Exchange 2010: Verwaltung in der Subdomäne (Teil1)
Das große Problem einer Exchange Installation ist, dass alle Änderungen sich immer auf den ganzen Forest auswirken. Bei einer Installation des Exchange Systems in einer Subdomäne hat der Administrator dieser Subdomäne die Möglichkeit Änderungen für die ganze Exchange-Organisation zu machen. Seit Exchange 2010 gibt es die sogenannte Role-Based-Access-Control (RBAC). Hiermit lassen sich die Berechtigungen des Exchange Administrators einer Subdomänen einschränken, die im Folgenden erklärt werden:
Das Was
Die Mitglieder unserer AD-Gruppe Subdomain-Admins sollen folgendes in der Subdomäne sub.test.local können:
Server Management
Recipient Management allerdings ohne den Befehl Remove-OwaMailboxPolicy
View-Only Organization Management
Weitere Informationen zu diesen RoleGroups finden Sie unter [1].
Um die vorhanden RoleGroups nicht zu beschädigen oder einzuschränken, erstellen wir alle 3 RoleGroups neu:
$RoleGroup = Get-RoleGroup "Server Management" New-RoleGroup "Subdomain Server Management" -Roles $RoleGroup.Roles
$RoleGroup = Get-RoleGroup "View-Only Organization Management" New-RoleGroup "Subdomain View-Only Organization Management" -Roles $RoleGroup.Roles
Für die angepasste Rolle RecipientManagement wird das ganze etwas komplizierter. Da der Befehl Remove-OwaMailboxPolicy in den Rollen Mail Recipients und Recipient Policies enthalten ist, die beide ein Teil von Recipient Management sind, müssen wir das Ganze anpassen. Hierzu erstellen wir uns Kopien der entsprechenden Rollen:
New-Managementrole -Parent "Mail Recipients" -Name "Restricted Mail Recipients"
New-ManagementRole -Parent "Recipient Policies" -Name "Restricted Recipient Policies"
Nun müssen wir den unerwünschten Befehl entfernen:
Remove-ManagementRoleEntry "Restricted Mail RecipientsRemove-OwaMailboxPolicy"
Remove-ManagementRoleEntry "Restricted Recipient PoliciesRemove-OwaMailboxPolicy"
Diese und alle anderen Rollen, die wir benötigen fügen wir nun zu einer RoleGroup Restricted Recipient Management zusammen:
New-RoleGroup "Restricted Recipient Management" -Roles "Distribution Groups", "Mail Enabled Public Folders", "Mail Recipient Creation", "Message Tracking Migration", "Move Mailboxes", "Restricted Mail Recipients", "Restricted Recipient Policies"
Weitere Infos zu ManagementRoles, die unter Exchange 2010 bereits existieren, finden Sie unter [2].
Das Wer
Jetzt müssen die gewünschten Mitglieder noch den RoleGroups hinzufügen werden. In unserem Fall die Gruppe Subdomain-Admins:
Add-RoleGroupMember"Subdomain Server Management" -Member Subdomain-Admins
Add-RoleGroupMember "Subdomain Recipient Management" -Member Subdomain-Admins
Add-RoleGroupMember "Subdomain View-Only Organization Management" -Member Subdomain-Admins
Das Wo
Die Rechte, die über RoleBased-Access-Control vergeben werden, können am einfachsten durch einen eigenen Scope auf bestimmte Bereiche einschränken. In unserem Fall müssen wir also die Subdomäne zu einem neuen Sub Scope zusammenfassen. Dies geht am einfachsten über den FQDN der beteiligten Server:
New-ManagementScope -Name "Sub Scope" -ServerRestrictionfilter {FQDN -like "*.sub.test.local*"}
Nun werden die zuvor erstellten RoleGroups dem Scope zugeordnet:
Get-ManagementRoleAssignment -RoleAssignee "Subdomain Server Management" | Set-ManagementRoleAssignment -CustomConfigWriteScope "Sub Scope"
Get-ManagementRoleAssignment -RoleAssignee "Subdomain Recipient Management" | Set-ManagementRoleAssignment -CustomConfigWriteScope "Sub Scope"
Get-ManagementRoleAssignment -RoleAssignee "Subdomain View-Only Organization Management" | Set-ManagementRoleAssignment -CustomConfigWriteScope "Sub Scope"
Nach den durchgeführten Änderungen hat jedes Mitglied der Gruppe SubdomainAdmins alle nötigen Berechtigungen um den Exchange innerhalb der Subdomain, wie gewünscht, zu verwalten.
[1] http://technet.microsoft.com/en-us/library/dd351266.aspx
[2] http://technet.microsoft.com/en-us/library/dd638077.aspx
- ASP.NET 1
- Active Directory 41
- Administration Tools 1
- Allgemein 60
- Backup 4
- ChatBots 5
- Configuration Manager 3
- DNS 1
- Data Protection Manager 1
- Deployment 24
- Endpoint Protection 1
- Exchange Server 62
- Gruppenrichtlinien 4
- Hyper-V 18
- Intune 1
- Konferenz 1
- Künstliche Intelligenz 7
- Linux 3
- Microsoft Office 11
- Microsoft Teams 1
- Office 365 11
- Office Web App Server 1
- Powershell 21
- Remote Desktop Server 1
- Remote Server 1
- SQL Server 8
- Sharepoint Server 12
- Sicherheit 1
- System Center 10
- Training 1
- Verschlüsselung 2
- Virtual Machine Manager 1
- Visual Studio 1
- WSUS 7
- Windows 10 12
- Windows 8 9
- Windows Azure 4
- Windows Client 1
- Windows Server 24
- Windows Server 2012 7
- Windows Server 2012R2 15
- Windows Server 2016 7
- Windows Server 2019 2
- Windows Server 2022 1
- Zertifikate 4