computerwoche.de

Office & Collaboration

Praxis-Workshop

Exchange Server 2010 - rollenbasierte Berechtigungen und Delegierung

07.09.2012
Von 
Thomas Joos ist freiberuflicher IT-Consultant und seit 20 Jahren in der IT tätig. Er schreibt praxisnahe Fachbücher und veröffentlicht in zahlreichen IT-Publikationen wie TecChannel.de und PC Welt.
Alle Posts des Autors

Stellvertreter einrichten und hinzufügen

Stellvertreter von Verwaltungsrollengruppen können Mitglieder zu Verwaltungsrollengruppen hinzufügen oder aus ihnen entfernen und Eigenschaften einer Rollengruppe anpassen, haben aber selbst keine Rechte in der Verwaltungsrollengruppe.

Gruppenbildung: Erstellen einer neuen Verwaltungsrollengruppe.
Gruppenbildung: Erstellen einer neuen Verwaltungsrollengruppe.

Die Konfiguration des Stellvertreters erfolgt durch die Option ManagedBy für die Cmdlets Set-RoleGroup oder New-RoleGroup. Sollen die Benutzer auch die Rechte der Gruppe erhalten, müssen diese Mitglieder sein, nicht nur Stellvertreter. Das erlaubt Benutzern aber nicht, die Rollengruppe selbst zu delegieren. Das funktioniert nur, wenn die Rollengruppe als ManagedBy festgelegt ist. Die Option ManagedBy für das Cmdlet Set-RoleGroup überschreibt die gesamte Stellvertreterliste für eine Rollengruppe.

Wollen Sie einzelne Stellvertreter zu einer Rollengruppe hinzufügen, ohne die gesamte Stellvertreterliste zu löschen, gehen Sie folgendermaßen vor:

1. Sie speichern die Rollengruppe mit einem Befehl in eine Variable: $RoleGroup = Get-RoleGroup <Verwaltungsrollengruppe>.

2. Sie fügen den Stellvertreter zu der Rollengruppe hinzu, die Sie als Variable gespeichert haben: $RoleGroup.ManagedBy += (Get-User <Postfach das Sie hinzufügen wollen>).Identity. Wollen Sie eine universelle Gruppe hinzufügen, verwenden Sie das Cmdlet Get-Group.

3. Wiederholen Sie Schritt 2 für jeden Stellvertreter, den Sie hinzufügen wollen.

4. Die Liste in der Variablen müssen Sie noch der echten Verwaltungsrollengruppe hinzufügen: Set-RoleGroup <Verwaltungsrollengruppe> -ManagedBy $RoleGroup.ManagedBy

In dem folgenden Beispiel wollen Sie den Benutzer Thomas Joos als Stellvertreter der Rollengruppe Organisationsverwaltung hinzufügen:

$RoleGroup = Get-RoleGroup "Organization Management"

$RoleGroup.ManagedBy += (Get-User "Thomas Joos").Identity

Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy

Sie entfernen den Stellvertreter aus der Rollengruppe, die Sie als Variable gespeichert haben, wie folgt: $RoleGroup.ManagedBy -= (Get-User <Benutzer den Sie entfernen wollen>).Identity.

Neben den Standardgruppen können Sie auch selbst Verwaltungsrollengruppen erstellen und diesen Benutzer zuordnen. Neue Verwaltungsrollengruppen erstellen Sie mit dem CMDlet New-RoleGroup. Nachfolgend ein Beispiel:

New-RoleGroup -Name "Contoso Recipient Management" -Roles "Mail Recipients", "Distribution Groups", "Move Mailboxes", "UM Mailboxes", "Reset Password" -CustomRecipientWriteScope "Contoso Users", -ManagedBy "Thomas", "Tami", "Fynn" -Members "Stefan", "Marc", "Marco", "Hans", "Michael", "Lukas", "Flo", "Lukas", "Isabel", "Manuela", "Thomas", "Karl"

Wollen Sie eine Verwaltungsrollengruppe löschen, verwenden Sie das CMDlet Remove-RoleGroup <Verwaltungsrollengruppe>.

Wenn Sie das Service Pack 1 für Exchange Server 2010 installiert haben, können Sie neue Verwaltungsrollengruppen auch in der Exchange-Systemsteuerung erstellen.