Sie können sich in der Exchange-Verwaltungskonsole auch anzeigen lassen, wer Änderungen an den Berechtigungen vornimmt, also anderen Benutzern Administratorrechte zuteilt:
Verwaltung der Richtlinientreue | Überwachung | Administrator Rollengruppenbericht ausführen
«
.Suchen
«
. Im Fenster sehen Sie jetzt alle durchgeführten Änderungen.In der Exchange-Verwaltungsshell können Sie die Administratoren und deren Berechtigungen anzeigen. Mit der Option
»GetEffectiveUsers
«
des Commandlets
»Get-ManagementRoleAssignment
«
zeigen Sie die Rechte an:
Get-ManagementRoleAssignment -Role Verwaltungsrolle -GetEffectiveUsers
Wollen Sie nur einen bestimmten Benutzer anzeigen, verwenden Sie den folgenden Aufruf:
Get-ManagementRoleAssignment -Role Verwaltungsrolle -GetEffectiveUsers| Where { $_.EffectiveUserName -Eq"Benutzername" }
Wollen Sie alle Verwaltungsrollen eines Benutzers anzeigen, verwenden Sie:
Get-ManagementRoleAssignment -GetEffectiveUsers | Where { $_.EffectiveUserName -Eq "Benutzername" }
Neben den Administratorrollen zur Verwaltung der Exchange-Server können Sie in Exchange auch die Rechte von Benutzern für ihr eigenes Postfach und Verteilergruppen steuern. Mit Rollenzuweisungsrichtlinien können Sie steuern, welche Konfigurationseinstellungen Benutzer für Postfächer und Verteilergruppen ändern können.
Wollen Sie alle Postfächer anzeigen, denen eine bestimmte Zuweisungsrichtlinie zugeordnet ist, verwenden Sie das Commandlet
»Get-Mailbox
«
und geben das Ergebnis an das Commandlet
»Where
«
weiter:
Get-Mailbox | Where { $_.RoleAssignment Policy -Eq "Zuwei sungsrichtlinie"}
Sie können die Zulassungsrichtlinie, die einem Benutzerkonto zugewiesen ist, auch in den Eigenschaften des Benutzerkontos in der Exchange-Verwaltungskonsole anzeigen und die Zuweisung ändern. Rufen Sie dazu das Menü
»Postfachfunktionen
«
auf. Mit dem folgenden Befehl ändern sie die Standard-Zuweisungsrichtlinie, die Exchange neuen Postfächern automatisch zuordnet:
Set-RoleAssignmentPolicy Zuweisungsrichtlinie -IsDefault
Neuen Postfächern weist Exchange immer die standardmäßige Zuweisungsrichtlinie zu, auch dann, wenn sie keine Verwaltungsrollen enthält. Ein Postfach kann nur eine Rollenzuweisungsrichtlinie verwenden. Wollen Sie bestimmten Benutzern andere Rechte zuweisen, müssen Sie für diese Postfächer eine eigene Rollenzuweisungsrichtlinie erstellen und diese vergeben. Nachdem Sie im Bereich
»Berechtigungen | Benutzerrollen
«
eine neue Rollenzuweisungsrichtlinie erstellt haben, ordnen Sie ihr die gewünschten Verwaltungsrollen zu. Anschließend weisen Sie die Rollenzuweisungsrichtlinie den gewünschten Postfächern zu. Wollen Sie die Richtlinie für alle Postfächer ändern, denen eine bestimmte Zuweisungsrichtlinie zugewiesen ist, verwenden Sie folgenden Befehl:
Get-Mailbox | Where { $_.RoleAssignmentPolicy -Eq "Alte Zuweisungsrichtlinie" } |Set-Mailbox -RoleAssignmentPolicy Neue Richtlinie
Verwenden Sie am Ende des Befehls die Option
»WhatIf
«
, können Sie sich anzeigen lassen, was der Befehl machen würde, ohne die Änderungen tatsächlich auszuführen.
Die Verwaltungsrollengruppe
»MyDistributionGroup
«
darf in Exchange Server 2010/2013 nicht nur Mitglieder bestimmter Verteilergruppen hinzufügen oder entfernen, sondern auch Verteilergruppen selbst entfernen und erstellen. Solche Vorgänge wollen Administratoren aber möglichst verhindern. Es reicht oft aus, wenn bestimmte Anwender die Mitgliedschaften steuern dürfen. Welche Rechte die Benutzerrollengruppe
»MyDistributionGroups
«
hat, sehen Sie auch in der Exchange-Verwaltungsshell, wenn Sie den Befehl
»Get-ManagementRoleEntry -Identity MyDistributionGroups\*
«
eingeben. Einfacher geht das, wenn Sie den RBAC-Manager nutzen.