Descripción de las directivas de asignación de funciones de administración
Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Última modificación del tema: 2015-03-09
Una directiva de asignación de funciones de administración es una colección de una o más funciones de administración de usuarios finales que permite a los usuarios finales administrar su propio buzón Microsoft Exchange Server 2010 y la configuración de un grupo de distribución. Las directivas de asignación de funciones, que son parte del modelo de permisos de control de acceso basado en funciones (RBAC) en Exchange 2010, le permiten controlar qué configuración de un buzón específico y un grupo de distribución podrán modificar los usuarios finales. Los diferentes grupos de usuarios pueden tener directivas de asignación de funciones especializadas.
Nota
Este tema se centra en las funciones avanzadas de RBAC. Si desea administrar los permisos básicos de Exchange 2010, como usar el Panel de control de Exchange (ECP) para agregar y quitar miembros de grupos de roles, crear y modificar grupos de roles o crear y modificar directivas de asignación de roles, consulte Descripción de permisos.
Para obtener más información acerca de RBAC, consulte Descripción del control de acceso basado en funciones.
Contenido
Capas de las directivas de asignación de funciones
Directivas de asignación de funciones predeterminadas y explícitas
Uso directivas de asignación de funciones
Administración de directivas de asignación de funciones
Capas de las directivas de asignación de funciones
Las siguientes son las diferentes capas que constituyen el modelo de directivas de asignación de funciones:
Buzón A los buzones se les asigna una única directiva de asignación de funciones. Cuando se asigna una directiva de asignación de funciones a un buzón, se aplican al buzón las asignaciones entre funciones de administración y una directiva de asignación de funciones. Esto otorga al buzón todos los permisos proporcionados por las funciones de administración.
Directiva de asignación de funciones de asignación La directiva de asignación de funciones de asignación es un objeto especial de Exchange 2010. Los usuarios se asocian con una directiva de asignación de funciones al crear sus buzones o si se cambia la directiva de asignación de funciones en un buzón. También es a lo que usted asigna funciones de administración de los usuarios finales. La combinación de todas las funciones en una directiva de asignación de funciones define todo lo que puede administrar un usuario en su buzón o grupo de distribución.
Asignación de funciones de administración Una asignación de funciones de administración es el vínculo entre una función de administración y una directiva de asignación de funciones. La asignación de una función de administración a una directiva de asignación de funciones garantiza la posibilidad de usar cmdlets y parámetros definidos en la función de administración. Cuando crea una asignación de funciones entre una directiva de asignación de funciones y una función de administración, no puede especificar ningún ámbito. El ámbito que aplica la asignación se basa en la función de administración y no es
SelfniMyGAL. Para obtener más información, consulte Descripción de las asignaciones de funciones de administración.Función de administración Una función de administración es un contenedor para una agrupación de entradas de funciones de administración. Las funciones se usan para definir tareas específicas que un usuario puede realizar en su buzón o en sus grupos de distribución. Una entrada de función de administración es un cmdlet, un script o un permiso especial que permite que se realice cada tarea específica en una función de administración. Solo se pueden usar funciones de administración de usuario final con directivas de asignación de funciones. Para obtener más información, consulte Descripción de las funciones de administración.
Entrada de función de administración Las entradas de función de administración son entradas individuales de una función de administración que determinan qué cmdlets y qué parámetros están disponibles para la función de administración y el grupo de funciones. Cada entrada de función consiste en un único cmdlet y los parámetros a los que se puede tener acceso mediante la función de administración.
La siguiente figura muestra cada capa de directiva de asignación de funciones de la lista anterior y cómo cada una de las capas se relaciona con la otra.
Modelo de directiva de asignación de funciones de administración
.jpg "Relaciones del modelo de asignación de funciones")
Para obtener más información acerca de las funciones de administración, las asignaciones de funciones y los ámbitos, consulte Descripción del control de acceso basado en funciones.
Volver al principio
Directivas de asignación de funciones predeterminadas y explícitas
Las siguientes secciones describen los dos clases de directivas de asignación de funciones en Exchange 2010.
Directiva de asignación de funciones predeterminada
Una directiva de asignación de funciones predeterminada es una directiva asignada a un buzón cuando éste se crea o se mueve a un servidor que ejecuta Exchange 2010 sin proporcionar una directiva de asignación de funciones con el parámetro RoleAssignmentPolicy de los cmdletsNew-Mailbox o Enable-Mailbox.
Exchange 2010 incluye una directiva de asignación de funciones predeterminada que otorga a los usuarios los permisos usados con más frecuencia. Es posible agregar o eliminar funciones de administración para modificar los permisos predeterminados de la directiva de asignación de funciones.
Si desea sustituir la directiva de asignación de funciones predeterminada con su propia directiva de asignación de funciones predeterminada, puede usar el cmdlet Set-RoleAssignmentPolicy para seleccionarla. Cuando hace esto, si no especifica una directiva de asignación de funciones, todos los buzones nuevos se asignan a la directiva de asignación de funciones que especificó como predeterminada.
Al cambiar la directiva de asignación de funciones predeterminada, los buzones asignados a ésta no se asignan de manera automática a la nueva directiva de asignación de funciones predeterminada. Si desea actualizar los buzones creados anteriormente para que usen la directiva de asignación de funciones que estableció como predeterminada, debe usar el cmdlet Set-Mailbox.
Directiva de asignación de funciones explícita
Una directiva de asignación de funciones es una directiva que asigna a un buzón en forma manual con el parámetro RoleAssignmentPolicy de los cmdlets New-Mailbox, Set-Mailbox o Enable-Mailbox. Al asignar una directiva de asignación de funciones explícita, la nueva directiva se aplica inmediatamente y sustituye a la directiva de asignación de funciones explícita anterior.
Volver al principio
Uso directivas de asignación de funciones
Las directivas de asignación de funciones le permiten diseñar permisos según sus necesidades comerciales y lo que necesita que puedan configurar sus usuarios. Si la directiva de asignación de funciones cumple con sus necesidades, no precisa realizar ninguna personalización. Sin embargo, si tiene muchos grupos de usuarios diferentes con necesidades especializadas, puede crear directivas de asignación de funciones para cada uno de ellos.
La directiva de asignación de funciones predeterminada que use, debe contener permisos que se apliquen a la mayor cantidad de usuarios posible. A continuación, cree directivas de asignación de funciones para cada grupo de usuarios especializados y personalícelas para garantizar a los usuarios más o menos permisos restrictivos. Cuando organiza las directivas de asignación de funciones de esta manera, reduce la complejidad al asignar directivas de asignación de funciones de manera explícita a los usuarios especializados, mientras que la mayoría de los usuarios reciben los permisos más comunes proporcionados por la directiva de asignación de funciones predeterminada.
Un buzón puede tener solamente una directiva de asignación de funciones. Todos los usuarios, incluidos los administradores y los usuarios especializados, tienen asignada una directiva de asignación de funciones. Si desea que un usuario tenga un conjunto de permisos diferente, debe asignar al buzón de ese usuario otra directiva de asignación de funciones con los permisos requeridos.
Volver al principio
Administración de directivas de asignación de funciones
Para agregar una nueva directiva de asignación de funciones, primero debe crear una y decidir si será la directiva de asignación de funciones predeterminada. Después de crear una directiva de asignación de funciones, asigne funciones de administración a la directiva de asignación de funciones y, a continuación, asigne la directiva de asignación de funciones a un buzón. Posteriormente, podrá elegir si desea agregar o eliminar funciones de administración o seleccionar una directiva de asignación de funciones para que sea la predeterminada.
La siguiente tabla enumera la capa de directiva de asignación de funciones y los temas de procedimientos que puede usar para administrar cada capa.
Temas de administración de directivas de asignación de funciones
| Capa de modelos de directivas de asignación de funciones | Temas de administración |
|---|---|
Buzón |
|
Directiva de asignación de funciones |
Agregar una directiva de asignación |
Funciones de administración y asignaciones |
|
Entradas de funciones de administración |
Agregar una entrada de función a una función Cambiar una entrada de función Quitar una entrada de función de una función Nota Modificar las entradas de funciones de administración en funciones de administración de una directiva de asignación de funciones es una tarea avanzada y, en la mayoría de los casos, no suele ser necesaria. En cambio, es posible que pueda usar una función de administración preexistente que se adecue a sus requisitos. Para obtener más información, consulte Grupos de funciones integradas. |
Volver al principio
© 2010 Microsoft Corporation. Reservados todos los derechos.