auswerten, den Sie in einer Filteranweisung angeben.Server filter scopes: Server filter scopes enable you to control which server objects role assignees can manage by evaluating one or more properties on a server object against a value that you specify in a filter statement. Verwenden Sie zum Erstellen eines Serverfilter Bereichs den Parameter ServerRestrictionFilter für das Cmdlet New-ManagementScope .To create a server filter scope, use the ServerRestrictionFilter parameter on the New-ManagementScope cmdlet.

    • Serverlisten Bereiche: mithilfe von Serverlisten Bereichen können Sie steuern, welche Server Objekte Rollenempfänger verwalten können, indem Sie eine Liste der Server definieren, auf die ein Rollenempfänger zugreifen kann.Server list scopes: Server list scopes enable you to control which server objects role assignees can manage by defining a list of servers that a role assignee can access. Verwenden Sie zum Erstellen eines Serverlisten Bereichs den ** Parameter serverlist für das Cmdlet New-ManagementScope .To create a server list scope, use the ServerList parameter on the New-ManagementScope cmdlet.

  • Datenbankbereiche: Es gibt zwei Arten von Datenbankbereichen, Datenbankfilter Bereiche und Datenbanklisten Bereiche.Database scopes: There are two types of database scopes, database filter scopes and database list scopes. Aspekte der Datenbankkonfiguration, die verwaltet werden können, wenn ein Datenbankobjekt in einen Datenbankbereich eingeschlossen ist, sind Datenbank-Kontingentgrenzwerte, Datenbankwartung, Replikation Öffentlicher Ordner, die Frage, ob eine Datenbank eingebunden ist, usw.Database configuration that can be managed if a database object is included in a database scope include database quota limits, database maintenance, public folder replication, whether a database is mounted, and so on. Datenbankbereiche können neben der Datenbankkonfiguration auch verwendet werden, um zu steuern, in welchen Datenbanken Empfänger erstellt werden können.In addition to database configuration, database scopes can also be used to control which databases recipients can be created in. Wenn in Ihrer Organisation Server mit einer Version vor Exchange 2010 SP1 vorhanden sind, finden Sie im Abschnitt Datenbankbereiche und frühere Exchange-Versionen weiter unten in diesem Thema zusätzliche Informationen.If you have pre-Exchange 2010 SP1 servers in your organization, see the Database scopes and previous versions of Exchange section later in this topic.

    • Datenbankfilter Bereiche: mithilfe von Datenbankfilter Bereichen können Sie steuern, welche Datenbankobjekte Rollenempfänger verwalten können, indem Sie eine oder mehrere Eigenschaften eines Datenbankobjekts anhand eines Werts auswerten, den Sie in einer Filteranweisung angeben.Database filter scopes: Database filter scopes enable you to control which database objects role assignees can manage by evaluating one or more properties on a database object against a value that you specify in a filter statement. Verwenden Sie zum Erstellen eines Datenbankfilter Bereichs den Parameter dem databaserestrictionfilter erstellt für das Cmdlet New-ManagementScope .To create a database filter scope, use the DatabaseRestrictionFilter parameter on the New-ManagementScope cmdlet.

    • Datenbanklisten Bereiche: mithilfe von Datenbanklisten Bereichen können Sie steuern, welche Datenbankobjekte Rollenempfänger verwalten können, indem Sie eine Liste der Datenbanken definieren, auf die ein Rollenempfänger zugreifen kann.Database list scopes: Database list scopes enable you to control which database objects role assignees can manage by defining a list of databases that a role assignee can access. Verwenden Sie zum Erstellen eines Datenbanklisten Bereichs ** den Parameter databaselist im Cmdlet New-ManagementScope .To create a database list scope, use the DatabaseList parameter on the New-ManagementScope cmdlet.

Weitere Informationen zur Filtersyntax und eine vollständige Liste filterbarer Server- und Datenbankeigenschaften finden Sie unter Grundlegendes zu Verwaltungsrollenbereichs-Filtern.For more information about filter syntax and for a full list of filterable server and database properties, see Understanding management role scope filters.

Sie können Server- und Datenbanklisten definieren, indem Sie jeden Server und jede Datenbank angeben, der/die in den jeweiligen Bereich eingeschlossen werden soll. Sie können mehrere Server oder Datenbanken in den entsprechenden Bereichen angeben, indem Sie die Server- und Datenbanknamen durch Kommas trennen.Server and database lists can be defined by specifying each server and database you want to include in their respective scopes. Multiple servers or databases can be specified in their respective scopes by separating the server and database names with commas.

Wenn Sie einer Rollenzuweisung einen Server-oder Daten Bank Konfigurationsbereich hinzufügen, geben Sie den Namen des Server-oder Daten Bank Konfigurationsbereichs im Parameter CustomConfigWriteScope des Cmdlets New-ManagementRoleAssignment an, wenn Sie erstellen eine neue Rollenzuweisung oder das Cmdlet " ManagementRoleAssignment ", wenn Sie eine vorhandene Rollenzuweisung aktualisieren.When you add a server or database configuration scope to a role assignment, specify the name of the server or database configuration scope in the CustomConfigWriteScope parameter on the New-ManagementRoleAssignment cmdlet if you're creating a new role assignment, or the Set-ManagementRoleAssignment cmdlet if you're updating an existing role assignment. Jede Rollenzuweisung kann nur einen Konfigurationsbereich aufweisen.Each role assignment can only have one configuration scope.

Mit Datenbankbereichen können Sie nicht nur steuern, welche Datenbanken Rollenempfänger verwalten können, sondern auch, in welchen Datenbanken Rollenempfänger Postfächer erstellen können.In addition to controlling which databases role assignees can manage, database scopes also enable you to control which databases role assignees can create mailboxes on. Dies wird separat davon gesteuert, welche Empfänger ein Rollenempfänger verwalten kann.This is separate from controlling which recipients a role assignee can manage. Wenn ein Rollenempfänger über die Berechtigungen zum Erstellen eines neuen Postfachs, Einrichten der E-Mail-Aktivierung für einen vorhandenen Benutzer oder Verschieben von Postfächern verfügt, können Sie diese Berechtigungen weiter verfeinern, indem Sie mithilfe von Datenbankbereichen steuern, in welcher Datenbank das Postfach erstellt wird oder in welche Datenbank ein Postfach verschoben wird.If a role assignee has permissions to create a new mailbox, mail-enable an existing user, or move mailboxes, you can further refine their permissions by using database scopes to control the database on which the mailbox is created, or which database a mailbox is moved to. Das Steuern der Empfänger, die ein Rollenempfänger verwalten kann, wird mithilfe eines im CustomRecipientWriteScope -Parameter für das Cmdlet New-ManagementRoleAssignment oder Sets-ManagementRoleAssignment angegebenen Empfängerbereichs ausgeführt.Controlling which recipients a role assignee can manage is done using a recipient scope specified in the CustomRecipientWriteScope parameter on the New-ManagementRoleAssignment or Set-ManagementRoleAssignment cmdlet. Steuern der Datenbanken, auf die ein Postfach erstellt oder verschoben werden kann, werden mithilfe eines Datenbankbereichs gesteuert, der im Parameter CustomConfigurationWriteScope für dieselben Cmdlets angegeben ist.Controlling which databases a mailbox can be created on or moved to is controlled using a database scope specified in the CustomConfigurationWriteScope parameter on the same cmdlets.

Hinweis

Die automatische Postfachverteilung kann mithilfe von Datenbankbereichen gesteuert werden.Automatic mailbox distribution can be controlled using database scopes.

Für bestimmte Funktionen von Exchange müssen möglicherweise Serverbereiche, Datenbankbereiche oder beides verwaltet werden. Wenn für eine Funktion sowohl Server- als auch Datenbankbereiche verwaltet werden müssen, müssen Sie zwei Rollenzuweisungen erstellen und dem Rollenempfänger zuweisen, der über Verwaltungszugriff auf die Funktion verfügen soll. Ordnen Sie eine Rollenzuweisung dem Serverbereich zu und die andere dem Datenbankbereich.Exchange features may require either server scopes, database scopes, or both, to be managed. If a feature requires both server and database scopes to be managed, two role assignments must be created and assigned to the role assignee that should have access to manage the feature. One role assignment should be associated with the server scope, and one role assignment should be associated with the database scope.

Für einige Cmdlets werden möglicherweise Konfigurationsbereiche verwendet, die nicht sofort offensichtlich sind. Die folgende Tabelle enthält eine Liste von Cmdlets und den Konfigurationsbereichen, mit denen Sie ihre Verwendung steuern können. Für Cmdlets im Empfängerfunktionsbereich können Sie mit Konfigurationsbereichen steuern, in welchen Datenbanken Empfänger erstellt werden können. Sie steuern nicht, welche Empfänger verwaltet werden können. Die Spalte Erforderliche Bereiche kann Folgendes enthalten:Some cmdlets may use configuration scopes that aren't immediately obvious. The following table includes a list of cmdlets and the configuration scopes that you can use to control their usage. For cmdlets included in the recipients feature area, configuration scopes enable you to control on which databases recipients can be created. They don't control which recipients can be managed. The Required scopes column can contain the following:

  • Database: zum Ausführen des Cmdlets muss dem Rollenempfänger eine Rollenzuweisung mit einem Datenbankbereich zugewiesen werden, der die zu verwaltende Datenbank enthält, oder der implizite Konfigurationsschreibbereich der Rolle muss die zu verwaltende Datenbank enthalten.Database: To run the cmdlet, the role assignee must be assigned a role assignment with a database scope that includes the database to be managed or the role's implicit configuration write scope must include the database to be managed.

  • Server: zum Ausführen des Cmdlets muss dem Rollenempfänger eine Rollenzuweisung mit einem Serverbereich zugewiesen werden, der den zu verwaltenden Server enthält, oder der implizite Konfigurationsschreibbereich der Rolle muss den zu verwaltenden Server enthalten.Server: To run the cmdlet, the role assignee must be assigned a role assignment with a server scope that includes the server to be managed or the role's implicit configuration write scope must include the server to be managed.

  • Server oder Datenbank: zum Ausführen des Cmdlets muss dem Rollenempfänger eine Rollenzuweisung zugewiesen werden, wobei entweder ein Datenbankbereich die zu verwaltende Datenbank enthält oder wenn ein Serverbereich den Server enthält, auf dem sich die Datenbank befindet.Server or database: To run the cmdlet, the role assignee must be assigned a role assignment where either a database scope includes the database being managed, or where a server scope includes the server where the database is located. Alternativ muss der implizite Konfigurationsschreibbereich der Rolle die zu verwaltende Datenbank einschließen oder den Server enthalten, auf dem sich die Datenbank befindet, und die Rollenzuweisung darf nicht über einen benutzerdefinierten Schreibbereich verfügen.Or, the role's implicit configuration write scope must contain the database to be managed, or contain the server where the database is located, and the role assignment can't have a custom write scope.

  • Server und Datenbank: zum Ausführen dieses Cmdlets müssen dem Rollenempfänger zwei Rollenzuweisungen zugewiesen werden.Server and database: To run this cmdlet, the role assignee must be assigned two role assignments. Die erste Rollenzuweisung muss einen Datenbankbereich enthalten, der die zu verwaltende Datenbank einschließt.The first role assignment must include a database scope that includes the database to be managed. Die zweite Rollenzuweisung muss einen Serverbereich enthalten, der den Server einschließt, auf dem sich die Datenbank befindet.The second role assignment must include a server scope that includes the server where the database is located. Für die Rollenzuweisungen können benutzerdefinierte Konfigurationsbereiche definiert sein, oder die Rollenzuweisungen können den impliziten Konfigurationsschreibbereich von der Rolle erben.The role assignments can have custom configuration scopes defined, or the role assignments can inherit the implicit configuration write scope from the role. Damit der implizite Schreibbereich von der Rolle geerbt werden kann, darf die Rollenzuweisung nicht über einen benutzerdefinierten Schreibbereich verfügen.To inherit the implicit write scope from the role, the role assignment can't have a custom write scope.

Funktionsbereiche und zugehörige Datenbank- und ServerbereicheFeature areas and applicable database and server scopes

FunktionsbereichFeature area CmdletCmdlet Erforderliche BereicheRequired scopes

DatabasesDatabases

Dismount-DatabaseDismount-Database

DatenbankDatabase

DatenbankenDatabases

Mount-DatabaseMount-Database

DatenbankDatabase

DatenbankenDatabases

DatabasePathMove-DatabasePath

Server und DatenbankServer and database

DatenbankenDatabases

Remove-MailboxDatabaseRemove-MailboxDatabase

Server oder DatenbankServer or database

DatenbankenDatabases

Gruppe-MailboxDatabaseSet-MailboxDatabase

DatabaseDatabase

Hohe VerfügbarkeitHigh availability

Add-DatabaseAvailabilityGroupServerAdd-DatabaseAvailabilityGroupServer

ServerServer

Hohe VerfügbarkeitHigh availability

Add-MailboxDatabaseCopyAdd-MailboxDatabaseCopy

ServerServer

Hohe VerfügbarkeitHigh availability

ActiveMailboxDatabaseMove-ActiveMailboxDatabase

ServerServer

Hohe VerfügbarkeitHigh availability

Remove-DatabaseAvailabilityGroupServerRemove-DatabaseAvailabilityGroupServer

ServerServer

Hohe VerfügbarkeitHigh availability

Remove-MailboxDatabaseCopyRemove-MailboxDatabaseCopy

Server oder DatenbankServer or database

Hohe VerfügbarkeitHigh availability

Resume-MailboxDatabaseCopyResume-MailboxDatabaseCopy

Server oder DatenbankServer or database

Hohe VerfügbarkeitHigh availability

Gruppe-MailboxDatabaseCopySet-MailboxDatabaseCopy

Server oder DatenbankServer or database

Hohe VerfügbarkeitHigh availability

Suspend-MailboxDatabaseCopySuspend-MailboxDatabaseCopy

Server oder DatenbankServer or database

Hohe VerfügbarkeitHigh availability

Update-MailboxDatabaseCopyUpdate-MailboxDatabaseCopy

Server oder DatenbankServer or database

EmpfängerRecipients

Connect-MailboxConnect-Mailbox

DatenbankDatabase

EmpfängerRecipients

Enable-MailboxEnable-Mailbox

DatenbankDatabase

EmpfängerRecipients

New-MailboxNew-Mailbox

DatenbankDatabase

EmpfängerRecipients

New-MoveRequestNew-MoveRequest

DatabaseDatabase

ProblembehandlungTroubleshooting

Test-MapiConnectivityTest-MapiConnectivity

DatabaseDatabase

Datenbankbereiche und frühere Exchange-VersionenDatabase scopes and previous versions of Exchange

Datenbankbereiche wurden erstmalig in Microsoft Exchange 2010 Service Pack 1 (SP1) eingeführt und werden in Exchange 2013 weiterhin unterstützt. Exchange-Versionen vor Exchange 2010 SP1 unterstützen lediglich Empfängerbereiche und Serverkonfigurationsbereiche. Wenn Sie einen neuen Datenbankbereich auf einem Server mit Exchange 2010 SP1 oder höher erstellen, wird die folgende Warnung angezeigt:Database scopes were first introduced in Microsoft Exchange 2010 Service Pack 1 (SP1) and continue to be supported in Exchange 2013. Versions of Exchange prior to Exchange 2010 SP1 support only recipient scopes and server configuration scopes. When you create a new database scope on an Exchange 2010 SP1 or later server, you'll receive the following warning:

WARNING: Database management scopes will only be applied when a user connects to a server running Exchange 2010 SP1 or later. Servers running a version of Exchange prior to Exchange 2010 SP1 won't apply any roles from a role assignment linked to a database scope. Database management scopes also won't be visible to the Get-ManagementScope cmdlet when it's run from a pre-Exchange 2010 SP1 server.

Wenn Sie einen Datenbankbereich erstellen, wird er nur auf Benutzer angewendet, die Verbindungen mit Servern mit Exchange 2010 SP1 oder höher herstellen. Auf Benutzer, die Verbindungen mit Servern vor Exchange 2010 SP1 herstellen, werden keine Rollenzuweisungen mit Datenbankbereichen angewendet. Dies bedeutet, dass jegliche Berechtigungen, die von diesen Rollenzuweisungen bereitgestellt werden, Benutzern mit Servern vor Exchange 2010 SP1 bei der Verbindungsherstellung nicht erteilt werden. Datenbankbereiche können von Servern vor Exchange 2010 SP1 nicht erstellt, entfernt, geändert oder angezeigt werden.When you create a database scope, it's only applied to users who connect to servers running Exchange 2010 SP1 or later. Users who connect to pre-Exchange 2010 SP1 servers won't have any role assignments associated with database scopes applied to them. This means that any permissions provided by these role assignments won't be granted to users when they connect to pre-Exchange 2010 SP1 servers. Database scopes can't be created, removed, modified, or viewed from pre-Exchange 2010 SP1 servers.

Ein Datenbankbereich kann jegliche Datenbanken in der Exchange-Organisation einschließen. Dies umfasst Server mit Exchange Server 2007, Exchange 2010 und Exchange 2013. Hiermit können Sie unabhängig von der Exchange-Version steuern, welche Datenbanken Benutzer verwalten können. Wie bei anderen Datenbankbereichen auch, werden Rollenzuweisungen mit Datenbankbereichen, die Exchange 2007- und Exchange 2010-Datenbanken enthalten, nur dann auf Benutzer angewendet, wenn sie eine Verbindung mit einem Server mit Exchange 2010 SP1 oder höher herstellen.A database scope can include any database in your Exchange organization. This includes Exchange Server 2007, Exchange 2010, and Exchange 2013 servers. This enables you to control which databases, regardless of Exchange version, that users can manage. As with other database scopes, role assignments associated with database scopes that contain Exchange 2007 and Exchange 2010 databases are only applied to users when they connect to an Exchange 2010 SP1 or later server.

Benutzer, die eine Verbindung mit einem Server vor Exchange 2010 SP1 herstellen, können Rollenzuweisungen anzeigen und ändern, die Datenbankbereichen zugeordnet sind. Hierzu gehört auch das Ändern des Konfigurationsbereichs einer vorhandenen Rollenzuweisung in einen Serverbereich, wenn er zurzeit einem Datenbankbereich zugeordnet ist. Wenn der Konfigurationsbereich einer Rollenzuweisung jedoch in einen Serverbereich geändert wird und ein Benutzer ihn später wieder in einen Datenbankbereich ändern möchte, oder wenn der Benutzer den Konfigurationsbereich in einen anderen Datenbankbereich ändern möchte, muss der Benutzer beim Vornehmen der Änderung über eine Verbindung mit einem Server mit Exchange 2010 SP1 oder höher verfügen. Benutzer, die über eine Verbindung mit einem Server vor Exchange 2010 SP1 verfügen, können beim Ändern des Konfigurationsbereichs für eine Rollenzuweisung nur Serverbereiche angeben.Users who connect to a pre-Exchange 2010 SP1 server can view and modify role assignments associated with database scopes. This includes changing the configuration scope on an existing role assignment to a server scope if it's currently associated with a database scope. However, if the configuration scope on a role assignment is changed to a server scope and a user later wants to change it back to a database scope, or if the user wants to change the configuration scope to another database scope, the user must make the change while connected to an Exchange 2010 SP1 or later server. Users can only specify server scopes when they change the configuration scope on a role assignment if they're connected to a pre-Exchange 2010 SP1 server.