Erstellen eines regulären oder exklusiven Bereichs

Gilt für: Exchange Server 2010

Letztes Änderungsdatum des Themas: 2009-10-19

Verwaltungsrollenbereiche bestimmen, welche Objekte einem Benutzer zur Verfügung gestellt werden, damit die Objekte mithilfe der ihm zugeordneten Cmdlets und Parameter geändert werden können. Durch das Hinzufügen eines Verwaltungsbereichs können Sie Verwaltungsrollenzuweisungen konfigurieren, sodass Benutzer bestimmte Server, Empfänger und andere Objekte in Ihrer Organisation verwalten, jedoch keine anderen Objekte ändern können.

Wichtig

Beim Erstellen eines regulären oder exklusiven Bereichs wird der Schreibbereich außer Kraft gesetzt, der für die von Ihnen zugewiesene Verwaltungsrolle definiert ist. Der für die Verwaltungsrolle konfigurierte Lesebereich kann nicht außer Kraft gesetzt werden.

Dieses Verfahren veranschaulicht das Erstellen eines benutzerdefinierten Verwaltungsbereichs. Informationen zum Erstellen einer Verwaltungsrollenzuweisung mit einem vordefinierten oder einem OU-Verwaltungsbereich (Organizational Unit, Organisationseinheit) finden Sie unter Hinzufügen einer Rolle zu einem Benutzer oder einer universellen Sicherheitsgruppe.

Hinweis

Die Exchange-Verwaltungskonsole kann nicht zum Erstellen eines benutzerdefinierten Bereichs oder zum Hinzufügen oder Ändern einer Verwaltungsrollenzuweisung verwendet werden.

Weitere Informationen zu Verwaltungsrollenbereichen und -zuweisungen in Microsoft Exchange Server 2010 finden Sie unter den folgenden Themen:

• Grundlegendes zu Verwaltungsrollenbereichen
• Grundlegendes zu Verwaltungsrollenzuweisungen

Möchten Sie wissen, welche anderen Verwaltungsaufgaben es im Zusammenhang mit Bereichen gibt? Weitere Informationen finden Sie hier: Verwalten von erweiterten Berechtigungen.

Schritt 1: Erstellen eines benutzerdefinierten Bereichs

Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Verwaltungsrollen" im Thema Berechtigungen für die Rollenverwaltung.

Wählen Sie zum Erstellen eines benutzerdefinierten Bereichs einen der folgenden Bereichstypen:

• Erstellen eines filterbasierten Empfängerbereichs
• Erstellen eines filterbasierten Serverkonfigurationsbereichs
• Erstellen eines listenbasierten Serverkonfigurationsbereichs
• Erstellen eines exklusiven Bereichs

Erstellen eines filterbasierten Empfängerbereichs

Filterbasierte Empfängerbereiche werden unter Verwendung des Parameters RecipientRestrictionFilter mit dem Cmdlet New-ManagementScope erstellt. Beim Erstellen eines Empfängerfilters können Sie neben den zu filternden Empfängereigenschaften auch die Organisationseinheit angeben, in welcher die Filterabfrage ausgeführt wird. Bei Angabe einer Basisorganisationseinheit schränken Sie den Schreibbereich der Rolle weiter ein.

Weitere Informationen zu Verwaltungsbereichsfiltern finden Sie unter Grundlegendes zu Bereichsfiltern für Verwaltungsrollen.

Verwenden Sie zum Erstellen eines Einschränkungsfilterbereichs für Domänen mit einer Basisorganisationseinheit die folgende Syntax.

New-ManagementScope -Name <scope name> -RecipientRestrictionFilter <filter query> [-RecipientRoot <OU>]

In diesem Beispiel wird ein Bereich mit allen Postfächern innerhalb von "contoso.com/Sales OU" erstellt.

New-ManagementScope -Name "Mailboxes in Sales OU" -RecipientRestrictionFilter { RecipientType -eq 'UserMailbox' } -RecipientRoot "contoso.com/Sales OU"

Hinweis

Der Parameter RecipientRoot kann ausgelassen werden, wenn der Filter nicht nur innerhalb einer bestimmten Organisationseinheit, sondern auf den gesamten impliziten Lesebereich der Verwaltungsrolle angewendet werden soll.

Erstellen eines filterbasierten Serverkonfigurationsbereichs

Filterbasierte Serverkonfigurationsbereiche werden unter Verwendung des Parameters ServerRestrictionFilter mit dem Cmdlet New-ManagementScope erstellt. Ein Serverfilter ermöglicht das Erstellen eines Bereichs, der nur auf Server angewendet wird, die mit den angegebenen Filterkriterien übereinstimmen.

Weitere Informationen zu Verwaltungsbereichsfiltern finden Sie unter Grundlegendes zu Bereichsfiltern für Verwaltungsrollen.

Verwenden Sie zum Erstellen eines Servereinschränkungsfilters die folgende Syntax.

New-ManagementScope -Name <scope name> -ServerRestrictionFilter <filter query>

In diesem Beispiel wird ein Bereich mit allen Servern innerhalb des Standorts "Seattle AD" (Active Directory) erstellt.

New-ManagementRole -Name "Servers in Seattle AD site" -ServerRestrictionFilter { ServerSite -eq 'Seattle' }

Erstellen eines listenbasierten Serverkonfigurationsbereichs

Listenbasierte Serverkonfigurationsbereiche werden unter Verwendung des Parameters ServerList mit dem Cmdlet New-ManagementScope erstellt. Ein listenbasierter Serverbereich ermöglicht das Erstellen eines Bereichs, der nur auf die in einer Liste angegebenen Server angewendet wird.

Verwenden Sie zum Erstellen eines listenbasiertes Serverbereichs die folgende Syntax.

New-ManagementScope -Name <scope name> -ServerList <server 1>, <server 2...>

In diesem Beispiel wird ein Bereich erstellt, der nur auf "MBX1", "MBX3" und "MBX5" angewendet wird.

New-ManagementScope -Name "Mailbox servers" -ServerList MBX1,MBX3,MBX5

Erstellen eines exklusiven Bereichs

Sämtliche mit dem Cmdlet New-ManagementScope erstellten Bereiche können als exklusive Bereiche festgelegt werden. Zum Erstellen eines exklusiven Bereichs verwenden Sie dieselben Befehle wie in den Abschnitten Erstellen eines filterbasierten Empfängerbereichs, Erstellen eines filterbasierten Serverkonfigurationsbereichs oder Erstellen eines listenbasierten Serverkonfigurationsbereichs, um einen filterbasierten Empfängerbereich, einen filterbasierten Serverbereich oder einen listenbasierten Serverbereich zu erstellen. Anschließend fügen Sie dem Befehl die Option Exclusive hinzu.

Warnung

Wenn Sie exklusive Verwaltungsbereiche erstellen, können nur Rollenempfänger, denen exklusive Bereiche mit zu ändernden Objekten zugewiesen sind, auf diese Objekte zugreifen. Nur Administratoren, denen eine Rolle mit dem exklusiven Bereich zugewiesen ist, können auf diese exklusiven bzw. geschützten Objekte zugreifen.

In diesem Beispiel wird ein exklusiver filterbasierter Empfängerbereich für alle Benutzer in der Abteilung "Executives" erstellt.

New-ManagementScope "Executive Users Exclusive Scope" -RecipientRestrictionFilter { Department -Eq "Executives" } -Exclusive

Bei der Erstellung eines exklusiven Bereichs müssen Sie standardmäßig bestätigen, dass Sie einen exklusiven Bereich erstellt haben und sich der Auswirkungen eines exklusiven Bereichs auf vorhandene nicht exklusive Rollenzuweisungen bewusst sind. Zum Unterdrücken der Warnmeldung können Sie die Option Force verwenden. In diesem Beispiel wird derselbe Bereich wie im vorherigen Beispiel erstellt, jedoch ohne die Warnmeldung.

New-ManagementScope "Executive Users Exclusive Scope" -RecipientRestrictionFilter { Department -Eq "Executives" } -Exclusive -Force

Schritt 2: Hinzufügen oder Ändern einer Verwaltungsrollenzuweisung

Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Rollenzuweisungen" im Thema Berechtigungen für die Rollenverwaltung.

Nach dem Erstellen des Bereichs muss dieser zu einer neuen oder vorhandenen Verwaltungsrollenzuweisung hinzugefügt werden.

Wenn Sie einen Verwaltungsbereich erstellen und zu einer neuen Verwaltungsrollenzuweisung hinzufügen möchten, die erstellt werden soll, finden Sie unter den folgenden Themen weitere Informationen:

• Hinzufügen einer Rolle zu einer Rollengruppe
• Hinzufügen einer Rolle zu einem Benutzer oder einer universellen Sicherheitsgruppe

Wenn Sie einen Verwaltungsrollenbereich erstellen und zu einer vorhandenen Verwaltungsrollenzuweisung hinzufügen möchten, finden Sie unter den folgenden Themen weitere Informationen:

• Ändern des Bereichs von Rollenzuweisungen in einer Rollengruppe
• Ändern einer Rollenzuweisung