Hier kommt Teil 2 der Verwaltung einer Exchange "Subdomäne".Wie in Teil1 [1] wollen wir nun einige administrative Rechte auf die Subdomäne einschränken.

Das Was

Die Mitglieder unserer AD-Gruppe Subdomain-Mailbox-Verwaltung sollen folgendes in der Subdomäne sub.test.local administrieren können:

  • Erstellen / Bearbeiten von Mailboxen
  • Erstellen / Bearbeiten von MailContacts
  • Erstellen / Bearbeiten / Löschen von DistributionGroups

Hierzu erstellen wir uns eigene ManagementRoles, die von vorhandenen Roles erben:

New-ManagementRole -Parent "Mail Recipient Creation" -Name "Restricted Mail Recipient Creation"

New-ManagementRole -Parent "Distribution Groups" -Name "Restricted Distribution Groups"

Nun müssen wir die Rechte, die nicht vergeben wollen sollten, aus den gerade erstellten Gruppen entfernen:

Remove-ManagementRoleEntry "Restricted Mail Recipient CreationRemove-Mailbox"

Remove-ManagementRoleEntry "Restricted Mail Recipient CreationRemove-MailContact"

Remove-ManagementRoleEntry "Restricted Distribution GroupsRemove-DistributionGroup"

Weitere Infos zu ManagementRoles, die unter Exchange 2010 bereits existieren, finden Sie unter [2].

Das Wer

Wie in Teil1 erstellen wir auch hier eine RoleGroup mit den entsprechenden Rollen:

New-RoleGroup "sub Mailbox Management RoleGroup" -Roles "Restricted Mail Recipient Creation", "Restricted Distribution Groups"

und fügen die gewünschten Mitglieder hinzu:

Add-RoleGroupMember "sub Admin RoleGroup" -Member Subdomain-Mailbox-Verwaltung

Das Wo

Die Rechte der RoleBased-Access-Control können, wie in Teil1 [1] beschrieben, auf bestimmte Rechner eingeschränkt werden. In diesem Beispiel wollen wir aber zusätzlich das Erstellen von Mailboxen, MailContacts und DistributionGroups nur in der OU Verwaltung zulassen. Aus diesem Grund erstellen wir einen neuen Scope Sub Scope Recipients:

New-ManagementScope -Name "Sub Scope Recipients" - RecipientRoot sub.test.local/Verwaltung -RecipientRestrictionFilter {(RecipientType -eq "UserMailbox") -or (RecipientType -eq "MailUser") -or (RecipientType -eq "MailContact") -or (RecipientType -eq "MailUniversalSecurityGroup") -or (RecipientType -eq "MailUniversalDistributionGroup") -or (RecipientType -eq "DynamicDistributionGroup")}

Im letzten Schritt bringen wir die RoleGroup mit dem Scope zusammen:

Get-ManagementroleAssignment -RoleAssignee Subdomain-Mailbox-Verwaltung | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Sub Scope Recipients"

[1] http://www.escde.net/2012/02/01/exchange-2010-verwaltung-in-der-subdomane-teil1/ [2] http://technet.microsoft.com/en-us/library/dd638077.aspx