Wissensdatenbank
Zuhause » Wissensdatenbank

Berechtigungen zur Personifikation per PowerShell vergeben

Ziel

Dieser Beitrag erläutert, wie Sie Personifikationsberechtigungen per PowerShell an Administratorkonten vergeben können.

Voraussetzungen

  • Um Personifikationsberechtigungen an einen Administrator Ihrer Office-365-Umgebung oder eines an einem Remote-Speicherort gehosteten Exchange-Servers zu vergeben, müssen Sie zunächst per PowerShell eine Verbindung zu Remote-Exchange herstellen.
  • Möchten Sie hingegen Personifikationsberechtigungen an einen Administrator Ihrer Vor-Ort-Version von Exchange vergeben, müssen sich das System, in dem Sie PowerShell öffnen, und der Exchange-Server in der gleichen Domäne befinden. Wenn sich das System und die Exchange-Server in verschiedenen Domänen befinden, stellen Sie sicher, dass zwischen den beiden eine Vertrauensstellung besteht.

Schritte

  • Öffnen Sie Windows PowerShell.
  • Prüfen Sie mit dem folgenden Cmdlet, ob dem Administratorkonto bereits Personifikationsberechtigungen zugewiesen wurden.
    Get-ManagementRoleAssignment -RoleAssignee "$account_name" -Role ApplicationImpersonation -RoleAssigneeType user

    Ersetzen Sie hier $account_name durch den Namen des Exchange-Administratorkontos.

  • Falls das Administratorkonto noch keine Personifikationsberechtigungen erhalten hat, führen Sie das folgende cmdlet aus, um diese Rechte zuzuordnen.
    New-ManagementRoleAssignment -Name:$impersonation_Assignment_Name -Role:ApplicationImpersonation -User: "$account_name"

    Ersetzen Sie $impersonation_Assignment_Name mit einem eindeutigen Namen für diese Operation.

    Hinweis: Sie können den Abschnitt $impersonation_Assignment_Name aus dem Cmdlet auslassen, und ein eindeutiger Name wird automatisch erzeugt.

Das Administratorkonto wurde nun mit Personifikationsberechtigungen für alle Nutzer ausgestattet. Sie können außerdem die Personifikationsberechtigungen des Administrators auf Nutzer einer AD-Gruppe beschränken, indem Sie einen neuen Geltungsbereich für die Verwaltung festlegen.

Um die Personifikationsberechtigungen eines Administrators auf einen bestimmten Satz von Nutzern zu beschränken, folgen Sie den unten beschriebenen Schritten.

  • Erstellen Sie einen neuen Geltungsbereich für die Verwaltung.
    $ADGroup = Get-DistributionGroup -Identity "$group_name" New-ManagementScope "$scope_name" -RecipientRestrictionFilter "MemberOfGroup -eq '$($ADGroup.DistinguishedName)'"

    Ersetzen Sie hier $group_name mit dem Namen einer AD-Gruppe und $scope_name mit einem eindeutigen Namen Ihrer Wahl für den Geltungsbereich.

  • Ändern Sie die Personifikationsberechtigungen so ab, as sie nur auf den erstellten Geltungsbereich Anwendung finden.
    Set-ManagementRoleAssignment "$impersonation_Assignment_Name" -CustomRecipientWriteScope "$scope_name"

Dem Administrator wurden nun Personifikationsberechtigungen für die Mitglieder der ausgewählten AD-Gruppe gewährt.

Widerrufen von Personifikationsberechtigungen

Um die einem Administrator gewährten Personifikationsberechtigungen zu einem beliebigen Zeitpunkt zu widerrufen, führen Sie dieses Cmdlet aus.

Get-ManagementRoleAssignment -RoleAssignee "$account_name" -Role ApplicationImpersonation -RoleAssigneeType user | Remove-ManagementRoleAssignment

Die gewünschte Funktion ist nicht dabei? Funktionsanfrage senden
Sie wünschen sich eine umfassende Vorführung des Produkts? Fragen Sie nach einer persönlichen Demo

Brauchen Sie weitere Hilfe?

Füllen Sie dieses Formular aus, und wir werden uns umgehend mit Ihnen in Verbindung setzen.

Unterstützung erbitten

  •  
  • *
     
  • *
     
  • *
     
  • Mit Ihrem Klick auf „Absenden“ stimmen Sie der Verarbeitung personenbezogener Daten gemäß Datenschutzbestimmungen zu.

"Vielen Dank für die Übermittlung Ihrer Anfrage.

Unser technisches Support-Team Ich werde mich bei Ihnen melden frühestens."