Grundlegendes zur rollenbasierten ZugriffssteuerungUnderstanding Role Based Access Control

Gilt für: Exchange Online, Exchange Server 2013Applies to: Exchange Online, Exchange Server 2013

Bei der rollenbasierten Zugriffssteuerung ( Role Based Access Control, RBAC) handelt es sich um das in Microsoft Exchange Server 2013 verwendete Berechtigungsmodell. Mit RBAC ist eine Änderung und Verwaltung der Zugriffssteuerungslisten (Access Control Lists, ACLs) wie in Exchange Server 2007 nicht länger erforderlich. ACLs boten in Exchange 2007 einige Herausforderungen, z. B. das Ändern der ACLs ohne unvorhersehbare Folgen, die Verwaltung von ACL-Änderungen bei Upgrades und die Behandlung von Problemen, die durch eine nicht standardmäßige Verwendung von ACLs verursacht wurden.Role Based Access Control (RBAC) is the permissions model used in Microsoft Exchange Server 2013. With RBAC, you don't need to modify and manage access control lists (ACLs), which was done in Exchange Server 2007. ACLs created several challenges in Exchange 2007, such as modifying ACLs without causing unintended consequences, maintaining ACL modifications through upgrades, and troubleshooting problems that occurred due to using ACLs in a nonstandard way.

Mithilfe von RBAC können Sie sowohl auf allgemeiner als auch auf detaillierter Ebene steuern, welche Aktionen von Administratoren und Endbenutzern ausgeführt werden können. RBAC ermöglicht Ihnen außerdem eine genauere Anpassung der den Benutzern und Administratoren zugewiesenen Rollen an ihre tatsächlichen Positionen, die sie innerhalb der Organisation einnehmen. In Exchange 2007 galt das Serverberechtigungsmodell nur für die Administratoren, die für die Verwaltung der Exchange 2007-Infrastruktur zuständig waren. In Exchange 2013 steuert RBAC jetzt sowohl, welche Verwaltungstasks durchgeführt werden können, als auch den Umfang, in dem Benutzer jetzt ihre eigenen Postfach- und Verteilergruppen verwalten können.RBAC enables you to control, at both broad and granular levels, what administrators and end-users can do. RBAC also enables you to more closely align the roles you assign users and administrators to the actual roles they hold within your organization. In Exchange 2007, the server permissions model applied only to the administrators who managed the Exchange 2007 infrastructure. In Exchange 2013, RBAC now controls both the administrative tasks that can be performed and the extent to which users can now administer their own mailbox and distribution groups.

Bei der rollenbasierten Zugriffssteuerung gibt es zwei Hauptmethoden zum Zuordnen von Berechtigungen zu Benutzern in einer Organisation, die davon abhängen, ob es sich bei dem Benutzer um einen Administrator oder spezialisierten Benutzer oder um einen Endbenutzer handelt: Verwaltungsrollengruppen und Richtlinien für die Zuweisung von Verwaltungsrollen. Jede Methode ordnet Benutzern Berechtigungen zu, die sie für ihre Tätigkeit benötigen. Auch eine dritte, fortgeschrittenere Methode kann verwendet werden: die direkte Benutzerrollenzuweisung. In den folgenden Abschnitten dieses Themas wird die rollenbasierte Zugriffssteuerung erläutert, und Sie erhalten Beispiele für deren Verwendung.RBAC has two primary ways of assigning permissions to users in your organization, depending on whether the user is an administrator or specialist user, or an end-user: management role groups and management role assignment policies. Each method associates users with the permissions they need to perform their jobs. A third, more advanced method, direct user role assignment, can also be used. The following sections in this topic explain RBAC and provide examples of its use.

Hinweis

Inhalt dieses Themas ist die erweiterte RBAC-Funktionalität. Informationen zum Verwalten grundlegender Exchange 2013-Berechtigungen finden Sie unter Berechtigungen. In diesem Thema wird z. B. beschrieben, wie Sie das Exchange Admin Center (EAC) verwenden, um Mitglieder zu Rollengruppen hinzuzufügen oder aus diesen zu entfernen oder um Rollengruppen und Rollenzuweisungsrichtlinien zu erstellen oder zu ändern.This topic focuses on advanced RBAC functionality. If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

InhaltContents

VerwaltungsrollengruppenManagement role groups

Richtlinien für die VerwaltungsrollenzuweisungManagement role assignment policies

Direkte BenutzerrollenzuweisungDirect user role assignment

Zusammenfassung und BeispieleSummary and examples

Weitere InformationenFor more information

VerwaltungsrollengruppenManagement role groups

Verwaltungsrollengruppen zuordnen Verwaltungsrollen an eine Gruppe von Administratoren und spezialisierten Benutzern. Administratoren verwalten eine Breite Exchange-Organisation oder Empfänger Konfiguration. Spezialisierten Benutzern verwalten bestimmten Funktionen von Exchange, wie etwa Compliance. Oder nur eine Managementfunktionen, wie beispielsweise Helpdesk-Elementen, unzureichende, aber ausgedehnten Administratorrechte sind nicht angegeben. In der Regel ordnen Sie Rollengruppen administrative Verwaltungsrollen, mit die Administratoren und spezialisierten Benutzern die Konfiguration ihrer Organisation und Empfänger verwalten können. Beispielsweise werden gibt an, ob Administratoren verwalten von Empfängern oder recherchefeatures Postfach verwenden können gesteuert mithilfe von Rollengruppen.Management role groups associate management roles to a group of administrators or specialist users. Administrators manage a broad Exchange organization or recipient configuration. Specialist users manage the specific features of Exchange, such as compliance. Or they may have limited management abilities, such as Help desk members, but aren't given broad administrative rights. Role groups typically associate administrative management roles that enable administrators and specialist users to manage the configuration of their organization and recipients. For example, whether administrators can manage recipients or use mailbox discovery features is controlled using role groups.

Berechtigungen werden den Administratoren oder spezialisierten Benutzern normalerweise durch Hinzufügen oder Entfernen der Benutzer zu bzw. aus den Rollengruppen erteilt. Weitere Informationen finden Sie unter Grundlegendes zu Verwaltungsrollengruppen.Adding or removing users to or from role groups is how you most often assign permissions to administrators or specialist users. For more information, see Understanding management role groups.

Rollengruppen bestehen aus den folgenden Komponenten, durch welche die von den Administratoren und spezialisierten Benutzern durchgeführten Aufgaben definiert werden:Role groups consist of the following components that define what administrators and specialist users can do:

  • Verwaltungsrollengruppe Der verwaltungsrollengruppe ist eine spezielle universelle Sicherheitsgruppe (USG), die Postfächer, Benutzer, universellen Sicherheitsgruppen und anderen Rollengruppen, die Mitglieder der Rollengruppe sind enthält. Dies ist, auf dem Sie hinzufügen und Entfernen von Mitgliedern, und es ist außerdem welche Verwaltungsrollen zugewiesen sind. Die Kombination aller Rollen auf einer Rollengruppe definiert alle Elemente, die Benutzer zu einer Rollengruppe hinzugefügt verwalten können in der Exchange-Organisation.Management role group The management role group is a special universal security group (USG) that contains mailboxes, users, USGs, and other role groups that are members of the role group. This is where you add and remove members, and it's also what management roles are assigned to. The combination of all the roles on a role group defines everything that users added to a role group can manage in the Exchange organization.

  • Verwaltungsrolle Eine Verwaltungsrolle ist ein Container für eine Gruppierung von verwaltungsrolleneinträgen. Rollen werden verwendet, um bestimmte Vorgänge zu definieren, die von den Mitgliedern einer Rollengruppe ausgeführt werden können, die die Rolle zugewiesen hat. Ein verwaltungsrolleneintrag ist ein Cmdlet, Skript oder spezielle Berechtigungen, mit dem jede bestimmte Aufgabe in einer Rolle ausgeführt werden kann. Weitere Informationen finden Sie unter Understanding Management Roles.Management role A management role is a container for a grouping of management role entries. Roles are used to define the specific tasks that can be performed by the members of a role group that's assigned the role. A management role entry is a cmdlet, script, or special permission that enables each specific task in a role to be performed. For more information, see Understanding management roles.

  • Verwaltungsrollenzuweisung Eine verwaltungsrollenzuweisung verknüpft eine Rolle und einer Rollengruppe. Zuweisen einer Rolle zu einer Rollengruppe gewährt Mitglieder der Rollengruppe die Möglichkeit, die Cmdlets und in der Rolle definierten Parameter zu verwenden. Rollenzuweisungen können Verwaltungsbereiche Steuerelement, in dem die Zuordnung verwendet werden kann. Weitere Informationen finden Sie unter Understanding Management Role Assignments.Management role assignment A management role assignment links a role and a role group. Assigning a role to a role group grants members of the role group the ability to use the cmdlets and parameters defined in the role. Role assignments can use management scopes to control where the assignment can be used. For more information, see Understanding management role assignments.

  • Verwaltungsbereich Rolle Eine Rolle Verwaltungsbereich entspricht der Bereich der beeinflussen oder Auswirkung auf eine rollenzuweisung. Wenn eine Rolle zu einer Rollengruppe mit einem Bereich zugewiesen wird, beruht auf der Verwaltungsbereich welche Objekte insbesondere, dass Zuordnung zum Verwalten von zulässig ist. Die Zuordnung des Bereichs liegen, wird den Mitgliedern der Rollengruppe zugewiesen und einschränken, welche jene Elemente verwalten können. Ein Bereich kann eine Liste von Servern oder Datenbanken, Organisationseinheiten (OUs) oder Filter für Server, Datenbank oder Recipient-Objekte bestehen. Weitere Informationen finden Sie unter Understanding Management Role Bereiche.Management role scope A management role scope is the scope of influence or impact on a role assignment. When a role is assigned with a scope to a role group, the management scope targets specifically what objects that assignment is allowed to manage. The assignment, and its scope, are then given to the members of the role group, and restrict what those members can manage. A scope can consist of a list of servers or databases, organizational units (OUs), or filters on server, database or recipient objects. For more information, see Understanding management role scopes.

Wenn Sie einen Benutzer einer Rollengruppe hinzufügen, erhält der Benutzer sämtliche Rollen, die der Rollengruppe zugewiesen sind. Gelten Bereiche für einige Rollenzuweisungen zwischen der Rollengruppe und den Rollen, wird durch diese Bereiche gesteuert, welche Serverkonfiguration oder Empfänger der Benutzer verwalten kann.When you add a user to a role group, the user is given all of the roles assigned to the role group. If scopes are applied to any of the role assignments between the role group and the roles, those scopes control what server configuration or recipients the user can manage.

Wenn Sie die den Rollengruppen zugewiesenen Rollen ändern möchten, müssen Sie die Rollenzuweisungen ändern, durch welche die Rollengruppen mit den Rollen verknüpft sind. Wenn die in Exchange 2013 vorgegebenen Zuweisungen Ihren Anforderungen entsprechen, müssen diese nicht geändert werden. Weitere Informationen finden Sie unter Grundlegendes zu Verwaltungsrollenzuweisungen.If you want to change what roles are assigned to role groups, you need to change the role assignments that link the role groups to roles. Unless the assignments built into Exchange 2013 don't suit your needs, you won't have to change these assignments. For more information, see Understanding management role assignments.

Weitere Informationen zu Rollengruppen finden Sie unter Grundlegendes zu Verwaltungsrollengruppen.For more information about role groups, see Understanding management role groups.

Richtlinien für die VerwaltungsrollenzuweisungManagement role assignment policies

Durch die Richtlinien für die Verwaltungsrollenzuweisung werden Endbenutzer-Verwaltungsrollen den Benutzern zugeordnet. Rollenzuweisungsrichtlinien bestehen aus Rollen, die steuern, welche Aufgaben ein Benutzer an seinem Postfach oder seinen Verteilergruppen durchführen kann. Diese Rollen lassen nicht die Verwaltung von Funktionen zu, die dem Benutzer nicht direkt zugeordnet sind. Beim Erstellen einer Rollenzuweisungsrichtlinie definieren Sie alle Aufgaben, die ein Benutzer an seinem Postfach durchführen kann. Beispielsweise kann eine Rollenzuweisungsrichtlinie einem Benutzer das Festlegen des Anzeigenamens, das Einrichten von Voicemail und das Konfigurieren von Posteingangsregeln ermöglichen. Eine weitere Rollenzuweisungsrichtlinie kann einem Benutzer das Ändern der Adresse, die Verwendung von Textnachrichten und das Einrichten von Verteilergruppen gestatten. Alle Benutzer mit einem Exchange 2013-Postfach, einschließlich Administratoren, erhalten standardmäßig eine Rollenzuweisungsrichtlinie. Sie können entscheiden, welche Rollenzuweisungsrichtlinie standardmäßig zugewiesen werden soll, auswählen, was die Standard-Rollenzuweisungsrichtlinie enthalten soll, den Standard für bestimmte Postfächer außer Kraft setzen oder auch überhaupt keine Rollenzuweisungsrichtlinien standardmäßig zuweisen.Management role assignment policies associate end-user management roles to users. Role assignment policies consist of roles that control what a user can do with his or her mailbox or distribution groups. These roles don't allow management of features that aren't directly associated with the user. When you create a role assignment policy, you define everything a user can do with his or her mailbox. For example, a role assignment policy may allow a user to set the display name, set up voice mail, and configure Inbox rules. Another role assignment policy might allow a user to change the address, use text messaging, and set up distribution groups. Every user with an Exchange 2013 mailbox, including administrators, is given a role assignment policy by default. You can decide which role assignment policy should be assigned by default, choose what the default role assignment policy should include, override the default for certain mailboxes, or not assign role assignment policies by default at all.

In den meisten Fällen werden Sie Benutzerberechtigungen zur Verwaltung ihrer eigenen Postfach- und Verteilergruppenoptionen durch die Zuweisung eines Benutzers zu einer Zuweisungsrichtlinie verwalten. Weitere Informationen finden Sie unter Grundlegendes zu Verwaltungsrollen-Zuweisungsrichtlinien.Assigning a user to an assignment policy is how you most often manage permissions for users to manage their own mailbox and distribution group options. For more information, see Understanding management role assignment policies.

Rollenzuweisungsrichtlinien bestehen aus den folgenden Komponenten, welche die Aufgaben definieren, die Benutzer an ihren eigenen Postfächern vornehmen können. Beachten Sie, dass einige derselben Komponenten auch für Rollengruppen gelten. Wenn sie mit Rollenzuweisungsrichtlinien verwendet werden, sind diese Komponenten darauf beschränkt, Benutzern nur die Verwaltung ihres eigenen Postfachs zu ermöglichen:Role assignment policies consist of the following components that define what users can do with their own mailboxes. Notice that some of the same components also apply to role groups. When used with role assignment policies, these components are limited to enable users to manage only their own mailbox:

  • Richtlinie für die verwaltungsrollenzuweisung Die Richtlinie für die verwaltungsrollenzuweisung ist ein spezielles Objekt in Exchange 2013. Benutzer wird die rollenzuweisungsrichtlinie zugeordnet sind, wenn ihre Postfächer erstellt werden, oder wenn Sie die rollenzuweisungsrichtlinie für ein Postfach ändern. Dies ist auch Sie Endbenutzer Verwaltungsrollen zuweisen. Die Kombination aller Rollen auf rollenzuweisungsrichtlinie definiert alle Elemente, die der Benutzer verwalten kann auf seinem Postfach oder eine Verteilergruppe Gruppen.Management role assignment policy The management role assignment policy is a special object in Exchange 2013. Users are associated with the role assignment policy when their mailboxes are created or if you change the role assignment policy on a mailbox. This is also what you assign end-user management roles to. The combination of all the roles on a role assignment policy defines everything that the user can manage on his or her mailbox or distribution groups.

  • Verwaltungsrolle Eine Verwaltungsrolle ist ein Container für eine Gruppierung von verwaltungsrolleneinträgen. Rollen werden verwendet, um bestimmte Vorgänge zu definieren, die ein Benutzer mit seinem Postfach oder eine Verteilergruppe Gruppen möglich ist. Ein verwaltungsrolleneintrag ist ein Cmdlet, Skript oder spezielle Berechtigungen, mit dem jede bestimmte Aufgabe in einer Verwaltungsrolle ausgeführt werden kann. Sie können nur endbenutzerrollen mit rollenzuweisungsrichtlinien verwenden. Weitere Informationen finden Sie unter Understanding Management Roles.Management role A management role is a container for a grouping of management role entries. Roles are used to define the specific tasks that a user can do with his or her mailbox or distribution groups. A management role entry is a cmdlet, script or special permission that enables each specific task in a management role to be performed. You can only use end-user roles with role assignment policies. For more information, see Understanding management roles.

  • Verwaltungsrollenzuweisung Ein verwaltungsrollenzuweisung ist die Verknüpfung zwischen einer Rolle und rollenzuweisungsrichtlinie. Zuweisen einer Rolle zu rollenzuweisungsrichtlinie erhält die Berechtigung, verwenden Sie die Cmdlets und Parameter, die in der Rolle definiert. Wenn Sie eine rollenzuweisung zwischen rollenzuweisungsrichtlinie und eine Rolle erstellt haben, können nicht Sie jeden Bereich angeben. Der Bereich angewendet, indem Sie die Zuordnung ist entweder Self oder MyGAL. Alle rollenzuweisungen sind auf das Postfach des Benutzers oder Verteilergruppen beschränkt. Weitere Informationen finden Sie unter Understanding Management Role Assignments.Management role assignment A management role assignment is the link between a role and a role assignment policy. Assigning a role to a role assignment policy grants the ability to use the cmdlets and parameters defined in the role. When you create a role assignment between a role assignment policy and a role, you can't specify any scope. The scope applied by the assignment is either Self or MyGAL. All role assignments are scoped to the user's mailbox or distribution groups. For more information, see Understanding management role assignments.

Wenn Sie die den Rollenzuweisungsrichtlinien zugewiesenen Rollen ändern möchten, müssen Sie die Rollenzuweisungen ändern, durch welche die Rollenzuweisungsrichtlinien mit den Rollen verknüpft sind. Wenn die in Exchange 2013 vorgegebenen Zuweisungen Ihren Anforderungen entsprechen, müssen diese nicht geändert werden. Weitere Informationen finden Sie unter Grundlegendes zu Verwaltungsrollenzuweisungen.If you want to change what roles are assigned to role assignment policies, you need to change the role assignments that link the role assignment policies to roles. Unless the assignments built into Exchange 2013 don't suit your needs, you won't have to change these assignments. For more information, see Understanding management role assignments.

Weitere Informationen finden Sie unter Grundlegendes zu Verwaltungsrollen-Zuweisungsrichtlinien.For more information, see Understanding management role assignment policies.

Direkte BenutzerrollenzuweisungDirect user role assignment

Die direkte Benutzerrollenzuweisung ist eine fortgeschrittene Methode, um Verwaltungsrollen direkt einem Benutzer oder einer USG zuzuweisen, ohne eine Rollengruppe oder eine Rollenzuweisungsrichtlinie zu verwenden. Direkte Rollenzuweisungen können hilfreich sein, wenn Sie einen detaillierten Satz Berechtigungen nur einem bestimmten Benutzer bereitstellen möchten. Die Verwendung direkter Rollenzuweisungen kann die Komplexität Ihres Berechtigungsmodells jedoch erheblich erhöhen. Wenn ein Benutzer die Position wechselt oder das Unternehmen verlässt, müssen Sie die Zuweisungen manuell entfernen und dem neuen Mitarbeiter hinzufügen. Es empfiehlt sich, Rollengruppen zum Zuweisen von Berechtigungen für Administratoren und spezialisierte Benutzer sowie Rollenzuweisungsrichtlinien zum Zuweisen von Berechtigungen für Benutzer zu verwenden.Direct role assignment is an advanced method for assigning management roles directly to a user or USG without using a role group or role assignment policy. Direct role assignments can be useful when you need to provide a granular set of permissions to a specific user and no others. However, using direct role assignments can significantly increase the complexity of your permissions model. If a user changes jobs or leaves the company, you need to manually remove the assignments and add them to the new employee. We recommend that you use role groups to assign permissions to administrators and specialist users, and role assignment policies to assign permissions to users.

Weitere Informationen zur direkten Benutzerrollenzuweisung finden Sie unter Grundlegendes zu Verwaltungsrollenzuweisungen.For more information about direct user assignment, see Understanding management role assignments.

Zusammenfassung und BeispieleSummary and examples

In der folgenden Abbildung werden die Komponenten in RBAC und deren Zusammenhänge veranschaulicht:The following figure shows the components in RBAC and how they fit together:

  • Rollengruppen:Role groups:

    • Ein oder mehrere Administratoren können Mitglieder einer Rollengruppe sein. Sie können auch mehreren Rollengruppen angehören.One or more administrators can be members of a role group. They can also be members of more than one role group.

    • Der Rollengruppe wird eine oder mehrere Rollenzuweisungen zugewiesen. Durch diese wird die Rollengruppe mit einer oder mehreren Administratorrollen verknüpft, welche die durchführbaren Tasks definieren.The role group is assigned one or more role assignments. These link the role group with one or more administrative roles that define what tasks can be performed.

    • Die Rollenzuweisungen können Verwaltungsbereiche enthalten, durch welche definiert wird, an welchen Stellen die Benutzer der Rollengruppe Aktionen durchführen können. Die Bereiche legen fest, an welchen Stellen die Benutzer der Rollengruppe die Konfiguration ändern können.The role assignments can contain management scopes that define where the users of the role group can perform actions. The scopes determine where the users of the role group can modify configuration.

  • Rollenzuweisungsrichtlinien:Role assignment policies:

    • Ein oder mehrere Benutzer können einer Rollenzuweisungsrichtlinie zugeordnet werden.One or more users can be associated with a role assignment policy.

    • Der Rollenzuweisungsrichtlinie wird eine oder mehrere Rollenzuweisungen zugewiesen. Diese verknüpfen die Rollenzuweisungsrichtlinie mit einer oder mehreren Endbenutzerrollen. Die Endbenutzerrollen definieren, welche Komponenten der Benutzer in seinem Postfach konfigurieren kann.The role assignment policy is assigned one or more role assignments. These link the role assignment policy with one or more end-user roles. The end-user roles define what the user can configure on his or her mailbox.

    • Die Rollenzuweisungen zwischen den Rollenzuweisungsrichtlinien und den Rollen weisen vorgegebene Bereiche auf, welche die Zuweisungen auf das eigene Postfach oder die eigenen Verteilergruppen des Benutzers einschränken.The role assignments between role assignment policies and roles have built-in scopes that restrict the scope of assignments to the user's own mailbox or distribution groups.

  • Direkte Rollenzuweisung (fortgeschritten):Direct role assignment (advanced):

    • Eine Rollenzuweisung kann direkt zwischen einem Benutzer oder einer USG und einem oder mehreren Rollen erstellt werden. Die Rolle definiert die Tasks, die der Benutzer oder die USG ausführen kann.A role assignment can be created directly between a user or USG and one or more roles. The role defines what tasks the user or USG can perform.

    • Die Rollenzuweisungen können Verwaltungsbereiche enthalten, durch welche definiert wird, an welchen Stellen der Benutzer oder die USG Aktionen durchführen kann. Die Bereiche legen fest, an welchen Stellen der Benutzer oder die USG die Konfiguration ändern kann.The role assignments can contain management scopes that define where the user or USG can perform actions. The scopes determine where the user or USG can modify configuration.

Übersicht über RBACRBAC overview

![RBAC-komponentenbeziehungen] (images/Dd298183.1dee60cc-1d58-4d36-b34e-639f091e7a56(EXCHG.150).jpg "RBAC-komponentenbeziehungen")RBAC component relationships

Wie in der obigen Abbildung gezeigt, stehen viele Komponenten der rollenbasierten Zugriffssteuerung miteinander in Zusammenhang. Durch die Zusammensetzung der einzelnen Komponenten werden die Berechtigungen definiert, die auf die einzelnen Administratoren oder Benutzer angewendet werden. Die folgenden Beispiele bieten zusätzlichen Kontext zur Verwendung von Rollengruppen und Rollenzuweisungsrichtlinien in einer Organisation.As shown in the preceding figure, many components in RBAC are related to each other. It's how each component is put together that defines the permissions applied to each administrator or user. The following examples provide some additional context about how role groups and role assignment policies are used in an organization.

Die Administratorin JaneJane the Administrator

Jane ist Administratorin beim mittelständischen Unternehmen Contoso. Sie ist verantwortlich für die Verwaltung der Empfänger des Unternehmens in deren Niederlassung in Vancouver. Bei der Erstellung des Berechtigungsmodells für Contoso wurde Jane Mitglied in der benutzerdefinierten Rollengruppe "Empfängerverwaltung - Vancouver". Die benutzerdefinierte Rollengruppe "Empfängerverwaltung - Vancouver" kam den Aufgaben ihrer Position am nächsten. Hierzu gehören das Erstellen und Entfernen von Empfängern (also Postfächern und Kontakten), das Verwalten von Mitgliedschaften in Verteilergruppen, das Verwalten von Postfacheigenschaften und ähnliche Tasks.Jane is an administrator for the medium-size company, Contoso. She's responsible for managing the company's recipients in their Vancouver office. When the permissions model for Contoso was created, Jane was made a member of the Recipient Management - Vancouver custom role group. The Recipient Management - Vancouver custom role group most closely matches her job's duties, which include creating and removing recipients, such as mailboxes and contacts, managing distribution group membership and mailbox properties, and similar tasks.

Zusätzlich zur benutzerdefinierten Rollengruppe "Empfängerverwaltung - Vancouver" benötigt Jane außerdem eine Rollenzuweisungsrichtlinie für die Verwaltung der Konfigurationseinstellungen ihres eigenen Postfachs. Die Administratoren der Organisation haben beschlossen, dass alle Benutzer mit Ausnahme des Führungsstabs dieselben Berechtigungen zur Verwaltung ihrer eigenen Postfächer erhalten. Sie können ihre Voicemail konfigurieren, Aufbewahrungsrichtlinien einrichten und ihre Adressinformationen ändern. Die in Exchange 2013 bereitgestellte Standard-Rollenzuweisungsrichtlinie entspricht jetzt diesen Anforderungen.In addition to the Recipient Management - Vancouver custom role group, Jane also needs a role assignment policy to manage her own mailbox's configuration settings. The organization administrators have decided that all users, except for senior management, receive the same permissions when they manage their own mailboxes. They can configure their voice mail, set up retention policies and change their address information. The default role assignment policy provided with Exchange 2013 now reflects these requirements.

Hinweis

Möglicherweise ist Ihnen aufgefallen, dass Jane aufgrund ihrer Mitgliedschaft in der benutzerdefinierten Rollengruppe "Empfängerverwaltung - Vancouver" die Berechtigungen zum Verwalten ihres eigenen Postfachs bereits besitzen sollte. Das ist richtig; allerdings stellt die Rollengruppe ihr nicht alle Berechtigungen bereit, die für die Verwaltung aller Funktionen ihres Postfachs erforderlich sind. Die zum Verwalten der Einstellungen für Voicemail und Aufbewahrungsrichtlinien nötigen Berechtigungen sind in ihrer Rollengruppe nicht enthalten. Sie werden nur durch die ihr zugewiesene Standard-Rollenzuweisungsrichtlinie bereitgestellt.You may have noticed that because Jane is a member of the Recipient Management - Vancouver custom role group, that should give her permissions to manage her own mailbox. This is true; however, the role group doesn't provide her all of the permissions necessary to manage all of the features of her mailbox. The permissions needed to manage voice mail and retention policy settings aren't included in her role group. Those are provided only by the default role assignment policy assigned to her.

Sehen Sie sich dazu die Rollengruppe an, die Janes Administratorberechtigungen für die Empfänger in Vancouver bereitstellt:To allow for this, consider the role group, which provides Jane's administrative permissions over the recipients in Vancouver:

  1. Eine benutzerdefinierte Rollengruppe namens "Empfängerverwaltung - Vancouver" wurde erstellt. Bei der Erstellung geschah Folgendes:A custom role group called Recipient Management - Vancouver was created. When it was created, the following occurred:

    1. Der Rollengruppe wurden dieselben Verwaltungsrollen zugewiesen, die auch der vorgegebenen Empfängerverwaltung-Rollengruppe zugewiesen sind. Benutzer, die der benutzerdefinierten Rollengruppe "Empfängerverwaltung - Vancouver" hinzugefügt werden, erhalten damit dieselben Berechtigungen wie die Benutzer, die der Empfängerverwaltung-Rollengruppe hinzugefügt werden. Allerdings wird durch folgende Schritte der Bereich eingeschränkt, in dem sie diese Berechtigungen nutzen können.The role group was assigned all of the same management roles that are also assigned to the Recipient Management built-in role group. This gives users added to the Recipient Management - Vancouver custom role group the same permissions as those users added to the Recipient Management role group. However, the following steps limit where they can use those permissions.

    2. Der benutzerdefinierte Verwaltungsbereich "Vancouver Recipients" wurde erstellt, der nur den in Vancouver befindlichen Empfängern entspricht. Dies erfolgte durch Erstellen eines Bereichs, der anhand der Stadt oder einer anderen eindeutigen Benutzerinformation filtert.The Vancouver Recipients custom management scope was created, which matches only recipients who are located in Vancouver. This was done by creating a scope that filters on a user's city or other unique information.

    3. Die Rollengruppe wurde mit dem benutzerdefinierten Verwaltungsbereich "Vancouver Recipients" erstellt. Damit besitzen die der benutzerdefinierten Rollengruppe "Empfängerverwaltung - Vancouver" hinzugefügten Administratoren zwar vollständige Berechtigungen zur Empfängerverwaltung, können diese Berechtigungen jedoch nur für Empfänger in Vancouver verwenden.The role group was created with the Vancouver Recipients custom management scope. This means while administrators added to the Recipient Management - Vancouver custom role group have full recipient management permissions, they can only use those permissions against recipients based in Vancouver.

    Weitere Informationen zum Erstellen einer benutzerdefinierten Rollengruppe finden Sie unter Verwalten von Rollengruppen.For more information about creating a custom role group, see Manage role groups.

  2. Jane wird anschließend der benutzerdefinierten Rollengruppe "Empfängerverwaltung - Vancouver" als Mitglied hinzugefügt.Jane is then added as a member of the Recipient Management - Vancouver custom role group.

    Weitere Informationen zum Hinzufügen von Mitgliedern zu einer Rollengruppe finden Sie unter Verwalten von Rollengruppenmitgliedern.For more information about adding members to a role group, see Manage role group members.

Wenn Jane die Möglichkeit zum Verwalten von postfacheinstellungen für ein eigenes übergeben möchten, muss ein rollenzuweisungsrichtlinie mit den erforderlichen Berechtigungen konfiguriert werden. Die standardmäßigen rollenzuweisungsrichtlinie wird verwendet, um Benutzer mit den Berechtigungen zu versorgen ihres eigenen Postfachs zu konfigurieren. Alle endbenutzerrollen wurden aus der standardmäßigen rollenzuweisungsrichtlinie, mit Ausnahme von entfernt: MyBaseOptions, MyContactInformation, MyVoicemail, und MyRetentionPolicies. MyBaseOptions ist enthalten, da diese Verwaltungsrolle die grundlegenden Funktionalität in Outlook Web App wie Posteingang Regeln, Kalenderkonfiguration und andere Aufgaben enthält.To give Jane the ability to manage her own mailbox settings, a role assignment policy needs to be configured with the required permissions. The default role assignment policy is used to provide users with the permissions they need to configure their own mailbox. All end-user roles are removed from the default role assignment policy, except for: MyBaseOptions, MyContactInformation, MyVoicemail, and MyRetentionPolicies. MyBaseOptions is included because this management role provides the basic user functionality in Outlook Web App, such as Inbox rules, calendar configuration, and other tasks.

Ansonsten sind keine weiteren Maßnahmen erforderlich, weil die Standard-Rollenzuweisungsrichtlinie Jane bereits zugewiesen wurde. Die Änderungen an dieser Rollenzuweisungsrichtlinie werden daher sofort auf ihr Postfach und auf alle weiteren Postfächer angewendet, die der Standard-Rollenzuweisungsrichtlinie zugewiesen sind.Nothing else needs to be done because Jane is already assigned the default role assignment policy. This means that the changes made to that role assignment policy are immediately applied to her mailbox, and any other mailboxes also assigned to the default role assignment policy.

Weitere Informationen über das Anpassen der Standard-Rollenzuweisungsrichtlinie finden Sie unter Verwalten von Rollenzuweisungsrichtlinien.For more information about customizing the default role assignment policy, see Manage role assignment policies.

Der spezialisierte Benutzer JoeJoe the Specialist

Joe arbeitet bei Contoso, dasselbe Unternehmen, das auch Jane beschäftigt. Er ist für die Durchführung der Offenlegungspflicht, das Festlegen von Aufbewahrungsrichtlinien sowie das Konfigurieren von Transportregeln und der Journalfunktion für die gesamte Organisation verantwortlich. Wie Jane wurde Joe bei der Erstellung des Berechtigungsmodells für Contoso den Rollengruppen hinzugefügt, die den Aufgaben seiner Position entsprechen. Die Datensatzverwaltung-Rollengruppe verleiht Joe die Berechtigungen zum Konfigurieren von Aufbewahrungsrichtlinien, der Journalfunktion und von Transportregeln. Die Discoveryverwaltung-Rollengruppe ermöglicht ihm die Durchführung von Postfachsuchvorgängen.Joe works for Contoso, the same company that Jane works for. He's responsible for performing legal discovery, setting the retention policies, and configuring transport rules and journaling for the whole organization. As with Jane, when the permissions model for Contoso was created, Joe was added to the role groups that match his job duties. The Records Management role group provides Joe with the permissions to configure retention policies, journaling, and transport rules. The Discovery Management role group provides him with the ability to perform mailbox searches.

Wie Jane benötigt auch Joe Berechtigungen zum Verwalten seines eigenen Postfachs. Er erhält die gleichen Berechtigungen wie Jane: Er kann seine Voicemail und Aufbewahrungsrichtlinien einrichten sowie seine Adressinformationen ändern.As with Jane, Joe also needs permissions to manage his own mailbox. He is given the same permissions as Jane: He can set up his voice mail and retention policies, and change his address information.

Um Joe die für seine Aufgaben erforderlichen Berechtigungen zu erteilen, wird Joe den Rollengruppen Datensatzverwaltung und Discoveryverwaltung hinzugefügt. Die Rollengruppen müssen nicht verändert werden, da sie ihm bereits die benötigten Berechtigungen verleihen, und die darauf angewendeten Verwaltungsbereiche erstrecken sich auf die gesamte Organisation.To give Joe the permissions to perform his job duties, Joe is added to the Records Management and Discovery Management role groups. The role groups don't need to be changed in any way because they already provide him with the permissions he needs, and the management scopes applied to them encompass the entire organization.

Weitere Informationen zum Hinzufügen eines Benutzers zu einer Rollengruppe finden Sie unter Verwalten von Rollengruppenmitgliedern.For more information about adding a user to a role group, see Manage role group members.

Joes Postfach wird ebenfalls dieselbe Standard-Rollenzuweisungsrichtlinie wie Janes Postfach zugewiesen. Auf diese Weise erhält er alle Berechtigungen, die er in dem ihm gestatteten Umfang zum Verwalten der Postfachfunktionen benötigt.Joe's mailbox is also assigned the same default role assignment policy that's applied to Jane's mailbox. This gives him all the permissions he needs to manage the features of his mailbox that he's allowed to manage.

Die Vizepräsidentin IsabelIsabel the Vice President

Isabel ist Marketingdirektorin bei Contoso. Isabel erhält mehr Berechtigungen als ein normaler Benutzer, da sie zum Führungsstab von Contoso gehört. Dies schließt auch die Berechtigungen ein, die ihr zum Verwalten ihres Postfachs bereitgestellt werden, mit einer Ausnahme: Isabel darf aufgrund der Einhaltung gesetzlicher Bestimmungen ihre eigenen Aufbewahrungsrichtlinien nicht verwalten. Isabel kann ihre Voicemail konfigurieren, ihre Kontaktinformationen ändern, ihre Profilinformationen ändern, eigene Verteilergruppen erstellen und verwalten und sich selbst vorhandenen Verteilergruppen anderer Personen hinzufügen bzw. aus diesen Gruppen entfernen.Isabel is the Vice President of Marketing at Contoso. Isabel, as part of the senior leadership team of Contoso, is given more permissions than the average user. This includes the permissions she's provided to manage her mailbox, with one exception: Isabel isn't allowed to manage her own retention policies for legal compliance reasons. Isabel can configure her voice mail, change her contact information, change her profile information, create and manage her own distribution groups, and add or remove herself from existing distribution groups owned by others.

Isabel werden daher andere Berechtigungen für ihr eigenes Postfach erteilt. Den meisten Benutzern bei Contoso wird die Standard-Rollenzuweisungsrichtlinie zugewiesen. Der Führungsstab wird jedoch der Rollenzuweisungsrichtlinie "Senior Leadership" zugewiesen. Um die benutzerdefinierte Rollenzuweisungsrichtlinie zu erstellen, werden folgende Schritte durchgeführt:So, Isabel is given different permissions on her own mailbox. Most users at Contoso are assigned to the default role assignment policy. However, senior leadership is assigned to the Senior Leadership role assignment policy. The following is done to create the custom role assignment policy:

  1. Eine benutzerdefinierte rollenzuweisungsrichtlinie, Senior führende aufgerufen wird erstellt. Die Zuweisungsrichtlinie zugewiesen ist die MyBaseOptions, MyContactInformation, MyVoicemail, MyProfileInformation, MyDistributionGroupMembership, undMyDistributionGroups Rollen. MyBaseOptions ist enthalten, da diese Rolle die grundlegenden Funktionalität in Outlook Web App wie Posteingang Regeln, Kalenderkonfiguration und andere Aufgaben enthält.A custom role assignment policy called Senior Leadership is created. The role assignment policy is assigned the MyBaseOptions, MyContactInformation, MyVoicemail, MyProfileInformation, MyDistributionGroupMembership, andMyDistributionGroups roles. MyBaseOptions is included because this role provides the basic user functionality in Outlook Web App, such as Inbox rules, calendar configuration, and other tasks.

  2. Die Rollenzuweisungsrichtlinie "Senior Leadership" wird Isabel anschließend manuell zugewiesen.Isabel is then manually assigned the Senior Leadership role assignment policy.

Isabels Postfach besitzt jetzt die Berechtigungen, die durch die Rollenzuweisungsrichtlinie "Senior Leadership" bereitgestellt werden. Änderungen an dieser Rollenzuweisungsrichtlinie werden automatisch auf ihr Postfach und auf alle weiteren Postfächer angewendet, die derselben Rollenzuweisungsrichtlinie zugewiesen sind.Isabel's mailbox now has the permissions provided by the Senior Leadership role assignment policy. Any changes made to this role assignment policy are automatically applied to her mailbox, and any other mailboxes also assigned to the same role assignment policy.

Weitere InformationenFor more information

Verwalten von RollenzuweisungsrichtlinienManage role assignment policies

Ändern der Zuweisungsrichtlinie für ein PostfachChange the assignment policy on a mailbox