Función Configuración con permiso de vista
Se aplica a: Exchange Server 2010
Última modificación del tema: 2009-10-12
La función de administración View-Only Configuration
permite que los vean todos los parámetros de configuración de Exchange para no destinatarios de una organización. Ejemplos visibles de configuración son la configuración de servidores, la configuración de transporte, la configuración de bases de datos y la configuración de toda la organización.
Esta función se puede combinar con funciones asociadas con la función View-Only Recipients
para crear un grupo de roles que puedan ver todos los objetos de una organización. Para obtener más información, consulte Función Destinatarios con permiso de vista.
Esta función de administración es una de las varias funciones integradas del modelo de permisos de control de acceso basado en funciones (RBAC) de Microsoft Exchange Server 2010. Las funciones de administración, que están asignadas a uno o más grupos de funciones de administración, directivas de asignación de funciones de administración, usuarios o grupos de seguridad universal, actúan como la agrupación lógica de cmdlets o scripts que se combinan para proporcionar acceso a fin de ver o modificar la configuración de los componentes de Exchange 2010, como buzones, reglas de transporte y destinatarios. Si un cmdlet o un script y sus parámetros (que, en conjunto, se denominan entrada de función de administración), se incluyen en una función, el cmdlet o el script y sus parámetros pueden ser ejecutados por aquellos a los que se les asignó la función. Para obtener más información acerca de las funciones de administración y las entradas de funciones de administración, consulte Descripción de las funciones de administración.
Para obtener más información acerca de las funciones de administración, los grupos de funciones de administración y otros componentes RBAC, consulte Descripción del control de acceso basado en funciones.
Asignaciones de funciones de administración
Para que esta función conceda permisos, se le debe asignar un usuario, que puede ser un grupo de funciones, un usuario o un grupo de seguridad universal (USG). Esta asignación se realiza mediante asignaciones de funciones de administración. Las asignaciones de funciones vinculan las funciones y los usuarios a los que se les asignan las funciones. Si se le asigna más de una función a un usuario, este recibe la combinación de todos los permisos concedidos por todas las funciones asignadas.
Además de vincular usuarios a los que se les asignan funciones, las asignaciones de funciones pueden aplicar ámbitos de administración integrados o personalizados. Los ámbitos de administración controlan qué objetos de servidor y destinatario pueden ser modificados por los usuarios a los que se les asignan funciones. Si esta función se asigna a un usuario, pero el ámbito de administración permite al usuario administrar solamente ciertos objetos basados en un ámbito definido, el usuario solamente puede usar los permisos concedidos por esta función en esos objetos específicos. Los permisos suministrados por esta función no pueden aplicarse a los objetos fuera del ámbito definido en la asignación de funciones. Para obtener más información acerca de las asignaciones de funciones y los ámbitos, consulte los siguientes temas:
- Descripción de las asignaciones de funciones de administración
- Descripción de los ámbitos de roles de administración
Esta función se asigna a uno o más grupos de funciones de forma predeterminada. Para obtener más información, consulte la sección "Asignaciones de funciones de administración predeterminadas".
Si desea ver una lista de grupos de funciones, usuarios o USG a los que se les asignaron esta función, use el siguiente comando.
Get-ManagementRoleAssignment -Role "Active Directory Permissions"
Asignaciones de funciones normales y de delegación
Esta función puede asignarse a usuarios mediante asignaciones normales o de delegación. Las asignaciones de funciones normales otorgan los permisos proporcionados por la función al usuario al que se asigna una función. Las asignaciones de funciones otorgan al usuario al que se asigna una función la capacidad de asignar funciones a otros usuarios. Para obtener más información acerca de las asignaciones de funciones normales o de delegación, consulte Descripción de las asignaciones de funciones de administración.
Adición y eliminación de asignaciones de funciones
Puede cambiar los usuarios a los que se asigna esta función. Al cambiar los usuarios a los que se asigna la función, cambiarán los usuarios que tienen los permisos. Puede asignar esta función a otros grupos de funciones integradas o puede crear grupos de funciones y asignarles esta función. También puede asignar esta función a usuarios o grupos de seguridad universal. Sin embargo, recomendamos que limite la asignación de funciones a los usuarios y grupos de seguridad universal, ya que este tipo de asignaciones puede aumentar significativamente la complejidad del modelo de permisos.
Para asignar esta función a usuarios, la función debe estar asignada a un grupo de funciones del que usted es miembro, directamente a usted o a un grupo de seguridad universal del que es miembro, mediante la asignación de funciones de delegación. Para obtener más información sobre asignaciones de funciones de delegación, consulte la sección "Asignaciones de funciones normales y de delegación".
Puede quitar esta función de grupos de funciones integradas, grupos de funciones que haya creado, usuarios y grupos de seguridad universal. Sin embargo, siempre debe haber por lo menos una asignación de funciones de delegación entre esta función y un grupo de funciones o un grupo de seguridad universal. No es posible eliminar la última asignación de funciones de delegación. Esta limitación ayuda a evitar que se bloquee su propio acceso al sistema.
Importante
Debe haber por lo menos una asignación de funciones de delegación entre esta función y un grupo de funciones o un grupo de seguridad universal. Si la última asignación es para un usuario, no es posible eliminar la última asignación de funciones de delegación asociada con esta función.
Para obtener más información sobre cómo agregar o eliminar asignaciones entre esta función y grupos de funciones, usuarios y grupos de seguridad universal, consulte los siguientes temas:
- Agregar una función a un grupo de funciones
- Quitar una función de un grupo de funciones
- Agregar una función a un usuario o grupo de seguridad universal
- Quitar una función de un usuario o USG
Modificación de ámbitos de administración en las asignaciones de funciones
Además, se puede cambiar los ámbitos de administración de asignaciones de funciones existentes de esta función y los usuarios a los que se les asignan funciones. Mediante el cambio de los ámbitos de asignaciones de funciones, es posible controlar qué objetos pueden administrarse usando los permisos suministrados por esta función. Hay varias opciones disponibles al cambiar el ámbito en una asignación de función. Puede realizar una de las siguientes acciones:
- Agregar un nuevo ámbito personalizado mediante el cmdlet Set-ManagementRoleAssignment. Para obtener más información al respecto, consulte los temas siguientes:
- Agregar o cambiar un ámbito de la unidad organizativa mediante el cmdlet de Set-ManagementRoleAssignment. Para obtener más información, consulte Modifique una asignación de funciones.
- Agregar o cambiar un ámbito predefinido mediante el cmdlet de Set-ManagementRoleAssignment. Para obtener más información, consulte Modifique una asignación de funciones.
- Cambiar la lista de servidor o los filtros de ámbito del servidor o destinatario en un ámbito personalizado asociado a una asignación de función mediante el cmdlet de Set-ManagementScope Para obtener más información, consulte Cambiar el ámbito de una función.
Habilitación y deshabilitación de asignaciones de funciones
Al habilitar o deshabilitar una asignación de funciones, puede controlar si una asignación de funciones debe tener vigencia. Si una asignación de funciones está deshabilitada, los permisos otorgados por la función asociada no se aplican al usuario al que se asigna la función. Esto es útil si quiere quitar temporalmente los permisos sin eliminar una asignación de funciones. Para obtener más información, consulte Modifique una asignación de funciones.
Asignaciones de funciones de administración predeterminadas
Esta función tiene asignaciones de funciones para uno o más usuarios a los que se asigna la función. La siguiente tabla indica si una asignación de función es normal o de delegación y, además, indica los ámbitos de administración aplicados a cada asignación. La siguiente lista describe cada columna:
- Asignación normal Las asignaciones normales habilitan al usuario al que se le asigna una función para que acceda a los permisos proporcionados por las entradas de funciones de administración de esta función.
- Asignación de delegación Las asignaciones de funciones de delegación le proporcionan al usuario al que se asigna una función la capacidad de asignar la función a grupos de funciones, usuarios o grupos de seguridad universal.
- Ámbito de lectura de destinatario El ámbito de lectura de destinatario determina qué objetos de destinatario tiene permitido leer desde Active Directory el usuario al que se le asigna una función.
- Ámbito de escritura de destinatario El ámbito de escritura de destinatario determina qué objetos de destinatario tiene permitido modificar en Active Directory el usuario al que se le asigna una función.
- Ámbito de lectura de configuración El ámbito de lectura de configuración determina qué objetos de configuración y servidor tiene permitido leer desde Active Directory el usuario al que se le asigna una función.
- Ámbito de escritura de configuración El ámbito de escritura de configuración determina qué objetos organizativos y de servidor tiene permitido modificar en Active Directory el usuario al que se le asigna una función.
Asignaciones de funciones de administración predeterminadas para esta función
Grupo de funciones | Asignación normal | Asignación de delegación | Ámbito de lectura de destinatario | Ámbito de escritura de destinatario | Ámbito de lectura de configuración | Ámbito de escritura de configuración |
---|---|---|---|---|---|---|
X |
|
|
|
|
|
|
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
|
|
|
|
|
Personalización de funciones de administración
Esta función ha sido configurada para proporcionarle a un usuario al que se le asignan funciones todos los cmdlets necesarios, junto con sus parámetros, para administrar las características y los componentes enumerados al comienzo de este tema. También se han proporcionado otras funciones para habilitar la administración de otras características. Al agregar y quitar funciones de los grupos de funciones, es posible crear un modelo de permisos personalizado sin necesidad de personalizar funciones de administración individuales. Para obtener una lista completa de las funciones, consulte Funciones integradas de administración. Para obtener más información acerca de la personalización de los grupos de funciones, consulte los siguientes temas:
Si decide que es necesario crear una versión personalizada de esta función, debe crear una función subordinada a esta función y personalizar la nueva función.
Advertencia
La siguiente información permite administrar los permisos de manera avanzada. La personalización de las funciones de administración puede aumentar significativamente la complejidad de su modelo de permisos. Si reemplaza una función de administración integrada por una función personalizada configurada incorrectamente, es posible que ciertas funciones detengan su funcionamiento.
A continuación, se detallan los pasos más comunes para crear una función personalizada y asignarla a un usuario específico:
- Crear una copia de esta función mediante el cmdlet New-ManagementRole. Para obtener más información, consulte Crear una función.
- Cambie o quite las entradas de la función en la nueva función mediante los cmdlets Set-ManagementRoleEntry y Remove-ManagementRoleEntry. No es posible agregar otras entradas de función a la nueva función porque solamente puede contener las entradas de función en la función integrada principal. Para obtener más información al respecto, consulte los temas siguientes:
- Si desea reemplazar la función integrada por esta nueva función personalizada, quite todas las asignaciones de funciones asociadas con la función integrada mediante el cmdlet Remove-ManagementRoleAssignment. Para obtener más información al respecto, consulte los temas siguientes:
- Agregue la nueva función personalizada a los usuarios a los que se asigna la función requeridos mediante el cmdlet New-ManagementRoleAssignment. Para obtener más información al respecto, consulte los temas siguientes:
Agregar una función a un usuario o grupo de seguridad universal
Importante
Si desea que otros usuarios, además del usuario que creó la función, puedan asignar la nueva función personalizada, asegúrese de agregar una asignación de funciones de delegación, al menos, a un usuario al que se le asigna una función. Para obtener más información, consulte Delegar asignaciones de funciones.