Exchange 2010: Administration abgeben oder behalten?

Dieser Artikel gilt für: Exchange 2010 Unter Exchange 2010 gibt es standardmäßig die Möglichkeit, dass ein Benutzer über die OWA einige Attribute des eigenen Accounts ändern kann. Hierzu zählen zum Beispiel: Adresse oder Telefonnummer. Außerdem kann er sich selbst in öffentliche Verteilergruppen hinzufügen oder die Mitgliedschaft wieder beenden.

Dies ist nicht immer wünschenswert, darum zeige ich hier, wie solche Rechte vergeben bzw. einschränken werden können.

Zuerst sollten die grundlegenden Begriffe geklärt werden:

Management Role

Eine Management Role ist ein Recht, dass ein Benutzer hat, um zum Beispiel seine eigene Adresse zu ändern. Diese Berechtigungen werden über die MyAddressInformation Role verwaltet. Alle verfügbaren Management Roles sind unter [1] aufgelistet.

Role Assignment Policy

Eine Role Assignment Policy ist eine Art Sammlung von Management Roles. Diese Sammlung von Berechtigungen wird einer Mailbox zugeordnet. Einer Mailbox kann ausschließlich eine Role Assignment Policy zugeordnet werden. Das Zuordnen von einzelnen Roles oder mehreren Policies ist nicht möglich.

Um eine Policy test zu erstellen, die dem Benutzer das Ändern der Adressdaten erlaubt,  wird in der ExchangeManagementShell folgender Befehl ausgeführt:

New-RoleAssignmentPolicy –Name test –Role MyAddressinformation

Um diese Policy einer Mailbox zuzuordnen, wird der folgende Befehl benutzt:

Set-Mailbox –Identity USERNAME –RoleAssignmentPolicy test

Jeder Exchange Server besitzt eine Default Role Assignment Policy. Diese wird jedem neu erstellten Benutzer automatisch zugeordnet. Um Änderungen an einer bestehenden Policy vorzunehmen sind folgende Informationen erforderlich:

  • Name der Policy

  • Name der zu Ändernden Role

Das Ziel

Um nun wie anfangs gefordert der Default Role Assignment Policy das Recht auf Adressänderung zu nehmen, benutzt man folgenden Befehl:

Set-ManagementRoleAssignment –Identity „MyContactInformation-Default Role Assignment Policy“ –Enabled $false

[1] Built-in Management Roles: http://technet.microsoft.com/en-us/library/dd638077.aspx