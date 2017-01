Neben den Database Availability Groups war Role Based Access Control – kurz RBAC – eine der größten Anpassungen in Exchange 2010. Die Tragweite ist auch in Exchange 2013 zu spüren, denn das Konzept bietet deutlich mehr Flexibilität bei der Rechtevergabe als die vorherigen Access Control Lists. Dieser Workshop geht auf die wichtigsten Punkte zur Konfiguration über die PowerShell ein. Im zweiten Teil der Serie beschäftigen wir uns damit, wie Sie neue Verwaltungsrollengruppen anlegen, eigene Verwaltungsrollengruppen erstellen, den Verwaltungsbereich festlegen und Rollenzuweisungsrichtlinien administrieren.

Eine neue Verwaltungsgruppe legen Sie über New-RoleGroup an. Über den Parameter "Roles" definieren Sie die Verwaltungsrollen, die Sie mit der Gruppe verknüpfen möchten. Die Mitglieder weisen Sie über "Members" direkt zu:Im Hintergrund wird anschließend automatisch eine neue Sicherheitsgruppe in der OU "Microsoft Exchange Security Groups" angelegt. Die Rollengruppe wird automatisch mit den Verwaltungsrollen über die Verwaltungsrollenzuweisung verknüpft. Dies erklärt auch, warum Exchange 197 Verknüpfung mitbringt, die durch die eingebauten Rollen automatisch eingerichtet werden. Anzeigen können Sie die Zuweisungen über. Mitlöschen Sie die entsprechende Verwaltungsgruppe.

New-ManagementRole -Name "Benutzer anlegen" -Parent "Mail Recipient Creation"

Get-ManagementRoleEntry "Benutzer anlegen\*" | Where Name -like "Remove-*" |

Remove-ManagementRoleEntry -Confirm:$False

Add-ManagementRoleEntry "Benutzer anlegen\Remove-Mailbox"

New-ManagementRoleAssignment -User Christian -Role "Benutzer anlegen"

Bild 6: Ein Verwaltungsrollenbereich kann für das Schreiben und das Lesen unterschiedlich definiert werden.

Get-ManagementRole "Mailbox Import Export" | fl *Scope*

New-ManagementScope -Name "Hamburg" -RecipientRoot "schulenburg.lab/ Hamburg"

-RecipientRestrictionFilter {RecipientType -eq "UserMailbox"}

New-ManagementRoleAssignment -SecurityGroup "Benutzerverwaltung Hamburg"

-Role "Benutzer anlegen" -CustomRecipientWriteScope "Hamburg"

Get-ManagementRoleAssignment -RoleAssignee "Benutzerverwaltung eingeschränkt" |

Set-ManagementRoleAssignment -CustomRecipientWriteScope Hamburg



Die in Exchange vorhandenen Verwaltungsrollen können nicht weiter angepasst werden, sodass Sie bei individuellen Einstellungen schnell eigene Rollen erstellen müssen. Entsprechend richten Sie überneue Verwaltungsrollen ein. Geben Sie dabei eine vorhandene Rolle als Vorlage an, um sämtliche Verwaltungsrolleneinträge zu übernehmen. Die neue Rolle wird dabei zu einer untergeordneten Rolle. Die Zuweisung erfolgt über den Parameter "Parents":Im Anschluss prüfen Sie die Verwaltungsrolleneinträge. Sind Befehle vorhanden, die die Verwaltungsrolle nicht nutzen darf, entfernen Sie diese über. Filtern Sie zunächst die Einträge und löschen Sie die Ergebnisse direkt. Im folgenden Beispiel entfernen wir alle Lösch-Cmdlets:Bereits gelöschte PowerShell-Befehle fügen Sie der Verwaltungsrolle überwieder hinzu. Über die Erweiterung "Parameter" geben Sie die Parameter des Cmdlets an, die durch die Verwaltungsrolle angesprochen werden können. Beachten Sie, dass Sie nur Verwaltungsrolleneinträge aufnehmen können, die in der übergeordneten Verwaltungsrolle enthalten sind:Die neue Verwaltungsrolle können Sie einer Verwaltungsrollengruppe hinzufügen oder Sie richten eine neue Verwaltungsrollenzuweisung ein und verknüpfen die Rolle dann direkt mit einem Nutzer oder einer Gruppe.Standardmäßig gelten die Verwaltungsrollen für alle Objekte der Umgebung. Sie können dies einschränken, damit nur auf bestimmte Objekte zugegriffen werden kann. Exchange unterscheidet dabei nach Schreib- und Lesebereich bezogen auf Empfänger und Einstellungen. Am Beispiel der Import-Export-Rolle ist dieses leicht nachzuvollziehen:Im Auslieferungszustand sind keine Verwaltungsbereiche definiert und überkönnen diese angelegt werden. Eine Bereichseinschränkung auf die OU Hamburg definieren Sie wie folgt:Eine Übersicht zu den verschiedenen Filtermöglichkeiten finden Sie unter [1]. Im nächsten Schritt erstellen wir nun eine neue Verwaltungsrollenzuweisung mit dem Verwaltungsbereich:Sie können den Verwaltungsgruppenbereich auch direkt auf neue Verwaltungsrollengruppen festlegen. Möchten Sie die Bereichseingrenzung auf vorhandene Gruppen anpassen, muss dies über die Verwaltungsrollenverknüpfung erfolgen. Lesen Sie hierzu die Verwaltungsrollenzuweisungen aus und übergeben Sie diese an den Änderungsbefehl:Neben dem "CustomRecipientWrite- Scope", der einen vorab definierten Bereich zum Schreiben anspricht, können Sie für die Gruppe eine spezielle Organisationseinheit über "RecipientOrganizationalUnitScope" ansprechen, sodass nicht immer ein Verwaltungsbereich benutzt werden muss.