Administración de la organización
Se aplica a: Exchange Server 2013
El grupo de roles de administración de administración de la organización es uno de varios grupos de roles integrados que conforman el modelo de permisos de Access Control basado en roles (RBAC) en Microsoft Exchange Server 2013. Los grupos de roles se asignan a uno o más roles de administración que contienen los permisos requeridos para realizar un determinado conjunto de tareas. Los miembros de un grupo de roles obtienen acceso a los roles de administración asignados a un grupo de roles. Para obtener más información acerca de los grupos de roles, consulte Descripción de los grupos de roles de administración.
Los administradores que son miembros del grupo de rol Administración de la organización tienen acceso administrativo a toda la organización de Exchange 2013 y pueden realizar prácticamente todas las tareas relacionadas con los objetos de Exchange 2013, con algunas excepciones. De forma predeterminada, los miembros de este grupo de funciones no pueden realizar búsquedas en el buzón de correo ni administrar funciones de administración de nivel superior sin ámbito. Para obtener más información, consulte la sección "Asignaciones de funciones solo de delegación" más adelante en este tema.
Importante
El grupo de funciones Administración de la organización es una función muy poderosa y, por ello, solamente los usuarios o los grupos de seguridad universal (USG) que realizan tareas administrativas de nivel organizativo, que pueden afectar potencialmente a toda la organización de Exchange, deben ser miembros de este grupo de funciones.
Este grupo de funciones es equivalente a la función Administrador de organización Exchange en Exchange Server 2007.
Para obtener más información acerca de RBAC, consulte Descripción del control de acceso basado en funciones.
Pertenencia a un grupo de roles
De forma predeterminada, la cuenta usada para instalar Exchange 2013 en la organización se agrega como miembro del grupo de funciones Administración de la organización. Esta cuenta puede posteriormente agregar otros miembros al grupo de funciones, según sea necesario.
Si desea agregar o quitar miembros de este grupo de roles, consulte Administrar miembros de grupos de roles.
De manera predeterminada, solo los miembros del grupo de roles Administración de la organización pueden agregar o quitar miembros de este grupo de roles. Para obtener más información sobre cómo agregar delegados a los grupos de roles, consulte la sección "Agregar o quitar un delegado del grupo de roles" en Administrar grupos de roles.
El siguiente comando se puede usar para ver una lista de usuarios o Grupos de seguridad universal que son miembros de este grupo de funciones.
Get-RoleGroupMember "Organization Management"
Para obtener más información acerca de los miembros de un grupo de funciones, consulte Administrar grupos de roles.
Personalización de un grupo de roles
Este grupo de roles tiene asignado roles de administración de forma predeterminada. Los roles incluidos están enumerados en la sección "Roles de administración asignados a este grupo de roles". Puede agregar o quitar asignaciones de roles de este grupo de roles de acuerdo con las necesidades de su organización.
Los grupos de roles proporcionados con Exchange 2013 están diseñados de modo que coincidan con las tareas más granulares. Mediante la asignación de roles a un grupo de roles, se permite a los miembros de ese grupo de roles realizar tareas vinculadas con el rol. Por ejemplo, el rol de registro en diario permite la administración del agente de registro en diario y las reglas de registro en diario. Para obtener más información acerca de cómo los roles se asignan a grupos de roles, consulte Descripción de las asignaciones de funciones de administración.
Los roles asignados a este grupo de roles reciben ámbitos de administración predeterminados. Los ámbitos de administración determinan qué objetos de Exchange pueden ser vistos o modificados por los miembros de un grupo de roles. Es posible cambiar los ámbitos asociados con las asignaciones de roles y grupos de roles. Por ejemplo, es posible que desee hacerlo si desea que solamente los miembros de un grupo de roles puedan cambiar los destinatarios de una unidad organizativa específica o de una ubicación específica. Para obtener más información sobre cómo crear los ámbitos de administración, consulte Descripción de los ámbitos de roles de administración.
Para obtener más información sobre cómo personalizar este grupo de roles, consulte los siguientes temas:
Si desea crear un grupo de roles y asignar algunos de los roles asignados a este grupo de roles al nuevo grupo de roles, consulte la sección "Crear un grupo de roles" en Administrar grupos de roles.
A continuación, se mencionan algunas formas en que puede personalizar esta función:
- Propietario de permisos: si los permisos de su organización están controlados por un grupo específico distinto de los administradores de Exchange, puede crear un grupo de roles y mover las asignaciones de roles regulares y de delegación para el rol De administración de roles al nuevo grupo de roles. Al hacer esto, se evita que los miembros del grupo de funciones Administración de la organización administren permisos RBAC.
- Permisos divididos de Active Directory: si la creación de entidades de seguridad en su organización, como las cuentas de usuario, está controlada por un grupo específico distinto de los administradores de Exchange, puede crear un grupo de roles y mover las asignaciones de roles regulares y de delegación para el rol Creación de destinatarios de correo y el rol Creación y pertenencia de grupos de seguridad al nuevo grupo de roles. Al hacer esto, se evita que los miembros del grupo de funciones de Administración de la organización creen objetos Active Directory. Sin embargo, ellos pueden continuar habilitando para correo a los nuevos objetos Active Directory. Para obtener más información acerca de los permisos divididos, consulte Descripción de los permisos divididos.
Limitaciones de la personalización
Se puede agregar o quitar cualquier función en este grupo de funciones, con las siguientes limitaciones:
- Todas las funciones deben tener, al menos, una asignación de funciones de delegación a un grupo de funciones o USG antes de quitar la asignación de funciones de delegación de este grupo de funciones.
- La función Administración de funciones debe tener, al menos, una asignación de funciones normales a un grupo de funciones o USG antes de quitar la asignación de funciones normales de este grupo de funciones.
Estas limitaciones tienen como fin ayudar a evitar que bloquee su acceso al sistema de manera accidental. Al requerir que exista, al menos, una asignación de funciones de delegación entre todas las funciones y uno o varios grupos de funciones o USG, siempre podrá asignar funciones a usuarios a los que se asignan funciones. Al requerir que exista, al menos, una asignación de funciones normales entre la función Administración de funciones y uno o varios grupos de funciones o USG, siempre podrá configurar grupos de funciones y asignaciones de funciones.
Importante
Estas limitaciones requieren que los grupos de funciones o USG sean los destinos de las asignaciones de funciones normales y de delegación. No es posible quitar una asignación de funciones de delegación o la asignación normal para la función Administración de funciones si la última asignación es a un usuario.
Asignaciones de roles sólo de delegación
Algunas asignaciones de roles entre el grupo de roles y los roles de administración de Administración de la organización, como Búsquedas en el buzón y Administración de roles sin ámbito, sólo delegan asignaciones de roles. Estos roles permiten el acceso a la información personal o confidencial, como los contenidos de los buzones de correo, o permiten la creación de potentes roles de administración sin ámbito.
Las asignaciones de funciones solo de delegación permiten a los miembros del grupo de funciones de Administración de la organización solamente asignar las funciones asociadas a los otros grupos de funciones, directivas de asignación de funciones de administración, usuarios o USG. Los miembros del grupo de funciones Administración de la organización no gozan, de forma predeterminada, de los permisos que las funciones conceden. Esto ayuda a impedir la exposición accidental de información personal o la elevación accidental de privilegios.
Los miembros de un grupo de roles de Administración de la organización pueden, sin embargo, asignarse cualquier rol, lo que en efecto les permite realizar todas las tareas. Por ejemplo, un miembro de un grupo de roles de Administración de la organización puede asignar el rol de búsqueda de buzones al grupo de roles de Administración de la organización. Una vez realizada esta asignación de funciones, los miembros del grupo de funciones Administración de la organización pueden realizar las tareas que permite la función Búsqueda en el buzón.
Para obtener más información acerca de las asignaciones de funciones de delegación, consulte Descripción de las asignaciones de funciones de administración.
permisos adicionales
Los permisos otorgados a los miembros del grupo de funciones Administración de la organización están determinados principalmente por las funciones de administración asignadas al grupo de funciones. Sin embargo, no todas las tareas que se deben realizar están cubiertas por las funciones de administración. Algunas tareas se ejecutan fuera de las herramientas de administración de Exchange y, por lo tanto, no se aplica el modelo de permisos RBAC. Para dichas tareas, los permisos se otorgan al agregar el grupo de funciones Administración de la organización a las listas de control de acceso (ACL) de determinados objetos de Active Directory.
Se conceden permisos a las siguientes tareas a través de ACL en los objetos de Active Directory y no a través de las funciones de administración asignadas al grupo de funciones Administración de la organización:
- Ejecución de DomainPrep y ForestPrep mediante Setup.exe
- Implementación de servidores adicionales en la organización
Roles de administración asignados a este grupo de roles
De manera predeterminada, solo los miembros del grupo de roles Administración de la organización pueden agregar o quitar miembros de este grupo de roles. Para obtener más información sobre cómo agregar delegados a los grupos de roles, consulte la sección "Agregar o quitar un delegado del grupo de roles" en Manage Role Groups.
- En la siguiente tabla, se enumeran todos los roles de administración que se asignan a este grupo de roles y los atributos de cada asignación de roles:
- Asignación normal: habilita a los miembros de cada grupo de roles para que obtengan acceso a las entradas de roles de administración disponibles por el rol de administración asociado.
- Ámbito de lectura de destinatario: determina qué miembros de objetos de destinatario del grupo de roles pueden leerse desde Active Directory.
- Ámbito de escritura del destinatario: determina qué objetos de destinatario pueden modificar los miembros del grupo de roles en Active Directory.
- Ámbito de lectura de configuración: determina qué miembros de objetos de configuración del grupo de roles pueden leer desde Active Directory.
- Ámbito de escritura de configuración: determina qué miembros de la organización y los objetos de servidor del grupo de roles pueden modificar en Active Directory.
Ámbito de escritura de configuración: determina qué miembros de objetos organizativos y de servidor del grupo de roles pueden modificarse en exADNoMk.
- Descripción de las asignaciones de funciones de administración
- Descripción de los ámbitos de roles de administración
| Rol de administración | Asignación normal | Asignación de delegación | Ámbito de lectura de destinatario | Ámbito de escritura de destinatario | Ámbito de lectura de configuración | Ámbito de escritura de configuración |
|---|---|---|---|---|---|---|
| Rol Permisos de Active Directory | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Listas de direcciones | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol ApplicationImpersonation | X | Organization |
Organization |
None |
None |
|
| Rol ArchiveApplication | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Registros de auditoría | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Agentes de extensión de cmdlet | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Prevención de pérdida de datos | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Grupos de disponibilidad de base de datos | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Copias de base de datos | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Bases de datos | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Recuperación ante desastres | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol de grupos de distribución | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Suscripciones perimetrales | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Directivas de dirección de correo electrónico | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Conectores de Exchange | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Certificados del servidor de Exchange | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Servidores de Exchange | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Directorios virtuales de Exchange | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Uso compartido federado | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Administración de derechos de información | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Registro en diario | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Retención legal | X | X | Organization |
Organization |
OrganizationConfig |
None |
| Rol LegalHoldApplication | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Rol Carpetas públicas habilitadas para correo | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Creación de destinatarios de correo | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Destinatarios de correo | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Sugerencias para correo electrónico | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Importar/Exportar buzón | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Rol Búsqueda entre buzones | X | Organization |
Organization |
None |
None |
|
| Rol MailboxSearchApplication | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Rol Seguimiento de mensajes | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol de migración | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Supervisión | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Mover buzones | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol OfficeExtensionApplication | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Rol Acceso de clientes de la organización | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Configuración de la organización | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Configuración de transporte de la organización | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Protocolos POP3 e IMAP4 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Carpetas públicas | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Conectores de recepción | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Directivas de destinatarios | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Dominios remotos y aceptados | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Restablecer contraseña | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Rol Administración de la retención | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Administración de roles | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Pertenencia y Creación de grupos de seguridad | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Conectores de envío | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Diagnósticos de soporte | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Rol TeamMailboxLifecycleApplication | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Rol Agentes de transporte | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Higiene de transporte | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Colas de transporte | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Reglas de transporte | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Buzones de mensajería unificada | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Mensajes de mensajería unificada | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Administración de roles sin ámbito | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Rol Mensajería unificada | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol UserApplication | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Rol Opciones de usuario | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Registros de auditoría con permiso de vista | X | X | Organization |
None |
OrganizationConfig |
None |
| Rol Configuración con permiso de vista | X | X | Organization |
None |
OrganizationConfig |
None |
| Rol Destinatarios con permiso de vista | X | X | Organization |
None |
OrganizationConfig |
None |
| Rol WorkloadManagement | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Rol Mis aplicaciones personalizadas | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Rol My Marketplace Apps | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Rol MyBaseOptions | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Rol MyContactInformation | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Rol MyDiagnostics | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Rol MyDistributionGroupMembership | X | MyGAL |
MyGAL |
None |
None |
|
| Rol MyDistributionGroups | X | MyGAL |
MyDistributionGroups |
OrganizationConfig |
None |
|
| Rol MyProfileInformation | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Rol MyRetentionPolicies | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Rol MyTeamMailboxes | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Rol MyTextMessaging | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Rol MyVoiceMail | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |