Seite 2 - Rollenverwaltung unter Exchange 2013 mit der PowerShell (1)

Lesezeit
2 Minuten
Bis jetzt gelesen

Seite 2 - Rollenverwaltung unter Exchange 2013 mit der PowerShell (1)

09.01.2017 - 00:00
Veröffentlicht in:
Übersicht über Rollen und Gruppen
In Exchange 2013 gibt es 85 eingebaute Verwaltungsrollen, mit denen die Rechte gezielt auf die Aufgaben vergeben werden können. Auf den Schirm bringen Sie die Rollen über Get-ManagementRole (Bild 2). Mit dem Parameter "Description" können Sie sich zusätzlich die Beschreibung der einzelnen Rollen anzeigen lassen:
Get-ManagementRole | fl Name, Description

Bild 2: Exchange 2013 hat 85 eingebaute Verwaltungsrollen, die Sie über Get-ManagementRole
auf den Bildschirm bringen.


Zu den Standardrollen gehören unter anderem:

  • Address Lists: Die Verwaltungsrolle ermöglicht Administratoren das Erstellen, Ändern, Anzeigen und Entfernen von Adresslisten, globalen Adresslisten (GALs), Adressbuchrichtlinien und Offlineadressbüchern (OABs) in einer Organisation.
  • Distribution Groups: Die Rolle ermöglicht Administratoren das Erstellen, Ändern, Anzeigen und Entfernen von Verteilergruppen sowie das Hinzufügen oder Entfernen von Mitgliedern in Verteilergruppen in einer Organisation.
  • Mailbox Import Export: Die Verwaltungsrolle ermöglicht Administratoren das Importieren und Exportieren von Postfachinhalten sowie das Entfernen unerwünschter Inhalte aus einem spezifischen Postfach.


Die zu einer Verwaltungsrolle zugordneten Verwaltungsrolleneinträge zeigen Sie sich mit dem Verweis auf die Verwaltungsrolle über Get-ManagementRoleEntry an. Die Befehle für die Rolle "Mailbox Import Export" rufen Sie zum Beispiel über Get-ManagementRoleEntry "Mailbox Import Export\*" auf. Über den ersten Teil definieren Sie die Rolle und mit dem "*" sprechen Sie alle enthaltenen Einträge an. Als Ergebnis erhalten Sie insgesamt 20 PowerShell-Befehle mit entsprechenden Parametern, die in der Rolle zusammengefasst sind.


Bild 3: Die Befehle, die in einer Verwaltungsrolle zusammengefasst sind, zeigen Sie sich über
Get-ManagementRoleEntry
an.


Um weitere Eigenschaften eines Rolleneintrags auszulesen, können Sie sich Einträge direkt ansehen und zum Beispiel die möglichen Parameter zu einem PowerShell-Befehl gegenprüfen:
Get-ManagementRoleEntry "Mailbox Import Export\New-MailboxImport -Request"|fl
Andersherum können Sie auch prüfen, zu welcher Verwaltungsrolle ein Cmdlet zugeordnet ist. Dazu nutzen Sie die folgenden Aufforderung – hier am Bespiel des Set-Mailbox-Cmdlets: Get-Management-Role -Cmdlet Set-Mailbox.


Bild 4: Die eingebauten Verwaltungsrollengruppen können Sie über Get-RoleGroup oder
im Active Directory anzeigen lassen.


Damit nicht alle Verwaltungsrollen mit einem Administrator über eine dedizierte Verwaltungsrollenzuweisung verknüpft werden müssen, sind die Aufgaben der wichtigsten Tätigkeiten zu Verwaltungsrollengruppen zusammengefasst. Dadurch müssen Sie einzelne Nutzer nicht den Rollen zuweisen, sondern können diese einfach zu Mitgliedern der Gruppe machen. Die eingebauten Gruppen von Exchange 2013 mit den verknüpften Verwaltungsrollen und einer Beschreibung erhalten Sie über
Get-RoleGroup | fl Name, Roles, Description
Die enthaltenen Sicherheitsgruppen können Sie sich auch im Active Directory unter der Organizational Unit (OU) "Microsoft Exchange Security Groups" anzeigen lassen.

Mitglieder von Rollengruppen sehen Sie über Get-RoleGroupMember. Hinzufügen können Sie Mitglieder beispielsweise über Add-RoleGroupMember "Help Desk" -Member Christian. Möchten Sie ein Mitglied entfernen, nutzen Sie den Befehl Remove-RoleGroupMember. Die Rollengruppe ist auch eine der wenigen Einstellungen, die Sie im Exchange Administration Center vornehmen können.

Um nachzuvollziehen, in welchen Gruppen ein User enthalten ist, nutzen Sie die folgende Abfrage:
Get-RoleGroup | Where Members -like *Christian*
Da Benutzer auch direkt an eine Verwaltungsrolle gebunden werden, fragen Sie Zuweisungen über folgenden PowerShell-Befehl an:
Get-ManagementRoleAssignment | Where User -like *Christian*

Bild 5: Die gesamte RBAC-Konfiguration findet fast ausschließlich in der PowerShell statt und die Rollengruppen
können hier mit einigen Grundeinstellungen eingerichtet werden.


Seite 1: RBAC-Methoden
Seite 2: Übersicht über Rollen und Gruppen

Im zweiten Teil des Workshops beschäftigen wir uns damit, wie Sie neue Verwaltungsrollengruppen anlegen, eigene Verwaltungsrollengruppen erstellen, den Verwaltungsbereich festlegen und Rollenzuweisungsrichtlinien administrieren. Der dritte Teil der Workshop-Serie besteht aus einer großen Übersichtstabelle zu PowerShell-Befehlen zur Verwaltung der RBAC-Komponenten.

<< Vorherige Seite Seite 2 von 2


dr/ln/Christian Schulenburg

Ähnliche Beiträge

Exchange in Hybridkonfiguration betreiben (3)

Gerade kleinere Unternehmen sieht Microsoft vermehrt in der Cloud. Um den Weg dorthin zu ebnen, stellt der Konzern aus Redmond verschiedene Migrationswege bereit, damit es E-Mails, Kalendereinträge und Kontakte in die Cloud schaffen. Eine große Rolle spielt dabei die Hybridkonfiguration, die auch einen dauerhaften Parallelbetrieb ermöglichen kann. Die Einrichtung erfolgt am einfachsten über den Hybrid Agent. Im dritten und letzten Teil des Workshops widmen wir uns ganz der Praxis und beschäftigen uns mit der Installation des Agenten und wie Sie die Hybridverbindung gründlich prüfen.

Exchange in Hybridkonfiguration betreiben (2)

Gerade kleinere Unternehmen sieht Microsoft vermehrt in der Cloud. Um den Weg dorthin zu ebnen, stellt der Konzern aus Redmond verschiedene Migrationswege bereit, damit es E-Mails, Kalendereinträge und Kontakte in die Cloud schaffen. Eine große Rolle spielt dabei die Hybridkonfiguration, die auch einen dauerhaften Parallelbetrieb ermöglichen kann. Die Einrichtung erfolgt am einfachsten über den Hybrid Agent. In der zweiten Folge stellen wir den Hybrid Agent genauer vor und skizzieren dessen Voraussetzungen.

Exchange in Hybridkonfiguration betreiben (1)

Gerade kleinere Unternehmen sieht Microsoft vermehrt in der Cloud. Um den Weg dorthin zu ebnen, stellt der Konzern aus Redmond verschiedene Migrationswege bereit, damit es E-Mails, Kalendereinträge und Kontakte in die Cloud schaffen. Eine große Rolle spielt dabei die Hybridkonfiguration, die auch einen dauerhaften Parallelbetrieb ermöglichen kann. Die Einrichtung erfolgt am einfachsten über den Hybrid Agent. Im ersten Teil des Workshops schauen wir uns an, warum Hybridkonfigurationen vor allem bei Migrationsszenarien interessant sind.