Descripción de los ámbitos de roles de administración
Se aplica a: Exchange Server 2013
Los ámbitos de rol de administración permiten establecer el ámbito de impacto o influencia específico de un rol de administración cuando se crea una asignación de rol de administración. Cuando se aplica un ámbito, el usuario asignado a un rol solamente puede modificar los objetos contenidos en dicho ámbito. El usuario puede ser un grupo de roles de administración, un rol de administración, una directiva de rol de administración, un usuario o un grupo de seguridad universal (USG). Para obtener más información acerca de los roles de administración, vea Descripción del control de acceso basado en funciones.
Nota:
Este tema se centra en las funciones avanzadas de RBAC. Si desea administrar los permisos básicos de Exchange 2013, como usar el Panel de control de Exchange (EAC) para agregar y quitar miembros de grupos de roles, crear y modificar grupos de roles o crear y modificar directivas de asignación de roles, consulte Permisos.
Todo rol de administración, ya sea integrado o personalizado, tiene ámbitos de administración. Los ámbitos de administración pueden ser:
Regular: un ámbito normal no es exclusivo. Éste determina dónde, en Active Directory, los usuarios asignados al rol de administración pueden ver o modificar los objetos. Por lo general, un rol de administración indica qué puede crear o modificar, y un ámbito de rol de administración indica dónde puede crear o modificar. Los ámbitos normales pueden ser implícitos o explícitos, conceptos que trataremos más adelante en este tema.
Exclusivo: un ámbito exclusivo se comporta casi igual que un ámbito normal. La diferencia principal es que permite negar a los usuarios el acceso a objetos que se encuentren dentro del ámbito exclusivo si a los usuarios no se les asigna un rol asociado con el ámbito exclusivo. Todos los ámbitos exclusivos son ámbitos explícitos y se tratarán más adelante en este tema.
Para obtener más información sobre los ámbitos exclusivos, vea Descripción de ámbitos exclusivos.
Los ámbitos se pueden heredar de un rol de administración, especificada como un ámbito relativo predefinido en una asignación de rol de administración, o se pueden crear mediante filtros personalizados y agregar a una asignación de rol de administración. Los ámbitos heredados de los roles de administración se llaman ámbitos implícitos y los ámbitos predefinidos y personalizados se llaman ámbitos explícitos. En las secciones siguientes se describe cada uno de los ámbitos:
- Implicit Scopes
- Explicit Scopes
- Predefined Relative Scopes
- Custom Scopes
- Recipient Filter Scopes
- Configuration Scopes
Cada rol puede tener los siguientes tipos de ámbitos:
- Ámbito de lectura del destinatario: el ámbito de lectura del destinatario implícito determina qué objetos de destinatario puede leer de Active Directory el usuario al que se asignó el rol de administración.
- Ámbito de escritura del destinatario: el ámbito de escritura de destinatario implícito determina qué objetos de destinatario puede modificar el usuario al que se asignó el rol de administración en Active Directory.
- Ámbito de lectura de configuración: el ámbito de lectura de configuración implícito determina qué objetos de configuración puede leer desde Active Directory el usuario al que se asignó el rol de administración.
- Ámbito de escritura de configuración: el ámbito de escritura de configuración implícita determina qué objetos de organización, base de datos y servidor puede modificar el rol de administración asignado por el usuario en Active Directory.
Los objetos de destinatario pueden ser buzones de correo, grupos de distribución, usuarios habilitados para correo y otros objetos. Los objetos de configuración incluyen servidores que ejecuten Microsoft Exchange Server 2013 y bases de datos ubicadas en servidores que ejecuten Exchange. Cada tipo de ámbito puede ser o implícito o explícito.
Ámbitos implícitos
Los ámbitos implícitos son ámbitos predeterminados que se aplican a un tipo de rol de administración. Como los ámbitos implícitos están asociados al tipo de rol de administración, todos los roles de administración principales y secundarios con mismo tipo de rol también tienen los mismos ámbitos implícitos. Los ámbitos implícitos se aplican tanto a los roles de administración integrados como a los personalizados. Para obtener más información acerca de los roles de administración y los tipos de roles de administración, vea Descripción de los roles de administración.
En la tabla siguiente se enumeran todos los ámbitos implícitos que se pueden definir en los roles de administración.
Ámbitos implícitos definidos en los roles de administración
Ámbitos implícitos | Descripción |
---|---|
Organization |
Si Organization está presente en el ámbito de escritura del destinatario del rol, el rol puede crear o modificar objetos de destinatario en toda la organización de Exchange. Si Organization está presente en el ámbito de lectura del destinatario del rol, los roles pueden ver cualquier objeto de destinatario en toda la organización de Exchange. Este ámbito se usa solamente con ámbitos de lectura y escritura de destinatario. |
MyGAL |
Si MyGAL está presente en el ámbito de escritura del destinatario del rol, el rol puede ver las propiedades de cualquier destinatario dentro de la lista global de direcciones (GAL) del usuario actual. Si MyGAL está presente en el ámbito de lectura del destinatario del rol, el rol puede ver las propiedades de cualquier destinatario dentro de la GAL actual. Este ámbito se usa solo con ámbitos de lectura de destinatario. |
Self |
Si Self está presente en el ámbito de escritura del destinatario del rol, el rol solo puede modificar las propiedades del buzón del usuario actual. Si Self está presente en el ámbito de lectura del destinatario del rol, el rol solo puede ver las propiedades del buzón del usuario actual. Este ámbito se usa solamente con ámbitos de lectura y escritura de destinatario. |
MyDistributionGroups |
Si MyDistributionGroups está presente en el ámbito de escritura del destinatario del rol, el rol puede crear o modificar objetos de lista de distribución propiedad del usuario actual. Si MyDistributionGroups está presente en el ámbito de lectura del destinatario del rol, el rol puede ver los objetos de lista de distribución propiedad del usuario actual. Este ámbito se usa solamente con ámbitos de lectura y escritura de destinatario. |
OrganizationConfig |
Si OrganizationConfig está presente en el ámbito de escritura de configuración del rol, el rol puede crear o modificar cualquier objeto de configuración de servidor o base de datos en toda la organización de Exchange. Si OrganizationConfig está presente en el ámbito de lectura de configuración del rol, el rol puede ver cualquier objeto de configuración de servidor o base de datos en toda la organización de Exchange. Este ámbito solo se usa con los ámbitos de lectura y escritura de configuración. |
None |
Si None está en un ámbito, ese ámbito no está disponible para el rol. Por ejemplo, un rol que tiene None en el ámbito de escritura del destinatario no puede modificar objetos de destinatario en la organización de Exchange. |
Si se asigna un rol a un usuario y no se especifican ámbitos predefinidos o personalizados, los ámbitos implícitos definidos en el rol se usan para controlar los objetos de destinatario o de organización que el usuario puede ver o modificar.
El ámbito de escritura implícito de un rol siempre es igual o menor que el ámbito de lectura implícito. Esto significa que un rol nunca puede modificar los objetos que el ámbito no puede ver.
No puede cambiar los ámbitos implícitos definidos en los roles de administración. Sin embargo, se pueden invalidar el ámbito de escritura implícito y el ámbito de configuración en un rol de administración. Cuando se usa un ámbito relativo predefinido o un ámbito personalizado en una asignación de rol, se invalida el ámbito de escritura implícito del rol y el nuevo ámbito adquiere prioridad. El ámbito de lectura implícito de un rol no se puede invalidar y siempre se aplica. Para obtener más información, vea Predefined Relative Scopes y Custom Scopes.
Expanda la siguiente tabla para consultar la lista de todos los roles de administración integrados con sus ámbitos implícitos. Para obtener más información sobre cada rol integrado, vea Roles de administración integrados.
Ámbitos implícitos de los roles de administración integrados
Rol de administración | Ámbito de lectura de destinatario | Ámbito de escritura de destinatario | Ámbito de lectura de configuración | Ámbito de escritura de configuración |
---|---|---|---|---|
Active Directory Permissions |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Address Lists |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
ApplicationImpersonation |
Organization |
Organization |
None |
None |
ArchiveApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Audit Logs |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Cmdlet Extension Agents |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Data Loss Prevention |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Database Availability Groups |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Database Copies |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Databases |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Disaster Recovery |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Distribution Groups |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Edge Subscriptions |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
E-Mail Address Policies |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Connectors |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Server Certificates |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Servers |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Virtual Directories |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Federated Sharing |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Information Rights Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Journaling |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Legal Hold |
Organization |
Organization |
OrganizationConfig |
None |
LegalHoldApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Enabled Public Folders |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Recipient Creation |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Recipients |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Tips |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mailbox Import Export |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mailbox Search |
Organization |
Organization |
None |
None |
MailboxSearchApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Message Tracking |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Migration |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Monitoring |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Move Mailboxes |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
OfficeExtensionApplication |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
My Custom Apps |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
My Marketplace Apps |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyAddressInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyBaseOptions |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyContactInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyDiagnostics |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyDisplayName |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyDistributionGroupMembership |
MyGAL |
MyGAL |
None |
None |
MyDistributionGroups |
MyGAL |
MyDistributionGroups |
OrganizationConfig |
None |
MyMobileInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyName |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyPersonalInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyProfileInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyRetentionPolicies |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyTeamMailboxes |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
MyTextMessaging |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyVoiceMail |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
Organization Client Access |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Organization Configuration |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Organization Transport Settings |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
POP3 And IMAP4 Protocols |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Public Folders |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Receive Connectors |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Recipient Policies |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Remote and Accepted Domains |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Reset Password |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Retention Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Role Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Security Group Creation and Membership |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Send Connectors |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Support Diagnostics |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
TeamMailboxLifecycleApplication |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
Transport Agents |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Transport Hygiene |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Transport Queues |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Transport Rules |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UM Mailboxes |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UM Prompts |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Unified Messaging |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UnScoped Role Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UserApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
User Options |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
View-Only Audit Logs |
Organization |
None |
OrganizationConfig |
None |
View-Only Configuration |
Organization |
None |
OrganizationConfig |
None |
View-Only Recipients |
Organization |
None |
OrganizationConfig |
None |
WorkloadManagement |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Ámbitos explícitos
Los ámbitos explícitos son ámbitos que se establecen para controlar qué objetos puede modificar un rol de administración. Aunque que los ámbitos implícitos se definen en un rol de administración, los ámbitos explícitos se definen en una asignación de rol de administración. Esto permite aplicar los ámbitos implícitos de manera coherente en todos los roles de administración a menos que decida usar un ámbito de invalidación explícito. Para obtener más información acerca de asignaciones de roles de administración, vea Descripción de las asignaciones de funciones de administración.
Los ámbitos explícitos invalidan los ámbitos de escritura y de configuración implícitos de un rol de administración. Sin embargo, no invalidan el ámbito de lectura implícito de un rol de administración. El ámbito de lectura implícito define qué objetos puede leer el rol de administración.
Los ámbitos explícitos son útiles cuando el ámbito de escritura implícito de un rol de administración no satisface las necesidades de su empresa. Puede agregar un ámbito explícito para incluir casi cualquier cosa que desee, siempre y cuando el nuevo ámbito no sobrepase los límites del ámbito de lectura implícito. Para poder crear o modificar objetos, los cmdlets que forman parte de un rol de administración tienen que poder leer la información sobre los objetos o los contenedores que contienen objetos. Por ejemplo, si el ámbito de lectura implícito de un rol de administración está establecido Self
en , no puede agregar un ámbito de escritura explícito de porque el ámbito de Organization
escritura explícito supera los límites del ámbito de lectura implícito.
Para obtener más información, vea las siguientes secciones:
Predefined Relative Scopes
Custom Scopes
Ámbitos relativos predefinidos
Exchange 2013 incluye varios ámbitos de escritura relativos predefinidos que se pueden usar para modificar los ámbitos del rol de administración. Los ámbitos relativos predefinidos brindan una solución sencilla para satisfacer mejor las necesidades de su empresa sin tener que crear ámbitos personalizados en forma manual. Se llaman ámbitos relativos porque son relativos al usuario al que está asignada la asignación del rol de administración. Por ejemplo, el Self
ámbito relativo predefinido restringe ese ámbito de escritura solo al usuario actual. El MyDistributionGroups
ámbito relativo predefinido restringe el ámbito de escritura al grupo de distribución que solo posee el usuario actual. Los ámbitos relativos predefinidos solo se pueden usar para objetos de ámbitos de destinatarios. Los ámbitos relativos predefinidos no se pueden usar para objetos de ámbitos de configuración. En la tabla siguiente se enumeran los ámbitos relativos predefinidos que puede usar.
Ámbitos relativos predefinidos
Ámbitos implícitos | Descripción |
---|---|
Organization |
Si Organization está presente en el ámbito de escritura del destinatario del rol, el rol puede crear o modificar objetos de destinatario en toda la organización de Exchange. Si Organization está presente en el ámbito de lectura del destinatario del rol, los roles pueden ver cualquier objeto de destinatario en toda la organización de Exchange. Este ámbito se usa solamente con ámbitos de lectura y escritura de destinatario. |
Self |
Si Self está presente en el ámbito de escritura del destinatario del rol, el rol solo puede modificar las propiedades del buzón del usuario actual. Si Self está presente en el ámbito de lectura del destinatario del rol, el rol solo puede ver las propiedades del buzón del usuario actual. Este ámbito se usa solamente con ámbitos de lectura y escritura de destinatario. |
MyDistributionGroups |
Si MyDistributionGroups está presente en el ámbito de escritura del destinatario del rol, el rol puede crear o modificar objetos de lista de distribución propiedad del usuario actual. Si MyDistributionGroups está presente en el ámbito de lectura del destinatario del rol, el rol puede ver los objetos de lista de distribución propiedad del usuario actual. Este ámbito se usa solamente con ámbitos de lectura y escritura de destinatario. |
Los ámbitos relativos predefinidos se aplican cuando crea una nueva asignación de rol de administración. Durante la creación de la asignación de roles, mediante el cmdlet New-ManagementRoleAssignment , puede especificar un ámbito relativo predefinido mediante el parámetro RecipientRelativeWriteScope . Cuando se crea la asignación del nuevo rol, el nuevo rol predefinido invalida el ámbito de escritura implícito del rol de administración. No puede especificar un ámbito de destinatario personalizado cuando crea una asignación de rol con un ámbito relativo predefinido. Sin embargo, puede especificar un ámbito de configuración personalizado si es necesario.
Para obtener más información acerca de cómo agregar una asignación de rol de administración con un ámbito relativo predefinido, vea Agregar una función a un usuario o grupo de seguridad universal.
Ámbitos personalizados
Los ámbitos personalizados son necesarios cuando ni los ámbitos de escritura implícitos ni los ámbitos relativos predefinidos satisfacen las necesidades de su empresa. Los ámbitos personalizados le permiten definir de manera individualizada en qué ámbito se aplicará su rol de administración. Por ejemplo, aplicarla a una unidad organizacional específica (OU), un tipo de destinatario específico o ambos. O puede solamente querer permitir a un grupo de administradores tener a posibilidad de administrar un conjunto específico de bases de datos de buzones de correo.
Así como sucede con los ámbitos relativos predefinidos, los ámbitos personalizados invalidan los ámbitos de escritura y organización de configuración implícitos definidos por roles de administración. El ámbito de lectura implícito de los roles de administración se sigue aplicando; el ámbito personalizado resultante no debe superar los límites del ámbito de lectura implícito. Puede crear los siguientes tres tipos de ámbitos personalizados:
Ámbito de unidad organizativa: se crea un ámbito de unidad organizativa, que es el ámbito personalizado más sencillo, mediante el parámetro RecipientOrganizationalUnitScope en el cmdlet New-ManagementRoleAssignment . Al especificar un ámbito OU cuando se asigna un rol, el usuario asignado al rol puede modificar solamente los objetos de destinatario dentro de ese OU. Para obtener más información acerca de cómo agregar una asignación de rol de administración con un ámbito OU, vea Agregar una función a un usuario o grupo de seguridad universal.
Ámbito de filtro de destinatario: los ámbitos de filtro de destinatarios usan filtros para dirigirse a destinatarios específicos en función del tipo de destinatario u otras propiedades de destinatario, como el departamento, el administrador, la ubicación, etc. Para obtener más información, consulte la sección Ámbitos de filtro de destinatarios.
Ámbito de configuración: los ámbitos de configuración usan filtros o listas para dirigirse a servidores específicos basados en listas de servidores o propiedades filtrables que se pueden definir en servidores, como un sitio de Active Directory o un rol de servidor. Los ámbitos de configuración además pueden usar ámbitos de bases de datos orientados a bases de datos específicas de listas de bases de datos o propiedades de bases de datos que se pueden filtrar. Para obtener más información, consulte la sección Ámbitos de configuración.
Se pueden crear ámbitos personalizados simples, amplios o complejos, con destinatarios granulares y de configuración con el cmdlet New-ManagementScope. Cuando crea un ámbito de destinatario o de configuración, solo devuelven los objetos de destinatarios, de servidores o de bases de datos que coinciden con sus respectivos ámbitos. Cuando estos ámbitos se aplican a una asignación de rol mediante los cmdlets New-ManagementRoleAssignment o Set-ManagementRoleAssignment, los usuarios asignados al rol solo pueden modificar los objetos que coinciden con los ámbitos. Después de que se crea un ámbito personalizado, no puede cambiar el tipo de ámbito. Un ámbito de destinatario siempre será un ámbito de destinatario y un ámbito de configuración siempre será un ámbito de configuración.
De forma predeterminada, un ámbito personalizado permite a un asignador de roles acceder a un conjunto de objetos que coinciden con los ámbitos definidos. Sin embargo, no excluyen activamente el acceso a otros asignados de roles a los que tampoco se les asigna el mismo ámbito o equivalente. Cualquier ámbito personalizado puede tener acceso a los mismos objetos si las listas o filtros de esos ámbitos coinciden con los mismos objetos. Puede haber objetos en los que no se quiera este comportamiento, como en el caso de los ejecutivos. Para estos objetos, puede definir ámbitos exclusivos. Los ámbitos exclusivos usan filtros o listas de la misma manera que los ámbitos normales, pero a diferencia de los ámbitos normales, deniegan el acceso a los objetos incluidos en el ámbito a cualquier persona que no forme parte del mismo ámbito exclusivo o equivalente. Para obtener más información sobre los ámbitos exclusivos, vea Descripción de ámbitos exclusivos.
Ámbitos de filtro de destinatarios
Los ámbitos de filtro de destinatarios le permiten controlar los usuarios a los que se les asigna un rol de objetos de destinatarios mediante la evaluación de una o más propiedades de un objeto de destinatario con el valor que se especifica en la declaración de filtros. Los destinatarios incluidos en ámbitos de destinatarios son buzones de correo, usuarios habilitados para correo, grupos de distribución y contactos de correo. Los usuarios asignados a roles a quienes se les asigna esa asignación de roles pueden administrar solo a los destinatarios que coinciden con el filtro que especifica. Un ejemplo de una instrucción de filtro es { Name -Eq "David" }
donde Name es la propiedad del objeto de destinatario que se está evaluando y David es el valor que desea evaluar con respecto a la propiedad . El operador de comparaciones de -Eq indica que el valor almacenado en las propiedades debe ser igual al valor especificado para que el filtro sea verdadero. Si el filtro es verdadero, ese destinatario se incluye en el ámbito.
Los ámbitos de filtro de destinatarios se crean especificando el filtro de destinatario que se usará con el parámetro RecipientRestrictionFilter en el cmdlet New-ManagementScope . De manera predeterminada, el cmdlet de New-ManagementScope crea ámbitos regulares. Si desea crear un ámbito exclusivo, incluya el modificador Exclusive junto con el parámetro RecipientRestrictionFilter .
Cuando cree un filtro de restricción de destinatarios, Exchange evaluará el filtro proporcionado con cada objeto del destinatario en la organización de manera predeterminada. Si desea limitar los destinatarios que evalúa el ámbito, puede usar el parámetro RecipientRoot junto con el parámetro RecipientRestrictionFilter . El parámetro RecipientRoot acepta una unidad organizativa. Cuando se usa el parámetro RecipientRoot , Exchange evalúa solo los destinatarios incluidos en la unidad organizativa especificada con el filtro proporcionado.
Al agregar un ámbito de filtro de destinatario a una asignación de roles, especifique el nombre del ámbito de destinatario en el parámetro CustomRecipientWriteScope en New-ManagementRoleAssignment si va a crear una nueva asignación de roles o el cmdlet Set-ManagementRoleAssignment si va a actualizar una asignación de roles existente. Cada asignación de rol puede tener un ámbito de destinatario, incluidos ámbitos relativos predefinidos. Puede agregar un ámbito de configuración con la misma asignación de roles a la que agregó un ámbito de destinatario.
Para obtener más información sobre sintaxis de filtros y una lista completa de propiedades de destinatarios que se pueden filtrar en los destinatarios, vea Descripción de los filtros de ámbito de los roles de administración.
Ámbitos de configuración
Los siguientes son los dos tipos de ámbitos de la configuración que se ofrecen en Exchange 2013:
Ámbitos de servidor: hay dos tipos de ámbitos de servidor, ámbitos de filtro de servidor y ámbitos de lista de servidores. La configuración de servidores, que incluye los conectores de recepción, colas de transporte, certificados de servidores, directorios virtuales, entre otros, sólo se puede administrar si se incluye un objeto de servidor en un ámbito de servidor.
Ámbitos de filtro de servidor: los ámbitos de filtro de servidor permiten controlar qué objetos de servidor pueden administrar los roles asignados mediante la evaluación de una o varias propiedades en un objeto de servidor con un valor que especifique en una instrucción de filtro. Para crear un ámbito de filtro de servidor, use el parámetro ServerRestrictionFilter en el cmdlet New-ManagementScope .
Ámbitos de lista de servidores: los ámbitos de lista de servidores permiten controlar a qué objetos de servidor pueden administrar los roles asignados mediante la definición de una lista de servidores a los que un asignador de roles puede tener acceso. Para crear un ámbito de lista de servidores, use el parámetro ServerList en el cmdlet New-ManagementScope .
Ámbitos de base de datos: hay dos tipos de ámbitos de base de datos, ámbitos de filtro de base de datos y ámbitos de lista de bases de datos. La configuración de la base de datos que se puede administrar si el objeto de la base de datos está incluido en un ámbito de base de datos comprende límites de cuota de base de datos, mantenimiento de base de datos, replicación de carpetas públicas, si la base de datos está montada, etc. Además de la configuración de la base de datos, los ámbitos de base de datos también se pueden usar para controlar los destinatarios de bases de datos que se pueden crear. Si tiene servidores anteriores a Exchange 2010 SP1 en la organización, vea la sección Ámbitos de bases de datos y versiones anteriores de Exchange más adelante en este tema.
Ámbitos de filtro de base de datos: los ámbitos de filtro de base de datos permiten controlar qué objetos de base de datos pueden administrar los roles asignados mediante la evaluación de una o varias propiedades de un objeto de base de datos con un valor especificado en una instrucción de filtro. Para crear un ámbito de filtro de base de datos, use el parámetro DatabaseRestrictionFilter en el cmdlet New-ManagementScope .
Ámbitos de lista de bases de datos: los ámbitos de lista de bases de datos permiten controlar qué objetos de base de datos pueden administrar los usuarios asignados mediante la definición de una lista de bases de datos a las que puede tener acceso un asignador de roles. Para crear un ámbito de lista de bases de datos, use el parámetro DatabaseList en el cmdlet New-ManagementScope .
Para obtener más información sobre sintaxis de filtros y una lista completa de propiedades de bases de datos y servidores que se pueden filtrar, vea Descripción de los filtros de ámbito de los roles de administración.
Se pueden definir listas de bases de datos y servidores al especificar cada servidor y base de datos que desea incluir en sus respectivos ámbitos. Se pueden especificar varias bases de datos o varios servidores múltiples en sus ámbitos respectivos al separar los nombres de la base de datos y el servidor con comas.
Cuando agrega un ámbito de configuración de base de datos o servidor a una asignación de roles, especifique el nombre del ámbito de configuración de base de datos o servidor en el parámetro CustomConfigWriteScope en el cmdlet New-ManagementRoleAssignment si está creando una nueva asignación de rol o en el cmdlet Set-ManagementRoleAssignment si está actualizando una asignación de roles existente. Cada asignación de rol solo puede tener un ámbito de configuración.
Además de controlar los usuarios a los que se les asigna un rol de base de datos que pueden administrar, los ámbitos de bases de datos además lo habilitan para controlar qué usuarios a los que se les asigna un rol de base de datos pueden crear buzones de correo. Esto es independiente del control de los destinatarios que puede administrar un usuario al que se le asigna un rol. Si el usuario al que se le asigna un rol tiene permiso para crear un nuevo buzón de correo, habilitar para correo un usuario existente o mover buzones de correo, podrá refinar aún más los permisos si utiliza ámbitos de bases de datos para controlar la base de datos en la que se ha creado el buzón de correo o la base de datos a la que se moverá el buzón de correo. El control de qué destinatarios puede administrar un asignador de roles se realiza mediante un ámbito de destinatario especificado en el parámetro CustomRecipientWriteScope en el cmdlet New-ManagementRoleAssignment o Set-ManagementRoleAssignment . El control de las bases de datos en las que se puede crear o mover un buzón se controla mediante un ámbito de base de datos especificado en el parámetro CustomConfigurationWriteScope en los mismos cmdlets.
Nota:
La distribución automática de buzón se puede controlar mediante el uso de ámbitos de la base de datos.
Las características de Exchange pueden que necesiten ámbitos de servidor, ámbitos de bases de datos, o ambos, para ser administrados. Si la función necesita que se administren los ámbitos de bases de datos y servidores, se deberán crear dos asignaciones de roles y se deberán asignar al usuario al que se le asigna un rol que debería tener acceso para administrar la función. Se debería asociar una asignación de roles con el ámbito de servidores y se debería asociar una asignación de roles con el ámbito de la base de datos.
Algunos cmdlets pueden utilizar ámbitos de configuración que no son inmediatamente obvios. La siguiente tabla contiene una lista de cmdlets y los ámbitos de configuración que puede utilizar para controlar su uso. En el caso de los cmdlets incluidos en el área de funciones de destinatarios, los ámbitos de configuración le permiten controlar las bases de datos en las que se pueden crear destinatarios. No controlan los destinatarios que pueden administrar. La columna ámbitos necesarios puede contener lo siguiente:
Base de datos: para ejecutar el cmdlet, se debe asignar al asignador de roles una asignación de roles con un ámbito de base de datos que incluya la base de datos que se va a administrar o el ámbito de escritura de configuración implícita del rol debe incluir la base de datos que se va a administrar.
Servidor: para ejecutar el cmdlet, al asignador de roles se le debe asignar una asignación de roles con un ámbito de servidor que incluya el servidor que se va a administrar o el ámbito de escritura de configuración implícita del rol debe incluir el servidor que se va a administrar.
Servidor o base de datos: para ejecutar el cmdlet, al asignador de roles se le debe asignar una asignación de roles en la que un ámbito de base de datos incluya la base de datos que se está administrando o donde un ámbito de servidor incluya el servidor donde se encuentra la base de datos. O el ámbito de escritura de configuración implícita del rol debe contener una base de datos a administrar o contener al servidor en donde se ubica la base de datos y la asignación de rol no puede tener un ámbito de escritura personalizado.
Servidor y base de datos: para ejecutar este cmdlet, al asignador de roles se le deben asignar dos asignaciones de roles. La primera asignación de roles debe incluir un ámbito de base de datos que incluya la base de datos que se administrará. La segunda asignación de roles debe incluir un ámbito de servidores que incluya al servidor donde se ubica la base de datos. Las asignaciones de roles pueden tener ámbitos de configuración personalizados definidos o las asignaciones de roles pueden heredar ámbitos de escritura de configuración implícita del rol. Para heredar el ámbito de escritura implícita del rol, la asignación de roles no puede tener un ámbito de escritura personalizado.
Ámbitos de servidores, base de datos aplicable y áreas de funciones
Área de funciones | Cmdlet | Ámbitos necesarios |
---|---|---|
Databases | Dismount-Database | base de datos |
Bases de datos | Mount-Database | base de datos |
Bases de datos | Move-DatabasePath | Servidor y base de datos |
Bases de datos | Remove-MailboxDatabase | Servidor o base de datos |
Bases de datos | Set-MailboxDatabase | base de datos |
Alta disponibilidad | Add-DatabaseAvailabilityGroupServer | Servidor |
Alta disponibilidad | Add-MailboxDatabaseCopy | Servidor |
Alta disponibilidad | Move-ActiveMailboxDatabase | Servidor |
Alta disponibilidad | Remove-DatabaseAvailabilityGroupServer | Servidor |
Alta disponibilidad | Remove-MailboxDatabaseCopy | Servidor o base de datos |
Alta disponibilidad | Resume-MailboxDatabaseCopy | Servidor o base de datos |
Alta disponibilidad | Set-MailboxDatabaseCopy | Servidor o base de datos |
Alta disponibilidad | Suspend-MailboxDatabaseCopy | Servidor o base de datos |
Alta disponibilidad | Update-MailboxDatabaseCopy | Servidor o base de datos |
Destinatarios | Connect-Mailbox | base de datos |
Destinatarios | Enable-Mailbox | base de datos |
Destinatarios | New-Mailbox | base de datos |
Destinatarios | New-MoveRequest | base de datos |
Solución de problemas | Test-MapiConnectivity | Base de datos |
Ámbitos de bases de datos y versiones anteriores de Exchange
Los ámbitos de bases de datos se introdujeron por primera vez en Microsoft Exchange 2010 Service Pack 1 (SP1) y continúan siendo compatibles con Exchange 2013. Las versiones de Exchange anteriores a Exchange 2010 SP1 solo son compatibles con los ámbitos de destinatarios y los ámbitos de configuración de servidores. Cuando cree un nuevo ámbito de base de datos en un servidor Exchange 2010 SP1 o posterior, recibirá la siguiente advertencia:
WARNING: Database management scopes will only be applied when a user connects to a server running Exchange 2010 SP1 or later. Servers running a version of Exchange prior to Exchange 2010 SP1 won't apply any roles from a role assignment linked to a database scope. Database management scopes also won't be visible to the Get-ManagementScope cmdlet when it's run from a pre-Exchange 2010 SP1 server.
Cuando cree un ámbito de base de datos, solo se aplicará a los usuarios que se conecten a los servidores que ejecutan Exchange 2010 SP1 o posterior. Los usuarios que se conecten a servidores anteriores a Exchange 2010 SP1 no tendrán ninguna asignación de roles asociada a los ámbitos de la base de datos que se les aplica. Esto significa que los permisos proporcionados por estas asignaciones de roles no se concederán a los usuarios cuando se conecten a servidores anteriores a Exchange 2010 SP1. Los ámbitos de base de datos no se pueden crear, quitar, modificar ni ver desde servidores anteriores a Exchange 2010 SP1.
Un ámbito de base de datos puede incluir cualquier base de datos de la organización de Exchange. Esto incluye los servidores Exchange Server 2007, Exchange 2010 y Exchange 2013. Esto le permite controlar qué bases de datos, independientemente de la versión de Exchange, pueden administrar los usuarios. Al igual que con otros ámbitos de base de datos, las asignaciones de roles asociadas a ámbitos de base de datos que contienen bases de datos de Exchange 2007 y Exchange 2010 solo se aplican a los usuarios cuando se conectan a un servidor de Exchange 2010 SP1 o posterior.
Los usuarios que se conectan a un servidor anterior a Exchange 2010 SP1 pueden ver y modificar las asignaciones de roles asociadas a ámbitos de base de datos. Esto incluye el cambio de ámbito de configuración en una asignación de roles existente a un ámbito de servidor si en la actualidad está asociado con un ámbito de base de datos. Sin embargo, si el ámbito de configuración de una asignación de roles se cambia a un ámbito de servidor y un usuario más adelante quiere volver a cambiarlo a un ámbito de base de datos, o si el usuario desea cambiar el ámbito de configuración a otro ámbito de base de datos, el usuario debe realizar el cambio mientras está conectado a un servidor de Exchange 2010 SP1 o posterior. Los usuarios solo pueden especificar ámbitos de servidor cuando cambian el ámbito de configuración en una asignación de roles si están conectados a un servidor anterior a Exchange 2010 SP1.