In diesem Beispiel wird einer Gruppe von Administratoren das Recht eingeräumt, alle Mailboxen und Kontakte innerhalb einer gegebenen Organisationseinheit zu verwalten.
Implikationen: Exchange 2010 RC, Eine OU "BE", AD-Domänenname xchg10.com
Ausgangslage: Im Active Directory gibt es eine OU namens BE, die die Filiale "Belgien" repräsentiert. Die Mailboxen werden alle im Headquarter gehostet. Für die Verwaltung der Mailboxen ist jedoch das lokale IT-Team zuständig.
- Anlegen einer RoleGroup, die ausschließlich die OU namens "BE" zum Scope hat. Aus der built-In Rolle "Mail Recipients" wird abgeleitet, welche Tätigkeiten zugewiesen werden sollen.
New-RoleGroup -Name "BE Recipient Administration Group" -Roles "Mail Recipients" -RecipientOrganizationalUnitScope "BE"
Mit der zugewiesenen Rolle "Mail Recipients" können Mailboxen und Kontakte verwaltet werden, deren AD Objekte bereits angelegt wurden.
- Mit (Get-RoleGroup "BE Recipient Administration Group").Roles kann man sich die Konfiguration ausgeben lassen.
Dabei kann man schön sehen, dass das Objekt unter xchg10.com/Configuration/Schema/Group gespeichert wird. Und das Linkobjekt, welches die RoleGroup und die Role verknüpft wird automatisch erzeugt unter dem Namen "Mail Recipients-BE Recipient Administration Group".
Das "Architekturschema" stellt den Zusammenhang zwischen RoleGroup, RoleAssignement und Role dar. Bild ansehen - Anschließend erklärt man den Administrator bb zum Mitglied der RoleGroup
Add-RoleGroupMember "BE Recipient Administration Group" -Member bb - Mit Get-RoleGroupMember "BE Recipient Administration Group" man sich die Konfiguration ausgeben lassen.
- bb kann jetzt alle Mailobjekte innerhalb der OU verwalten. Modifikationen an Objekten ausserhalb des ihm zugewiesenen Scopes werden mit folgender Meldung zurückgewiesen:
- Damit bb bei der Benutzung der Exchange Management Console auch nur die Objekte aus der OU "BE" sieht, kann er sich im Knoten "Recipient Configuration" unter Actions mit "Modify Recipient Scope" wizard-gesteuert die Anzeige optimieren.
Wenn der RoleGroup eine "komplette" Empfängerverwaltung zugewiesen werden soll, dann müssen einige weitere Rollen enthalten sein. Beispiel:
New-RoleGroup -Name "CE Recipient Administration Group" -Roles "Mail Recipients", "Mail recipient creation", "distribution groups", "mail enabled public folders", "message tracking", "migration", "move mailboxes", "recipient policies" -RecipientOrganizationalUnitScope "CE" .
Damit würde die RoleGroup "CE Recipient Administration Group" der built-In RoleGroup "Recipient Management" entsprechen. Diese hat aber keine Scope-Beschränkung!
Die untere Abbildung zeigt alle Roles, die der built-In RoleGroup zugewiesen sind:
Zusammenfassung:
Exchange 2010 ermöglicht durch sein rollenbasiertes Administrationsmodell (rollenbasierte Zugriffssteuerung) mithilfe von Remote-PowerShell, Aufgaben auf kontrollierte Weise an zuständige Benutzer zu delegieren und so den Bedürfnissen des Unternehmens nachzukommen. Spezielle Rollen für Mitarbeiter des Helpdesks oder Exchange-Serveradministratoren lassen sich leicht erstellen und verwalten und vereinfachen die Exchange-Administration.
