Exchange 2010: Verwaltung in der Subdomäne (Teil2)
Hier kommt Teil 2 der Verwaltung einer Exchange "Subdomäne".Wie in Teil1 [1] wollen wir nun einige administrative Rechte auf die Subdomäne einschränken.
Das Was
Die Mitglieder unserer AD-Gruppe Subdomain-Mailbox-Verwaltung sollen folgendes in der Subdomäne sub.test.local administrieren können:
Erstellen / Bearbeiten von Mailboxen
Erstellen / Bearbeiten von MailContacts
Erstellen / Bearbeiten / Löschen von DistributionGroups
Hierzu erstellen wir uns eigene ManagementRoles, die von vorhandenen Roles erben:
New-ManagementRole -Parent "Mail Recipient Creation" -Name "Restricted Mail Recipient Creation"
New-ManagementRole -Parent "Distribution Groups" -Name "Restricted Distribution Groups"
Nun müssen wir die Rechte, die nicht vergeben wollen sollten, aus den gerade erstellten Gruppen entfernen:
Remove-ManagementRoleEntry "Restricted Mail Recipient CreationRemove-Mailbox"
Remove-ManagementRoleEntry "Restricted Mail Recipient CreationRemove-MailContact"
Remove-ManagementRoleEntry "Restricted Distribution GroupsRemove-DistributionGroup"
Weitere Infos zu ManagementRoles, die unter Exchange 2010 bereits existieren, finden Sie unter [2].
Das Wer
Wie in Teil1 erstellen wir auch hier eine RoleGroup mit den entsprechenden Rollen:
New-RoleGroup "sub Mailbox Management RoleGroup" -Roles "Restricted Mail Recipient Creation", "Restricted Distribution Groups"
und fügen die gewünschten Mitglieder hinzu:
Add-RoleGroupMember "sub Admin RoleGroup" -Member Subdomain-Mailbox-Verwaltung
Das Wo
Die Rechte der RoleBased-Access-Control können, wie in Teil1 [1] beschrieben, auf bestimmte Rechner eingeschränkt werden. In diesem Beispiel wollen wir aber zusätzlich das Erstellen von Mailboxen, MailContacts und DistributionGroups nur in der OU Verwaltung zulassen. Aus diesem Grund erstellen wir einen neuen Scope Sub Scope Recipients:
New-ManagementScope -Name "Sub Scope Recipients" - RecipientRoot sub.test.local/Verwaltung -RecipientRestrictionFilter {(RecipientType -eq "UserMailbox") -or (RecipientType -eq "MailUser") -or (RecipientType -eq "MailContact") -or (RecipientType -eq "MailUniversalSecurityGroup") -or (RecipientType -eq "MailUniversalDistributionGroup") -or (RecipientType -eq "DynamicDistributionGroup")}
Im letzten Schritt bringen wir die RoleGroup mit dem Scope zusammen:
Get-ManagementroleAssignment -RoleAssignee Subdomain-Mailbox-Verwaltung | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Sub Scope Recipients"
[1] https://www.escde.net/blog/exchange-2010-verwaltung-in-der-subdomane-teil1?rq=subdom%C3%A4ne
[2] http://technet.microsoft.com/en-us/library/dd638077.aspx
- ASP.NET 1
- Active Directory 41
- Administration Tools 1
- Allgemein 60
- Backup 4
- ChatBots 5
- Configuration Manager 3
- DNS 1
- Data Protection Manager 1
- Deployment 24
- Endpoint Protection 1
- Exchange Server 62
- Gruppenrichtlinien 4
- Hyper-V 18
- Intune 1
- Konferenz 1
- Künstliche Intelligenz 7
- Linux 3
- Microsoft Office 11
- Microsoft Teams 1
- Office 365 11
- Office Web App Server 1
- Powershell 21
- Remote Desktop Server 1
- Remote Server 1
- SQL Server 8
- Sharepoint Server 12
- Sicherheit 1
- System Center 10
- Training 1
- Verschlüsselung 2
- Virtual Machine Manager 1
- Visual Studio 1
- WSUS 7
- Windows 10 12
- Windows 8 9
- Windows Azure 4
- Windows Client 1
- Windows Server 24
- Windows Server 2012 7
- Windows Server 2012R2 15
- Windows Server 2016 7
- Windows Server 2019 2
- Windows Server 2022 1
- Zertifikate 4