Gestione dell'organizzazione

 

Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Ultima modifica dell'argomento: 2015-03-09

Gestione organizzazione Il gruppo dei ruoli di gestione è uno dei numerosi gruppi incorporati che costituiscono il modello delle autorizzazioni del controllo di accesso basato sul ruolo (RBAC) in Microsoft Exchange Server 2010. Ai gruppi di ruoli vengono assegnati uno o più ruoli di gestione che contengono le autorizzazioni necessarie per eseguire un determinato gruppo di attività. Ai membri di un gruppo di ruoli è concesso l'accesso ai ruoli di gestione assegnati a quel gruppo. Per ulteriori informazioni sui gruppi di ruoli, vedere Informazioni sui gruppi del ruolo di gestione.

Gli amministratori membri del gruppo Gestione organizzazione dispongono dell'accesso amministrativo all'intera organizzazione di°Microsoft Exchange Server 2010 e possono eseguire quasi tutte le attività su qualsiasi oggetto di°Exchange 2010, con alcune eccezioni. Per impostazione predefinita, i membri di questo gruppo di ruoli non possono eseguire ricerche di cassette postali e la gestione dei ruoli di gestione di primo livello senza ambito. Per ulteriori informazioni,°vedere "Assegnazioni di ruolo solo di delega" in questo argomento.

Importante

Il gruppo di ruoli Gestione organizzazione indica un ruolo molto potente e, in quanto tale, solo gli utenti o i gruppi di protezione universali, che eseguono attività amministrative a livello di organizzazione che potrebbero incidere sull'intera organizzazione Exchange, dovrebbero essere membri di questo gruppo.

Questo gruppo è equivalente al ruolo Exchange Organization Administrators di Exchange Server 2007.

Per ulteriori informazioni su RBAC, vedere Informazioni sul controllo di accesso basato sui ruoli.

Appartenenza ai gruppi di ruolo

Per impostazione predefinita, l'account utilizzato per installare Exchange 2010 nell'organizzazione viene aggiunto come membro del gruppo°Gestione organizzazione. Inoltre, questo account può aggiungere altri membri al gruppo in base alle esigenze.

Se si desidera aggiungere o rimuovere membri in questo gruppo di ruoli, vedere gli argomenti seguenti:

Per impostazione predefinita, solo i membri del gruppo di ruoli Gestione organizzazione possono aggiungere o rimuovere membri da questo gruppo di ruoli. Per ulteriori informazioni su come aggiungere delegati del gruppo di ruoli aggiuntivi, vedere Aggiunta o eliminazione di un delegato del gruppo di ruoli.

È possibile utilizzare il seguente comando per visualizzare un elenco degli utenti o dei gruppi di protezione universali membri di questo gruppo di ruolo.

Get-RoleGroupMember "Organization Management"

Per ulteriori informazioni sui membri di un gruppo di ruolo, vedere Visualizzazione dei membri di un gruppo di ruoli.

Personalizzazione dei gruppi di ruolo

Questo gruppo di ruoli viene assegnato ai ruoli di gestione per impostazione predefinita. I ruoli inclusi sono elencati nella sezione "Ruoli di gestione assegnati a questo gruppo di ruoli". È possibile aggiungere o rimuovere le assegnazioni dei ruoli da questo gruppo in base alle esigenze della propria organizzazione.

I gruppi di ruoli forniti con Exchange 2010 sono stati ideati per poter svolgere attività più dettagliate. Quando si assegnano i ruoli ad un gruppo di ruoli, i membri di quel gruppo sono abilitati ad eseguire le attività associate al ruolo. Ad esempio, il ruolo di inserimento nel journal consente la gestione dell'agente di inserimento nel journal e delle relative regole. Per ulteriori informazioni sulla modalità di assegnazione dei ruoli ai gruppi di ruoli, vedere Informazioni sulle assegnazioni del ruolo di gestione.

I ruoli assegnati a questo gruppo di ruoli vengono assegnati agli ambiti di gestione predefiniti. Gli ambiti di gestione determinano quali oggetti di Exchange possono essere visualizzati o modificati dai membri di un gruppo di ruoli. È possibile modificare gli ambiti associati alle assegnazioni tra i ruoli e i gruppi di ruoli. Ad esempio, potrebbe essere necessario fare ciò se si desidera che solo i membri di un gruppo di ruoli siano in grado di modificare i destinatari che sono in un'unità organizzativa specifica o in una posizione specifica. Per ulteriori informazioni sugli ambiti di gestione, vedere Informazioni sugli ambiti del ruolo di gestione.

Per altre informazioni su come personalizzare questo gruppo di ruoli, vedere gli argomenti seguenti:

Se si desidera creare un gruppo di ruoli e assegnare al nuovo gruppo alcuni dei ruoli assegnati a questo gruppo di ruoli, vedere la sezione Creazione di un gruppo di ruoli.

Di seguito vengono indicati alcuni metodi per personalizzare questo ruolo:

  • Proprietario delle autorizzazioni   Se le autorizzazioni dell'organizzazione vengono controllate da uno specifico gruppo diverso dagli amministratori di°Exchange, è possibile creare un gruppo di ruolo e spostare le assegnazioni di ruolo regolari e di delega per il ruolo Gestione dei ruoli nel nuovo gruppo di ruolo. Questa operazione impedisce ai membri del gruppo di ruolo Gestione organizzazione di gestire le autorizzazioni RBAC.

  • Divisione delle autorizzazioni di Active Directory   Se la creazione delle entità di sicurezza nell'organizzazione, come gli account utente, viene controllata da uno specifico gruppo diverso dagli amministratori di°Exchange, è possibile creare un gruppo di ruolo e spostare le assegnazioni di ruolo regolari e di delega per il ruolo Creazione destinatario di posta elettronica e il ruolo Creazione e appartenenza a un gruppo di sicurezza nel nuovo gruppo di ruolo. Questa operazione impedisce ai membri del gruppo di ruolo Gestione organizzazione di creare oggetti Active Directory. L'abilitazione alla posta dei nuovi oggetti Active Directory è comunque possibile. Per ulteriori informazioni sulle autorizzazioni suddivise, vedere Informazioni sulla divisione delle autorizzazioni.

Limitazioni di personalizzazione

Qualsiasi ruolo può essere aggiunto o rimosso da questo gruppo di ruolo, con le seguenti limitazioni:

  • Ogni ruolo deve disporre di almeno un'assegnazione del ruolo di delega per un gruppo di ruolo o un gruppo di protezione universale prima che l'assegnazione possa essere rimossa da questo gruppo.

  • Il ruolo Gestione dei ruoli deve disporre di almeno un'assegnazione di ruolo regolare per un gruppo di ruolo o un gruppo di protezione universale prima che l'assegnazione possa essere rimossa da questo gruppo.

Queste limitazioni impediscono all'utente di bloccare inavvertitamente l'accesso al sistema. Richiedendo almeno un'assegnazione del ruolo di delega esistente tra ogni ruolo e uno o più gruppi di ruolo o gruppi di protezione universale, sarà sempre possibile assegnare ruoli agli assegnatari. Richiedendo almeno un'assegnazione di ruolo regolare esistente tra il ruolo Gestione dei ruoli e uno o più gruppi di ruolo o gruppi di protezione universale, sarà sempre possibile configurare gruppi e assegnazioni di ruolo.

Importante

Queste limitazioni richiedono che i gruppi di ruolo o i gruppi di protezione universale siano le destinazioni delle assegnazioni di ruolo regolari e di delega. Non è possibile rimuovere un'assegnazione del ruolo di delega o l'assegnazione regolare per il ruolo Gestione dei ruoli se l'ultima assegnazione è per un utente.

Assegnazioni di ruolo solo di delega

Alcune assegnazioni di ruolo tra il gruppo di ruolo Gestione organizzazione e i ruoli di gestione, come Ricerca delle cassette postali e Gestione ruoli senza ambito, delegano solo assegnazioni di ruolo. Questi ruoli consentono l'accesso a informazioni riservate o personali, come il contenuto delle cassette postali, o la creazione di ruoli di gestione senza ambito efficaci.

La delega solo delle assegnazioni di ruolo consente ai membri del gruppo di ruolo Gestione organizzazione di assegnare solo i ruoli associati ad altri gruppi di ruolo, criteri di assegnazione del ruolo di gestione, utenti o gruppi di protezione universale. Per impostazione predefinita, ai membri del gruppo di ruolo°Gestione organizzazione non viene concessa alcuna autorizzazione fornita dai ruoli. In questo modo è più facile evitare l'esposizione accidentale a informazioni personali o l'elevazione accidentale dei privilegi.

I membri del gruppo di ruolo Gestione organizzazione possono, tuttavia, assegnarsi qualsiasi ruolo, abilitandosi a eseguire tutte le attività. Ad esempio, un membro del gruppo di ruolo Gestione organizzazione può assegnare il ruolo Ricerca delle cassette postali al gruppo di ruolo Gestione organizzazione. Una volta effettuata questa assegnazione di ruolo, i membri del gruppo di ruolo Gestione organizzazione possono eseguire le attività abilitate dal ruolo Ricerca delle cassette postali.

Per ulteriori informazioni sulle assegnazioni del ruolo di delega, vedere Informazioni sulle assegnazioni del ruolo di gestione.

Autorizzazioni aggiuntive

Le autorizzazioni concesse ai membri del gruppo di ruolo Gestione organizzazione vengono principalmente determinate dai ruoli di gestione assegnati al gruppo di ruolo. Tuttavia, non tutte le attività che devono essere eseguite sono coperte dai ruoli di gestione. Alcune attività si verificano all'esterno degli strumenti di gestione di°Exchange e quindi non viene applicato il modello di autorizzazioni RBAC. Per queste attività, le autorizzazioni vengono fornite aggiungendo il gruppo di ruolo Gestione organizzazione agli elenchi di controllo di accesso (ACL) di determinati oggetti di°Active Directory.

Alle seguenti attività vengono concesse le autorizzazioni tramite ACL su oggetti di°Active Directory e non dai ruoli di gestione assegnati al gruppo di ruolo Gestione organizzazione:

  • Esecuzione di DomainPrep e ForestPrep mediante Setup.exe

  • Distribuzione di server aggiuntivi nell'organizzazione

  • Provisioning dei server mediante l'uso dell'installazione delegata

  • Creazione, gestione ed eliminazione di cartelle pubbliche di primo livello

  • Gestione delle autorizzazioni per le cartelle pubbliche di primo livello

Per vedere tutte le autorizzazioni concesse al gruppo di ruoli Gestione organizzazione  tramite gli elenchi ACL, vedere Riferimenti per le autorizzazioni di distribuzione di Exchange 2010.

Ruoli di gestione assegnati a questo gruppo di ruolo

La tabella seguente elenca tutti i ruoli di gestione assegnati a questo gruppo di ruoli e gli attributi di ciascuna assegnazione di ruolo:

  • Assegnazione regolare   Consente ai membri del gruppo di ruoli di accedere alle voci del ruolo di gestione rese disponibili dal ruolo di gestione associato.

  • Assegnazione di delega   Conferisce ai membri del gruppo di ruoli la capacità di assegnare il ruolo specificato ad altri gruppi di ruoli, ad altri criteri per l'assegnazione dei ruoli, altri utenti o gruppi di protezione universale (USG).

  • Ambito di lettura del destinatario   Determina da quali membri oggetti destinatari del gruppo di ruoli è consentito leggere Active Directory.

  • Ambito di scrittura del destinatario   Determina quali membri oggetti destinatari del gruppo di ruoli è consentito modificare in Active Directory.

  • Ambito di lettura della configurazione   Determina da quali membri oggetti della configurazione e del server è consentito leggere da Active Directory.

  • Ambito di scrittura di configurazione   Determina quali membri del gruppo di ruoli oggetti dell'organizzazione e del server è consentito modificare in Active Directory.

Per altre informazioni sulle assegnazioni dei ruoli e sugli ambiti di gestione, vedere gli argomenti seguenti:

Ruoli di gestione assegnati a questo gruppo di ruolo

Ruolo di gestione Assegnazione regolare Assegnazione di delega Ambito di lettura del destinatario Ambito di scrittura del destinatario Ambito di lettura della configurazione Ambito di scrittura della configurazione

Ruolo Autorizzazioni di Active Directory

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Elenchi degli indirizzi

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo ApplicationImpersonation

 

X

Organization

Organization

None

None

Ruolo Registri di controllo

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Agenti di estensione cmdlet

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Gruppi di disponibilità del database

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Copie del database

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Database

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Ripristino di emergenza

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Gruppi di distribuzione

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Sottoscrizioni Edge

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Criteri degli indirizzi di posta elettronica

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Connettori di Exchange

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Certificati server Exchange

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Server Exchange

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Directory virtuali di Exchange

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Condivisione federata

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Information Rights Management

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Inserimento nel journal

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Conservazione legale

X

X

Organization

Organization

OrganizationConfig

None

Ruolo Cartelle pubbliche abilitate alla posta elettronica

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Creazione destinatario di posta elettronica

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Destinatari di posta

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Suggerimenti messaggio

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Esportazione/importazione cassetta postale

 

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Ricerca cassette postali

 

X

Organization

Organization

None

None

Ruolo Verifica dei messaggi

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Migrazione

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Monitoraggio

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Sposta cassette postali

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Accesso client organizzazione

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Configurazione organizzazione

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Impostazioni trasporto organizzazione

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Protocolli POP3 e IMAP4

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Replica cartelle pubbliche

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Cartelle pubbliche

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Connettori di ricezione

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Criteri destinatario

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Domini accettati e remoti

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Gestione conservazione

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Gestione dei ruoli

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Creazione gruppo di sicurezza e ruolo di appartenenza

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Connettori di invio

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Diagnostica di supporto

 

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Agenti di trasporto

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Trasporto Hygiene

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Code di trasporto

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Regole di trasporto

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Cassette postali di messaggistica unificata

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Prompt di messaggistica unificata

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Gestione ruoli senza ambito

 

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Messaggistica unificata

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo Opzioni utente

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Ruolo dei log di controllo con diritti di sola visualizzazione

X

X

Organization

None

OrganizationConfig

None

Ruolo Configurazione di sola lettura

X

X

Organization

None

OrganizationConfig

None

Ruolo Destinatari di sola lettura

X

X

Organization

None

OrganizationConfig

None

Ruolo MyBaseOptions

 

X

Self

Self

OrganizationConfig

OrganizationConfig

Ruolo MyContactInformation

 

X

Self

Self

OrganizationConfig

OrganizationConfig

Ruolo MyDiagnostics

 

X

Self

Self

OrganizationConfig

OrganizationConfig

Ruolo MyDistributionGroupMembership

 

X

MyGAL

MyGAL

None

None

Ruolo MyDistributionGroups

 

X

MyGAL

MyDistributionGroups

OrganizationConfig

None

Ruolo MyProfileInformation

 

X

Self

Self

OrganizationConfig

OrganizationConfig

Ruolo MyRetentionPolicies

 

X

Self

Self

OrganizationConfig

OrganizationConfig

Ruolo di MyTextMessaging

 

X

Self

Self

OrganizationConfig

OrganizationConfig

Ruolo MyVoiceMail

 

X

Self

Self

OrganizationConfig

OrganizationConfig

 ©2010 Microsoft Corporation. Tutti i diritti riservati.