Konfigurieren gesamtstrukturübergreifender Verwaltung

  • Artikel

 

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2010-09-20

In diesem Thema wird erläutert, wie Setup.com zum Aktivieren gesamtstrukturübergreifender Verwaltung verwendet werden kann. Sie können dieses Verfahren verwenden, wenn Sie ein Benutzerkonto in einer Gesamtstruktur besitzen, das Microsoft Exchange Server 2007 in einer anderen Gesamtstruktur verwalten muss. Verwenden Sie dieses Verfahren in den folgenden Situationen:

  • Die Ressourcengesamtstruktur ist ein allgemeines Szenario, in dem eine Gesamtstruktur (die Benutzerkontengesamtstruktur) vorhanden ist, die keine Servercomputer mit Exchange enthält, sowie eine separate Gesamtstruktur für die Exchange-Organisation.

  • Das klassische gesamtstrukturübergreifende Szenario mit mehreren Exchange-Gesamtstrukturen ist ein Szenario, in Sie ggf. wünschen, dass ein Benutzer in einer Gesamtstruktur Exchange in beiden Gesamtstrukturen verwaltet. Alternativ kann es gewünscht sein, dass ein Benutzer in einer Gesamtstruktur Exchange in der anderen Gesamtstruktur verwaltet, nicht jedoch in beiden Gesamtstrukturen.

Um Servercomputer mit Exchange, Eigenschaften und Empfänger verwalten zu können, muss einem Administrator die Mitgliedschaft in einer der folgenden Exchange-Administratorrollen zugewiesen worden sein:

  • Exchange-Organisationsadministrator

  • Exchange-Administrator - Öffentliche Ordner

  • Exchange-Empfängeradministrator

  • Exchange-Administrator mit Leserechten

Hinweis

Die Rolle Exchange-Öffentliche Ordner-Administrator ist in der RTM-Version (Release To Manufacturing) von Exchange 2007 nicht enthalten. Sie steht erst in Exchange 2007 Service Pack 1 (SP1) zur Verfügung.

Sie können einer Exchange-Administrator-Rolle jedoch keinen Benutzer aus einer anderen Gesamtstruktur hinzufügen. Um Servercomputer mit Exchange 2007 in Gesamtstruktur B mithilfe eines Benutzerkontos in Gesamtstruktur A zu verwalten, müssen Sie die folgenden Schritte ausführen:

  1. Wenn diese nicht bereits vorhanden sind, erstellen Sie parallele Exchange-Administratorrollen in Gesamtstruktur A.

  2. Verwenden Sie Setup.com mit dem Parameter ForeignForestFQDN, um Rollen der Gesamtstruktur A Berechtigungen für Objekte in der Gesamtstruktur B zu erteilen.

  3. Fügen Sie den neu erstellten parallelen Exchange-Administratorrollen in Gesamtstruktur A Benutzer in Gesamtstruktur A hinzu.

Ausgangszustand

Startzustand – Aktivieren der gesamtstrukturübergreifenden Verwaltung

Phase 1: Erstellen paralleler Exchange-Administrator-Rollen in Gesamtstruktur A

Phase 1: Aktivieren der gesamtstrukturübergreifenden Verwaltung

Phase 2: Erteilen von Berechtigungen

Phase 2: Aktivieren der gesamtstrukturübergreifenden Verwaltung

Phase 3: Hinzufügen von Benutzern zu Exchange-Rollen in Gesamtstruktur A

Phase 3: Aktivieren der gesamtstrukturübergreifenden Verwaltung

Wichtig

Nachdem Sie die gesamtstrukturübergreifende Verwaltung konfiguriert haben, wird das Ausführen von Exchange-Setupaktionen in einer Gesamtstruktur mithilfe eines Benutzerkontos in einer anderen Gesamtstruktur nicht unterstützt. Es wird z. B. nicht unterstützt, Serverfunktionen hinzuzufügen bzw. zu entfernen oder einen Server in einer Gesamtstruktur mithilfe eines Benutzerkontos in einer anderen Gesamtstruktur wiederherzustellen. Dies gilt selbst dann, wenn Sie dieses Benutzerkonto für gesamtstrukturübergreifende Verwaltung konfiguriert haben.

Hinweis

Um die Exchange-Administratorrollen zu erstellen, müssen Sie Active Directory-Benutzer und -Computer zum Erstellen von Gruppen verwenden. Sie wählen Universell Gruppenbereich und Sicherheit als Gruppentyp aus. Weitere Informationen finden Sie unter Überlegungen zu Berechtigungen.

Bevor Sie beginnen

Stellen Sie sicher, dass die Gesamtstrukturfunktionsebene beider Gesamtstrukturen Microsoft Windows Server 2003 ist. Weitere Informationen zu Active Directory-Funktionsebenen finden Sie unter Hintergrundinformationen zu Funktionsebenen.

Erstellen Sie eine bidirektionale Gesamtstruktur-Vertrauensstellung zwischen den beiden Gesamtstrukturen. Ausführliche Anleitungen finden Sie unter Erstellen einer bidirektionalen Gesamtstruktur-Vertrauensstellung für beide Seiten der Vertrauensstellung. Sie benötigen diese Vertrauensstellung, um die gesamtstrukturübergreifende Verwaltung zu konfigurieren. Wenn Sie ein Szenario mit einer Ressourcengesamtstruktur verwenden, können Sie – nachdem Sie dieses Verfahren zum Konfigurieren der gesamtstrukturübergreifenden Verwaltung abgeschlossen haben – die Vertrauensstellung in eine unidirektionale Vertrauensstellung herabstufen, sodass die Exchange-Gesamtstruktur der Benutzerkontengesamtstruktur vertraut. Bedenken Sie, dass die bidirektionale Vertrauensstellung für Ordnerfreigabe ggf. weiterhin erforderlich ist.

Hinweis

Vergewissern Sie sich, dass der Vertrauensstellungstyp Gesamtstruktur und nicht Extern lautet.

Im folgenden Verfahren ist Gesamtstruktur A die Gesamtstruktur mit dem Benutzerkonto, das Servercomputer mit Exchange 2007 in einer anderen Gesamtstruktur verwalten muss. Gesamtstruktur B ist die Gesamtstruktur mit Servercomputern mit Exchange 2007, die ein Benutzer in Gesamtstruktur A verwalten wird.

Damit Sie die Schritte dieses Verfahrens in Gesamtstruktur A ausführen können, muss Folgendes an das verwendete Konto delegiert worden sein:

  • Mitgliedschaft in der Gruppe Unternehmensadministratoren in Gesamtstruktur A

Damit Sie die Schritte dieses Verfahrens in Gesamtstruktur B ausführen können, muss Folgendes an das verwendete Konto delegiert worden sein:

  • Mitgliedschaft in der Gruppe Unternehmensadminstratoren in Gesamtstruktur B

Hinweis

Wenn Sie ein Konto verwenden, das Rechte auf der Ebene Unternehmensadministratoren sowohl in Gesamtstruktur A als auch in Gesamtstruktur B besitzt, werden die Schritte 2 bis 7 durch Ausführen des Befehls Setup /PrepareAD /ForeignForestFQDN:ForestA.contoso.com automatisch durchgeführt. Da es jedoch unwahrscheinlich ist, dass ein Benutzer vorhanden ist, der Rechte auf der Ebene Unternehmensadministrator in beiden Gesamtstrukturen besitzt, wird empfohlen, die Schritte 2 bis 7 manuell auszuführen, um mit einem Konto, das nur Mitglied der Gruppe Unternehmensadministratoren in Gesamtstruktur A ist, zuerst die universellen Exchange-Sicherheitsgruppen zu erstellen und Berechtigungen für diese Gruppen in Gesamtstruktur A zuzuweisen. Anschließend können Sie Setup /PrepareAD /ForeignForestFQDN:ForestA.contoso.com in Gesamtstruktur B mit einem Konto ausführen, das nur Mitglied der Gruppe Unternehmensadministratoren in Gesamtstruktur B ist.

Wichtig

Administratoren müssen sich bei Servern in der Ressourcengesamtstruktur unter Verwendung von Authentifizierung mit Benutzerprinzipalnamen (User Principal Name, UPN) anmelden. Administratoren müssen ferner sicherstellen, dass alle ungewöhnlichen UPN-Suffixe in der Gesamtstruktur-Vertrauensstellung registriert werden, damit sie beim Anmelden über ein Kerberos-Ticket verfügen. Das Kerberos-Ticket ist erforderlich, um den Exchange-Verwaltungstools das Herstellen einer Verbindung mit dem Konfigurationsnamenskontext in der Ressourcengesamtstruktur zu erlauben. Bei Verwendung von NTLM-Authentifizierung (DOMÄNE\BENUTZERNAME) schlägt die LDAP-Bindung in den Verwaltungstools eventuell fehl, wenn keine zwischengespeicherte Verbindung mit der Gesamtstrukturdomäne des Kontos vorhanden ist.

Verfahren

Exchange 2007 SP1

So konfigurieren Sie eine gesamtstrukturübergreifende Verwaltung in Exchange 2007 SP1

  1. Wenn Sie ein klassisches gesamtstrukturübergreifendes Szenario verwenden, bei dem in Gesamtstruktur A und in Gesamtstruktur B Exchange installiert ist, und wenn Sie nicht wünschen, dass der Benutzer in Gesamtstruktur A, der Exchange in Gesamtstruktur B verwaltet, auch in Gesamtstruktur A Administrator sein soll, müssen Sie die folgende Organisationseinheit sowie die folgenden Gruppen in Gesamtstruktur A umbenennen oder verschieben:

    • Microsoft Exchange-Sicherheitsgruppen

    • Exchange-Organisationsadministratoren

    • Exchange-Administratoren - Öffentliche Ordner

    • Exchange-Empfängeradministratoren

    • Exchange-Administratoren mit Leserechten

    Zu diesem Zweck müssen Sie eine der folgenden Methoden verwenden:

    • Umbenennen der Organisationseinheit oder Gruppe

    • Verschieben der Organisationseinheit oder Gruppe in eine andere Organisationseinheit

    • Verschieben der Organisationseinheit oder Gruppe in eine andere Domäne

    Nachdem Sie diese Gruppen umbenannt oder verschoben haben, verfügen sie weiterhin über die gleichen Mitgliedschaften und Berechtigungen, und Sie können Exchange in Gesamtstruktur A auch weiterhin mithilfe von Konten verwalten, die Mitglieder dieser Gruppen sind.

    Wenn Sie ein klassisches gesamtstrukturübergreifendes Szenario verwenden, bei dem Exchange in Gesamtstruktur A und in Gesamtstruktur B installiert ist, und wenn Sie wünschen, dass der Benutzer in Gesamtstruktur A Exchange in Gesamtstruktur A und in Gesamtstruktur B verwalten soll, fahren Sie mit Schritt 9 fort.

    Wenn Sie ein Ressourcengesamtstruktur-Szenario verwenden, fahren Sie mit Schritt 2 fort.

  2. Erstellen Sie in der Stammdomäne von Gesamtstruktur A eine neue Organisationseinheit namens Microsoft Exchange-Sicherheitsgruppen. Weitere Informationen zum Erstellen einer Organisationseinheit finden Sie unter Erstellen einer neuen Organisationseinheit.

  3. Erstellen Sie in der Organisationseinheit Microsoft Exchange-Sicherheitsgruppen in Gesamtstruktur A die folgenden universellen Sicherheitsgruppen:

    • Exchange-Organisationsadministratoren

    • Exchange-Administratoren - Öffentliche Ordner

    • Exchange-Empfängeradministratoren

    • Exchange-Administratoren mit Leserechten

    Weitere Informationen finden Sie unter Erstellen einer neuen Gruppe.

    Hinweis

    Vergewissern Sie sich, dass Universell als Gruppenbereich und Sicherheit als Gruppentyp ausgewählt wurde.

  4. Führen Sie in Gesamtstruktur A die folgenden Schritte aus, um die Gruppe Exchange-Organisationsadministratoren der Gruppe Exchange-Empfängeradministratoren hinzuzufügen:

    1. Klicken Sie mit der rechten Maustaste auf die Gruppe Exchange-Empfängeradministratoren, und klicken Sie dann auf Eigenschaften.

    2. Klicken Sie auf der Registerkarte Mitglieder auf Hinzufügen.

    3. Geben Sie Exchange-Organisationsadministratoren in Benutzer, Computer oder Gruppen auswählen ein, und klicken Sie dann auf OK.

    4. Klicken Sie auf der Seite Exchange-Empfängeradministratoren Eigenschaften auf OK.

  5. Führen Sie in Gesamtstruktur A die folgenden Schritte aus, um die Gruppe Exchange-Organisationsadministratoren der Gruppe der Exchange-Administratoren für Öffentliche Ordner hinzuzufügen:

    1. Klicken Sie mit der rechten Maustaste auf die Gruppe der Exchange-Administratoren für Öffentliche Ordner, und klicken Sie dann auf Eigenschaften.

    2. Klicken Sie auf der Registerkarte Mitglieder auf Hinzufügen.

    3. Geben Sie Exchange-Organisationsadministratoren in Benutzer, Computer oder Gruppen auswählen ein, und klicken Sie dann auf OK.

    4. Klicken Sie auf der Seite mit den Eigenschaften der Exchange-Administratoren für Öffentliche Ordner auf OK.

  6. Führen Sie in Gesamtstruktur A die folgenden Schritte aus, um die Gruppe Exchange-Empfängeradministratoren der Gruppe Exchange-Administratoren mit Leserechten hinzuzufügen:

    1. Klicken Sie mit der rechten Maustaste auf die Gruppe Exchange-Administratoren mit Leserechten, und klicken Sie dann auf Eigenschaften.

    2. Klicken Sie auf der Registerkarte Mitglieder auf Hinzufügen.

    3. Geben Sie Exchange-Empfängeradministratoren in Benutzer, Computer oder Gruppen auswählen ein, und klicken Sie dann auf OK.

    4. Klicken Sie auf der Seite Exchange-Administratoren mit Leserechten Eigenschaften auf OK.

  7. Führen Sie in Gesamtstruktur A die folgenden Schritte aus, um die Gruppe der Exchange-Administratoren für Öffentliche Ordner der Gruppe Exchange-Administratoren mit Leserechten hinzuzufügen:

    1. Klicken Sie mit der rechten Maustaste auf die Gruppe Exchange-Administratoren mit Leserechten, und klicken Sie dann auf Eigenschaften.

    2. Klicken Sie auf der Registerkarte Mitglieder auf Hinzufügen.

    3. Geben Sie Exchange-Administratoren für Öffentliche Ordner in Benutzer, Computer oder Gruppen auswählen ein, und klicken Sie dann auf OK.

    4. Klicken Sie auf der Seite Exchange-Administratoren mit Leserechten Eigenschaften auf OK.

  8. Klicken Sie in Active Directory-Benutzer und -Computer in Gesamtstruktur A im Menü Ansicht auf Erweiterte Funktionen, und führen Sie dann die folgenden Schritte aus:

    1. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit Microsoft Exchange-Sicherheitsgruppen, und klicken Sie dann auf Eigenschaften.

    2. Klicken Sie auf der Registerkarte Sicherheit auf Erweitert.

    3. Wählen Sie auf der Registerkarte Berechtigungen in der Liste Berechtigungseinträge die Option Exchange-Organisationsadministratoren aus, und klicken Sie dann auf Bearbeiten.

    4. Wählen Sie auf der Registerkarte Objekt in der Liste Übernehmen für den Eintrag Dieses und alle untergeordneten Objekte aus.

    5. Suchen Sie in der Liste Berechtigungen den Eintrag Vollzugriff, und aktivieren Sie das Kontrollkästchen Zulassen.

    6. Klicken Sie auf OK.

    7. Wählen Sie auf der Registerkarte Berechtigungen den Eintrag Exchange-Empfängeradministrator aus, und klicken Sie dann auf Bearbeiten.

    8. Wählen Sie auf der Registerkarte Objekt in der Liste Übernehmen für den Eintrag Dieses und alle untergeordneten Objekte aus.

    9. Suchen Sie in der Liste Berechtigungen den Eintrag Vollzugriff, und aktivieren Sie das Kontrollkästchen Zulassen.

    10. Klicken Sie auf OK.

    11. Wählen Sie auf der Registerkarte Berechtigungen den Eintrag Exchange-Administrator für Öffentliche Ordner aus, und klicken Sie dann auf Bearbeiten.

    12. Wählen Sie auf der Registerkarte Objekt in der Liste Übernehmen für den Eintrag Dieses und alle untergeordneten Objekte aus.

    13. Suchen Sie in der Liste Berechtigungen den Eintrag Vollzugriff, und aktivieren Sie das Kontrollkästchen Zulassen.

    14. Klicken Sie auf OK.

    15. Wählen Sie auf der Registerkarte Berechtigungen den Eintrag Exchange-Administrator mit Leserechten aus, und klicken Sie dann auf Bearbeiten.

    16. Wählen Sie auf der Registerkarte Objekt in der Liste Übernehmen für den Eintrag Dieses und alle untergeordneten Objekte aus.

    17. Suchen Sie in der Liste Berechtigungen den Eintrag Vollzugriff, und aktivieren Sie das Kontrollkästchen Zulassen.

    18. Klicken Sie zweimal auf OK.

  9. Melden Sie sich an Gesamtstruktur B mithilfe eines Kontos an, das Mitglied der Gruppe Unternehmensadministratoren in Gesamtstruktur B ist, und führen Sie dann in einem Fenster mit einer Eingabeaufforderung den folgenden Befehl aus:

    Setup /prepareAD /ForeignForestFQDN:ForestA.contoso.com

    Dieser Befehl stellt sicher, dass die universellen Exchange-Sicherheitsgruppen in Gesamtstruktur A erstellt und die Berechtigungen ordnungsgemäß zugewiesen wurden. In Gesamtstruktur B konfiguriert der Befehl Zugriffssteuerungseinträge (Access Control Entries, ACEs) in Exchange für die Active Directory-Konfigurationsobjekte, damit die neu erstellten universellen Exchange-Sicherheitsgruppen in Gesamtstruktur A Rechte für die Exchange-Konfiguration in Gesamtstruktur B besitzen. Wenn Sie Setup /PrepareAD ohne der Parameter ForeignForestFQDN ausführen, erstellt der Befehl die universelle Exchange-Sicherheitsgruppe in der lokalen Gesamtstruktur und legt Berechtigungen für diese Gruppen fest. Durch das Hinzufügen des Parameters ForeignForestFQDN wird angegeben, dass den universellen Exchange-Sicherheitsgruppen in einer fremden Gesamtstruktur Berechtigungen für die Exchange-Konfiguration in der Gesamtstruktur erteilen möchten, in der Sie den Befehl ausführen.

  10. Um zu überprüfen, ob Setup erfolgreich abgeschlossen wurde, führen Sie die folgenden Schritte aus:

    1. Klicken Sie in Gesamtstruktur B mit der rechten Maustaste auf die universelle Sicherheitsgruppe Exchange-Server, und klicken Sie dann auf Eigenschaften.

    2. Wählen Sie Exchange-Organisationsadministratoren (<Domäne in Gesamtstruktur A\Exchange-Organisationsadministratoren>) auf der Registerkarte Sicherheit unter Gruppen- oder Benutzernamen aus.

    3. Vergewissern Sie sich, dass Zulassen für die Berechtigung Vollzugriff ausgewählt ist.

    Hinweis

    Wenn Setup aufgrund unzureichender Zugriffsrechte einen Fehler verursacht, vergewissern Sie sich, dass Sie die universellen Sicherheitsgruppen ordnungsgemäß in Gesamtstruktur A erstellt haben, dass die Gruppen richtig geschachtelt sind, und dass die Gruppe Exchange-Organisationsadministratoren über Vollzugriff auf die neue Organisationseinheit und alle drei neuen universellen Sicherheitsgruppen verfügt. Führen Sie anschließend Schritt 9 nochmals aus.

  11. Um Exchange in Gesamtstruktur B mithilfe eines Kontos in Gesamtstruktur A zu verwalten, fügen Sie das Konto in Gesamtstruktur A mindestens einer der universellen ExchangeSicherheitsgruppen hinzu, die Sie in Gesamtstruktur A erstellt haben.

  12. (Optional) Ändern Sie die Vertrauensstellung aus einer bidirektionalen in eine unidirektionale Gesamtstrukturvertrauensstellung. Löschen Sie zu diesem Zweck die bidirektionale eingehende Vertrauensstellung mit Gesamtstruktur A. Ausführliche Anleitungen finden Sie unter Entfernen einer manuell erstellten Vertrauensstellung.

    Hinweis

    Vergewissern Sie sich, dass Ja, die Vertrauensstellung aus der lokalen und der anderen Domäne entfernen ausgewählt ist.

    Hinweis

    Die ausgehende Vertrauensstellung muss beibehalten werden.

  13. Klicken Sie in Active Directory-Benutzer und -Computer in Gesamtstruktur B im Menü Ansicht auf Erweiterte Funktionen.

  14. (Optional) Wenn Empfängeradministratoren in Gesamtstruktur A Benutzer in Gesamtstruktur B verwalten können sollen, müssen Sie diesen manuell Berechtigungen zuweisen. Führen Sie die folgenden Schritte aus:

    1. Klicken Sie in Active Directory-Benutzer und -Computer in Gesamtstruktur B mit der rechten Maustaste auf den Container Benutzer, und klicken Sie dann auf Eigenschaften.

    2. Klicken Sie auf der Registerkarte Sicherheit auf Erweitert.

    3. Wählen Sie unter Berechtigungseinträge den Eintrag aus, bei dem Typ den Wert Zulassen, Name den Wert Exchange-Empfängeradministratoren (<Domäne in Gesamtstruktur A\Exchange-Empfängeradministratoren>) und Berechtigung den Wert Speziell besitzt, und klicken Sie dann auf Bearbeiten

    4. Wählen Sie auf der Seite Berechtigungseintrag für Benutzer auf der Registerkarte Objekte unter Berechtigungen die Option Zulassen für die folgenden Berechtigungen aus: Inhalt auflisten, Alle Eigenschaften lesen, Alle Eigenschaften schreiben, Leseberechtigungen, Benutzerobjekte erstellen, Benutzerobjekte löschen.

    5. Klicken Sie auf OK.

    6. Aktivieren Sie auf der Seite Erweiterte Sicherheitseinstellungen für Benutzer das Kontrollkästchen Berechtigungen übergeordneter Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten, und klicken Sie dann auf OK.

    Hinweis

    In diesem Schritt werden die Berechtigungen zur Verfügung gestellt, die für Mitglieder der Gruppe Exchange-Empfängeradministratoren in Gesamtstruktur A zum Ändern von Objekten im Container Benutzer in Gesamtstruktur B erforderlich sind. Durch die Ausführung von Setup /ForeignForestFQDN in Gesamtstruktur B (in Schritt 9) wurden Benutzern in den Exchange-Sicherheitsgruppen in Gesamtstruktur A Berechtigungen für Exchange-Eigenschaften in Gesamtstruktur B erteilt, nicht jedoch für Windows-Benutzereigenschaften in Gesamtstruktur B.
    Um anderen Gruppen in Gesamtstruktur A Berechtigungen zu erteilen, damit diese Objekte im Container Benutzer in Gesamtstruktur B ändern können, wählen Sie auf der Seite Erweiterte Sicherheitseinstellungen für Benutzer eine andere Gruppe aus.

  15. (Optional) Wenn Administratoren in Gesamtstruktur A berechtigt sein sollen, die Exchange-Verwaltungskonsole und die Exchange-Verwaltungsshell für einen Servercomputer mit Exchange in Gesamtstruktur B zu verwenden, müssen Sie dem Benutzer manuell Berechtigungen für die Verzeichnisse Bin, Public und Scripts im Verzeichnis des Servercomputers mit Exchange erteilen. Führen Sie die folgenden Schritte aus:

    1. Navigieren Sie zum Verzeichnis des Servercomputers mit Exchange, in dem Exchange installiert ist. (Standardmäßig lautet dieses Verzeichnis %programfiles%\Microsoft\Exchange Server).

    2. Klicken Sie mit der rechten Maustaste auf das Verzeichnis Bin, und klicken Sie dann auf Eigenschaften.

    3. Klicken Sie auf der Registerkarte Sicherheit auf Hinzufügen, und geben Sie dann den Benutzer oder die Gruppe ein, dem bzw. der Sie Berechtigungen erteilen möchten.

    4. Wählen Sie unter Berechtigungen für <Benutzer oder Gruppe> für die Berechtigung Lesen & ausführen den Wert Zulassen aus, und klicken Sie dann auf OK.

    5. Klicken Sie mit der rechten Maustaste auf das Verzeichnis Public, und klicken Sie dann auf Eigenschaften.

    6. Klicken Sie auf der Registerkarte Sicherheit auf Hinzufügen, und geben Sie dann den Benutzer oder die Gruppe ein, dem bzw. der Sie Berechtigungen erteilen möchten.

    7. Wählen Sie unter Berechtigungen für <Benutzer oder Gruppe> für die Berechtigung Lesen & ausführen den Wert Zulassen aus, und klicken Sie dann auf OK.

    8. Klicken Sie mit der rechten Maustaste auf das Verzeichnis Scripts, und klicken Sie dann auf Eigenschaften.

    9. Klicken Sie auf der Registerkarte Sicherheit auf Hinzufügen, und geben Sie dann den Benutzer oder die Gruppe ein, dem bzw. der Sie Berechtigungen erteilen möchten.

    10. Wählen Sie unter Berechtigungen für <Benutzer oder Gruppe> für die Berechtigung Lesen & ausführen den Wert Zulassen aus, und klicken Sie dann auf OK.

    Hinweis

    Um Exchange in Gesamtstruktur B zu verwalten, müssen Benutzer in Gesamtstruktur A außerdem in der Lage sein, sich an einem Server in Gesamtstruktur B anzumelden, auf dem Exchange oder die Exchange-Verwaltungstools installiert sind. Wenn Sie Benutzer in Gesamtstruktur A der Gruppe Domänen-Admins oder der lokalen Gruppe Administratoren auf dem Server in Gesamtstruktur B hinzufügen, damit sich diese an einem Server in Gesamtstruktur B anmelden können, besitzen diese Benutzer bereits die Berechtigungen Lesen und Ausführen für die Verzeichnisse Bin, Public und Scripts. Alternativ können Sie Benutzern in Gesamtstruktur A besondere Berechtigungen für die Remoteanmeldung an einem Server mithilfe der Komponente "Terminaldienste" von Windows Server 2003 zuweisen.

Exchange 2007 RTM

So konfigurieren Sie die gesamtstrukturübergreifende Verwaltung in der RTM-Version von Exchange 2007

  1. Wenn Sie ein klassisches gesamtstrukturübergreifendes Szenario verwenden, ist Exchange in Gesamtstruktur A und in Gesamtstruktur B installiert, und wenn Sie nicht wünschen, dass der Benutzer in Gesamtstruktur A, der Exchange in Gesamtstruktur B verwaltet, auch in Gesamtstruktur A Administrator sein soll, müssen Sie die folgende Organisationseinheit und die folgenden Gruppen in Gesamtstruktur A umbenennen, in eine andere Organisationseinheit verschieben oder in eine andere Domäne verschieben:

    • Microsoft Exchange-Sicherheitsgruppen

    • Exchange-Organisationsadministratoren

    • Exchange-Empfängeradministratoren

    • Exchange-Administratoren mit Leserechten

    Nachdem Sie diese Gruppen umbenannt oder verschoben haben, verfügen sie weiterhin über die gleichen Mitgliedschaften und Berechtigungen, und Sie können Exchange in Gesamtstruktur A auch weiterhin mithilfe von Konten verwalten, die Mitglieder dieser Gruppen sind.

    Wenn Sie ein klassisches gesamtstrukturübergreifendes Szenario verwenden, ist Exchange in Gesamtstruktur A und in Gesamtstruktur B installiert, und wenn Sie wünschen, dass der Benutzer in Gesamtstruktur A Exchange in Gesamtstruktur A und in Gesamtstruktur B verwaltet, fahren Sie mit Schritt 7 fort.

    Wenn Sie ein Ressourcengesamtstruktur-Szenario verwenden, fahren Sie mit Schritt 2 fort.

  2. Erstellen Sie in der Stammdomäne von Gesamtstruktur A eine neue Organisationseinheit namens Microsoft Exchange-Sicherheitsgruppen. Weitere Informationen zum Erstellen einer Organisationseinheit finden Sie unter Erstellen einer neuen Organisationseinheit.

  3. Erstellen Sie in der Organisationseinheit Microsoft Exchange-Sicherheitsgruppen in Gesamtstruktur A die folgenden universellen Sicherheitsgruppen:

    • Exchange-Organisationsadministratoren

    • Exchange-Empfängeradministratoren

    • Exchange-Administratoren mit Leserechten

    Weitere Informationen finden Sie unter Erstellen einer neuen Gruppe.

    Hinweis

    Vergewissern Sie sich, dass Universell als Gruppenbereich und Sicherheit als Gruppentyp ausgewählt wurde.

  4. Führen Sie in Gesamtstruktur A die folgenden Schritte aus, um die Gruppe Exchange-Organisationsadministratoren der Gruppe Exchange-Empfängeradministratoren hinzuzufügen:

    1. Klicken Sie mit der rechten Maustaste auf die Gruppe Exchange-Empfängeradministratoren, und klicken Sie dann auf Eigenschaften.

    2. Klicken Sie auf der Registerkarte Mitglieder auf Hinzufügen.

    3. Geben Sie Exchange-Organisationsadministratoren in Benutzer, Computer oder Gruppen auswählen ein, und klicken Sie dann auf OK.

    4. Klicken Sie auf der Seite Exchange-Empfängeradministratoren Eigenschaften auf OK.

  5. Führen Sie in Gesamtstruktur A die folgenden Schritte aus, um die Gruppe Exchange-Empfängeradministratoren der Gruppe Exchange-Administratoren mit Leserechten hinzuzufügen:

    1. Klicken Sie mit der rechten Maustaste auf die Gruppe Exchange-Administratoren mit Leserechten, und klicken Sie dann auf Eigenschaften.

    2. Klicken Sie auf der Registerkarte Mitglieder auf Hinzufügen.

    3. Geben Sie Exchange-Empfängeradministratoren in Benutzer, Computer oder Gruppen auswählen ein, und klicken Sie dann auf OK.

    4. Klicken Sie auf der Seite Exchange-Administratoren mit Leserechten Eigenschaften auf OK.

  6. Klicken Sie in Active Directory-Benutzer und -Computer in Gesamtstruktur A im Menü Ansicht auf Erweiterte Funktionen, und führen Sie dann die folgenden Schritte aus.

    1. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit Microsoft Exchange-Sicherheitsgruppen, und klicken Sie dann auf Eigenschaften.

    2. Wählen Sie Exchange-Organisationsadministratoren auf der Registerkarte Sicherheit unter Gruppen- oder Benutzernamen aus.

    3. Wählen Sie unter Berechtigungen für Exchange-Organisationsadministratoren die Option Vollzugriff aus, und klicken Sie dann auf OK.

    4. Klicken Sie mit der rechten Maustaste auf die Gruppe Exchange-Organisationsadministratoren, und klicken Sie dann auf Eigenschaften.

    5. Wählen Sie Exchange-Organisationsadministratoren auf der Registerkarte Sicherheit unter Gruppen- oder Benutzernamen aus.

    6. Wählen Sie unter Berechtigungen für Exchange-Organisationsadministratoren die Option Vollzugriff aus, und klicken Sie dann auf OK.

    7. Klicken Sie mit der rechten Maustaste auf die Gruppe Exchange-Empfängeradministratoren, und klicken Sie dann auf Eigenschaften.

    8. Wählen Sie Exchange-Organisationsadministratoren auf der Registerkarte Sicherheit unter Gruppen- oder Benutzernamen aus.

    9. Wählen Sie unter Berechtigungen für Exchange-Organisationsadministratoren die Option Vollzugriff aus, und klicken Sie dann auf OK.

    10. Klicken Sie mit der rechten Maustaste auf die Gruppe Exchange-Administratoren mit Leserechten, und klicken Sie dann auf Eigenschaften.

    11. Wählen Sie Exchange-Organisationsadministratoren auf der Registerkarte Sicherheit unter Gruppen- oder Benutzernamen aus.

    12. Wählen Sie unter Berechtigungen für Exchange-Organisationsadministratoren die Option Vollzugriff aus, und klicken Sie dann auf OK.

  7. Melden Sie sich an Gesamtstruktur B mithilfe eines Kontos an, das Mitglied der Gruppe Unternehmensadministratoren in Gesamtstruktur B ist, und führen Sie dann in einem Fenster mit einer Eingabeaufforderung den folgenden Befehl aus:

    Setup /prepareAD /ForeignForestFQDN:ForestA.contoso.com

    Dieser Befehl überprüft, ob die universellen ExchangeSicherheitsgruppen in Gesamtstruktur A erstellt und Berechtigungen ordnungsgemäß zugewiesen wurden. In Gesamtstruktur B konfiguriert der Befehl ACEs (Access Control Entries) in Active Directory für die Exchange-Konfigurationsobjekte, damit die neu erstellten universellen Exchange-Sicherheitsgruppen in Gesamtstruktur A Rechte für die Exchange-Konfiguration in Gesamtstruktur B besitzen. Wenn Sie Setup /PrepareAD ohne der Parameter ForeignForestFQDN ausführen, erstellt der Befehl die universelle Exchange-Sicherheitsgruppe in der lokalen Gesamtstruktur und legt Berechtigungen für diese Gruppen fest. Durch das Hinzufügen des Parameters ForeignForestFQDN wird angegeben, dass den universellen Exchange-Sicherheitsgruppen in einer fremden Gesamtstruktur Berechtigungen für die Exchange-Konfiguration in der Gesamtstruktur erteilen möchten, in der Sie den Befehl ausführen.

  8. Um zu überprüfen, ob Setup erfolgreich abgeschlossen wurde, führen Sie die folgenden Schritte aus:

    1. Klicken Sie in Gesamtstruktur B mit der rechten Maustaste auf die universelle Sicherheitsgruppe Exchange-Server, und klicken Sie dann auf Eigenschaften.

    2. Wählen Sie Exchange-Organisationsadministratoren (<Domäne in Gesamtstruktur A\Exchange-Organisationsadministratoren>) auf der Registerkarte Sicherheit unter Gruppen- oder Benutzernamen aus.

    3. Vergewissern Sie sich, dass Zulassen für die Berechtigung Vollzugriff ausgewählt ist.

    Hinweis

    Wenn Setup aufgrund unzureichender Zugriffsrechte einen Fehler verursacht, vergewissern Sie sich, dass Sie die universellen Sicherheitsgruppen ordnungsgemäß in Gesamtstruktur A erstellt haben, dass die Gruppen richtig geschachtelt sind, und dass die Gruppe Exchange-Organisationsadministratoren über Vollzugriff auf die neue Organisationseinheit und alle drei neuen universellen Sicherheitsgruppen verfügt. Führen Sie anschließend Schritt 7 nochmals aus.

  9. Um Exchange in Gesamtstruktur B mithilfe eines Kontos in Gesamtstruktur A zu verwalten, fügen Sie das Konto in Gesamtstruktur A mindestens einer der universellen ExchangeSicherheitsgruppen hinzu, die Sie in Gesamtstruktur A erstellt haben.

  10. (Optional) Ändern Sie die Vertrauensstellung aus einer bidirektionalen in eine unidirektionale Gesamtstrukturvertrauensstellung. Löschen Sie zu diesem Zweck die bidirektionale eingehende Vertrauensstellung mit Gesamtstruktur A. Ausführliche Anleitungen finden Sie unter Entfernen einer manuell erstellten Vertrauensstellung.

    Hinweis

    Vergewissern Sie sich, dass Ja, die Vertrauensstellung aus der lokalen und der anderen Domäne entfernen ausgewählt ist.

    Hinweis

    Die ausgehende Vertrauensstellung muss beibehalten werden.

  11. Klicken Sie in Active Directory-Benutzer und -Computer in Gesamtstruktur B im Menü Ansicht auf Erweiterte Funktionen.

  12. (Optional) Wenn Empfängeradministratoren in Gesamtstruktur A Benutzer in Gesamtstruktur B verwalten können sollen, müssen Sie diesen manuell Berechtigungen zuweisen. Führen Sie die folgenden Schritte aus:

    1. Klicken Sie in Active Directory-Benutzer und -Computer in Gesamtstruktur B mit der rechten Maustaste auf den Container Benutzer, und klicken Sie dann auf Eigenschaften.

    2. Klicken Sie auf der Registerkarte Sicherheit auf Erweitert.

    3. Wählen Sie unter Berechtigungseinträge den Eintrag aus, bei dem Typ den Wert Zulassen, Name den Wert Exchange-Empfängeradministratoren (<Domäne in Gesamtstruktur A\Exchange-Empfängeradministratoren>) und Berechtigung den Wert Speziell besitzt, und klicken Sie dann auf Bearbeiten

    4. Wählen Sie auf der Seite Berechtigungseintrag für Benutzer auf der Registerkarte Objekte unter Berechtigungen die Option Zulassen für die folgenden Berechtigungen aus: Inhalt auflisten, Alle Eigenschaften lesen, Alle Eigenschaften schreiben, Leseberechtigungen, Benutzerobjekte erstellen, Benutzerobjekte löschen.

    5. Klicken Sie auf OK.

    6. Aktivieren Sie auf der Seite Erweiterte Sicherheitseinstellungen für Benutzer das Kontrollkästchen Berechtigungen übergeordneter Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten, und klicken Sie dann auf OK.

    Hinweis

    In diesem Schritt werden die Berechtigungen zur Verfügung gestellt, die für Mitglieder der Gruppe Exchange-Empfängeradministratoren in Gesamtstruktur A zum Ändern von Objekten im Container Benutzer in Gesamtstruktur B erforderlich sind. Durch die Ausführung von Setup /ForeignForestFQDN in Gesamtstruktur B (in Schritt 7) wurden Benutzern in den Exchange-Sicherheitsgruppen in Gesamtstruktur A Berechtigungen für Exchange-Eigenschaften in Gesamtstruktur B erteilt, nicht jedoch für Windows-Benutzereigenschaften in Gesamtstruktur B.
    Um anderen Gruppen in Gesamtstruktur A Berechtigungen zu erteilen, damit diese Objekte im Container Benutzer in Gesamtstruktur B ändern können, wählen Sie auf der Seite Erweiterte Sicherheitseinstellungen für Benutzer eine andere Gruppe aus.

  13. (Optional) Wenn Administratoren in Gesamtstruktur A berechtigt sein sollen, die Exchange-Verwaltungskonsole und die Exchange-Verwaltungsshell für einen Servercomputer mit Exchange in Gesamtstruktur B zu verwenden, müssen Sie dem Benutzer manuell Berechtigungen für die Verzeichnisse Bin, Public und Scripts im Verzeichnis des Servercomputers mit Exchange erteilen. Führen Sie die folgenden Schritte aus:

    1. Navigieren Sie zum Verzeichnis des Servercomputers mit Exchange, in dem Exchange installiert ist. (Standardmäßig lautet dieses Verzeichnis %programfiles%\Microsoft\Exchange Server).

    2. Klicken Sie mit der rechten Maustaste auf das Verzeichnis Bin, und klicken Sie dann auf Eigenschaften.

    3. Klicken Sie auf der Registerkarte Sicherheit auf Hinzufügen, und geben Sie dann den Benutzer oder die Gruppe ein, dem bzw. der Sie Berechtigungen erteilen möchten.

    4. Wählen Sie unter Berechtigungen für <Benutzer oder Gruppe> für die Berechtigung Lesen & ausführen den Wert Zulassen aus, und klicken Sie dann auf OK.

    5. Klicken Sie mit der rechten Maustaste auf das Verzeichnis Public, und klicken Sie dann auf Eigenschaften.

    6. Klicken Sie auf der Registerkarte Sicherheit auf Hinzufügen, und geben Sie dann den Benutzer oder die Gruppe ein, dem bzw. der Sie Berechtigungen erteilen möchten.

    7. Wählen Sie unter Berechtigungen für <Benutzer oder Gruppe> für die Berechtigung Lesen & ausführen den Wert Zulassen aus, und klicken Sie dann auf OK.

    8. Klicken Sie mit der rechten Maustaste auf das Verzeichnis Scripts, und klicken Sie dann auf Eigenschaften.

    9. Klicken Sie auf der Registerkarte Sicherheit auf Hinzufügen, und geben Sie dann den Benutzer oder die Gruppe ein, dem bzw. der Sie Berechtigungen erteilen möchten.

    10. Wählen Sie unter Berechtigungen für <Benutzer oder Gruppe> für die Berechtigung Lesen & ausführen den Wert Zulassen aus, und klicken Sie dann auf OK.

    Hinweis

    Um Exchange in Gesamtstruktur B zu verwalten, müssen Benutzer in Gesamtstruktur A außerdem in der Lage sein, sich an einem Server in Gesamtstruktur B anzumelden, auf dem Exchange oder die Exchange-Verwaltungstools installiert sind. Wenn Sie Benutzer in Gesamtstruktur A der Gruppe Domänen-Admins oder der lokalen Gruppe Administratoren auf dem Server in Gesamtstruktur B hinzufügen, damit sich diese an einem Server in Gesamtstruktur B anmelden können, besitzen diese Benutzer bereits die Berechtigungen Lesen und Ausführen für die Verzeichnisse Bin, Public und Scripts. Alternativ können Sie Benutzern in Gesamtstruktur A besondere Berechtigungen für die Remoteanmeldung an einem Server mithilfe der Komponente "Terminaldienste" von Windows Server 2003 zuweisen.

Weitere Informationen

Weitere Informationen zum Installieren von Exchange 2007 mithilfe von Setup.com über ein Eingabeaufforderungsfenster finden Sie unter Installieren von Exchange 2007 im unbeaufsichtigten Modus.