Veröffentlichung des Originalartikels: 31.08.2012

Auf Grundlage unseres letzten Artikels, in dem wir die neue Exchange-Verwaltungskonsole vorgestellt haben, möchten wir nun erläutern, wie einfach die Verwaltung mehrerer Exchange-Gesamtstrukturbereitstellungen mit der neuen Exchange-Verwaltungskonsole ist.

Wie unter Bereitstellen von Exchange 2010 in einer gesamtstrukturübergreifenden Topologie beschrieben kann Exchange Server 2010 in einer gesamtstrukturübergreifenden oder Ressourcengesamtstruktur-Topologie bereitgestellt werden. Im Sinne dieses Artikels verfolgen wir den gleichen Ansatz für das Bereitstellen einer Ressourcengesamtstruktur-Topologie mit dem neuen Exchange.

Zunächst richten wir wie unten dargestellt eine Ressourcengesamtstruktur-Umgebung mit einer unidirektionalen Gesamtstruktur-Vertrauensstellung-Einrichtung ein, sodass Gesamtstruktur B Gesamtstruktur A vertraut.

Bild
Abbildung 1: Layout einer Exchange-Ressourcengesamtstruktur-Topologie

Gesamtstruktur A stellt die Kontogesamtstruktur dar, in der alle Benutzerkonten bereitgestellt werden. In Gesamtstruktur A sind keine Exchange-Server installiert. Gesamtstruktur B fungiert als Ressourcengesamtstruktur – mit installiertem Exchange Server 2013 und mit verknüpften Postfächern für alle Benutzerkonten von Gesamtstruktur A. In Gesamtstruktur B sind keine Benutzerkonten bereitgestellt.

In einer Laborumgebung haben wir einen Benutzer mit dem Namen John Doe in Gesamtstruktur A eingerichtet. John Doe soll nun als Exchange-Administrator fungieren. Dafür müssen wir sicherstellen, dass er über die entsprechenden RBAC-Berechtigungen (Role-Based Access Control, rollenbasierte Zugriffssteuerung) in der Exchange-Ressourcengesamtstruktur verfügt. Da wir uns hier mit einer Umgebung mit mehreren Gesamtstrukturen beschäftigen, stehen uns zwei Möglichkeiten zur Konfiguration von RBAC zur Verfügung. Und wir werden beide testen:

  1. Verwenden verknüpfter Postfächer
  2. Verwenden verknüpfter Rollengruppen

Sie haben möglicherweise bereits Benutzer in einer Kontogesamtstruktur eingerichtet. Durch das Konfigurieren dieser Benutzer als verknüpfte Postfächer werden sie in der Exchange-Ressourcengesamtstruktur angezeigt. Indem vorhandenen RBAC-Rollengruppen diese verknüpften Postfächer hinzugefügt werden, werden die zugeordneten Benutzer daher zu Exchange-Administratoren.

Verwenden verknüpfter Postfächer

In der unteren Abbildung wird John Does Benutzerkonto in der Kontogesamtstruktur eingerichtet. Mithilfe der Exchange-Verwaltungskonsole kann ein Exchange-Administrator wie unten dargestellt anschließend ein verknüpftes Postfach für ihn erstellen.

Bild
Abbildung 2: John Doe wurde als verknüpftes Postfach eingerichtet

Johns Postfach kann anschließend jeder integrierten RBAC-Administratorrollengruppe hinzugefügt werden, wodurch er zu einem Exchange-Administrator wird. In der unteren Abbildung wurde John zu einem Mitglied der integrierten Organization Management-Rollengruppe.

Bild
Abbildung 3: John Doe wurde der Organization Management als Mitglied hinzugefügt

Nun versuchen wir uns an der Exchange-Verwaltungskonsole als John anzumelden. John sollte nun Administratorrechte besitzen, und genau das können wir unten sehen.

Bild
Abbildung 4: Anmelden an der Exchange-Verwaltungskonsole als John Doe; konfiguriert als verknüpftes Postfach und als ein Mitglied der Organization Management-Rollengruppe

Verwenden verknüpfter Rollengruppen

Verknüpfte Rollengruppen sind im Wesentlichen Rollengruppen, werden aber per universeller Sicherheitsgruppe über eine Gesamtstrukturgrenze verknüpft. Daher werden Mitglieder dieser universellen Sicherheitsgruppe im Prinzip Mitglieder der verknüpften Rollengruppen. Wenn John Doe also ein Mitglied einer solchen universellen Sicherheitsgruppe ist, erhält er automatisch alle RBAC-Berechtigungen in einer Exchange-Ressourcengesamtstruktur über die verknüpfte Rollengruppe. Verknüpfte Rollengruppen ermöglichen es daher für einen kleinen Satz an universellen Sicherheitsgruppen in einer Kontogesamtstruktur, komplexe Exchange-Topologien mit mehreren Gesamtstrukturen zu verwalten.

Wir gehen wie folgt vor, um das oben erläuterte zu demonstrieren:

  1. In der Kontogesamtstruktur erstellen wir unter Verwendung des Active Directory-Benutzer und -Computer-Verwaltungstools eine universelle Sicherheitsgruppe mit dem Namen AdminSG. AdminSG repräsentiert eine Gruppe von Exchange-Administratoren. Anschließend richten wir John Doe als Mitglied von AdminSGein.
  2. In der Ressourcengesamtstruktur richten wir mithilfe des folgenden Exchange-Verwaltungsshell-Aufrufs eine einzelne verknüpfte Rollengruppe anhand der integrierten, AdminSG zugeordneten Rollengruppe Organization Management ein:

$accountForestCredential = Get-Credential

$OrgMgmt = Get-RoleGroup "Organization Management"

New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup "AdminSG" -LinkedDomainController bjex062.extest.microsoft.com -LinkedCredential $accountForestCredential -Roles $OrgMgmt.Roles

Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment

Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating

Durch die obigen Schritte verfügt John Doe nun über alle RBAC-Berechtigungen in der Exchange-Ressourcengesamtstruktur, auch wenn sich sein Benutzerkonto in der Kontogesamtstruktur befindet.

Wir werden nun versuchen, uns an der Exchange-Verwaltungskonsole als John Doe anzumelden. Wir starten die Exchange-Verwaltungskonsole von einem beliebigen Desktop aus und zeigen auf einen CAS-Server in der Ressourcengesamtstruktur. Und schon sind wir angemeldet. John verfügt über die in der RBAC-Rollengruppe Organization Management definierten Standard-RBAC-Berechtigungen. Er ist in der Lage, Exchange in der Ressourcengesamtstruktur# entsprechend zu verwalten.

Bild
Abbildung 5: Anmelden an der Exchange-Verwaltungskonsole als John Doe über die verknüpfte Rollengruppe „Organization Management“

Testen Sie die Exchange-Verwaltungskonsole!

Wie Sie sehen können, ist es mit der Exchange-Verwaltungskonsole ein Leichtes, mehrere Exchange-Gesamtstrukturbereitstellungen zu verwalten. Sie müssen sich weder remote bei einem dedizierten Verwaltungscomputer anmelden, um eine bestimmte Exchange-Gesamtstruktur zu verwalten, noch spezielle Administratorkonten in jeder Exchange-Ressourcengesamtstruktur erstellen. Sie können alle diese Aktionen mithilfe der Exchange-Verwaltungskonsole mit Ihren Anmeldedaten direkt von Ihrem Desktop aus ausführen.

Die Exchange-Verwaltungskonsole steht im neuesten Exchange 2013 Preview Download-BITS und über das Office 365 Customer Preview-Angebot zur Verfügung. In den nächsten Wochen schreiben wir weitere Beiträge über die Exchange-Verwaltungskonsole. Testen Sie in der Zwischenzeit die neue Exchange-Verwaltungskonsole, und geben Sie uns Feedback!

Ihr Exchange Manageability Team

Dies ist ein übersetzter Blogbeitrag. Sie finden den Originalartikel unter Using EAC to manage multi-forest Exchange deployments