Grundlegendes zur rollenbasierten ZugriffssteuerungUnderstanding Role Based Access Control

Gilt für: Exchange Server 2013Applies to: Exchange Server 2013

Bei der rollenbasierten Zugriffssteuerung ( Role Based Access Control, RBAC) handelt es sich um das in Microsoft Exchange Server 2013 verwendete Berechtigungsmodell. Mit RBAC ist eine Änderung und Verwaltung der Zugriffssteuerungslisten (Access Control Lists, ACLs) wie in Exchange Server 2007 nicht länger erforderlich. ACLs boten in Exchange 2007 einige Herausforderungen, z. B. das Ändern der ACLs ohne unvorhersehbare Folgen, die Verwaltung von ACL-Änderungen bei Upgrades und die Behandlung von Problemen, die durch eine nicht standardmäßige Verwendung von ACLs verursacht wurden.Role Based Access Control (RBAC) is the permissions model used in Microsoft Exchange Server 2013. With RBAC, you don't need to modify and manage access control lists (ACLs), which was done in Exchange Server 2007. ACLs created several challenges in Exchange 2007, such as modifying ACLs without causing unintended consequences, maintaining ACL modifications through upgrades, and troubleshooting problems that occurred due to using ACLs in a nonstandard way.

Mithilfe von RBAC können Sie sowohl auf allgemeiner als auch auf detaillierter Ebene steuern, welche Aktionen von Administratoren und Endbenutzern ausgeführt werden können. RBAC ermöglicht Ihnen außerdem eine genauere Anpassung der den Benutzern und Administratoren zugewiesenen Rollen an ihre tatsächlichen Positionen, die sie innerhalb der Organisation einnehmen. In Exchange 2007 galt das Serverberechtigungsmodell nur für die Administratoren, die für die Verwaltung der Exchange 2007-Infrastruktur zuständig waren. In Exchange 2013 steuert RBAC jetzt sowohl, welche Verwaltungstasks durchgeführt werden können, als auch den Umfang, in dem Benutzer jetzt ihre eigenen Postfach- und Verteilergruppen verwalten können.RBAC enables you to control, at both broad and granular levels, what administrators and end-users can do. RBAC also enables you to more closely align the roles you assign users and administrators to the actual roles they hold within your organization. In Exchange 2007, the server permissions model applied only to the administrators who managed the Exchange 2007 infrastructure. In Exchange 2013, RBAC now controls both the administrative tasks that can be performed and the extent to which users can now administer their own mailbox and distribution groups.

Bei der rollenbasierten Zugriffssteuerung gibt es zwei Hauptmethoden zum Zuordnen von Berechtigungen zu Benutzern in einer Organisation, die davon abhängen, ob es sich bei dem Benutzer um einen Administrator oder spezialisierten Benutzer oder um einen Endbenutzer handelt: Verwaltungsrollengruppen und Richtlinien für die Zuweisung von Verwaltungsrollen. Jede Methode ordnet Benutzern Berechtigungen zu, die sie für ihre Tätigkeit benötigen. Auch eine dritte, fortgeschrittenere Methode kann verwendet werden: die direkte Benutzerrollenzuweisung. In den folgenden Abschnitten dieses Themas wird die rollenbasierte Zugriffssteuerung erläutert, und Sie erhalten Beispiele für deren Verwendung.RBAC has two primary ways of assigning permissions to users in your organization, depending on whether the user is an administrator or specialist user, or an end-user: management role groups and management role assignment policies. Each method associates users with the permissions they need to perform their jobs. A third, more advanced method, direct user role assignment, can also be used. The following sections in this topic explain RBAC and provide examples of its use.

Hinweis

Inhalt dieses Themas ist die erweiterte RBAC-Funktionalität. Informationen zum Verwalten grundlegender Exchange 2013-Berechtigungen finden Sie unter Berechtigungen. In diesem Thema wird z. B. beschrieben, wie Sie das Exchange Admin Center (EAC) verwenden, um Mitglieder zu Rollengruppen hinzuzufügen oder aus diesen zu entfernen oder um Rollengruppen und Rollenzuweisungsrichtlinien zu erstellen oder zu ändern.This topic focuses on advanced RBAC functionality. If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

VerwaltungsrollengruppenManagement role groups

Verwaltungsrollengruppen ordnen Verwaltungsrollen einer Gruppe von Administratoren oder spezialisierten Benutzern zu.Management role groups associate management roles to a group of administrators or specialist users. Administratoren verwalten eine umfassende Exchange-Organisation oder Empfängerkonfiguration.Administrators manage a broad Exchange organization or recipient configuration. Spezielle Benutzer verwalten die spezifischen Features von Exchange, beispielsweise die Compliance.Specialist users manage the specific features of Exchange, such as compliance. Möglicherweise erfüllen sie auch eingeschränkte Verwaltungsaufgaben, wie z. B. Helpdeskmitarbeiter, erhalten jedoch keine umfassenden Administratorrechte.Or they may have limited management abilities, such as Help desk members, but aren't given broad administrative rights. Rollengruppen weisen in der Regel administrative Verwaltungsrollen zu, die Administratoren und spezialisierten Benutzern das Verwalten der Konfiguration ihrer Organisation und der entsprechenden Empfänger ermöglichen.Role groups typically associate administrative management roles that enable administrators and specialist users to manage the configuration of their organization and recipients. Ob Administratoren Empfänger verwalten oder Postfachdiscoveryfunktionen verwenden können, wird beispielsweise durch Rollengruppen gesteuert.For example, whether administrators can manage recipients or use mailbox discovery features is controlled using role groups.

Berechtigungen werden den Administratoren oder spezialisierten Benutzern normalerweise durch Hinzufügen oder Entfernen der Benutzer zu bzw. aus den Rollengruppen erteilt. Weitere Informationen finden Sie unter Grundlegendes zu Verwaltungsrollengruppen.Adding or removing users to or from role groups is how you most often assign permissions to administrators or specialist users. For more information, see Understanding management role groups.

Rollengruppen bestehen aus den folgenden Komponenten, durch welche die von den Administratoren und spezialisierten Benutzern durchgeführten Aufgaben definiert werden:Role groups consist of the following components that define what administrators and specialist users can do:

  • Verwaltungsrollengruppe: die Verwaltungsrollengruppe ist eine spezielle universelle Sicherheitsgruppe (Universal Security Group, USG) mit Postfächern, Benutzern, USGS und anderen Rollengruppen, die Mitglieder der Rollengruppe sind.Management role group: The management role group is a special universal security group (USG) that contains mailboxes, users, USGs, and other role groups that are members of the role group. Hier werden Mitglieder hinzugefügt und entfernt und auch Verwaltungsrollen zugewiesen.This is where you add and remove members, and it's also what management roles are assigned to. Die Kombination all dieser Rollen in einer Rollengruppe definiert all das, was die einer Rollengruppe hinzugefügten Benutzer in der Exchange-Organisation verwalten können.The combination of all the roles on a role group defines everything that users added to a role group can manage in the Exchange organization.

  • Verwaltungsrolle: eine Verwaltungs Rolle ist ein Container für eine Gruppierung von Verwaltungsrolleneinträgen.Management role: A management role is a container for a grouping of management role entries. Anhand von Rollen werden die spezifischen Tasks definiert, die von den Mitgliedern einer Rollengruppe, der die Rolle zugewiesen wird, ausgeführt werden können.Roles are used to define the specific tasks that can be performed by the members of a role group that's assigned the role. Ein Verwaltungsrolleneintrag ist ein Cmdlet, Skript oder eine spezielle Berechtigung zur Ausführung der einzelnen spezifischen Tasks in einer Rolle.A management role entry is a cmdlet, script, or special permission that enables each specific task in a role to be performed. Weitere Informationen finden Sie unter Grundlegendes zu Verwaltungsrollen.For more information, see Understanding management roles.

  • Verwaltungsrollenzuweisung: eine Verwaltungsrollenzuweisung verknüpft eine Rolle mit einer Rollengruppe.Management role assignment: A management role assignment links a role and a role group. Durch das Zuweisen einer Rolle zu einer Rollengruppe wird Mitgliedern der Rollengruppe die Möglichkeit gegeben, die in der Rolle definierten Cmdlets und Parameter zu verwenden.Assigning a role to a role group grants members of the role group the ability to use the cmdlets and parameters defined in the role. ‏Rollenzuweisungen können Verwaltungsbereiche verwenden, um zu steuern, an welchen Stellen die Zuweisung eingesetzt werden kann.Role assignments can use management scopes to control where the assignment can be used. Weitere Informationen finden Sie unter Grundlegendes zu Verwaltungsrollenzuweisungen.For more information, see Understanding management role assignments.

  • Verwaltungsrollenbereich: ein Verwaltungsrollenbereich ist der Einflussbereich oder die Auswirkung auf eine Rollenzuweisung.Management role scope: A management role scope is the scope of influence or impact on a role assignment. Wird eine Rolle mit einem Bereich einer Rollengruppe zugewiesen, grenzt der Verwaltungsbereich genau ein, welche Objekte diese Zuweisung verwalten darf.When a role is assigned with a scope to a role group, the management scope targets specifically what objects that assignment is allowed to manage. Die Zuweisung und ihr Bereich werden dann auf die Mitglieder der Rollengruppe übertragen und schränken die Verwaltungsmöglichkeiten dieser Mitglieder ein.The assignment, and its scope, are then given to the members of the role group, and restrict what those members can manage. Ein Bereich kann aus einer Liste von Servern oder Datenbanken, Organisationseinheiten oder Filtern für Server-, Datenbank- oder Empfängerobjekte bestehen.A scope can consist of a list of servers or databases, organizational units (OUs), or filters on server, database or recipient objects. Weitere Informationen finden Sie unter Grundlegendes zu Verwaltungsrollenbereichen.For more information, see Understanding management role scopes.

Wenn Sie einen Benutzer einer Rollengruppe hinzufügen, erhält der Benutzer sämtliche Rollen, die der Rollengruppe zugewiesen sind. Gelten Bereiche für einige Rollenzuweisungen zwischen der Rollengruppe und den Rollen, wird durch diese Bereiche gesteuert, welche Serverkonfiguration oder Empfänger der Benutzer verwalten kann.When you add a user to a role group, the user is given all of the roles assigned to the role group. If scopes are applied to any of the role assignments between the role group and the roles, those scopes control what server configuration or recipients the user can manage.

Wenn Sie die den Rollengruppen zugewiesenen Rollen ändern möchten, müssen Sie die Rollenzuweisungen ändern, durch welche die Rollengruppen mit den Rollen verknüpft sind. Wenn die in Exchange 2013 vorgegebenen Zuweisungen Ihren Anforderungen entsprechen, müssen diese nicht geändert werden. Weitere Informationen finden Sie unter Grundlegendes zu Verwaltungsrollenzuweisungen.If you want to change what roles are assigned to role groups, you need to change the role assignments that link the role groups to roles. Unless the assignments built into Exchange 2013 don't suit your needs, you won't have to change these assignments. For more information, see Understanding management role assignments.

Weitere Informationen zu Rollengruppen finden Sie unter Grundlegendes zu Verwaltungsrollengruppen.For more information about role groups, see Understanding management role groups.

Richtlinien für die VerwaltungsrollenzuweisungManagement role assignment policies

Durch die Richtlinien für die Verwaltungsrollenzuweisung werden Endbenutzer-Verwaltungsrollen den Benutzern zugeordnet. Rollenzuweisungsrichtlinien bestehen aus Rollen, die steuern, welche Aufgaben ein Benutzer an seinem Postfach oder seinen Verteilergruppen durchführen kann. Diese Rollen lassen nicht die Verwaltung von Funktionen zu, die dem Benutzer nicht direkt zugeordnet sind. Beim Erstellen einer Rollenzuweisungsrichtlinie definieren Sie alle Aufgaben, die ein Benutzer an seinem Postfach durchführen kann. Beispielsweise kann eine Rollenzuweisungsrichtlinie einem Benutzer das Festlegen des Anzeigenamens, das Einrichten von Voicemail und das Konfigurieren von Posteingangsregeln ermöglichen. Eine weitere Rollenzuweisungsrichtlinie kann einem Benutzer das Ändern der Adresse, die Verwendung von Textnachrichten und das Einrichten von Verteilergruppen gestatten. Alle Benutzer mit einem Exchange 2013-Postfach, einschließlich Administratoren, erhalten standardmäßig eine Rollenzuweisungsrichtlinie. Sie können entscheiden, welche Rollenzuweisungsrichtlinie standardmäßig zugewiesen werden soll, auswählen, was die Standard-Rollenzuweisungsrichtlinie enthalten soll, den Standard für bestimmte Postfächer außer Kraft setzen oder auch überhaupt keine Rollenzuweisungsrichtlinien standardmäßig zuweisen.Management role assignment policies associate end-user management roles to users. Role assignment policies consist of roles that control what a user can do with his or her mailbox or distribution groups. These roles don't allow management of features that aren't directly associated with the user. When you create a role assignment policy, you define everything a user can do with his or her mailbox. For example, a role assignment policy may allow a user to set the display name, set up voice mail, and configure Inbox rules. Another role assignment policy might allow a user to change the address, use text messaging, and set up distribution groups. Every user with an Exchange 2013 mailbox, including administrators, is given a role assignment policy by default. You can decide which role assignment policy should be assigned by default, choose what the default role assignment policy should include, override the default for certain mailboxes, or not assign role assignment policies by default at all.

In den meisten Fällen werden Sie Benutzerberechtigungen zur Verwaltung ihrer eigenen Postfach- und Verteilergruppenoptionen durch die Zuweisung eines Benutzers zu einer Zuweisungsrichtlinie verwalten. Weitere Informationen finden Sie unter Grundlegendes zu Verwaltungsrollen-Zuweisungsrichtlinien.Assigning a user to an assignment policy is how you most often manage permissions for users to manage their own mailbox and distribution group options. For more information, see Understanding management role assignment policies.

Rollenzuweisungsrichtlinien bestehen aus den folgenden Komponenten, welche die Aufgaben definieren, die Benutzer an ihren eigenen Postfächern vornehmen können. Beachten Sie, dass einige derselben Komponenten auch für Rollengruppen gelten. Wenn sie mit Rollenzuweisungsrichtlinien verwendet werden, sind diese Komponenten darauf beschränkt, Benutzern nur die Verwaltung ihres eigenen Postfachs zu ermöglichen:Role assignment policies consist of the following components that define what users can do with their own mailboxes. Notice that some of the same components also apply to role groups. When used with role assignment policies, these components are limited to enable users to manage only their own mailbox:

  • Zuweisungsrichtlinie für Verwaltungsrollen: die Zuweisungsrichtlinie für Verwaltungsrollen ist ein spezielles Objekt in Exchange 2013.Management role assignment policy: The management role assignment policy is a special object in Exchange 2013. Benutzern wird eine Rollenzuweisungsrichtlinie zugeordnet, wenn ihr Postfach erstellt wird oder Sie die Rollenzuweisungsrichtlinie für ein Postfach ändern.Users are associated with the role assignment policy when their mailboxes are created or if you change the role assignment policy on a mailbox. Der Rollenzuweisungsrichtlinie weisen Sie auch Endbenutzerverwaltungsrollen zu.This is also what you assign end-user management roles to. Die Kombination aller Rollen in einer Rollenzuweisungsrichtlinie definiert all das, was der Benutzer in seinem Postfach oder in Verteilergruppen verwalten kann.The combination of all the roles on a role assignment policy defines everything that the user can manage on his or her mailbox or distribution groups.

  • Verwaltungsrolle: eine Verwaltungs Rolle ist ein Container für eine Gruppierung von Verwaltungsrolleneinträgen.Management role: A management role is a container for a grouping of management role entries. Rollen werden zum Definieren der spezifischen Tasks verwendet, die Benutzer an ihrem Postfach oder ihren Verteilergruppen ausführen können.Roles are used to define the specific tasks that a user can do with his or her mailbox or distribution groups. Ein Verwaltungsrolleneintrag ist ein Cmdlet, Skript oder eine spezielle Berechtigung zur Ausführung der einzelnen spezifischen Tasks in einer Verwaltungsrolle.A management role entry is a cmdlet, script or special permission that enables each specific task in a management role to be performed. Sie können nur Endbenutzerverwaltungsrollen mit Rollenzuweisungsrichtlinien verwenden.You can only use end-user roles with role assignment policies. Weitere Informationen finden Sie unter Grundlegendes zu Verwaltungsrollen.For more information, see Understanding management roles.

  • Verwaltungsrollenzuweisung: eine Verwaltungsrollenzuweisung ist die Verknüpfung zwischen einer Rolle und einer Rollenzuweisungsrichtlinie.Management role assignment: A management role assignment is the link between a role and a role assignment policy. Durch das Zuweisen einer Rolle zu einer Rollenzuweisungsrichtlinie wird die Möglichkeit gegeben, die in der Rolle definierten Cmdlets und Parameter zu verwenden.Assigning a role to a role assignment policy grants the ability to use the cmdlets and parameters defined in the role. Beim Erstellen einer Rollenzuweisung zwischen einer Rollenzuweisungsrichtlinie und einer Rolle können Sie keinen Bereich angeben.When you create a role assignment between a role assignment policy and a role, you can't specify any scope. Der von der Zuweisung angewendete Bereich ist Self entweder MyGALoder.The scope applied by the assignment is either Self or MyGAL. Alle Rollenzuweisungen sind auf das Postfach oder die Verteilergruppen des Benutzers beschränkt.All role assignments are scoped to the user's mailbox or distribution groups. Weitere Informationen finden Sie unter Grundlegendes zu Verwaltungsrollenzuweisungen.For more information, see Understanding management role assignments.

Wenn Sie die den Rollenzuweisungsrichtlinien zugewiesenen Rollen ändern möchten, müssen Sie die Rollenzuweisungen ändern, durch welche die Rollenzuweisungsrichtlinien mit den Rollen verknüpft sind. Wenn die in Exchange 2013 vorgegebenen Zuweisungen Ihren Anforderungen entsprechen, müssen diese nicht geändert werden. Weitere Informationen finden Sie unter Grundlegendes zu Verwaltungsrollenzuweisungen.If you want to change what roles are assigned to role assignment policies, you need to change the role assignments that link the role assignment policies to roles. Unless the assignments built into Exchange 2013 don't suit your needs, you won't have to change these assignments. For more information, see Understanding management role assignments.

Weitere Informationen finden Sie unter Grundlegendes zu Verwaltungsrollen-Zuweisungsrichtlinien.For more information, see Understanding management role assignment policies.

Direkte BenutzerrollenzuweisungDirect user role assignment

Die direkte Benutzerrollenzuweisung ist eine fortgeschrittene Methode, um Verwaltungsrollen direkt einem Benutzer oder einer USG zuzuweisen, ohne eine Rollengruppe oder eine Rollenzuweisungsrichtlinie zu verwenden. Direkte Rollenzuweisungen können hilfreich sein, wenn Sie einen detaillierten Satz Berechtigungen nur einem bestimmten Benutzer bereitstellen möchten. Die Verwendung direkter Rollenzuweisungen kann die Komplexität Ihres Berechtigungsmodells jedoch erheblich erhöhen. Wenn ein Benutzer die Position wechselt oder das Unternehmen verlässt, müssen Sie die Zuweisungen manuell entfernen und dem neuen Mitarbeiter hinzufügen. Es empfiehlt sich, Rollengruppen zum Zuweisen von Berechtigungen für Administratoren und spezialisierte Benutzer sowie Rollenzuweisungsrichtlinien zum Zuweisen von Berechtigungen für Benutzer zu verwenden.Direct role assignment is an advanced method for assigning management roles directly to a user or USG without using a role group or role assignment policy. Direct role assignments can be useful when you need to provide a granular set of permissions to a specific user and no others. However, using direct role assignments can significantly increase the complexity of your permissions model. If a user changes jobs or leaves the company, you need to manually remove the assignments and add them to the new employee. We recommend that you use role groups to assign permissions to administrators and specialist users, and role assignment policies to assign permissions to users.

Weitere Informationen zur direkten Benutzerrollenzuweisung finden Sie unter Grundlegendes zu Verwaltungsrollenzuweisungen.For more information about direct user assignment, see Understanding management role assignments.

Zusammenfassung und BeispieleSummary and examples

In der folgenden Abbildung werden die Komponenten in RBAC und deren Zusammenhänge veranschaulicht:The following figure shows the components in RBAC and how they fit together:

  • Rollengruppen:Role groups:

    • Ein oder mehrere Administratoren können Mitglieder einer Rollengruppe sein. Sie können auch mehreren Rollengruppen angehören.One or more administrators can be members of a role group. They can also be members of more than one role group.

    • Der Rollengruppe wird eine oder mehrere Rollenzuweisungen zugewiesen. Durch diese wird die Rollengruppe mit einer oder mehreren Administratorrollen verknüpft, welche die durchführbaren Tasks definieren.The role group is assigned one or more role assignments. These link the role group with one or more administrative roles that define what tasks can be performed.

    • Die Rollenzuweisungen können Verwaltungsbereiche enthalten, durch welche definiert wird, an welchen Stellen die Benutzer der Rollengruppe Aktionen durchführen können. Die Bereiche legen fest, an welchen Stellen die Benutzer der Rollengruppe die Konfiguration ändern können.The role assignments can contain management scopes that define where the users of the role group can perform actions. The scopes determine where the users of the role group can modify configuration.

  • Rollenzuweisungsrichtlinien:Role assignment policies:

    • Ein oder mehrere Benutzer können einer Rollenzuweisungsrichtlinie zugeordnet werden.One or more users can be associated with a role assignment policy.

    • Der Rollenzuweisungsrichtlinie wird eine oder mehrere Rollenzuweisungen zugewiesen. Diese verknüpfen die Rollenzuweisungsrichtlinie mit einer oder mehreren Endbenutzerrollen. Die Endbenutzerrollen definieren, welche Komponenten der Benutzer in seinem Postfach konfigurieren kann.The role assignment policy is assigned one or more role assignments. These link the role assignment policy with one or more end-user roles. The end-user roles define what the user can configure on his or her mailbox.

    • Die Rollenzuweisungen zwischen den Rollenzuweisungsrichtlinien und den Rollen weisen vorgegebene Bereiche auf, welche die Zuweisungen auf das eigene Postfach oder die eigenen Verteilergruppen des Benutzers einschränken.The role assignments between role assignment policies and roles have built-in scopes that restrict the scope of assignments to the user's own mailbox or distribution groups.

  • Direkte Rollenzuweisung (fortgeschritten):Direct role assignment (advanced):

    • Eine Rollenzuweisung kann direkt zwischen einem Benutzer oder einer USG und einem oder mehreren Rollen erstellt werden. Die Rolle definiert die Tasks, die der Benutzer oder die USG ausführen kann.A role assignment can be created directly between a user or USG and one or more roles. The role defines what tasks the user or USG can perform.

    • Die Rollenzuweisungen können Verwaltungsbereiche enthalten, durch welche definiert wird, an welchen Stellen der Benutzer oder die USG Aktionen durchführen kann. Die Bereiche legen fest, an welchen Stellen der Benutzer oder die USG die Konfiguration ändern kann.The role assignments can contain management scopes that define where the user or USG can perform actions. The scopes determine where the user or USG can modify configuration.

Übersicht über RBACRBAC overview

![RBAC-Komponenten Beziehungen] (images/Dd298183.1dee60cc-1d58-4d36-b34e-639f091e7a56(EXCHG.150).jpg "RBAC-Komponenten Beziehungen")RBAC component relationships

Wie in der obigen Abbildung gezeigt, stehen viele Komponenten der rollenbasierten Zugriffssteuerung miteinander in Zusammenhang. Durch die Zusammensetzung der einzelnen Komponenten werden die Berechtigungen definiert, die auf die einzelnen Administratoren oder Benutzer angewendet werden. Die folgenden Beispiele bieten zusätzlichen Kontext zur Verwendung von Rollengruppen und Rollenzuweisungsrichtlinien in einer Organisation.As shown in the preceding figure, many components in RBAC are related to each other. It's how each component is put together that defines the permissions applied to each administrator or user. The following examples provide some additional context about how role groups and role assignment policies are used in an organization.

Die Administratorin JaneJane the Administrator

Jane ist Administratorin beim mittelständischen Unternehmen Contoso. Sie ist verantwortlich für die Verwaltung der Empfänger des Unternehmens in deren Niederlassung in Vancouver. Bei der Erstellung des Berechtigungsmodells für Contoso wurde Jane Mitglied in der benutzerdefinierten Rollengruppe "Empfängerverwaltung - Vancouver". Die benutzerdefinierte Rollengruppe "Empfängerverwaltung - Vancouver" kam den Aufgaben ihrer Position am nächsten. Hierzu gehören das Erstellen und Entfernen von Empfängern (also Postfächern und Kontakten), das Verwalten von Mitgliedschaften in Verteilergruppen, das Verwalten von Postfacheigenschaften und ähnliche Tasks.Jane is an administrator for the medium-size company, Contoso. She's responsible for managing the company's recipients in their Vancouver office. When the permissions model for Contoso was created, Jane was made a member of the Recipient Management - Vancouver custom role group. The Recipient Management - Vancouver custom role group most closely matches her job's duties, which include creating and removing recipients, such as mailboxes and contacts, managing distribution group membership and mailbox properties, and similar tasks.

Zusätzlich zur benutzerdefinierten Rollengruppe "Empfängerverwaltung - Vancouver" benötigt Jane außerdem eine Rollenzuweisungsrichtlinie für die Verwaltung der Konfigurationseinstellungen ihres eigenen Postfachs. Die Administratoren der Organisation haben beschlossen, dass alle Benutzer mit Ausnahme des Führungsstabs dieselben Berechtigungen zur Verwaltung ihrer eigenen Postfächer erhalten. Sie können ihre Voicemail konfigurieren, Aufbewahrungsrichtlinien einrichten und ihre Adressinformationen ändern. Die in Exchange 2013 bereitgestellte Standard-Rollenzuweisungsrichtlinie entspricht jetzt diesen Anforderungen.In addition to the Recipient Management - Vancouver custom role group, Jane also needs a role assignment policy to manage her own mailbox's configuration settings. The organization administrators have decided that all users, except for senior management, receive the same permissions when they manage their own mailboxes. They can configure their voice mail, set up retention policies and change their address information. The default role assignment policy provided with Exchange 2013 now reflects these requirements.

Hinweis

Möglicherweise ist Ihnen aufgefallen, dass Jane aufgrund ihrer Mitgliedschaft in der benutzerdefinierten Rollengruppe "Empfängerverwaltung - Vancouver" die Berechtigungen zum Verwalten ihres eigenen Postfachs bereits besitzen sollte. Das ist richtig; allerdings stellt die Rollengruppe ihr nicht alle Berechtigungen bereit, die für die Verwaltung aller Funktionen ihres Postfachs erforderlich sind. Die zum Verwalten der Einstellungen für Voicemail und Aufbewahrungsrichtlinien nötigen Berechtigungen sind in ihrer Rollengruppe nicht enthalten. Sie werden nur durch die ihr zugewiesene Standard-Rollenzuweisungsrichtlinie bereitgestellt.You may have noticed that because Jane is a member of the Recipient Management - Vancouver custom role group, that should give her permissions to manage her own mailbox. This is true; however, the role group doesn't provide her all of the permissions necessary to manage all of the features of her mailbox. The permissions needed to manage voice mail and retention policy settings aren't included in her role group. Those are provided only by the default role assignment policy assigned to her.

Sehen Sie sich dazu die Rollengruppe an, die Janes Administratorberechtigungen für die Empfänger in Vancouver bereitstellt:To allow for this, consider the role group, which provides Jane's administrative permissions over the recipients in Vancouver:

  1. Eine benutzerdefinierte Rollengruppe namens "Empfängerverwaltung - Vancouver" wurde erstellt. Bei der Erstellung geschah Folgendes:A custom role group called Recipient Management - Vancouver was created. When it was created, the following occurred:

    1. Der Rollengruppe wurden dieselben Verwaltungsrollen zugewiesen, die auch der vorgegebenen Empfängerverwaltung-Rollengruppe zugewiesen sind. Benutzer, die der benutzerdefinierten Rollengruppe "Empfängerverwaltung - Vancouver" hinzugefügt werden, erhalten damit dieselben Berechtigungen wie die Benutzer, die der Empfängerverwaltung-Rollengruppe hinzugefügt werden. Allerdings wird durch folgende Schritte der Bereich eingeschränkt, in dem sie diese Berechtigungen nutzen können.The role group was assigned all of the same management roles that are also assigned to the Recipient Management built-in role group. This gives users added to the Recipient Management - Vancouver custom role group the same permissions as those users added to the Recipient Management role group. However, the following steps limit where they can use those permissions.

    2. Der benutzerdefinierte Verwaltungsbereich "Vancouver Recipients" wurde erstellt, der nur den in Vancouver befindlichen Empfängern entspricht. Dies erfolgte durch Erstellen eines Bereichs, der anhand der Stadt oder einer anderen eindeutigen Benutzerinformation filtert.The Vancouver Recipients custom management scope was created, which matches only recipients who are located in Vancouver. This was done by creating a scope that filters on a user's city or other unique information.

    3. Die Rollengruppe wurde mit dem benutzerdefinierten Verwaltungsbereich "Vancouver Recipients" erstellt. Damit besitzen die der benutzerdefinierten Rollengruppe "Empfängerverwaltung - Vancouver" hinzugefügten Administratoren zwar vollständige Berechtigungen zur Empfängerverwaltung, können diese Berechtigungen jedoch nur für Empfänger in Vancouver verwenden.The role group was created with the Vancouver Recipients custom management scope. This means while administrators added to the Recipient Management - Vancouver custom role group have full recipient management permissions, they can only use those permissions against recipients based in Vancouver.

    Weitere Informationen zum Erstellen einer benutzerdefinierten Rollengruppe finden Sie unter Verwalten von Rollengruppen.For more information about creating a custom role group, see Manage role groups.

  2. Jane wird anschließend der benutzerdefinierten Rollengruppe "Empfängerverwaltung - Vancouver" als Mitglied hinzugefügt.Jane is then added as a member of the Recipient Management - Vancouver custom role group.

    Weitere Informationen zum Hinzufügen von Mitgliedern zu einer Rollengruppe finden Sie unter Verwalten von Rollengruppenmitgliedern.For more information about adding members to a role group, see Manage role group members.

Um Jane die Möglichkeit zu geben, ihre eigenen Postfacheinstellungen zu verwalten, muss eine Rollenzuweisungsrichtlinie mit den erforderlichen Berechtigungen konfiguriert werden.To give Jane the ability to manage her own mailbox settings, a role assignment policy needs to be configured with the required permissions. Die Standard-Rollenzuweisungsrichtlinie wird verwendet, um Benutzern die Berechtigungen bereitzustellen, die sie zum Konfigurieren ihres eigenen Postfachs benötigen.The default role assignment policy is used to provide users with the permissions they need to configure their own mailbox. Alle Endbenutzerrollen werden aus der standardmäßigen Rollenzuweisungsrichtlinie entfernt, mit MyBaseOptionsAusnahme MyContactInformationvon MyVoicemail:, MyRetentionPolicies, und.All end-user roles are removed from the default role assignment policy, except for: MyBaseOptions, MyContactInformation, MyVoicemail, and MyRetentionPolicies. MyBaseOptions ist enthalten, da diese Verwaltungsrolle die grundlegende Benutzerfunktionalität in Outlook Web App bereitstellt, also Posteingangsregeln, Kalenderkonfiguration und andere Tasks.MyBaseOptions is included because this management role provides the basic user functionality in Outlook Web App, such as Inbox rules, calendar configuration, and other tasks.

Ansonsten sind keine weiteren Maßnahmen erforderlich, weil die Standard-Rollenzuweisungsrichtlinie Jane bereits zugewiesen wurde. Die Änderungen an dieser Rollenzuweisungsrichtlinie werden daher sofort auf ihr Postfach und auf alle weiteren Postfächer angewendet, die der Standard-Rollenzuweisungsrichtlinie zugewiesen sind.Nothing else needs to be done because Jane is already assigned the default role assignment policy. This means that the changes made to that role assignment policy are immediately applied to her mailbox, and any other mailboxes also assigned to the default role assignment policy.

Weitere Informationen über das Anpassen der Standard-Rollenzuweisungsrichtlinie finden Sie unter Verwalten von Rollenzuweisungsrichtlinien.For more information about customizing the default role assignment policy, see Manage role assignment policies.

Der spezialisierte Benutzer JoeJoe the Specialist

Joe arbeitet bei Contoso, dasselbe Unternehmen, das auch Jane beschäftigt. Er ist für die Durchführung der Offenlegungspflicht, das Festlegen von Aufbewahrungsrichtlinien sowie das Konfigurieren von Transportregeln und der Journalfunktion für die gesamte Organisation verantwortlich. Wie Jane wurde Joe bei der Erstellung des Berechtigungsmodells für Contoso den Rollengruppen hinzugefügt, die den Aufgaben seiner Position entsprechen. Die Datensatzverwaltung-Rollengruppe verleiht Joe die Berechtigungen zum Konfigurieren von Aufbewahrungsrichtlinien, der Journalfunktion und von Transportregeln. Die Discoveryverwaltung-Rollengruppe ermöglicht ihm die Durchführung von Postfachsuchvorgängen.Joe works for Contoso, the same company that Jane works for. He's responsible for performing legal discovery, setting the retention policies, and configuring transport rules and journaling for the whole organization. As with Jane, when the permissions model for Contoso was created, Joe was added to the role groups that match his job duties. The Records Management role group provides Joe with the permissions to configure retention policies, journaling, and transport rules. The Discovery Management role group provides him with the ability to perform mailbox searches.

Wie Jane benötigt auch Joe Berechtigungen zum Verwalten seines eigenen Postfachs. Er erhält die gleichen Berechtigungen wie Jane: Er kann seine Voicemail und Aufbewahrungsrichtlinien einrichten sowie seine Adressinformationen ändern.As with Jane, Joe also needs permissions to manage his own mailbox. He is given the same permissions as Jane: He can set up his voice mail and retention policies, and change his address information.

Um Joe die für seine Aufgaben erforderlichen Berechtigungen zu erteilen, wird Joe den Rollengruppen Datensatzverwaltung und Discoveryverwaltung hinzugefügt. Die Rollengruppen müssen nicht verändert werden, da sie ihm bereits die benötigten Berechtigungen verleihen, und die darauf angewendeten Verwaltungsbereiche erstrecken sich auf die gesamte Organisation.To give Joe the permissions to perform his job duties, Joe is added to the Records Management and Discovery Management role groups. The role groups don't need to be changed in any way because they already provide him with the permissions he needs, and the management scopes applied to them encompass the entire organization.

Weitere Informationen zum Hinzufügen eines Benutzers zu einer Rollengruppe finden Sie unter Verwalten von Rollengruppenmitgliedern.For more information about adding a user to a role group, see Manage role group members.

Joes Postfach wird ebenfalls dieselbe Standard-Rollenzuweisungsrichtlinie wie Janes Postfach zugewiesen. Auf diese Weise erhält er alle Berechtigungen, die er in dem ihm gestatteten Umfang zum Verwalten der Postfachfunktionen benötigt.Joe's mailbox is also assigned the same default role assignment policy that's applied to Jane's mailbox. This gives him all the permissions he needs to manage the features of his mailbox that he's allowed to manage.

Die Vizepräsidentin IsabelIsabel the Vice President

Isabel ist Marketingdirektorin bei Contoso. Isabel erhält mehr Berechtigungen als ein normaler Benutzer, da sie zum Führungsstab von Contoso gehört. Dies schließt auch die Berechtigungen ein, die ihr zum Verwalten ihres Postfachs bereitgestellt werden, mit einer Ausnahme: Isabel darf aufgrund der Einhaltung gesetzlicher Bestimmungen ihre eigenen Aufbewahrungsrichtlinien nicht verwalten. Isabel kann ihre Voicemail konfigurieren, ihre Kontaktinformationen ändern, ihre Profilinformationen ändern, eigene Verteilergruppen erstellen und verwalten und sich selbst vorhandenen Verteilergruppen anderer Personen hinzufügen bzw. aus diesen Gruppen entfernen.Isabel is the Vice President of Marketing at Contoso. Isabel, as part of the senior leadership team of Contoso, is given more permissions than the average user. This includes the permissions she's provided to manage her mailbox, with one exception: Isabel isn't allowed to manage her own retention policies for legal compliance reasons. Isabel can configure her voice mail, change her contact information, change her profile information, create and manage her own distribution groups, and add or remove herself from existing distribution groups owned by others.

Isabel werden daher andere Berechtigungen für ihr eigenes Postfach erteilt. Den meisten Benutzern bei Contoso wird die Standard-Rollenzuweisungsrichtlinie zugewiesen. Der Führungsstab wird jedoch der Rollenzuweisungsrichtlinie "Senior Leadership" zugewiesen. Um die benutzerdefinierte Rollenzuweisungsrichtlinie zu erstellen, werden folgende Schritte durchgeführt:So, Isabel is given different permissions on her own mailbox. Most users at Contoso are assigned to the default role assignment policy. However, senior leadership is assigned to the Senior Leadership role assignment policy. The following is done to create the custom role assignment policy:

  1. Eine benutzerdefinierte Rollenzuweisungsrichtlinie namens "Senior Leadership" wird erstellt.A custom role assignment policy called Senior Leadership is created. Der Rollenzuweisungsrichtlinie werden die MyBaseOptionsRollen MyContactInformation, MyVoicemail, MyProfileInformation MyDistributionGroupMembership,, undMyDistributionGroups zugewiesen.The role assignment policy is assigned the MyBaseOptions, MyContactInformation, MyVoicemail, MyProfileInformation, MyDistributionGroupMembership, andMyDistributionGroups roles. MyBaseOptions ist enthalten, da diese Rolle die grundlegende Benutzerfunktionalität in Microsoft Outlook Web App bereitstellt, also Posteingangsregeln, Kalenderkonfiguration und andere Tasks.MyBaseOptions is included because this role provides the basic user functionality in Outlook Web App, such as Inbox rules, calendar configuration, and other tasks.

  2. Die Rollenzuweisungsrichtlinie "Senior Leadership" wird Isabel anschließend manuell zugewiesen.Isabel is then manually assigned the Senior Leadership role assignment policy.

Isabels Postfach besitzt jetzt die Berechtigungen, die durch die Rollenzuweisungsrichtlinie "Senior Leadership" bereitgestellt werden. Änderungen an dieser Rollenzuweisungsrichtlinie werden automatisch auf ihr Postfach und auf alle weiteren Postfächer angewendet, die derselben Rollenzuweisungsrichtlinie zugewiesen sind.Isabel's mailbox now has the permissions provided by the Senior Leadership role assignment policy. Any changes made to this role assignment policy are automatically applied to her mailbox, and any other mailboxes also assigned to the same role assignment policy.

Weitere InformationenFor more information

Verwalten von RollenzuweisungsrichtlinienManage role assignment policies

Ändern der Zuweisungsrichtlinie für ein PostfachChange the assignment policy on a mailbox