Administración de organizaciones

 

Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Última modificación del tema: 2015-03-09

Administración de la organización Un grupo de roles de administración es uno de varios grupos de roles integrados que constituye el modelo de permisos de control de acceso basado en roles (RBAC) de Microsoft Exchange Server 2010. Los grupos de roles se asignan a uno o más roles de administración que contienen los permisos requeridos para realizar un determinado conjunto de tareas. Los miembros de un grupo de roles obtienen acceso a los roles de administración asignados a un grupo de roles. Para obtener más información acerca de los grupos de roles, consulte Descripción de los grupos de funciones de administración

Los administradores que son miembros del grupo de funciones Administración de la organización tienen acceso administrativo a toda la organización de Microsoft Exchange Server 2010 y pueden realizar prácticamente todas las tareas relacionadas con los objetos de Exchange 2010, con algunas excepciones. De forma predeterminada, los miembros de este grupo de funciones no pueden realizar búsquedas en el buzón de correo ni administrar funciones de administración de nivel superior sin ámbito. Para obtener más información, consulte la sección "Asignaciones de funciones solo de delegación" más adelante en este tema.

Importante

El grupo de funciones Administración de la organización es una función muy poderosa y, por ello, solamente los usuarios o los grupos de seguridad universal (USG) que realizan tareas administrativas de nivel organizativo, que pueden afectar potencialmente a toda la organización de Exchange, deben ser miembros de este grupo de funciones.

Este grupo de funciones es equivalente a la función Administrador de organización Exchange en Exchange Server 2007.

Para obtener más información acerca de RBAC, consulte Descripción del control de acceso basado en funciones.

Pertenencia a un grupo de funciones

De forma predeterminada, la cuenta usada para instalar Exchange 2010 en la organización se agrega como miembro del grupo de funciones Administración de la organización. Esta cuenta puede posteriormente agregar otros miembros al grupo de funciones, según sea necesario.

Si desea agregar o quitar miembros de este grupo de funciones, consulte los temas siguientes:

De manera predeterminada, solo los miembros del grupo de roles Administración de la organización pueden agregar o quitar miembros de este grupo de roles. Para obtener más información acerca de cómo agregar delegados de grupo de roles adicionales, consulte Agregar o quitar un delegado de grupo de funciones.

El siguiente comando se puede usar para ver una lista de usuarios o Grupos de seguridad universal que son miembros de este grupo de funciones.

Get-RoleGroupMember "Organization Management"

Para obtener más información acerca de los miembros de un grupo de funciones, consulte Ver los miembros de un grupo de funciones.

Personalización de un grupo de funciones

Este grupo de roles tiene asignado roles de administración de forma predeterminada. Los roles incluidos están enumerados en la sección "Roles de administración asignados a este grupo de roles". Puede agregar o quitar asignaciones de roles de este grupo de roles de acuerdo con las necesidades de su organización.

Los grupos de roles proporcionados con Exchange 2010 están diseñados de modo que coincidan con las tareas más granulares. Mediante la asignación de roles a un grupo de roles, se permite a los miembros de ese grupo de roles realizar tareas vinculadas con el rol. Por ejemplo, el rol de registro en diario permite la administración del agente de registro en diario y las reglas de registro en diario. Para obtener más información acerca de cómo se asignan roles a grupos de roles, vea Descripción de las asignaciones de funciones de administración.

Los roles asignados a este grupo de roles reciben ámbitos de administración predeterminados. Los ámbitos de administración determinan qué objetos de Exchange pueden ser vistos o modificados por los miembros de un grupo de roles. Es posible cambiar los ámbitos asociados con las asignaciones de roles y grupos de roles. Por ejemplo, es posible que desee hacerlo si desea que solamente los miembros de un grupo de roles puedan cambiar los destinatarios de una unidad organizativa específica o de una ubicación específica. Para obtener más información acerca de los ámbitos de administración, vea Descripción de los ámbitos de roles de administración.

Para obtener más información sobre cómo personalizar este grupo de roles, consulte los siguientes temas:

Si desea crear un grupo de roles y asignar roles que están asignados a este grupo al nuevo grupo de roles, consulte Crear un grupo de funciones.

A continuación, se mencionan algunas formas en que puede personalizar esta función:

  • Titular de permisos   Si un grupo específico que no sean los administradores de Exchange controla los permisos de su organización, puede crear un grupo de funciones y trasladar las asignaciones de funciones normales y de delegación para la función Administración de funciones al nuevo grupo de funciones. Al hacer esto, se evita que los miembros del grupo de funciones Administración de la organización administren permisos RBAC.

  • Permisos divididos de Active Directory   Si un grupo específico que no sean los administradores de Exchange controla la creación de las entidades de seguridad, por ejemplo, las cuentas de usuario, puede crear un grupo de funciones y trasladar las asignaciones de funciones normales y de delegación para la función Creación de destinatarios de correo y la función Pertenencia y creación de grupos de seguridad al nuevo grupo de funciones. Al hacer esto, se evita que los miembros del grupo de funciones de Administración de la organización creen objetos Active Directory. Sin embargo, ellos pueden continuar habilitando para correo a los nuevos objetos Active Directory. Para obtener más información acerca de los permisos divididos, consulte Descripción de los permisos de división.

Limitaciones de la personalización

Se puede agregar o quitar cualquier función en este grupo de funciones, con las siguientes limitaciones:

  • Todas las funciones deben tener, al menos, una asignación de funciones de delegación a un grupo de funciones o USG antes de quitar la asignación de funciones de delegación de este grupo de funciones.

  • La función Administración de funciones debe tener, al menos, una asignación de funciones normales a un grupo de funciones o USG antes de quitar la asignación de funciones normales de este grupo de funciones.

Estas limitaciones tienen como fin ayudar a evitar que bloquee su acceso al sistema de manera accidental. Al requerir que exista, al menos, una asignación de funciones de delegación entre todas las funciones y uno o varios grupos de funciones o USG, siempre podrá asignar funciones a usuarios a los que se asignan funciones. Al requerir que exista, al menos, una asignación de funciones normales entre la función Administración de funciones y uno o varios grupos de funciones o USG, siempre podrá configurar grupos de funciones y asignaciones de funciones.

Importante

Estas limitaciones requieren que los grupos de funciones o USG sean los destinos de las asignaciones de funciones normales y de delegación. No es posible quitar una asignación de funciones de delegación o la asignación normal para la función Administración de funciones si la última asignación es a un usuario.

Asignaciones de funciones solo de delegación

Algunas asignaciones de funciones entre el grupo de funciones Administración de la organización y las funciones de administración, por ejemplo, Búsqueda en el buzón y Administración de funciones sin ámbito, son asignaciones de funciones solo de delegación. Estas funciones permiten el acceso a información personal o confidencial, como el contenido de buzones de correo, o permiten la creación de poderosas funciones de administración sin ámbito.

Las asignaciones de funciones solo de delegación permiten a los miembros del grupo de funciones de Administración de la organización solamente asignar las funciones asociadas a los otros grupos de funciones, directivas de asignación de funciones de administración, usuarios o USG. Los miembros del grupo de funciones Administración de la organización no gozan, de forma predeterminada, de los permisos que las funciones conceden. Esto ayuda a impedir la exposición accidental de información personal o la elevación accidental de privilegios.

No obstante, los miembros del grupo de funciones Administración de la organización pueden asignarse a sí mismos cualquier función, lo que, de hecho, les permite realizar cualquier tarea. Por ejemplo, un miembro del grupo de funciones de Administración de la organización puede asignar la función Búsqueda en el buzón al grupo de funciones Administración de la organización. Una vez realizada esta asignación de funciones, los miembros del grupo de funciones Administración de la organización pueden realizar las tareas que permite la función Búsqueda en el buzón.

Para obtener más información acerca de las asignaciones de funciones de delegación, consulte Descripción de las asignaciones de funciones de administración.

Permisos adicionales

Los permisos otorgados a los miembros del grupo de funciones Administración de la organización están determinados principalmente por las funciones de administración asignadas al grupo de funciones. Sin embargo, no todas las tareas que se deben realizar están cubiertas por las funciones de administración. Algunas tareas se ejecutan fuera de las herramientas de administración de Exchange y, por lo tanto, no se aplica el modelo de permisos RBAC. Para dichas tareas, los permisos se otorgan al agregar el grupo de funciones Administración de la organización a las listas de control de acceso (ACL) de determinados objetos de Active Directory.

Se conceden permisos a las siguientes tareas a través de ACL en los objetos de Active Directory y no a través de las funciones de administración asignadas al grupo de funciones Administración de la organización:

  • Ejecución de DomainPrep y ForestPrep mediante Setup.exe

  • Implementación de servidores adicionales en la organización

  • Aprovisionamiento de servidores mediante la configuración delegada

  • Creación, administración y eliminación de carpetas públicas de nivel superior

  • Administración de permisos de carpetas públicas de nivel superior

Para ver todos los permisos que se otorgan al grupo de funciones Administración de la organización mediante listas de control de acceso (ACL), consulte Referencia de permisos de implementación de Exchange 2010.

Funciones de administración asignadas a este grupo de funciones

La siguiente tabla enumera todos los roles de administración que se asignan a este grupo de roles y los atributos de cada asignación de roles:

  • Asignación normal   Habilita a los miembros de cada grupo de roles para que accedan a las entradas de roles de administración disponibles por el rol de administración asociado.

  • Asignación de delegación   Proporciona a los miembros del grupo de roles la capacidad para asignar el rol especificado a los otros grupos de roles, directivas de asignación de roles de administración, usuarios o grupos de seguridad universal.

  • Ámbito de lectura de destinatario   Determina qué miembros de objetos de destinatario del grupo de roles pueden leerse desde Active Directory.

  • Ámbito de escritura de destinatario   Determina qué miembros de objetos de destinatario del grupo de roles pueden modificarse en Active Directory.

  • Ámbito de lectura de configuración   Determina qué miembros de objetos de configuración del grupo de roles pueden leerse desde Active Directory.

  • Ámbito de escritura de configuración   Determina qué miembros de objetos organizativos y de servidor del grupo de roles pueden modificarse en Active Directory.

Para obtener más información acerca de las asignaciones de funciones y los ámbitos de administración, consulte los siguientes temas:

Funciones de administración asignadas a este grupo de funciones

Función de administración Asignación normal Asignación de delegación Ámbito de lectura de destinatario Ámbito de escritura de destinatario Ámbito de lectura de configuración Ámbito de escritura de configuración

Función Permisos de Active Directory

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Listas de direcciones

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función ApplicationImpersonation

 

X

Organization

Organization

None

None

Función Registros de auditoría

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Agentes de extensión de cmdlet

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Grupos de disponibilidad de base de datos

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Copias de base de datos

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Bases de datos

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Recuperación ante desastres

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función de grupos de distribución

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Suscripciones perimetrales

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Directivas de dirección de correo electrónico

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Conectores de Exchange

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Certificados del servidor de Exchange

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Servidores de Exchange

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Directorios virtuales de Exchange

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Uso compartido federado

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Administración de derechos de información

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Registro en diario

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Retención legal

X

X

Organization

Organization

OrganizationConfig

None

Función Carpetas públicas habilitadas para correo

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Creación de destinatarios de correo

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Destinatarios de correo

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Sugerencias para correo electrónico

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Importar o exportar buzones

 

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Búsqueda entre buzones

 

X

Organization

Organization

None

None

Función Seguimiento de mensajes

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Migración

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Supervisión

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Mover buzones

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Acceso de clientes de la organización

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Configuración de la organización

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Configuración de transporte de la organización

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Protocolos POP3 e IMAP4

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Replicación de carpetas públicas

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Carpetas públicas

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Conectores de recepción

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Directivas de destinatarios

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Dominios remotos y aceptados

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Administración de la retención

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Administración de funciones

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Pertenencia y Creación de grupos de seguridad

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Conectores de envío

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Diagnósticos de soporte

 

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Agentes de transporte

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Higiene de transporte

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Colas de transporte

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Reglas de transporte

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Buzones de MU

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Mensajes de mensajería unificada

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Administración de funciones sin ámbito

 

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Mensajería unificada

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Función Opciones de usuario

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Rol View-Only Audit Logs

X

X

Organization

None

OrganizationConfig

None

Función Configuración con permiso de vista

X

X

Organization

None

OrganizationConfig

None

Función Destinatarios con permiso de vista

X

X

Organization

None

OrganizationConfig

None

Función MyBaseOptions

 

X

Self

Self

OrganizationConfig

OrganizationConfig

Función MyContactInformation

 

X

Self

Self

OrganizationConfig

OrganizationConfig

Función MyDiagnostics

 

X

Self

Self

OrganizationConfig

OrganizationConfig

Función MyDistributionGroupMembership

 

X

MyGAL

MyGAL

None

None

Función MyDistributionGroups

 

X

MyGAL

MyDistributionGroups

OrganizationConfig

None

Función MyProfileInformation

 

X

Self

Self

OrganizationConfig

OrganizationConfig

Función MyRetentionPolicies

 

X

Self

Self

OrganizationConfig

OrganizationConfig

Función MyTextMessaging

 

X

Self

Self

OrganizationConfig

OrganizationConfig

Función MyVoiceMail

 

X

Self

Self

OrganizationConfig

OrganizationConfig

 © 2010 Microsoft Corporation. Reservados todos los derechos.