Встроенные роли управления

Область применения: Exchange Server 2013 г.

Microsoft Exchange Server 2013 г. по умолчанию включает множество ролей управления. Следующие роли назначаются группам ролей управления или политикам назначения ролей управления в различных сочетаниях, которые предоставляют разрешения на управление и использование функций, предоставляемых Exchange 2013. Дополнительные сведения о ролях см. в разделе Общие сведения о ролях управления.

Роль разрешений Active Directory

Роль списков адресов

Роль ApplicationImpersonation

Роль ArchiveApplication

Роль журналов аудита

Роль агентов расширения командлетов

Роль предотвращения потери данных

Роль групп обеспечения доступности баз данных

Роль копий баз данных

Роль баз данных

Роль аварийного восстановления

Роль групп рассылки

Роль пограничных подписок

Роль политик адресов электронной почты

Роль соединителей Exchange

Роль сертификатов сервера Exchange Server

Роль серверов Exchange

Роль виртуальных каталогов Exchange

Роль федеративного общего доступа

Роль управления правами на доступ к данным

Роль ведения журнала

Роль хранения для судебного разбирательства

Роль LegalHoldApplication

Роль общедоступных папок с включенной поддержкой почты

Роль создания получателя электронной почты

Роль получателей почты

Роль советов по использованию электронной почты

Роль импорта и экспорта почтового ящика

Роль поиска в почтовом ящике

Роль MailboxSearchApplication

Роль отслеживания сообщений

Роль переноса

Роль мониторинга

Роль перемещения почтовых ящиков

Роль "Мои настраиваемые приложения"

Роль My Marketplace Apps

Роль MyAddressInformation

Роль MyBaseOptions

Роль MyContactInformation

Роль MyDiagnostics

Роль MyDisplayName

Роль MyDistributionGroupMembership

Роль MyDistributionGroups

Роль MyMobileInformation

Роль MyName

MyPersonalInformation роли

Роль MyProfileInformation

Роль MyRetentionPolicies

Роль MyTeamMailboxes

Роль MyTextMessaging

Роль MyVoiceMail

Роль OfficeExtensionApplication

Роль "Настраиваемые приложения Org"

Роль "Приложения Org Marketplace"

Роль клиентского доступа организации

Роль конфигурации организации

Роль параметров транспорта организации

Роль протоколов POP3 и IMAP4

Роль общедоступных папок

Роль соединителей получения

Роль политик получателя

Роль удаленных и обслуживаемых доменов

Роль сброса пароля

Роль управления хранениемt

Роль управления ролями

Роль создания и членства в группе безопасности

Роль соединителей отправки

Роль поддержки диагностики

Роль почтовых ящиков рабочей группы

Роль TeamMailboxLifecycleApplication

Роль агентов транспорта

Роль санации транспорта

Роль очередей транспорта

Роль правил транспорта

Роль почтовых ящиков единой системы обмена сообщениями

Роль запросов единой системы обмена сообщениями

Роль единой системы обмена сообщениями

Роль управления с незаданной областью

Роль параметров пользователя

Роль UserApplication

Роль только для просмотра журналов аудита

Роль конфигурации с правами только на просмотр

Роль получателей с правами только на просмотр

Эти роли управления являются одной из нескольких встроенных ролей в модели разрешений на основе ролей контроль доступа (RBAC) в Microsoft Exchange Server 2013. Роли управления, которые назначаются одной или нескольким группам ролей управления, политикам назначения ролей управления, пользователям или универсальным группам безопасности (USG), работают как средство логического группирования командлетов или скриптов, которые объединяются для предоставления доступа на просмотр и изменение конфигурации компонентов Exchange 2013, например баз данных почтовых ящиков, правил транспорта и получателей. Если командлет или скрипт и его параметры (вместе они называются записью роли управления) включены в роль, этот командлет или скрипт и его параметры могут запускаться участниками роли. Дополнительные сведения о ролях управления и записях ролей управления см. в разделе Общие сведения о ролях управления.

Дополнительные сведения о ролях управления, группах ролей управления и других компонентах RBAC см. в разделе Общие сведения об управлении доступом на основе ролей.

Назначения ролей управления

Чтобы эти роли предоставляли разрешения, они должны быть назначены назначенному участнику роли, который может быть группой ролей, пользователем или универсальной группой безопасности (USG). Это назначение осуществляется с помощью назначений ролей управления. Назначение роли связывает роль и получателя роли. Если получателю ролей назначено несколько ролей, он получает совокупность всех разрешений, предоставляемых всеми назначенными ролями.

Помимо связывания уполномоченных ролей с ролями, назначения ролей также позволяют применять настраиваемые или встроенные области управления. Области управления определяют, какие объекты получателей, сервера и базы данных могут быть изменены назначенными ролями. Если эти роли назначены назначаемому участнику роли, но область управления позволяет назначаемому ролю управлять только определенными объектами на основе определенной области, то назначаемый может использовать только разрешения, предоставленные этими ролями для этих конкретных объектов. Разрешения, предоставляемые этими ролями, не могут применяться к объектам за пределами области, определенной в назначении роли. Эта пользовательская роль имеет неявные области, которые не могут быть изменены. В связи с этим не следует добавлять пользовательские области в назначения ролей, назначающие эту роль политикам назначения ролей, группам ролей, универсальным группам безопасности и пользователям.

• Общие сведения о назначениях ролей управления

• Общие сведения об областях ролей управления

По умолчанию эти роли назначаются одной или нескольким группам ролей. Дополнительные сведения см. в подразделе "Назначения ролей управления по умолчанию" данного раздела.

Если вы хотите просмотреть список групп ролей, пользователей или групп безопасности, назначенных этим ролям, используйте следующую команду.

Get-ManagementRoleAssignment -Role "<role name>"

Regular and delegating role assignments

Эти роли можно назначать назначенным ролям с помощью обычных или делегированных назначений ролей. Назначения обычных ролей предоставляют получателю роли разрешения, предоставляемые ролью. Назначения ролей делегирования предоставляют получателю роли возможность назначать определенную роль другим получателям. Дополнительные сведения о стандартных и делегированных назначениях ролей см. в разделе Общие сведения о назначениях ролей управления.

Добавление или удаление назначений ролей

Вы можете изменить, каким назначенным ролям назначены назначаемые роли. Изменив назначение этих ролей получателю роли, вы изменяете, кому предоставляются разрешения. Эти роли можно назначить другим встроенным группам ролей или создать группы ролей и назначить им эти роли. Эти роли также можно назначить пользователям или группам usg. Однако рекомендуется ограничить назначение ролей пользователям и универсальным группам безопасности, так как назначения значительно повышают сложность модели разрешений.

Чтобы назначить эти роли назначенным ролям, роль должна быть назначена группе ролей, в которую вы являетесь, непосредственно вам или группе usg, членом которой вы являетесь, с помощью делегированного назначения ролей. Дополнительные сведения о назначениях ролей делегирования см. в разделе «Назначения обычных ролей и ролей делегирования».

Эти роли также можно удалить из встроенных групп ролей, создаваемых групп ролей, пользователей и групп USG. Однако между этими ролями и группой ролей или usg всегда должно быть по крайней мере одно делегированное назначение ролей. Удалить последнее назначение роли делегирования невозможно. Это ограничение позволяет предотвратить блокировку своей учетной записи.

Дополнительные сведения о добавлении или удалении назначений между этими ролями и группами ролей, пользователями и группами USG см. в следующих разделах:

• Управление группами ролей

• Добавление роли для пользователя или универсальной группы безопасности

• Удалить роль из пользователя или универсальной группы безопасности

Изменение областей управления в назначениях ролей

Вы также можете изменить области управления для существующих назначений ролей между этими ролями и назначенными ролями. Изменяя области назначения ролей, вы можете управлять объектами с помощью разрешений, предоставляемых этими ролями. При изменении области для назначения роли доступно несколько вариантов. Можно выполнить одно из перечисленных ниже действий.

• Добавить новую настраиваемую область с помощью командлета Set-ManagementRoleAssignment. Дополнительные сведения приведены в следующих разделах:

  • Создание регулярной или монопольной области

  • Изменение назначения роли

• Добавить или изменить область подразделения с помощью командлета Set-ManagementRoleAssignment. Дополнительные сведения см. в разделе Изменение назначения ролей.

• Добавить или изменить область подразделения с помощью командлета Set-ManagementRoleAssignment. Дополнительные сведения см. в разделе Изменение назначения ролей.

• Добавить или изменить предопределенную область с помощью командлета Set-ManagementRoleAssignment. Дополнительные сведения см. в разделе Изменение области роли.

Включение или отключение назначений ролей

Включая или отключая назначения ролей, можно управлять их применением. Если назначение роли отключено, разрешения, предоставленные связанной ролью, не применяются к ее получателю. Это удобно для временного удаления разрешений без удаления назначения роли. Дополнительные сведения см. в разделе Изменение назначения ролей.

Настройка роли управления

Эти роли настроены для предоставления назначаемой роли всех необходимых командлетов и параметров для управления функциями и компонентами, перечисленными в начале этой статьи. Другие роли также предоставлены для управления другими функциями. Путем добавления ролей в группы и удаления их из групп вы можете создавать настраиваемые модели разрешений без необходимости настройки отдельных ролей управления. Полный список ролей см. в разделе Встроенные роли управления. Дополнительные сведения о настройке групп ролей см. в разделе Управление группами ролей.

Если вы решили, что вам нужно создать настраиваемую версию этих ролей, необходимо создать роль в качестве дочерней из этих ролей и настроить новую роль.

Следующие сведения позволят выполнять дополнительные задачи управления разрешениями. Настройка ролей управления может значительно повысить сложность модели разрешений. Замена встроенной роли управления неправильно настроенной ролью может привести к прекращению работы определенных функций.

1. Создайте копию роли. Подробнее: Создание роли.

2. С помощью командлетов Set-ManagementRoleEntry и Remove-ManagementRoleEntry измените или удалите записи новой роли. В новую роль нельзя добавлять дополнительные записи, потому что она может содержать только записи встроенной родительской роли. Дополнительные сведения приведены в следующих разделах:

   • Изменение записи роли

   • Удаление записи роли из роли

3. Чтобы заменить встроенную роль новой настроенной ролью, удалите все назначения ролей, связанные со встроенной ролью. Дополнительные сведения приведены в следующих разделах:

   • Подраздел "Добавить или удалить роль из группы ролей" в разделе Управление группами ролей

   • Удалить роль из пользователя или универсальной группы безопасности

4. Добавьте новую настроенную роль в необходимое назначение ролей. Дополнительные сведения приведены в следующих разделах:

   • Подраздел "Добавить или удалить роль из группы ролей" в разделе Управление группами ролей

   • Добавление роли для пользователя или универсальной группы безопасности

     Важно!

     Чтобы другие пользователи (кроме создателя роли) могли назначать новую настроенную роль, добавьте назначение роли делегирования по крайней мере одному получателю роли. Дополнительные сведения см. в разделе Делегирование назначений ролей.