Exchange Server 2010 verwendet die Rollenbasierte Zugriffsteuerung (Role Based Access Control RBAC), um Benutzern und Administratoren Berechtigungen zuzuweisen. Es werden dabei zwei Gruppen unterschieden, denen Berechtigungen zugewiesen werden. Benutzern werden die Berechtigungen, welche persönlichen Einstellungen der Benutzer im Bereich Optionen von OWA er vornehmen darf, über Rollenzuweisungsrichtlinien zugewiesen. Administrative Berechtigungen zur Verwaltung von Exchange Server 2010 werden dagegen über Verwaltungsgruppen oder direkte Zuweisung von Rechten an Benutzer gewährt. Hier wird besonders auf die Administrativen Berechtigungen eingegangen, da die Zuweisung der Benutzerrechte eingeschränkt ist und man in der Regel mit den Standardeinstellungen (Default Role Assignment Policy) gut fährt.

Verwaltungsbereiche helfen uns, Berechtigungen auf einzelne Bereiche einzuschränken. Die Verwaltungsgruppen, welche bei der Installation von Exchange Server 2010 angelegt wurden, berechtigen den Benutzer auf Organisationsebene. Wenn Sie die Bereiche, auf die der Benutzer Zugriff erhalten soll, einschränken möchten, müssen Sie Verwaltungsbereiche konfigurieren:

New-ManagementScope –Name <Name>
  -ServerList <Name>                       # Geben Sie die Liste mit Servern an, die verwaltet werden dürfen.
  -ServerRestrictionFilter <Wert>          # Geben Sie Eigenschaften wie z. B. den Standort der Server an, die verwaltetet werden dürfen.
  -DatabaseList <Name>                     # Geben Sie eine List mit Datenbanken an, die verwaltet werden dürfen.
  -DatabaseRestrictionFilter <Wert>        # Geben Sie Eigenschaften an, die festlegen, welche Datenbanken verwaltet werden dürfen.
  -RecipientRestrictionFilter <Wert>       # Geben Sie Eigenschaften an, die festlegen, welche Empfänger verwaltet werden dürfen.

Der Bereich kann auch auf Organisationseinheiten eingeschränkt werden. Diese Einschränkung konfigurieren Sie jedoch bei der jeweiligen Verwaltungsgruppe.

Verwaltungsgruppen enthalten einerseits die Benutzer, die berechtigt sein sollen, die entsprechenden Aktionen auszuführen. Andererseits werden ihnen die Verwaltungsrollen zugewiesen, die die einzelnen Berechtigungen enthalten.

New-RoleGroup –Name <Name>

Am einfachsten konfigurieren Sie die Verwaltungsrollen, die der Gruppe zugwiesen werden sollen, über die Exchange Systemsteuerung (ECP). Dort finden Sie eine grafische Oberfläche, über die Sie einfach die entsprechenden Verwaltungsrollen zuweisen können. Hier können Sie auch bequem den Verwaltungsbereich bzw. die Organisationseinheit festlegen.

Verwaltungsrollen werden über Verwaltungsrollenzuweisungen zugewiesen. Eine Verwaltungsrolle kann entweder einem Benutzer oder einer Gruppe zugewiesen werden, empfohlen wird die Verwendung von Verwaltungsgruppen. Zusätzlich ist es notwendig, einen Bereich festzulegen, in dem der Rolleninhaber arbeiten darf. Eine neue Zuweisung erstellen Sie wie folgt:

New-ManagementRoleAssignment –Name <Name> -Role <Rollenname>
  -SecurityGroup <Name>  # Weist die Verwaltungsrolle einer Sicherheitsgruppe zu
  -User <Name>           # Weist die Verwaltungsrolle einem Benutzer zu

Exchange Server 2010 ermöglicht es mit RBAC, die Rechte, welche einem Benutzer zugewiesen werden, sehr genau festzulegen. Verwaltungsrollen sind Gruppierungen von Cmdlets, die dem Benutzer durch die Rolle zur Verfügung gestellt werden. Cmdlets, die der Benutzer nicht durch eine Verwaltungsrolle zugewiesen bekommt, kann er nicht verwenden. Sie können auf den existierenden Verwaltungsrollen basierend neue Verwaltungsrollen erstellen und diese dann gezielt konfigurieren.

New-ManagementRole –Name <Name> -Parent <Wert>

Nachdem Sie die Verwaltungsrolle geklont haben, können Sie sich die Cmdlets mit den zugehörigen Parametern anzeigen lassen:

Get-ManagementRoleEntry –Identity <Rolle\*>

Sie können aus der Verwaltungsrolle einzelne Cmdlets oder Parameter entfernen und diese damit Ihren Anforderungen anpassen. Hier werden z. B. aus einer Rolle alle Cmdlets entfernt, die nicht dem Wert bei –NotLike <Wert> entsprechen.

Get-ManagementRoleEntry –Identity <Rolle\*> | Where {$_.Name –NotLike <Wert>} | Remove-ManagementRoleEntry

Sie können auch Cmdlets zu Verwaltungsrollen hinzufügen. Dies geht allerdings nur mit den Cmdlets, die in der übergeordneten Verwaltungsrolle (Parent) enthalten sind.

Add-ManagementRoleEntry <Rolle\Cmdlet>

Im Gegensatz zu den administrativen Verwaltungsrollen erhalten Benutzer die Berechtigungen, welche ihrer Informationen sie im OWA unter Optionen selbst konfigurieren können, über die Rollenzuweisungsrichtlinien. Standardmäßig erhält jeder Benutzer die Default Role Assignment Policy zugewiesen. Wenn Sie einzelnen Benutzern andere Berechtigungen zuweisen möchten, können Sie mit folgendem Befehl eine neue Rollenzuweisungsrichtlinie erstellen:

New-RoleAssignmentPolicy –Name <Name> -Roles <Verwaltungsrollen> -IsDefault