Hinzufügen einer Rolle zu einem Benutzer oder einer universellen Sicherheitsgruppe

Gilt für: Exchange Server 2010

Letztes Änderungsdatum des Themas: 2009-09-21

Mithilfe von Verwaltungsrollenzuweisungen können Sie einem Benutzer oder einer universellen Sicherheitsgruppe (Universal Security Group, USG) eine Verwaltungsrolle zuweisen. Durch das Zuweisen einer Rolle zu einem Benutzer oder einer universellen Sicherheitsgruppe ermöglichen Sie den Benutzern das Ausführen von Aufgaben – abhängig davon, welche Cmdlets oder Skripts sowie Parameter für die Verwaltungsrolle definiert sind.

Wenngleich Sie Benutzern und universellen Sicherheitsgruppen Rollen direkt zuweisen können, besteht die empfohlene Methode zum Gewähren von Berechtigungen für Administratoren und Endbenutzer darin, Verwaltungsrollengruppen und Zuweisungsrichtlinien für Verwaltungsrollen zu verwenden. Wenn Sie Rollengruppen und Zuweisungsrichtlinien verwenden, vereinfachen Sie Ihr Berechtigungsmodell erheblich.

Wenn Sie einer Verwaltungsrollengruppe Rollen oder eine Zuweisungsrichtlinie für Verwaltungsrollen zuweisen möchten, finden Sie weitere Informationen in den folgenden Themen:

• Hinzufügen einer Rolle zu einer Rollengruppe
• Hinzufügen einer Rolle zu einer Zuweisungsrichtlinie

Wenn Sie Mitglieder zu einer Rollengruppe hinzufügen oder einem Endbenutzer eine Rollenzuweisungsrichtlinie zuordnen möchten, finden Sie weitere Informationen in diesen Themen:

• Hinzufügen von Mitgliedern zu einer Rollengruppe
• Ändern der Zuweisungsrichtlinie für ein Postfach

Weitere Informationen finden Sie unter Grundlegendes zur rollenbasierten Zugriffssteuerung.

Hinweis

Rollenzuweisungen sind additiv. Dies bedeutet, dass alle Rollen zusammen hinzugefügt werden, wenn sie ausgewertet wurden. Wenn einem Benutzer zwei Rollen zugewiesen wurden und eine Rolle ein Cmdlet enthält, das andere jedoch nicht, steht dem Benutzer das Cmdlet dennoch zur Verfügung.
Standardmäßig bieten Rollenzuweisungen nicht die Möglichkeit, anderen Benutzern Rollen zuzuweisen. Informationen dazu, wie Sie einem Benutzer das Zuweisen von Rollen zu anderen Benutzern oder universellen Sicherheitsgruppen zu ermöglichen, finden Sie unter Delegieren von Rollenzuweisungen.

Sie müssen die Exchange-Verwaltungsshell verwenden, um eine Rollenzuweisung hinzuzufügen.

Was möchten Sie tun?

• Erstellen einer Rollenzuweisung ohne Bereich
• Erstellen einer Rollenzuweisung mit vordefiniertem relativen Bereich
• Erstellen einer Rollenzuweisung mit einem filterbasierten Empfängerbereich
• Erstellen einer Rollenzuweisung mit einem Serverfilter oder einem listenbasierten Konfigurationsbereich
• Erstellen einer Rollenzuweisung mit einem OU-Bereich
• Erstellen einer Rollenzuweisung mit exklusivem Empfänger- oder Konfigurationsbereich

Wenn Sie eine neue Zuweisung mit einem Bereich erstellen, setzt der Bereich den impliziten Schreibbereich der Rolle außer Kraft. Der implizite Lesebereich der Rolle hat jedoch weiterhin Gültigkeit. Der neue Bereich kann keine Objekte zurückgeben, die sich außerhalb des impliziten Lesebereichs der Rolle befinden. Weitere Informationen finden Sie unter Grundlegendes zu Verwaltungsrollenbereichen.

Alle in diesem Thema genannten Verfahren verwenden den Parameter SecurityGroup zum Zuweisen von Rollen zu einer universellen Sicherheitsgruppe. Wenn Sie die Rolle stattdessen einem spezifischen Benutzer zuweisen möchten, verwenden Sie anstelle von User den Parameter SecurityGroup. Die weitere Syntax für jeden Befehl ist identisch.

Erstellen einer Rollenzuweisung ohne Bereich

Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Rollenzuweisungen" im Thema Berechtigungen für die Rollenverwaltung.

Sie können eine Rollenzuweisung ohne Bereich erstellen. Wenn Sie dies machen, gelten die impliziten Lese- und Schreibbereiche der Rolle.

Verwenden Sie die folgende Syntax, um einer universellen Sicherheitsgruppe eine Rolle ohne Bereich zuzuweisen:

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name>

Um beispielsweise der universellen Sicherheitsgruppe "SeattleAdmins" die Rolle "Exchange Servers" zuzuweisen, führen Sie den folgenden Befehl aus:

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers"

Erstellen einer Rollenzuweisung mit vordefiniertem relativen Bereich

Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Rollenzuweisungen" im Thema Berechtigungen für die Rollenverwaltung.

Wenn ein vordefinierter relativer Bereich Ihren Geschäftsanforderungen entspricht, können Sie diesen Bereich auf die Rollenzuweisung anwenden, statt einen benutzerdefinierten Bereich zu erstellen. Eine Liste der vordefinierten Bereiche und ihre Beschreibungen finden Sie unter Grundlegendes zu Verwaltungsrollenbereichen.

Verwenden Sie die folgende Syntax, um einer universellen Sicherheitsgruppe eine Rolle mit vordefiniertem Bereich zuzuweisen:

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -RecipientRelativeWriteScope < MyDistributionGroups | Organization | Self >

Um beispielsweise der universellen Sicherheitsgruppe "SeattleAdmins" die Rolle "Exchange Servers" zuzuweisen und den vordefinierten Bereich Organization anzuwenden, führen Sie den folgenden Befehl aus:

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers" -RecipientRelativeWriteScope Organization

Erstellen einer Rollenzuweisung mit einem filterbasierten Empfängerbereich

Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Rollenzuweisungen" im Thema Berechtigungen für die Rollenverwaltung.

Wenn Sie einen filterbasierten Empfängerbereich erstellt haben und diesen bei einer Rollenzuweisung verwenden möchten, müssen Sie den Bereich unter Verwendung des Parameters CustomRecipientWriteScope in den Befehl zum Zuweisen einer Rolle zu einer universellen Sicherheitsgruppe einschließen. Bei Verwendung des Parameters CustomRecipientWriteScope kann der Parameter RecipientOrganizationalUnitScope nicht verwendet werden.

Bevor Sie einer Rollenzuweisung einen Bereich hinzufügen können, müssen Sie einen erstellen. Weitere Informationen finden Sie unter Erstellen eines regulären oder exklusiven Bereichs.

Verwenden Sie die folgende Syntax, um einer universellen Sicherheitsgruppe eine Rolle mit filterbasiertem Empfängerbereich zuzuweisen:

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -CustomRecipientWriteScope <role scope name>

Um beispielsweise der universellen Sicherheitsgruppe "Seattle Recipient Admins" die Rolle "Mail Recipients" zuzuweisen und den Bereich "Seattle Recipients" anzuwenden, führen Sie den folgenden Befehl aus:

New-ManagementRoleAssignment -Name "Mail Recipients_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -CustomRecipientWriteScope "Seattle Recipients"

Erstellen einer Rollenzuweisung mit einem Serverfilter oder einem listenbasierten Konfigurationsbereich

Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Rollenzuweisungen" im Thema Berechtigungen für die Rollenverwaltung.

Wenn Sie einen Serverfilter oder einen listenbasierten Konfigurationsbereich erstellt haben und diesen bei einer Rollenzuweisung verwenden möchten, müssen Sie den Bereich unter Verwendung des Parameters CustomConfigWriteScope in den Befehl zum Zuweisen einer Rolle zu einer universellen Sicherheitsgruppe einschließen.

Bevor Sie einer Rollenzuweisung einen Bereich hinzufügen können, müssen Sie einen erstellen. Weitere Informationen finden Sie unter Erstellen eines regulären oder exklusiven Bereichs.

Verwenden Sie die folgende Syntax, um einer universellen Sicherheitsgruppe eine Rolle mit einem Konfigurationsbereich zuzuweisen:

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -CustomConfigWriteScope <role scope name>

Um beispielsweise der universellen Sicherheitsgruppe "MailboxAdmins" die Rolle "Exchange Servers" zuzuweisen und den Bereich "Mailbox Servers" anzuwenden, führen Sie den folgenden Befehl aus:

New-ManagementRoleAssignment -Name "Exchange Servers_MailboxAdmins" -SecurityGroup MailboxAdmins -Role "Exchange Servers" -CustomConfigWriteScope "Mailbox Servers"

Erstellen einer Rollenzuweisung mit einem OU-Bereich

Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Rollenzuweisungen" im Thema Berechtigungen für die Rollenverwaltung.

Wenn Sie den Schreibbereich einer Rolle auf eine Organisationseinheit (Organizational Unit, OU) beschränken möchten, können Sie die OU direkt im Parameter RecipientOrganizationalUnitScope angeben. Bei Verwendung des Parameters RecipientOrganizationalUnitScope kann der Parameter CustomRecipientWriteScope nicht verwendet werden.

Verwenden Sie den folgenden Befehl, um einer universellen Sicherheitsgruppe eine Rolle zuzuweisen und den Schreibbereich einer Rolle auf eine spezifische OU zu beschränken:

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -RecipientOrganizationalUnitScope <OU>

Um beispielsweise der universellen Sicherheitsgruppe "SalesRecipientAdmins" die Rolle "Mail Recipients" zuzuweisen und die Zuweisung auf die OU "Sales\Users" in der Domäne "contoso.com" zu beschränken, verwenden Sie den folgenden Befehl:

New-ManagementRoleAssignment -Name "Mail Recipients_SalesRecipientAdmins" -SecurityGroup SalesRecipientAdmins -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users

Erstellen einer Rollenzuweisung mit exklusivem Empfänger- oder Konfigurationsbereich

Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Rollenzuweisungen" im Thema Berechtigungen für die Rollenverwaltung.

Um eine exklusive Rollenzuweisung mit einem exklusiven Empfänger- oder Konfigurationsbereich zu erstellen, gelten die gleichen Verfahren, die in den Abschnitten Erstellen einer Rollenzuweisung mit einem filterbasierten Empfängerbereich und Erstellen einer Rollenzuweisung mit einem Serverfilter oder einem listenbasierten Konfigurationsbereich vorgestellt wurden. Der einzige Unterschied besteht darin, dass beim Erstellen einer Rollenzuweisung mit exklusivem Bereich die folgenden exklusiven Parameter angegeben werden müssen – abhängig davon, ob Sie einen exklusiven Empfänger- oder Konfigurationsbereich verwenden:

• Exklusive Empfängerbereiche   Verwenden Sie den Parameter ExclusiveRecipientWriteScope anstelle des Parameters CustomRecipientWriteScope.
• Exklusive Konfigurationsbereiche   Verwenden Sie den Parameter ExclusiveConfigWriteScope anstelle des Parameters CustomConfigWriteScope.

Wenn Sie dieses Verfahren ausführen, kann der der Rolle zugewiesene Benutzer Aktionen für die Objekte ausführen, die im exklusiven Bereich enthalten sind. Weitere Informationen zu exklusiven Bereichen finden Sie unter Grundlegendes zu exklusiven Bereichen.

Eine Rollenzuweisung kann nicht sowohl mit exklusiven als auch mit regulären Bereichen erstellt werden.

Um beispielsweise der universellen Sicherheitsgruppe "Protected User Admins" die Rolle "Mail Recipients" zuzuweisen und den Bereich "Protected Users" anzuwenden, führen Sie den folgenden Befehl aus:

New-ManagementRoleAssignment -Name "Mail Recipients_Protected User Admins" -SecurityGroup "Protected User Admins" -Role "Mail Recipients" -ExclusiveRecipientWriteScope "Protected Users"