Exchange-Rechteverwaltung in der Praxis

© Marek Uliasz, 123RF

Alles, was recht ist

Exchange Server 2013 bietet eine umfangreiche Rechteverwaltung nach einem Rollenmodell. Verwalten lassen sich Rechte und Rollen in der Exchange-Konsole, der Powershell oder mit Zusatztools. Dieser Artikel führt alle drei Möglichkeiten vor.
Der ADMIN 05/13 wirft einen Blick auf die frei verfügbaren Cloud-Frameworks von Eucalyptus über OpenNebula bis OpenStack. Gute Aussichten für skalierbare ... (mehr)

Mit Exchange 2013 hat Microsoft seinen Messaging-Server auf ein rollenbasiertes Rechtemodell (RBAC) umgestellt. Unter anderem vereinfacht das für den Windows-Administrator die Verwaltung der Benutzerrechte.

Es gibt zwei Typen von Rollen, die Sie zuweisen können: Administratorrollen und Endbenutzerrollen. Administratorrollen umfassen Berechtigungen, die Administratoren zur Verwaltung eines bestimmten Bereichs der Exchange-Organisation zugewiesen werden können. Wenn ein Benutzer Mitglied mehrerer Rollengruppen ist, erteilt Exchange ihm die Berechtigungen dieser Gruppen.

Endbenutzerrollen beginnen mit dem Präfix »My« . Beispielsweise dürfen Mitglieder der Benutzerrolle »MyDistributionGroups« eigene Verteilergruppen anlegen und eigene Gruppen löschen. Das ist in Unternehmen nicht immer gewünscht. Mit der Steuerung der Berechtigungen können Sie diese Rechte normalen Anwendern entziehen. Der einfachste Weg dazu ist, wenn Sie auf Basis der vorhandenen Benutzerrolle »MyDistributionGroup« eine neue Rolle erstellen, ihr die entsprechenden Rechte entziehen und sie den Anwendern zuweisen.

Sie können eine vorhandene Rollengruppe kopieren und ändern, unabhängig davon, ob es sich um eine Administratorrolle oder eine Endbenutzerrolle handelt, ohne dass sich das auf die ursprüngliche Rollengruppe auswirkt. Wenn Sie die Rollengruppe kopieren, legen Sie einen neuen Namen fest, fügen optional Rollen zur neuen Rollengruppe hinzu oder entfernen sie. Vorhandene Rollengruppen können ebenfalls geändert werden. Sie können Rollen vorhandenen Rollengruppen hinzufügen oder sie aus diesen Gruppen entfernen und gleichzeitig Mitglieder hinzufügen oder entfernen. Für die Standardgruppen bietet es sich aber an, Kopien zu erstellen, bevor Sie die Gruppen ändern.

In Exchange Server 2013 finden Sie die Verwaltungsrollengruppen im Bereich »Berechtigungen« . Mit dem Commandlet »Get-RoleGroup« lassen sich die verschiedenen Gruppen auch in der Verwaltungsshell anzeigen. »Get-RoleGroupMember« zeigt die Mitglieder einer Gruppe an, zum Beispiel »Get-RoleGroupMember "Organization Management"« . Um einen Benutzer in eine Gruppe aufzunehmen, verwenden Sie die Exchange-Verwaltungskonsole ( Abbildung 1 ) oder die Exchange-Verwaltungsshell:

Abbildung 1: Die verschiedenen Verwaltungsgruppen steuern Sie in der Exchange-Verwaltungskonsole von Exchange Server 2013 im Bereich Berechtigungen.
Add-RoleGroupMember Verwaltungsrollengruppe-Member Benutzerpostfach

Um Mitglieder aus einer Verwaltungsrollengruppe zu entfernen, greifen Sie auch auf die Exchange-Verwaltungskonsole zurück oder geben in der Exchange-Verwaltungsshell den Befehl »Remove-RoleGroupMember Verwaltungsrollengruppe -Member Benutzerpostfach« ein.

Klicken Sie in der Exchange-Verwaltungskonsole auf eine Gruppe, sehen Sie im rechten Bereich, welche Rechte die Gruppe hat und welche Mitglieder ihr zugeordnet sind. Um einen Benutzer in eine Gruppe aufzunehmen, klicken Sie doppelt auf die Gruppe. Anschließend können Sie bei »Mitglieder« neue Benutzer hinzufügen oder entfernen.

Verwaltungsrollen fassen Commandlets zusammen, die zum Verwalten von Exchange-Komponenten dienen ( Abbildung 2 ). Benutzer, die Mitglieder einer Verwaltungsrollengruppe sind, erhalten das Recht, die Commandlets zu nutzen, die in den Verwaltungsrollen hinterlegt sind, welche wiederum Bestandteil der Verwaltungsrollengruppen sind.

Abbildung 2: Verwaltungsrollengruppen verwalten Sie mit einfachen Commandlets auch in der Exchange-Verwaltungsshell.

Pflege von Verwaltungsrollengruppen delegieren

Stellvertreter von Verwaltungsrollengruppen können Mitglieder zu Verwaltungsrollengruppen hinzufügen oder daraus entfernen und Eigenschaften einer Rollengruppe anpassen, haben aber selbst keine Rechte, die Funktionen der Verwaltungsrollengruppe zu nutzen. Die Konfiguration des Stellvertreters erfolgt durch die Option »ManagedBy« für die Commandlets »Set-RoleGroup« oder »New-RoleGroup« . Sollen die Benutzer auch die Rechte der Gruppe erhalten, müssen Sie diese als Mitglieder der Rollengruppe aufnehmen. Die Option »ManagedBy« für das Commandlet »Set-RoleGroup« überschreibt immer die gesamte Stellvertreterliste für eine Rollengruppe.

Wollen Sie einzelne Stellvertreter zu einer Rollengruppe hinzufügen, ohne die gesamte Stellvertreterliste zu löschen, müssen Sie vorhandene Mitglieder speichern, das neue Mitglied hinzufügen und dann die Liste wieder speichern. Gehen Sie folgendermaßen vor ( Abbildung 3 ):

Abbildung 3: Mit Hilfe der Powershell lässt sich die Rollenmitgliedschaft zuweisen und die Zuordnung zu einer Verwaltungsrollengruppe ändern.
  • Sie speichern mit dem Befehl: »$RoleGroup = Get-RoleGroup Verwaltungsrollengruppe« die Einstellungen der Rollengruppe in einer Variablen.
  • Sie fügen den Stellvertreter zu der Rollengruppe hinzu, die Sie als Variable gespeichert haben: »$RoleGroup.ManagedBy += (Get-User Postfach, das Sie hinzufügen wollen).Identity« . Wollen Sie eine universelle Gruppe hinzufügen, verwenden Sie das Commandlet »Get-Group« .
  • Wiederholen Sie den obigen Befehl für jeden Stellvertreter, den Sie hinzufügen wollen.
  • Die Liste in der Variablen müssen Sie noch in die echte Verwaltungsrollengruppe hinzufügen: »Set-RoleGroup Verwaltungsrollengruppe -ManagedBy $RoleGroup.ManagedBy« .

Um die Anwender anzuzeigen, welche die Gruppe verwalten dürfen, verwenden Sie den Befehl »Get-RoleGroup |fl Managedby« .

Neben den Standardgruppen können Sie auch selbst Verwaltungsrollengruppen erstellen und ihnen Benutzer zuordnen. Neue Verwaltungsrollengruppen erstellen Sie mit dem Commandlet »New-RoleGroup« . Ein Beispiel zeigt Listing 1 .

Listing 1

Neue Verwaltungsrollengruppe

 

Bestehende Rollengruppen können Sie kopieren, wenn Sie selbst Rollengruppen erstellen wollen, die zum Beispiel eingeschränkte Rechte nutzen. Dazu verwenden Sie am besten auch die Exchange-Verwaltungsshell zum Kopieren. Im ersten Schritt speichern Sie die Rollengruppe in einer Variablen:

$RoleGroup = Get-RoleGroup Gruppe, die Sie kopieren wollen

Verwenden Sie die folgende Syntax, um eine neue Rollengruppe zu erstellen, der Rollengruppe Mitglieder hinzuzufügen und anzugeben, wer die neue Rollengruppe an andere Benutzer delegieren kann:

New-RoleGroup Name -Roles $RoleGroup.Roles-Members Mitglied1,...-ManagedBy User1,User2,...

Wollen Sie zum Beispiel die Rollengruppe »Organization Management« kopieren, um eine neue Gruppe zu erstellen, die weniger Rechte hat, verwenden Sie folgende Befehle:

$RoleGroup = Get-RoleGroup "Management"
New-RoleGroup "Limited Management" -Roles $RoleGroup.Roles -Members Thomas, Michael,Hans -ManagedBy Jean, Fritz

RBAC-Manager

Wer es bei der Verwaltung etwas komfortabler haben möchte, verwendet den RBAC-Manager [1] . Er benötigt keine Installation, sondern besteht nur aus einer Exe-Datei und einer XML-Steuerungsdatei. Sind die Exchange-Verwaltungstools auf einer Arbeitsstation installiert, können Sie den RBAC-Manager auch von einer Arbeitsstation aus nutzen ( Abbildung 4 ). Das Tool ermöglicht die Steuerung der Verwaltungsrollen, der Zuweisungsrichtlinien und der Verwaltungsrollengruppen.

Abbildung 4: Mit dem RBAC-Manager verwalten Sie die Rollengruppen in Exchange.

Sobald das Programm gestartet ist, geben Sie den Namen des Servers ein, mit dem Sie sich verbinden wollen, sowie die Anmeldeinformationen. Anschließend verbindet sich der RBAC-Manager mit der Exchange-Organisation und verwendet die Rechte des angemeldeten Benutzers. Sie müssen dazu auf dem Server aber das .NET-Framework 3.5 installieren. In Windows Server 2012 verwenden Sie dazu den Server-Manager. Im oberen Bereich schalten Sie zwischen der Verwaltung von Verwaltungsrollen (Management Roles), Zuweisungsrichtlinien (Assignment Policies), Verwaltungsrollengruppen (Role Groups) und Verwaltungsbereichen (Management Scopes) um.

Über »Role Groups« steuern Sie die Mitglieder und die Verwaltungsrollen sowie die Rollenzuweisungen. Hier lassen sich eigene Rollengruppen erstellen oder vorhandene anpassen. Änderungen speichert der RBAC-Manager in einer Protokolldatei, die sich über den Bereich »Tools« öffnen lässt. In der Protokolldatei ist das Powershell-Commandlet zu sehen, mit dem der RBAC-Manager die Konfigurationsaufgabe abgearbeitet hat.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023