Rolle „Überwachungsprotokolle nur anzeigen“View-Only Audit Logs role

Gilt für: Exchange Server 2013Applies to: Exchange Server 2013

Die View-Only Audit Logs Verwaltungsrolle ermöglicht Administratoren und spezialisierten Benutzern das Durchsuchen der Administratorüberwachungsprotokolle in einer Organisation.The View-Only Audit Logs management role enables administrators and specialist users to search the administrator audit logs in an organization.

Diese Verwaltungsrolle ist eine von mehreren integrierten Rollen im Modell für rollenbasierte Zugriffssteuerungsberechtigungen (Role Based Access Control, RBAC) in Microsoft Exchange Server 2013. Verwaltungsrollen werden einer oder mehreren Verwaltungsrollengruppen, Zuweisungsrichtlinien für Verwaltungsrollen, Benutzern oder universellen Sicherheitsgruppen zugewiesen. Sie dienen als logische Gruppierung von Cmdlets oder Skripts, die zusammengefasst werden, um das Anzeigen oder Ändern der Konfiguration von Exchange 2013-Komponenten wie Postfachdatenbanken, Transportregeln und Empfängern zu ermöglichen. Wenn ein Cmdlet oder Skript und seine Parameter, die zusammen einen sogenannten Verwaltungsrolleneintrag bilden, in einer Rolle enthalten sind, können das Cmdlet bzw. Skript und seine Parameter von allen ausgeführt werden, denen die Rolle zugewiesen ist. Weitere Informationen zu Verwaltungsrollen und Verwaltungsrolleneinträgen finden Sie unter Grundlegendes zu Verwaltungsrollen.This management role is one of several built-in roles in the Role Based Access Control (RBAC) permissions model in Microsoft Exchange Server 2013. Management roles, which are assigned to one or more management role groups, management role assignment policies, users, or universal security groups (USG), act as a logical grouping of cmdlets or scripts that are combined to provide access to view or modify the configuration of Exchange 2013 components, such as mailbox databases, transport rules, and recipients. If a cmdlet or script and its parameters, together called a management role entry, are included on a role, that cmdlet or script and its parameters can be run by those assigned the role. For more information about management roles and management role entries, see Understanding management roles.

Weitere Informationen zu Verwaltungsrollen, Verwaltungsrollengruppen und anderen RBAC-Komponenten finden Sie unter Grundlegendes zur rollenbasierten Zugriffssteuerung.For more information about management roles, management role groups, and other RBAC components, see Understanding Role Based Access Control.

VerwaltungsrollenzuweisungenManagement role assignments

Understanding Management ScopesFor this role to grant permissions, it must be assigned to a role assignee, which can be a role group, user, or universal security group (USG). This assignment is done using management role assignments. Role assignments link role assignees and roles together. If more than one role is assigned to a role assignee, the role assignee is granted the combination of all the permissions granted by all the assigned roles.

Um über diese Rolle Berechtigungen erteilen zu können, muss sie einem Rollenempfänger zugewiesen werden. Dabei kann es sich um eine Rollengruppe, einen Benutzer oder eine universelle Sicherheitsgruppe handeln. Die Zuweisung erfolgt über Verwaltungsrollenzuweisungen. Rollenzuweisungen verknüpfen Rollenempfänger und Rollen miteinander. Werden einem Rollenempfänger mehrere Rollen zugewiesen, wird dem Rollenempfänger die Gesamtheit aller Berechtigungen erteilt, die durch alle zugewiesenen Rollen erteilt werden.In addition to linking role assignees to roles, role assignments can also apply custom or built-in management scopes. Management scopes control which recipient, server and database objects can be modified by role assignees. If this role is assigned to a role assignee, but a management scope allows the role assignee only to manage certain objects based on a defined scope, the role assignee can only use the permissions granted by this role on those specific objects. The permissions provided by this role can't be applied to objects outside the scope defined on the role assignment. For more information about role assignments and scopes, see the following topics:

Understanding Management ScopesThis role is assigned to one or more role groups by default. For more information, see the "Default Management Role Assignments" section later in this topic.

Diese Rolle wird standardmäßig einer oder mehreren Rollengruppen zugewiesen. Weitere Informationen finden Sie weiter unten in diesem Thema im Abschnitt "Standard-Verwaltungsrollenzuweisungen".If you want to view a list of role groups, users, or USGs assigned to this role, use the following command.

Get-ManagementRoleAssignment -Role "<role name>"

Reguläre und delegierende RollenzuweisungenRegular and delegating role assignments

Diese Rolle kann Rollenempfängern mithilfe von regulären oder delegierenden Rollenzuweisungen zugewiesen werden. Reguläre Rollenzuweisungen erteilen die dem Rollenempfänger von der Rolle bereitgestellten Berechtigungen. Delegierende Rollenzuweisungen geben dem Rollenempfänger die Möglichkeit, die Rolle anderen Rollenempfängern zuzuweisen. Weitere Informationen zu regulären Rollenzuweisungen und delegierenden Rollenzuweisungen finden Sie unter Grundlegendes zu VerwaltungsrollenzuweisungenGrundlegendes zu Verwaltungsrollenzuweisungen.This role can be assigned to role assignees using either regular or delegating role assignments. Regular role assignments grant the permissions provided by the role to the role assignee. Delegating role assignments grant the role assignee the ability to assign the role to other role assignees. For more information about regular and delegating role assignments, see Understanding management role assignments.

Hinzufügen oder Entfernen von RollenzuweisungenAdding or removing role assignments

Einige Funktionen erfordern u. U. lokale Administratorrechte für den Server, den Sie verwalten möchten. Um diese Funktionen zu verwalten, müssen Sie Mitglied der lokalen Administratorengruppe auf dem Server sein.You can change which role assignees are assigned this role. By changing which role assignee is assigned this role, you change who is granted its permissions. You can assign this role to other built-in role groups, or you can create role groups and assign this role to them. You can also assign this role to users or USGs. However, we recommend that you limit assignment of roles to users and USGs because such assignments can greatly increase the complexity of your permissions model.

Sie können ändern, welchen Rollenempfängern diese Rolle zugewiesen wird. Dadurch ändern Sie, an wen die entsprechenden Berechtigungen erteilt werden. Sie können diese Rolle anderen integrierten Rollengruppen zuweisen oder Rollengruppen erstellen und ihnen dann diese Rolle zuweisen. Sie können diese Rolle auch Benutzern oder universellen Sicherheitsgruppen zuweisen. Sie sollten die Zuweisung von Rollen an Benutzer und universelle Sicherheitsgruppen jedoch beschränken, da die Komplexität Ihres Berechtigungsmodells durch solche Zuweisungen stark zunehmen kann.To assign this role to role assignees, the role must be assigned to a role group you're a member of, directly to you, or to a USG you're a member of, using a delegating role assignment. For more information about delegating role assignments, see the "Regular and Delegating Role Assignments" section.

Um diese Rolle über eine delegierende Rollenzuweisung Rollenempfängern zuzuweisen, muss die ‏Rolle einer Rollengruppe (deren Mitglied Sie sind), Ihnen direkt oder einer universellen Sicherheitsgruppe (deren Mitglied Sie sind) zugewiesen werden. Weitere Informationen zum Delegieren von Rollenzuweisungen finden Sie im Abschnitt "Reguläre und delegierende Rollenzuweisungen".You can also remove this role from built-in role groups, role groups you create, users, and USGs. However, there must always be at least one delegating role assignment between this role and a role group or USG. You can't delete the last delegating role assignment. This limitation helps prevent you from locking yourself out of the system.

Wichtig

Sie können diese Rolle auch aus integrierten Rollengruppen, selbst erstellten Rollengruppen, Benutzern und universellen Sicherheitsgruppen entfernen. Es muss jedoch stets mindestens eine delegierende Rollenzuweisung zwischen dieser Rolle und einer Rollengruppe oder universellen Sicherheitsgruppe bestehen. Die letzte delegierende Rollenzuweisung kann nicht gelöscht werden. Durch diese Einschränkung wird verhindert, dass Sie das System für sich selbst sperren.There must be at least one delegating role assignment between this role and a role group or USG. You can't remove the last delegating role assignment associated with this role if the last assignment is to a user.

Es muss mindestens eine delegierende Rollenzuweisung zwischen dieser Rolle und einer Rollengruppe oder universellen Sicherheitsgruppe bestehen. Sie können die letzte delegierende Rollenzuweisung, die dieser Rolle zugeordnet ist, nicht entfernen, wenn es sich dabei um eine Zuweisung an einen Benutzer handelt.For more information about how to add or remove assignments between this role and role groups, users, and USGs, see the following topics:

Ändern der Verwaltungsbereiche für RollenzuweisungenChanging the management scopes on role assignments

Remove a Role Assignment from a User or USGYou can also change the management scopes on existing role assignments between this role and role assignees. By changing the scopes on role assignments, you control what objects can be managed using the permissions provided by this role. You have several choices when changing the scope on a role assignment. You can do one of the following:

  • Fügen Sie einen neuen benutzerdefinierten Bereich mithilfe des Cmdlets Set-ManagementRoleAssignment hinzu. Weitere Informationen hierzu finden Sie in den folgenden Themen:Add a new custom scope using the Set-ManagementRoleAssignment cmdlet. For more information, see the following topics:

  • Fügen Sie den Bereich für eine Organisationseinheit mithilfe des Cmdlets Set-ManagementRoleAssignment hinzu oder ändern Sie diesen. Weitere Informationen finden Sie unter Ändern einer Rollenzuweisung.Add or change an organizational unit scope using the Set-ManagementRoleAssignment cmdlet. For more information, see Change a role assignment.

  • Fügen Sie einen vordefinierten Bereich mithilfe des Cmdlets Set-ManagementRoleAssignment hinzu oder ändern Sie diesen. Weitere Informationen finden Sie unter Ändern einer Rollenzuweisung.Add or change a predefined scope using the Set-ManagementRoleAssignment cmdlet. For more information, see Change a role assignment.

  • Ändern Sie den Empfänger-, Server- oder Datenbankbereich für den einer Rollenzuweisung zugeordneten benutzerdefinierten Bereich mithilfe des Cmdlets Set-ManagementScope. Weitere Informationen finden Sie unter Ändern eines Rollenbereichs.Change the recipient, server, or database scope on a custom scope associated with a role assignment using the Set-ManagementScope cmdlet. For more information, see Change a role scope.

Aktivieren oder Deaktivieren von RollenzuweisungenEnabling or disabling role assignments

Durch das Aktivieren oder Deaktivieren einer Rollenzuweisung steuern Sie, ob diese Rollenzuweisung wirksam sein soll. Ist eine Rollenzuweisung deaktiviert, werden die von der zugehörigen Rolle erteilten Berechtigungen nicht auf den Rollenempfänger angewendet. Dies ist hilfreich, wenn Sie Berechtigungen vorübergehend entfernen möchten, ohne die Rollenzuweisung zu löschen. Weitere Informationen finden Sie unter Ändern einer RollenzuweisungÄndern einer Rollenzuweisung.By enabling or disabling a role assignment, you control whether that role assignment should be in effect. If a role assignment is disabled, the permissions granted by the associated role aren't applied to the role assignee. This is convenient if you want to temporarily remove permissions without deleting a role assignment. For more information, see Change a role assignment.

Standard-VerwaltungsrollenzuweisungenDefault management role assignments

Wenn Sie möchten, dass neben dem Benutzer, der die Rolle erstellt hat, andere Benutzer die neue benutzerdefinierte Rolle ebenfalls zuweisen können, müssen Sie mindestens einem Rollenempfänger eine delegierende Rollenzuweisung hinzufügen. Weitere Informationen finden Sie unter Delegate Role Assignments.This role has role assignments to one or more role assignees. The following table indicates whether the role assignment is regular or delegating, and also indicates the management scopes applied to each assignment. The following list describes each column:

  • Diese Rolle verfügt über Rollenzuweisungen für einen oder mehrere Rollenempfänger. Die folgende Tabelle zeigt, ob diese Rollenzuweisung regulär oder delegierend ist. Außerdem gibt sie die auf die einzelnen Zuweisungen angewendeten Verwaltungsbereiche an. Die folgende Liste beschreibt jede Spalte:Regular assignment: Regular role assignments enable the role assignee to access the permissions provided by the management role entries on this role.

  • Reguläre Zuweisung: Reguläre Rollenzuweisungen ermöglichen dem Rollenempfänger den Zugriff auf die von den Verwaltungsrolleneinträgen dieser Rolle bereitgestellten Berechtigungen.Delegating assignment: Delegating role assignments give the role assignee the ability to assign this role to role groups, users, or USGs.

  • Empfängerlesebereich: der Empfängerlesebereich bestimmt, welche Empfängerobjekte der Rollenempfänger aus Active Directory lesen darf.Recipient read scope: The recipient read scope determines what recipient objects the role assignee is allowed to read from Active Directory.

  • Empfängerschreibbereich: der Empfängerschreibbereich bestimmt, welche Empfängerobjekte der Rollenempfänger in Active Directory ändern darf.Recipient write scope: The recipient write scope determines what recipient objects the role assignee is allowed to modify in Active Directory.

  • Konfigurationslesebereich: der Konfigurationslesebereich bestimmt, welche Konfigurations-und Serverobjekte der Rollenempfänger aus Active Directory lesen darf.Configuration read scope: The configuration read scope determines what configuration and server objects the role assignee is allowed to read from Active Directory.

  • Konfigurationsschreibbereich: der Konfigurationsschreibbereich bestimmt, welche Organisations-und Serverobjekte der Rollenempfänger in Active Directory ändern darf.Configuration write scope: The configuration write scope determines what organizational and server objects the role assignee is allowed to modify in Active Directory.

Standard-Verwaltungsrollenzuweisungen für diese RolleDefault management role assignments for this role

RollengruppeRole group Reguläre ZuweisungRegular assignment Delegierende ZuweisungDelegating assignment EmpfängerlesebereichRecipient read scope EmpfängerschreibbereichRecipient write scope KonfigurationslesebereichConfiguration read scope KonfigurationsschreibbereichConfiguration write scope

Verwaltung der RichtlinientreueCompliance Management

XX

 

Organization

None

OrganizationConfig

None

OrganisationsverwaltungOrganization Management

XX

XX

Organization

None

OrganizationConfig

None

VerwaltungsrollenanpassungManagement role customization

Diese Rolle wurde konfiguriert, um einem Rollenempfänger alle erforderlichen Cmdlets und dazugehörigen Parameter für die Verwaltung der zu Beginn dieses Themas genannten Funktionen und Komponenten zur Verfügung zu stellen. Andere Rollen wurden ebenfalls bereitgestellt, um die Verwaltung anderer Funktionen zu ermöglichen. Durch das Hinzufügen und Entfernen von Rollen zu bzw. aus diesen Gruppen können Sie ein benutzerdefiniertes Berechtigungsmodell erstellen, ohne einzelne Verwaltungsrollen anpassen zu müssen. Eine vollständige Liste der Rollen finden Sie unter Integrierte Verwaltungsrollen. Weitere Informationen zum Anpassen von Rollengruppen finden Sie unter Verwalten von Rollengruppen.This role has been configured to provide a role assignee with all necessary cmdlets and parameters to manage the features and components listed in the beginning of this topic. Other roles have also been provided to enable management of other features. By adding and removing roles to and from role groups, you can create a customized permissions model without the need to customize individual management roles. For a complete list of roles, see Built-in management roles. For more information about customizing role groups, see Manage role groups.

Diese Rolle wurde konfiguriert, um einem Rollenempfänger alle erforderlichen Cmdlets und dazugehörigen Parameter für die Verwaltung der zu Beginn dieses Themas genannten Funktionen und Komponenten zur Verfügung zu stellen. Andere Rollen wurden ebenfalls bereitgestellt, um die Verwaltung anderer Funktionen zu ermöglichen. Durch das Hinzufügen und Entfernen von Rollen zu bzw. aus diesen Gruppen können Sie ein benutzerdefiniertes Berechtigungsmodell erstellen, ohne einzelne Verwaltungsrollen anpassen zu müssen. Eine vollständige Liste der Rollen finden Sie unter Built-in Management Roles. Weitere Informationen zum Anpassen von Rollengruppen finden Sie unter Manage Role Groups.If you decide that you need to create a customized version of this role, you must create a role as a child of this role, and customize the new role.

Warnung

Wenn Sie sich für das Erstellen einer benutzerdefinierten Version dieser Rolle entscheiden, müssen Sie eine dieser Rolle untergeordnete Rolle erstellen und die neue Rolle anpassen.The following information enables you to perform advanced management of permissions. Customizing management roles can significantly increase the complexity of your permissions model. You could cause certain features to stop functioning if you replace a built-in management role with an incorrectly configured custom role.

Mithilfe der folgenden Informationen können Sie eine erweiterte Verwaltung von Berechtigungen durchführen. Das Anpassen von Verwaltungsrollen kann die Komplexität Ihres Berechtigungsmodells erheblich erhöhen. Wenn Sie eine integrierte Verwaltungsrolle durch eine nicht ordnungsgemäß konfigurierte Rolle ersetzen, kann dies dazu führen, dass bestimmte Funktionen nicht mehr ausgeführt werden können.The following are the most common steps to create a customized role and assign it to a role assignee:

  1. Erstellen Sie eine Kopie dieser Rolle. Weitere Informationen finden Sie unter Erstellen einer Rolle.Create a copy of this role. For more information, see Create a role.

  2. Ändern oder entfernen Sie die Rolleneinträge in der neuen Rolle mithilfe der Cmdlets Set-ManagementRoleEntry und Remove-ManagementRoleEntry. Sie können der neuen Rolle keine zusätzlichen Rolleneinträge hinzufügen, da sie nur die Rolleneinträge der übergeordneten integrierten Rolle enthalten darf. Weitere Informationen hierzu finden Sie in den folgenden Themen:Change or remove the role entries on the new role using the Set-ManagementRoleEntry and Remove-ManagementRoleEntry cmdlets. You can't add additional role entries to the new role because it can only contain the role entries on the parent built-in role. For more information, see the following topics:

  3. Remove a Role Entry from a RoleIf you want to replace the built-in role with this new customized role, remove any role assignments associated with the built-in role. For more information, see the following topics:

  4. Fügen Sie die neue benutzerdefinierte Rolle den erforderlichen Rollenempfängern hinzu. Weitere Informationen hierzu finden Sie in den folgenden Themen:Add the new customized role to the required role assignees. For more information, see the following topics: