Erstellen einer neuen Default Role Assignment Policy

  • Article

Exchange 2010 besitzt eine Default Role Assignment Policy welche auf jede Exchange 2010 Mailbox angewendet wird. Die Default Role Assignment Policy kann nicht geändert werden. Um Änderungen durchzuführen muss eine neue Role Assignment Policy erstellt werden und als Default gekennzeichnet werden. Bestehende Berechtigungen können bei einer neu erstellen Role Assignment Policy angepasst werden. Es können einzelne Rollen entfernt bzw. angepasst werden. Jede Mailbox, die nach Exchange 2010 verschoben wird bekommt automatisch die Default Role Assisgnment Policy zugewiesen.

Default Role Assignment Policy

Folgende Liste beinhaltet alle Rollen, die in der Default Role Assignment Policy enthalten sind:

  • MyBaseOptions
  • MyContactInformation
  • MyVoiceMail
  • MyTextMessaging
  • MyDistributionGroupMembership 

Über die Shell sieht man welche Rollen dazugehören

Anpassen der Default Role Assignment Policy

Unterschiedliche Organisationen haben unterschiedliche Anforderungen, welche Einstellungen geändert werden dürfen bzw. welche Einstellungen überhaupt sichtbar seien sollen.

Die vorhandene Default Role Assignment Policy erlaubt es dem Benutzer über den Exchange Control Panel ECP die Attribute wie z.B. street, city, zip, region und office selber zu ändern. Auch können die Attribute für die Telefonnummern eigenständig hierüber durch den jeweiligen Benutzer geändert werden.

Unter den Optionen ist es auch möglich Einstellungen für Gruppen, Mobile Geräte und SMS vorzunehmen.

Um eine neue Assignment Policy zu erstellen öffnet man eine Exchange 2010 Management Shell. Der Benutzer muss Mitglied der Gruppe "Organization Management" sein.

Um bei Forests, die mehr als nur eine Domäne haben die Cmd-Lets erfolgreich über die Exchange Management Shell absetzen zu können empfiehlt es sich den View für die Shell auf den kompletten Forest zu setzen.

Set-ADServerSettings –ViewEntireForest $true

Nun wird eine Management Rolle erstellt und von der MyBaseOptions Rolle abgeleitet:

New-ManagementRole “MyCustomBaseOptions” –Parent MyBaseOptions

Um die Einstellungen für Mobile Geräte zu entfernen gibt man folgende Befehle in der Shell nacheinander ein:

Get-ManagementRoleEntry “MyCustomBaseOptions\Get-ActiveSyncDevice” | Remove-ManagementRoleEntry

Get-ManagementRoleEntry “MyCustomBaseOptions\Get-ActiveSyncDeviceStatistics” | Remove-ManagementRoleEntry

Get-ManagementRoleEntry “MyCustomBaseOptions\Clear-ActiveSyncDevice” | Remove-ManagementRoleEntry

Jetzt kann die neue Management Role Policy erstellt werden.

New-RoleAssignmentPolicy –name “NewPolicy” –Roles MyCustomBaseOptions

Um die neue Role Assignment Policy als default zu kennzeichnen wird folgender Befehlt in der Shell abgesetzt:

Set-RoleAssignmentPolicy “NewPolicy” –isdefault:$True

Jetzt bekommt jede neu erstellte Exchange 2010 Mailbox die Policy "NewPolicy" zugewiesen. Um die neue Policy bereits existierenden Benutzern zuzuweisen gibt es entweder die Möglichkeit dies über die Exchange Management Console durchzuführen oder über die Exchange Management Shell:

Wie sehen die Optionen jetzt für den Benutzer aus?

Auch sind keine Attribute editierbar, die zuvor geändert werden konnten:

Um die Einstellungen für Mobile Geräte wieder zu aktivieren, muss man lediglich die zuvor entfernten RoleEntries wieder hinzufügen:

Add-ManagementRoleEntry –identity “MyCustomBaseOptions\Clear-ActiveSyncDevice” –confirm:$false

Add-ManagementRoleEntry –identity “MyCustomBaseOptions\Get-ActiveSyncDeviceStatistics” –confirm:$false

Add-ManagementRoleEntry –Identity “MyCustomBaseOptions\Get-ActiveSyncDevicve” –confirm:$false

Wie sehen die Optionen jetzt für den Benutzer aus?

Wie man sieht sind die Möglichkeiten sehr variabel. Es können unterschiedliche Role Assignment Policies für unterschiedliche Benutzergruppen erstellt werden, um den jeweiligen Anforderungen gerecht zu werden.