Das große Problem einer Exchange Installation ist, dass alle Änderungen sich immer auf den ganzen Forest auswirken. Bei einer Installation des Exchange Systems in einer Subdomäne hat der Administrator dieser Subdomäne die Möglichkeit Änderungen für die ganze Exchange-Organisation zu machen. Seit Exchange 2010 gibt es die sogenannte Role-Based-Access-Control (RBAC). Hiermit lassen sich die Berechtigungen des Exchange Administrators einer Subdomänen einschränken, die im Folgenden erklärt werden:

Das Was

Die Mitglieder unserer AD-Gruppe Subdomain-Admins sollen folgendes in der Subdomäne sub.test.local können:

  • Server Management
  • Recipient Management allerdings ohne den Befehl Remove-OwaMailboxPolicy
  • View-Only Organization Management

Weitere Informationen zu diesen RoleGroups finden Sie unter [1].

Um die vorhanden RoleGroups nicht zu beschädigen oder einzuschränken, erstellen wir alle 3 RoleGroups neu:

$RoleGroup = Get-RoleGroup "Server Management" New-RoleGroup "Subdomain Server Management" -Roles $RoleGroup.Roles

$RoleGroup = Get-RoleGroup "View-Only Organization Management" New-RoleGroup "Subdomain View-Only Organization Management" -Roles $RoleGroup.Roles

Für die angepasste Rolle RecipientManagement wird das ganze etwas komplizierter. Da der Befehl Remove-OwaMailboxPolicy in den Rollen Mail Recipients und Recipient Policies enthalten ist, die beide ein Teil von Recipient Management sind, müssen wir das Ganze anpassen. Hierzu erstellen wir uns Kopien der entsprechenden Rollen:

New-Managementrole -Parent "Mail Recipients" -Name "Restricted Mail Recipients"

New-ManagementRole -Parent "Recipient Policies" -Name "Restricted Recipient Policies"

Nun müssen wir den unerwünschten Befehl entfernen:

Remove-ManagementRoleEntry "Restricted Mail RecipientsRemove-OwaMailboxPolicy"

Remove-ManagementRoleEntry "Restricted Recipient PoliciesRemove-OwaMailboxPolicy"

Diese und alle anderen Rollen, die wir benötigen fügen wir nun zu einer RoleGroup Restricted Recipient Management zusammen:

New-RoleGroup "Restricted Recipient Management" -Roles "Distribution Groups", "Mail Enabled Public Folders", "Mail Recipient Creation", "Message Tracking Migration", "Move Mailboxes", "Restricted Mail Recipients", "Restricted Recipient Policies"

Weitere Infos zu ManagementRoles, die unter Exchange 2010 bereits existieren, finden Sie unter [2].

Das Wer

Jetzt müssen die gewünschten Mitglieder noch den RoleGroups hinzufügen werden. In unserem Fall die Gruppe Subdomain-Admins:

Add-RoleGroupMember"Subdomain Server Management" -Member Subdomain-Admins

Add-RoleGroupMember "Subdomain Recipient Management" -Member Subdomain-Admins

Add-RoleGroupMember "Subdomain View-Only Organization Management" -Member Subdomain-Admins

Das Wo

Die Rechte, die über RoleBased-Access-Control vergeben werden, können am einfachsten durch einen eigenen Scope auf bestimmte Bereiche einschränken. In unserem Fall müssen wir also die Subdomäne zu einem neuen Sub Scope zusammenfassen. Dies geht am einfachsten über den FQDN der beteiligten Server:

New-ManagementScope -Name "Sub Scope" -ServerRestrictionfilter {FQDN -like "*.sub.test.local*"}

Nun werden die zuvor erstellten RoleGroups dem Scope zugeordnet:

Get-ManagementRoleAssignment -RoleAssignee "Subdomain Server Management" | Set-ManagementRoleAssignment  -CustomConfigWriteScope "Sub Scope"

Get-ManagementRoleAssignment -RoleAssignee "Subdomain Recipient Management" | Set-ManagementRoleAssignment -CustomConfigWriteScope "Sub Scope"

Get-ManagementRoleAssignment -RoleAssignee "Subdomain View-Only Organization Management" | Set-ManagementRoleAssignment -CustomConfigWriteScope "Sub Scope"

Nach den durchgeführten Änderungen hat jedes Mitglied der Gruppe SubdomainAdmins alle nötigen Berechtigungen um den Exchange innerhalb der Subdomain, wie gewünscht, zu verwalten.

[1] http://technet.microsoft.com/en-us/library/dd351266.aspx [2] http://technet.microsoft.com/en-us/library/dd638077.aspx