Grundlegendes zu Verwaltungsrollen
Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Letztes Änderungsdatum des Themas: 2015-03-09
Verwaltungsrollen sind ein Teil des Berechtigungsmodells für rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC), das in Microsoft Exchange Server 2010 verwendet wird. Rollen dienen der logischen Gruppierung von Cmdlets, um so das Anzeigen und Ändern der Konfiguration von Exchange 2010-Komponenten wie Postfächer, Transportregeln und Empfänger zu ermöglichen. Verwaltungsrollen können wiederum zu größeren Gruppen, so genannten Verwaltungsrollengruppen und Zuweisungsrichtlinien für Verwaltungsrollen, zusammengefügt werden, die die Verwaltung von Funktionsbereichen und die Empfängerkonfiguration ermöglichen. Rollengruppen und Rollenzuweisungsrichtlinien weisen Administratoren und Benutzern Berechtigungen zu. Weitere Informationen zu Verwaltungsrollengruppen und Zuweisungsrichtlinien für Verwaltungsrollen finden Sie unter Grundlegendes zur rollenbasierten Zugriffssteuerung.
Hinweis
Inhalt dieses Themas ist die erweiterte RBAC-Funktionalität. Informationen zum Verwalten grundlegender Exchange 2010-Berechtigungen finden Sie unter UNRESOLVED_TOKEN_VAL(Informationen zum Verständnis von Berechtigungen). In diesem Thema wird z. B. beschrieben, wie Sie die Grundlegendes zu Berechtigungen-Systemsteuerung verwenden, um Mitglieder zu Rollengruppen hinzuzufügen oder aus diesen zu entfernen oder um Rollengruppen und Rollenzuweisungsrichtlinien zu erstellen oder zu ändern.
Inhalt
Integrierte Verwaltungsrollen
Verwaltungsrollen auf oberster Ebene ohne Bereichseinschränkung
Benutzerdefinierte Verwaltungsrollen
Hierarchie der Verwaltungsrollen
Verwaltungsrolleneinträge
Rolleneinträge auf oberster Ebene ohne Bereichseinschränkung
Verwaltungsrollentypen
Verwaltungsrollenbereiche und Verwaltungsrollenzuweisungen sind wichtige Komponenten für den Einsatz von Verwaltungsrollen. Weitere Informationen zu diesen Komponenten finden Sie unter den folgenden Themen:
Möchten Sie wissen, welche anderen Verwaltungsaufgaben es im Zusammenhang mit Verwaltungsrollen gibt? Weitere Informationen finden Sie unter Verwalten von Berechtigungen.
Integrierte Verwaltungsrollen
Exchange 2010 stellt eine Vielzahl von integrierten Verwaltungsrollen bereit, die Sie zum Verwalten Ihrer Organisation verwenden können. Zu jeder Rolle gehören Cmdlets und Parameter, die die Benutzer zum Verwalten bestimmter Exchange-Komponenten benötigen. Im Folgenden sind Beispiele für einige integrierte Verwaltungsrollen aufgeführt:
E-Mail-Empfänger Ermöglicht Administratoren das Verwalten von Postfächern, Kontakten und E-Mail-Benutzern.
Transportregeln Ermöglicht Administratoren und spezialisierten Benutzern die Verwaltung der Transportregelfunktion.
Verteilergruppen Ermöglicht Administratoren oder spezialisierten Benutzern die Verwaltung von Verteilergruppen und Mitgliedern von Verteilergruppen.
MyPersonalInformation Ermöglicht es Endbenutzern, ihre eigene private Telefonnummer und Websiteadresse zu ändern.
Eine vollständige Liste der im Lieferumfang von Exchange 2010 enthaltenen Verwaltungsrollen finden Sie unter Integrierte Verwaltungsrollen.
Sie können die in Exchange 2010 bereitgestellten integrierten Rollen beliebig kombinieren und damit das für Ihren Geschäftsbereich passende Berechtigungsmodell erstellen. Wenn beispielsweise die Mitglieder einer Gruppe in der Lage sein sollen, Empfänger und Öffentliche Ordner zu verwalten, müssen Sie der Rollengruppe die Rollen "E-Mail-Empfänger" und "Öffentliche Ordner" zuweisen. In den meisten Fällen weisen Sie Rollen Rollengruppen oder Rollenzuweisungsrichtlinien zu. Sie können Benutzern Verwaltungsrollen auch direkt zuweisen, wenn Sie Berechtigungen gezielt vergeben möchten. Es wird jedoch empfohlen, Rollengruppen und Rollenzuweisungsrichtlinien zu verwenden, anstatt Benutzern direkt Rollen zuzuweisen, da das Berechtigungsmodell dadurch vereinfacht wird.
Hinweis
Rollenzuweisungsrichtlinien können nur Endbenutzerverwaltungsrollen zugewiesen werden.
Integrierte Verwaltungsrollen können nicht geändert werden. Sie können jedoch Verwaltungsrollen auf Basis von integrierten Verwaltungsrollen erstellen und diese dann Rollengruppen oder Rollenzuweisungsrichtlinien zuweisen. Anschließend können Sie die neuen Verwaltungsrollen entsprechend Ihren Anforderungen ändern. Dabei handelt es sich allerdings um eine sehr spezielle Aufgabe, die Sie nur selten (wenn überhaupt) ausführen werden.
Weitere Informationen zum Erstellen benutzerdefinierter Rollen auf Basis von integrierten Exchange-Rollen finden Sie unter Benutzerdefinierte Verwaltungsrollen weiter unten in diesem Thema.
Sie müssen Verwaltungsrollen zuweisen, damit sie wirksam werden. In den meisten Fällen weisen Sie Verwaltungsrollen Rollengruppen und Rollenzuweisungsrichtlinien zu. In bestimmten Fällen werden Rollen auch direkt einem Benutzer zugewiesen. Dabei handelt es sich allerdings um eine sehr spezielle Aufgabe, die Sie (wenn überhaupt) nur selten ausführen werden.
Weitere Informationen zum Zuweisen von Verwaltungsrollen finden Sie unter den folgenden Themen:
Weitere Informationen zu Verwaltungsrollenzuweisungen finden Sie unter Grundlegendes zu Verwaltungsrollenzuweisungen.
Zurück zum Seitenanfang
Verwaltungsrollen auf oberster Ebene ohne Bereichseinschränkung
Bei Verwaltungsrollen auf oberster Ebene ohne Bereichseinschränkung handelt es sich um eine besondere Form von Verwaltungsrollen, mit denen Sie unter Verwendung von RBAC Zugriff auf benutzerdefinierte Skripts und auf Nicht-Exchange-Cmdlets erteilen können. Reguläre Verwaltungsrollen ermöglichen nur den Zugriff auf Exchange-Cmdlets. Wenn Sie Zugriff auf andere als Exchange-Cmdlets erteilen müssen, die auf einem Exchange-Server ausgeführt werden, oder ein Skript veröffentlichen müssen, das von Ihren Benutzern ausgeführt werden kann, müssen sie einer Rolle ohne Bereichseinschränkung hinzugefügt werden. Dieser Rollentyp wird als Rolle auf oberster Ebene bezeichnet, da sie bei ihrer Erstellung nicht von einer übergeordneten Rolle abgeleitet wird und daher keine übergeordnete Rolle aufweist. Sie ist den in Exchange 2010 bereitgestellten integrierten Verwaltungsrollen gleichgestellt. Um anzugeben, dass ein Eintrag für eine Rolle auf oberster Ebene ohne Bereichseinschränkung erstellt werden soll, müssen Sie die Option UnscopedTopLevel mit dem Cmdlet New-ManagementRole verwenden.
Rollen ohne Bereichseinschränkung haben diese Bezeichnung, da sie (anders als reguläre Verwaltungsrollen) nicht auf ein bestimmtes Ziel beschränkt werden können. Rollen ohne Bereichseinschränkung sind immer innerhalb der gesamten Organisation gültig. Ein Benutzer, dem eine Rolle ohne Bereichseinschränkung zugewiesen wird, kann also alle Objekte in der Exchange 2010-Organisation ändern. Daher müssen Sie sicherstellen, dass Skripts und Cmdlets, die über eine Rolle ohne Bereichseinschränkung verfügbar gemacht werden, gründlich getestet wurden, um genau zu wissen, welche Änderungen durch sie vorgenommen werden. Außerdem müssen Sie sorgfältig bei der Zuweisung von Rollen ohne Bereichseinschränkung vorgehen.
Rollen ohne Bereichseinschränkung können Rollenempfängern wie Rollengruppen, Verwaltungsrollen, Benutzern und universellen Sicherheitsgruppen (USGs) zugewiesen werden. Sie können keinen Zuweisungsrichtlinien für Verwaltungsrollen zugewiesen werden.
Exchange-Cmdlets können einer Rolle ohne Bereichseinschränkung nicht als Verwaltungsrolleneintrag hinzugefügt werden. Sie können jedoch in Skripts eingefügt werden, die als Rolleneinträge hinzugefügt werden. Dadurch können Sie benutzerdefinierte Skripts erstellen, mit denen Exchange-Aufgaben ausgeführt werden und die Benutzern zugewiesen werden. Dies ist beispielsweise sinnvoll, wenn ein Benutzer eine vertrauliche Aufgabe ausführen muss, die normalerweise außerhalb seines Zuständigkeitsbereichs liegt und für die die Erstellung einer neuen Verwaltungsrolle oder Rollengruppe problematisch wäre. In diesem Fall können Sie ein Skript erstellen, das diese spezifische Funktion ausführt, dieses Skript einer Rolle ohne Bereichseinschränkung hinzufügen und diese Rolle anschließend dem Benutzer zuweisen. Der Benutzer kann nur diese spezifische Funktion in dem Skript ausführen.
Die Rolleneinträge, die Sie einer Rolle ohne Bereichseinschränkung hinzufügen, müssen außerdem als Eintrag für eine Rolle auf oberster Ebene ohne Bereichseinschränkung gekennzeichnet werden. Weitere Informationen zu Rolleneinträgen auf oberster Ebene ohne Bereichseinschränkung finden Sie unter Rolleneinträge auf oberster Ebene ohne Bereichseinschränkung weiter unten in diesem Thema.
Die Rollengruppe Organisationsverwaltung verfügt standardmäßig nicht über die Berechtigungen zum Erstellen oder Verwalten von Rollengruppen ohne Bereichseinschränkung. Damit soll verhindert werden, dass Rollengruppen ohne Bereichseinschränkung versehentlich erstellt oder geändert werden. Die Rollengruppe Organisationsverwaltung kann die Verwaltungsrolle "Rollenverwaltung ohne Bereichseinschränkung" sich selbst oder anderen Rollenempfängern zuweisen. Weitere Informationen zum Erstellen einer Verwaltungsrolle auf oberster Ebene ohne Bereichseinschränkung finden Sie unter Erstellen einer Rolle ohne Bereichseinschränkung.
Zurück zum Seitenanfang
Benutzerdefinierte Verwaltungsrollen
Sie können benutzerdefinierte Verwaltungsrollen auf Basis von integrierten Exchange-Rollen erstellen, wenn die integrierten Verwaltungsrollen nicht den Anforderungen Ihrer Benutzer entsprechen. Bei der Erstellung einer benutzerdefinierten Verwaltungsrolle erbt die neue untergeordnete Rolle alle Verwaltungsrolleneinträge der übergeordneten Rolle. Sie können anschließend wählen, welche Verwaltungsrolleneinträge in der benutzerdefinierten Verwaltungsrolle beibehalten werden sollen, und alle Einträge entfernen, die Sie nicht benötigen.
Benutzerdefinierte Rollen werden zu untergeordneten Rollen der Rolle, die zum Erstellen der neuen Rolle verwendet wird. Sie können nur Verwaltungsrolleneinträge in der neuen untergeordneten Rolle verwenden, die auch in der übergeordneten Rolle enthalten sind. Weitere Informationen finden Sie unter den folgenden Abschnitten weiter unten in diesem Thema:
Hierarchie der Verwaltungsrollen
Verwaltungsrolleneinträge
Die Erstellung benutzerdefinierter Verwaltungsrollen erfolgt in mehreren Schritten. Dies ist eine anspruchsvolle Aufgabe, die Sie (wenn überhaupt) nur selten ausführen werden. Vor der Erstellung einer benutzerdefinierten Verwaltungsrolle müssen Sie sicherstellen, dass keine der bereits vorhandenen integrierten Verwaltungsrollen die benötigten Berechtigungen bereitstellt. Weitere Informationen zu den integrierten Verwaltungsrollen oder zum Erstellen benutzerdefinierter Verwaltungsrollen finden Sie unter den folgenden Themen:
Weitere Informationen zum Erstellen einer Verwaltungsrolle finden Sie unter Erstellen einer Rolle.
Zurück zum Seitenanfang
Hierarchie der Verwaltungsrollen
Verwaltungsrollen stellen eine Hierarchie von unter- und übergeordneten Elementen dar. Dabei stellen die standardmäßig in Exchange 2010 bereitgestellten integrierten Verwaltungsrollen die oberste Ebene dar. Bei der Erstellung einer Rolle wird eine Kopie einer übergeordneten Rolle erstellt. Die neue Rolle ist ein untergeordnetes Element der Rolle, aus der sie kopiert wurde. Sie können die neue Rolle anschließend entsprechend den Anforderungen der Administratoren oder Benutzer anpassen, denen sie zugeordnet werden soll.
Benutzerdefinierte Rollen können verwendet werden, um Rollen zu erstellen. Wenn Sie eine Rolle auf Basis einer bereits vorhandenen benutzerdefinierten Rolle erstellen, ist diese benutzerdefinierte Rolle weiterhin ein untergeordnetes Element der übergeordneten Rolle, stellt aber gleichzeitig auch die übergeordnete Rolle der neuen Rolle dar. Jedesmal, wenn eine Rolle kopiert wird, kann die neue untergeordnete Rolle nur die Rolleneinträge enthalten, die in der unmittelbar übergeordneten Rolle vorhanden sind.
Jeder Verwaltungsrolle wird ein Rollentyp zugewiesen, der nicht geändert werden kann. Der Rollentyp definiert den Basiskontext für die Verwendung der Rolle. Der Rollentyp kann bei der Erstellung der untergeordneten Rolle aus der übergeordneten Rolle kopiert werden.
Hierarchie der Verwaltungsrollen
.gif "Hierarchiediagramm für RBAC-Verwaltungsrollen")
Die vorhergehende Abbildung verdeutlicht die hierarchische Beziehung mehrerer Verwaltungsrollen. Die Rollen "E-Mail-Empfänger" und "Helpdesk" sind integrierte Rollen. Alle untergeordneten Rollen, die von diesen Rollen abgeleitet werden, erben den Rollentyp der einzelnen integrierten Rollen. Beispielsweise erben alle untergeordneten Rollen, die direkt oder indirekt von der Rolle "E-Mail-Empfänger" abgeleitet werden, den Rollentyp MailRecipients.
Die benutzerdefinierte Rolle "Seattle Empfängeradministratoren" ist eine untergeordnete Rolle der integrierten Rolle "E-Mail-Empfänger", stellt aber auch die übergeordnete Rolle der benutzerdefinierten Rollen "Seattle Empfängeradministratoren 'Vertrieb'" und "Seattle Empfängeradministratoren 'Rechtsabteilung'" dar. Die benutzerdefinierte Rolle "Seattle Empfängeradministratoren" enthält nur einige der Cmdlets, die in der Rolle "E-Mail-Empfänger" verfügbar sind. Die untergeordneten Rollen der benutzerdefinierten Rolle "Seattle Empfängeradministratoren" können nur die Cmdlets enthalten, die auch in der übergeordneten Rolle vorhanden sind. Wenn in der Rolle "E-Mail-Empfänger" beispielsweise ein Cmdlet vorhanden ist, das nicht in der benutzerdefinierten Rolle "Seattle Empfängeradministratoren" enthalten ist, kann dieses Cmdlet auch nicht der benutzerdefinierten Rolle "Seattle Empfängeradministratoren 'Vertrieb'" hinzugefügt werden.
Alle benutzerdefinierten Rollen folgen demselben Muster wie die oben beschriebenen Rollen. Weitere Informationen dazu, wie der Zugriff auf Cmdlets für Verwaltungsrollen gesteuert wird, finden Sie unter Verwaltungsrolleneinträge in diesem Thema.
Zurück zum Seitenanfang
Verwaltungsrolleneinträge
Für jede Verwaltungsrolle, unabhängig davon, ob es sich um benutzerdefinierte Exchange-Rollen oder um Rollen ohne Bereichseinschränkung handelt, muss mindestens ein Verwaltungsrolleneintrag vorhanden sein. Ein Eintrag besteht aus einem einzelnen Cmdlet und dessen Parametern, einem Skript oder einer speziellen Berechtigung, die zur Verfügung gestellt werden soll. Wenn ein Cmdlet oder Skript nicht als Eintrag für eine Verwaltungsrolle vorhanden ist, kann über diese Rolle auch nicht auf das Cmdlet oder das Skript zugegriffen werden. Ebenso ist über diese Rolle kein Zugriff auf einen Parameter in dem Cmdlet oder Skript möglich, wenn dieser Parameter nicht in einem Eintrag vorhanden ist.
Exchange 2010 ermöglicht die Verwaltung von Rolleneinträge, die auf integrierten Exchange-Verwaltungsrollen auf oberster Ebene oder auf Verwaltungsrollen auf oberster Ebene ohne Bereichseinschränkung basieren. Rollen, die auf integrierten Exchange-Rollen auf oberster Ebene basieren, können nur Rolleneinträge enthalten, bei denen es sich um Exchange 2010-Cmdlets handelt. Damit die Benutzer benutzerdefinierte Skripts oder Nicht-Exchange-Cmdlets verwenden können, müssen Sie sie einer Rolle auf oberster Ebene ohne Bereichseinschränkung als Rolleneinträge ohne Bereichseinschränkung hinzufügen. Weitere Informationen zu Rolleneinträgen ohne Bereichseinschränkung finden Sie unter Rolleneinträge auf oberster Ebene ohne Bereichseinschränkung weiter unten in diesem Thema.
Für alle Rolleneinträge, unabhängig davon, ob es sich um einen Exchange-Cmdlet-basierten Rolleneintrag oder einen Rolleneintrag ohne Bereichseinschränkung handelt, gelten die in den folgenden Abschnitten erläuterten Prinzipien.
Weitere Informationen zu Verwaltungsrolleneinträgen finden Sie unter Verwaltungsrollen und Rolleneinträge.
Beziehung zwischen über- und untergeordneten Verwaltungsrollen
Wie oben erwähnt, muss ein Verwaltungsrolleneintrag, einschließlich des Cmdlets und dessen Parameter, in der unmittelbar übergeordneten Rolle enthalten sein, damit er der untergeordneten Rolle hinzugefügt werden kann. Wenn die übergeordnete Rolle beispielsweise keinen Eintrag für New-Mailbox enthält, kann dieses Cmdlet der untergeordneten Rolle nicht zugewiesen werden. Wenn die übergeordnete Rolle zwar einen Eintrag für Set-Mailbox enthält, der Parameter Database aber aus dem Eintrag entfernt wurde, kann der Parameter Database im Cmdlet Set-Mailbox nicht dem Eintrag in der untergeordneten Rolle hinzugefügt werden.
Da Verwaltungsrolleneinträge untergeordneten Rollen nicht hinzugefügt werden können, wenn sie nicht in den übergeordneten Rollen enthalten sind, und da die Rolle auf einem bestimmten Rollentyp basiert, müssen Sie bei der Erstellung einer benutzerdefinierten Rolle die übergeordnete Rolle, die kopiert werden soll, sorgfältig auswählen.
Zurück zum Seitenanfang
Namen der Verwaltungsrolleneinträge
Die Namen von Verwaltungsrolleneinträgen setzen sich aus der Verwaltungsrolle, der sie zugeordnet sind, und dem Namen des Cmdlets oder Skripts zusammen. Der Rollenname und der Name des Cmdlets oder Skripts sind durch einen umgekehrten Schrägstrich (\) getrennt. Der Name des Rolleneintrags für das Cmdlet Set-Mailbox in der Rolle "E-Mail-Empfänger" lautet beispielsweise Mail Recipients\Set-Mailbox. Wenn der Name eines Rolleneintrags Leerzeichen enthält, müssen Sie den gesamten Namen in Anführungszeichen (") setzen.
Das Platzhalterzeichen (*) kann im Namen des Rolleneintrags verwendet werden, um alle Rolleneinträge abzurufen, die der von Ihnen eingegebenen Zeichenfolge entsprechen. Dabei kann das Platzhalterzeichen entweder vor oder hinter dem umgekehrten Schrägstrich eingegeben werden. Die folgende Tabelle enthält einige Beispiele dafür, wie ein Platzhalterzeichen im Namen eines Rolleneintrags verwendet werden kann.
Namen von Verwaltungsrolleneinträgen mit Platzhalterzeichen
| Beispiel | Beschreibung |
|---|---|
|
Gibt eine Liste aller Rolleneinträge für alle Rollen zurück. |
|
Gibt eine Liste aller Rolleneinträge zurück, die das Cmdlet Set-Mailbox enthalten. |
|
Gibt eine Liste aller Rolleneinträge für die Rolle "E-Mail-Empfänger" zurück. |
|
Gibt eine Liste aller Rolleneinträge für die Rolle "E-Mail-Empfänger" zurück, die Cmdlets enthalten, die mit "Mailbox" enden. |
|
Gibt für alle Rollen, die mit "My" beginnen, eine Liste aller Rolleneinträge zurück, die die Zeichenfolge "Group" im Cmdlet-Namen enthalten. |
Rolleneinträge auf oberster Ebene ohne Bereichseinschränkung
Rolleneinträge auf oberster Ebene ohne Bereichseinschränkung werden zusammen mit Verwaltungsrollen auf oberster Ebene ohne Bereichseinschränkung verwendet, um Rollen auf Basis von benutzerdefinierten Skripts oder von Cmdlets zu erstellen, bei denen es sich nicht um Exchange-Cmdlets handelt. Jeder Rolleneintrag ohne Bereichseinschränkung ist einem einzigen benutzerdefinierten Skript oder einem Nicht-Exchange-Cmdlet zugeordnet. Um anzuzeigen, dass ein Rolleneintrag ohne Bereichseinschränkung in einer Rolle ohne Bereichseinschränkung erstellt werden soll, müssen Sie im Cmdlet New-ManagementRoleEntry den Parameter UnscopedTopLevel angeben.
Wenn Sie den Rolleneintrag ohne Bereichseinschränkung hinzufügen, müssen Sie alle Parameter angeben, die mit dem Skript oder dem Nicht-Exchange-Cmdlet verwendet werden können. Wenn Sie den Rolleneintrag hinzufügen, unternimmt Exchange den Versuch, die von Ihnen angegebenen Parameter zu überprüfen. Für die Benutzer, die der Rolle ohne Bereichseinschränkung zugewiesen werden, sind nur die Parameter verfügbar, die Sie dem Rolleneintrag bei dessen Erstellung hinzufügen. Wenn Sie dem Skript oder dem Nicht-Exchange-Cmdlet Parameter hinzufügen oder einen Parameter umbenennen, müssen Sie den Rolleneintrag manuell aktualisieren. Exchange überprüft nicht, ob vorhandene Parameter in einem Rolleneintrag ohne Bereichsbeschränkung geändert wurden. Wenn ein Parameter in einem Rolleneintrag in einem Skript geändert wurde und Sie diesen Parameter verwenden möchten, schlägt der Befehl fehl.
Skripts, die einem Rolleneintrag ohne Bereichseinschränkung hinzugefügt werden, müssen sich auf jedem Server, mit dem Administratoren und Benutzer unter Verwendung der Exchange-Verwaltungskonsole eine Verbindung herstellen, im Verzeichnis für Exchange 2010-Skripts befinden. Angenommen Sie versuchen, einen Rolleneintrag ohne Bereichseinschränkung auf einem Server hinzuzufügen. Dieser Rolleneintrag basiert jedoch auf einem Skript, das sich nicht im Verzeichnis für Exchange 2010-Skripts auf dem Server befindet. Dann tritt in diesem Fall ein Fehler auf. Das Standardinstallationsverzeichnis für Exchange 2010-Skripts ist "C:\Programme\Microsoft\Exchange Server\V14\Scripts".
Cmdlets, bei denen es sich nicht um Exchange-Cmdlets handelt, und die einem Rolleneintrag ohne Bereichseinschränkung hinzugefügt werden, müssen auf jedem Server mit Exchange 2010 installiert sein, mit dem Administratoren und Benutzer unter Verwendung der Shell eine Verbindung herstellen und auf dem sie diese Cmdlets verwenden möchten. Angenommen Sie versuchen, einen Rolleneintrag ohne Bereichseinschränkung auf einem hinzuzufügen. Dieser Rolleneintrag basiert jedoch auf einem Nicht-Exchange-Cmdlet, das nicht auf dem Server mit Exchange 2010 installiert ist. Dann tritt in diesem Fall ein Fehler auf. Wenn Sie ein Nicht-Exchange-Cmdlet hinzufügen, müssen Sie den Namen des Windows PowerShell-Snap-Ins angeben, das dieses Nicht-Exchange-Cmdlet enthält.
Weitere Informationen zum Hinzufügen von Verwaltungsrolleneinträgen ohne Bereichseinschränkung finden Sie unter Hinzufügen eines Rolleneintrags zu einer Rolle.
Zurück zum Seitenanfang
Verwaltungsrollentypen
Verwaltungsrollentypen stellen die Grundlage aller Verwaltungsrollen dar. Typen definieren die impliziten Bereiche, die in allen Verwaltungsrollen eines bestimmten Rollentyps definiert sind, und dienen außerdem zur logischen Gruppierung zusammengehöriger Rollen. Alle Verwaltungsrollen, die von übergeordneten integrierten Verwaltungsrollen abgeleitet sind, verfügen über denselben Rollentyp. Diese Beziehung wird in der Abbildung oben veranschaulicht, in der die Hierarchie der Verwaltungsrollen dargestellt ist. Verwaltungsrollentypen stellen außerdem die maximale Anzahl von Cmdlets und ihren Parametern dar, die einer einem Rollentyp zugeordneten Rolle hinzugefügt werden kann.
Verwaltungsrollentypen sind in die folgenden Kategorien unterteilt:
Administrator- oder Spezialistenrollen Rollen des Administrator- oder Spezialistenrollentyps haben einen größeren Wirkungsbereich in der Exchange-Organisation. Rollen dieses Rollentyps ermöglichen die Ausführung von Aufgaben wie die Verwaltung von Servern oder Empfängern, die Konfiguration der Organisation, die Verwaltung der Richtlinientreue, Überwachung usw.
Benutzerspezifische Rollen Rollen eines benutzerspezifischen Rollentyps haben einen eng an den einzelnen Benutzer gebundenen Wirkungsbereich. Rollen dieses Rollentyps ermöglichen die Ausführung von Aufgaben wie die Konfiguration von Benutzerprofilen und die Selbstverwaltung, Verwaltung der benutzerspezifischen Verteilergruppen usw.
Die Namen von Rollen dieses Rollentyps sowie die Namen dieses Rollentyps beginnen mit "My".
Sonderrollen Rollen dieses Rollentyps ermöglichen die Ausführung von Aufgaben, die nicht in den Bereich von Verwaltungsrollentypen oder benutzerspezifischen Rollentypen fallen. Rollen dieses Rollentyps ermöglichen die Ausführung von Aufgaben wie Anwendungsidentitätswechsel und die Verwendung von Nicht-Exchange-Cmdlets und -Skripts.
In der folgenden Tabellen sind alle Verwaltungsrollentypen der Kategorie "Administratorrollen" in Exchange 2010 aufgeführt. Außerdem ist angegeben, ob die mit diesem Rollentyp vorgenommenen Konfigurationen für die gesamte Exchange-Organisation gelten oder nur für einen bestimmten Benutzer. Weitere Informationen zu den einzelnen Verwaltungsrollen mit diesen Rollentypen, einschließlich einer Beschreibung der einzelnen Rollen, Hinweisen, für wen die Zuweisung dieser Rolle sinnvoll ist, und weitere Informationen finden Sie unter Integrierte Verwaltungsrollen.
Administratorrollentypen
| Verwaltungsrollentyp | Integrierte Verwaltungsrolle | Beschreibung | Organisation oder Server | ||
|---|---|---|---|---|---|
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren Active Directory-Berechtigungen in einer Organisation konfigurieren können. Einige Funktionen, die Active Directory-Berechtigungen oder eine Zugriffssteuerungsliste (Access Control List, ACL) verwenden, enthalten Sende- und Empfangsconnectors für den Transport sowie die Berechtigungen "Senden als" und "Senden im Auftrag von" für Postfächer. Hinweis Berechtigungen, die direkt für Active Directory-Objekte gesetzt werden, dürfen nicht durch rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC). |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren Adresslisten, globale Adresslisten (Global Address List, GAL) sowie Offlineadresslisten in einer Organisation verwalten können. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Anwendungen die Identität anderer Benutzer in einer Organisation annehmen können, um im Namen dieser Benutzer Aufgaben auszuführen. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren die Administrator-Überwachungsprotokollierung in einer Organisation verwalten können. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren Cmdlet-Erweiterungs-Agents in einer Organisation verwalten können. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren Datenbankverfügbarkeitsgruppen (DAGs) in einer Organisation verwalten können. Die dieser Rolle zugewiesenen Administratoren sind entweder direkt oder indirekt die Administratoren der höchsten Ebene, die für die Hochverfügbarkeitskonfiguration in einem Unternehmen zuständig sind. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren Datenbankkopien auf einzelnen Servern verwalten können. |
Server |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren Postfächer und Öffentliche Ordner-Datenbanken auf einzelnen Server erstellen, verwalten und einbinden bzw. deren Einbindung aufheben können. |
Server |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren Postfächer und DAGs in einer Organisation wiederherstellen können. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren Verteilergruppen und Mitglieder von Verteilergruppen in einer Organisation erstellen und verwalten können. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren die Konfiguration von Edge-Synchronisierung und -Abonnement zwischen Edge-Transport- und Hub-Transport-Servern in einer Organisation verwalten können. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren Richtlinien für E-Mail-Adressen in einer Organisation verwalten können. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren Connectors in einer Organisation verwalten können, bei denen es sich nicht um Sende- und Empfangsconnectors handelt. Diese Connectors umfassen Routinggruppenconnectors und Zustellungs-Agent-Connectors. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren Exchange-Serverzertifikate auf einzelnen Servern erstellen, importieren und exportieren können. |
Server |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren die Exchange-Serverkonfiguration auf einzelnen Servern verwalten können. |
Server |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren virtuelle Verzeichnisse für Microsoft Office Outlook Web App, Microsoft ActiveSync, OAB (Offlineadressbuch), AutoErmittlung, Windows PowerShell und die Webverwaltungsschnittstelle auf einzelnen Servern verwalten können. |
Server |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren die gesamtstruktur- und organisationsweite Freigabe in einer Organisation verwalten können. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren die IRM-Funktionen (Information Rights Management, Verwaltung von Informationsrechten) von Exchange in einer Organisation verwalten können. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren die Journalkonfiguration in einer Organisation verwalten können. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren konfigurieren können, ob Daten in einem Postfach zur Beweissicherung in einer Organisation beibehalten werden sollen. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren Postfachinhalte importieren und exportieren sowie unerwünschte Inhalte aus einem Postfach entfernen können. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren den Inhalt eines oder mehrerer Postfächer in einer Organisation durchsuchen können. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren konfigurieren können, ob einzelne Öffentliche Ordner in einer Organisation E-Mail-aktiviert oder E-Mail-deaktiviert werden sollen. Mit diesem Rollentyp können Sie nur die E-Mail-Eigenschaften von Öffentlichen Ordnern verwalten. Er ermöglicht nicht die Verwaltung der Eigenschaften Öffentlicher Ordner, bei denen es sich nicht um E-Mail-Eigenschaften handelt. Um Eigenschaften Öffentlicher Ordner zu verwalten, bei denen es sich nicht um E-Mail-Eigenschaften handelt, muss Ihnen eine Rolle des Rollentyps |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren Postfächer, E-Mail-Benutzer, E-Mail-Kontakte, Verteilergruppen und dynamische Verteilergruppen in einer Organisation erstellen können. Rollen mit diesem Rollentyp können zusammen mit Rollen des Rollentyps Mit diesem Rollentyp können keine Öffentlichen Ordner E-Mail-aktiviert werden. Damit Öffentliche Ordner E-Mail-aktiviert werden können, muss Ihnen eine Rolle des Rollentyps Wenn in Ihrer Organisation ein Modell mit geteilten Berechtigungen verwendet wird, bei dem die Erstellung von Empfängern und die Verwaltung von Empfängern jeweils von einer eigenen Gruppe übernommen wird, müssen Sie der Gruppe, die für die Empfängererstellung zuständig ist, die Rolle |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren die in einer Organisation vorhandenen Postfächer, E-Mail-Benutzer, E-Mail-Kontakte, Verteilergruppen und dynamische Verteilergruppen verwalten können. Mit Rollen dieses Rollentyps können diese Empfänger nicht erstellt werden. In Kombination mit Rollen des Rollentyps Dieser Rollentyp gestattet es Ihnen nicht, E-Mail-aktivierte Öffentliche Ordner oder Verteilergruppen zu verwalten. Für die Verwaltung E-Mail-aktivierter Öffentlicher Ordner muss Ihnen eine Rolle des Rollentyps Wenn in Ihrer Organisation ein Modell mit geteilten Berechtigungen verwendet wird, bei dem die Erstellung von Empfängern und die Verwaltung von Empfängern jeweils von einer eigenen Gruppe übernommen wird, müssen Sie der Gruppe, die für die Empfängererstellung zuständig ist, die Rolle |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren E-Mail-Infos in einer Organisation verwalten können. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren Nachrichten in einer Organisation verfolgen können. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren Postfächer und den Inhalt von Postfächern in einen oder aus einem Server migrieren können. |
Server |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren die Verfügbarkeit von Microsoft Exchange-Diensten und -Komponenten in einer Organisation überwachen können. Darüber hinaus können Rollen dieses Rollentyps zusammen mit dem Dienstkonto von Überwachungsanwendungen verwendet werden, um Informationen zum Zustand von Exchange-Servern zu erfassen. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren Postfächer zwischen Servern innerhalb einer Organisation und zwischen der lokalen und einer anderen Organisation verschieben können. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren die Einstellungen der Clientzugriffsserver in einer Organisation verwalten können. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren die organisationsweiten Einstellungen in einer Organisation verwalten können. Zu den organisationsweiten Konfigurationseinstellungen, die mit diesem Rollentyp gesteuert werden können, gehören unter anderem folgende:
Dieser Rollentyp verfügt nicht über die in den Rollentypen |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren organisationsweite Transporteinstellungen wie Systemmeldungen, Standortkonfiguration sowie weitere Transporteinstellungen in einer Organisation verwalten können. Diese Rolle gestattet es Ihnen nicht, Transport-Empfangs- oder Sendeconnectors, Warteschlangen, Schutz, Agents, Remote- und akzeptierte Domänen oder Rollen zu erstellen oder zu verwalten. Um die einzelnen Transportfunktionen zu erstellen oder zu verwalten, müssen Ihnen Rollen der folgenden Rollentypen zugewiesen sein:
|
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren die POP3- und IMAP4-Konfiguration (beispielsweise Authentifizierungs- und Verbindungseinstellungen) auf einzelnen Servern verwalten können. |
Server |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren die Replikation Öffentlicher Ordner in einer Organisation starten und stoppen können. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren Öffentliche Ordner in einer Organisation verwalten können. Mit diesem Rollentyp können Sie nicht festlegen, ob Öffentliche Ordner E-Mail-aktiviert werden sollen, und auch nicht die Replikation Öffentlicher Ordner verwalten. Damit Öffentliche Ordner E-Mail-aktiviert oder E-Mail-deaktiviert werden können, muss Ihnen eine Rolle des Rollentyps |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren die Empfangsconnectorkonfiguration für den Transport wie Größenbeschränkungen auf einem einzelnen Server verwalten. |
Server |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren Empfängerrichtlinien wie Bereitstellungsrichtlinien in einer Organisation verwalten können. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren Remote- und akzeptierte Domänen in einer Organisation verwalten können. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren die Aufbewahrungsrichtlinien in einer Organisation verwalten können. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren Verwaltungsrollengruppen, Rollenzuweisungsrichtlinien, Verwaltungsrollen, Rolleneinträge, Zuweisungen und Bereiche in einer Organisation verwalten können. Benutzer, denen Rollen dieses Rollentyps zugewiesen sind, können die Eigenschaft Rollengruppe verwaltet von außer Kraft setzen, Rollengruppen konfigurieren oder einer Rollengruppe Mitglieder hinzufügen bzw. Mitglieder aus einer Rollengruppe entfernen. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren universelle Sicherheitsgruppen und die Mitgliedschaft zu diesen Gruppen in einer Organisation erstellen und verwalten können. Wenn in Ihrer Organisation ein Modell mit geteilten Berechtigungen verwendet wird, bei dem universelle Sicherheitsgruppen von einer anderen Gruppe erstellt und verwaltet werden als der für die Verwaltung von Exchange-Servern zuständigen Gruppe, müssen Sie der Gruppe Rollen dieses Rollentyps zuweisen. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren Sendeconnectors für den Transport in einer Organisation verwalten können. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren erweiterte Diagnosefunktionen unter Anleitung der Microsoft Support Services in einer Organisation ausführen.
|
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren Transport-Agents in einer Organisation verwalten können. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren Antiviren- und Antispamfunktionen in einer Organisation verwalten können. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren Transportwarteschlangen auf einem bestimmten Server verwalten können. |
Server |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren Transportregeln in einer Organisation verwalten können. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren die UM-Konfiguration (Unified Messaging) von Postfächern und anderen Empfängern in einer Organisation verwalten können. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren benutzerdefinierte UM-Sprachansagen in einer Organisation erstellen und verwalten können. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren die UM-Server in einer Organisation verwalten können. Diese Rolle gestattet es Ihnen nicht, UM-spezifische Postfachkonfigurationen oder UM-Ansagen zu verwalten. Für die Verwaltung der UM-spezifischen Postfachkonfiguration müssen Sie Rollen des Rollentyps |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren Verwaltungsrollen auf oberster Ebene ohne Bereichseinschränkung in einer Organisation erstellen und verwalten können. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren die Outlook Web App-Optionen eines Benutzers in einer Organisation anzeigen können. Rollen dieses Rollentyps können dazu verwendet werden, Benutzern bei der Diagnose von Problemen in Zusammenhang mit ihrer Konfiguration zu unterstützen. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren das Administrator-Überwachungsprotokoll in einer Organisation durchsuchen können. |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren alle Exchange-Konfigurationseinstellungen in einer Organisation anzeigen können, bei denen es sich nicht um empfängerspezifische Einstellungen handelt. Beispiele für anzeigbare Konfigurationen sind Serverkonfigurationen, Transportkonfigurationen, Datenbankkonfigurationen und unternehmensweite Konfigurationen. Rollen dieses Rollentyps können zusammen mit Rollen des Rollentyps |
Organisation |
|||
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Administratoren die Konfiguration von Empfängern wie Postfächer, E-Mail-Benutzer, E-Mail-Kontakte, Verteilergruppen und dynamische Verteilergruppen anzeigen können. Rollen dieses Rollentyps können zusammen mit Rollen des Rollentyps |
Organisation |
.gif "Vorsicht")
Achtung:In der folgenden Tabelle sind alle benutzerspezifischen Verwaltungsrollentypen und die zugeordneten integrierten Verwaltungsrollen in Exchange 2010 aufgelistet.
Benutzerdefinierte Rollentypen
| Verwaltungsrollentyp | Integrierte benutzerspezifische Rollen | Beschreibung |
|---|---|---|
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Benutzer die Basiskonfiguration ihres eigenen Postfachs und die entsprechenden Einstellungen anzeigen und ändern können. |
|
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Benutzer ihre Kontaktinformationen ändern können. Zu diesen Informationen gehören Adresse und Telefonnummern. |
|
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Benutzer ihre Mitgliedschaft in Verteilergruppen in einer Organisation anzeigen und ändern können, sofern die Bearbeitung der Mitgliedschaft für diese Verteilergruppen gestattet ist. |
|
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Benutzer Verteilergruppen erstellen, ändern und anzeigen können. Außerdem können sie die Mitglieder in den Verteilergruppen, deren Eigner sie sind, ändern, anzeigen, diesen Verteilergruppen hinzufügen oder aus diesen Verteilergruppen entfernen. |
|
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Benutzer ihre Namen ändern können. |
|
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Benutzer ihre Aufbewahrungstags anzeigen sowie die Einstellungen und Standardeinstellungen ihrer Aufbewahrungstags anzeigen und ändern können. |
|
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Benutzer ihre Textnachrichteneinstellungen erstellen, anzeigen und ändern können. |
|
|
Dieser Rollentyp ist Rollen zugeordnet, mit denen Benutzer ihre Voicemail-Einstellungen anzeigen und ändern können. |
Zurück zum Seitenanfang
Weitere Informationen
© 2010 Microsoft Corporation. Alle Rechte vorbehalten.