Condividi tramite


Ruoli di gestione incorporati

Si applica a: Exchange Server 2013

Microsoft Exchange Server 2013 include molti ruoli di gestione per impostazione predefinita. I ruoli seguenti vengono assegnati ai gruppi di ruoli di gestione o ai criteri di assegnazione dei ruoli di gestione in varie combinazioni che concedono le autorizzazioni per gestire e usare le funzionalità fornite da Exchange 2013. Per altre informazioni sui ruoli, vedere Informazioni sui ruoli di gestione.

Ruolo Autorizzazioni di Active Directory

Ruolo Elenchi degli indirizzi

Ruolo ApplicationImpersonation

Ruolo ArchiveApplication

Ruolo Log di audit

Ruolo Agenti di estensione cmdlet

Ruolo di prevenzione della perdita di dati

Ruolo Gruppi di disponibilità del database

Ruolo Copie del database

Ruolo Database

Ruolo Ripristino di emergenza

Ruolo di gruppi di distribuzione

Ruolo Sottoscrizioni Edge

Ruolo Criteri degli indirizzi di posta elettronica

Ruolo Connettori di Exchange

Ruolo Certificati server Exchange

Ruolo Server Exchange

Ruolo Directory virtuali di Exchange

Ruolo Condivisione federata

Ruolo Information Rights Management

Ruolo inserimento nel journal

Ruolo Blocco a fini giudiziari

Ruolo LegalHoldApplication

Ruolo di cartelle pubbliche abilitate alla posta

Ruolo di creazione dei destinatari di posta

Ruolo destinatari di posta elettronica

Ruolo Suggerimenti posta elettronica

Ruolo di importazione\esportazione delle cassette postali

Ruolo Ricerca cassette postali

Ruolo MailboxSearchApplication

Ruolo Verifica dei messaggi

Ruolo Migrazione

Ruolo Monitoraggio

Ruolo Sposta cassette postali

Ruolo App personalizzate

Ruolo App Marketplace personali

Ruolo MyAddressInformation

Ruolo MyBaseOptions

Ruolo MyContactInformation

Ruolo MyDiagnostics

Ruolo MyDisplayName

Ruolo MyDistributionGroupMembership

Ruolo MyDistributionGroups

Ruolo MyMobileInformation

Ruolo MyName

Ruolo MyPersonalInformation

Ruolo MyProfileInformation

Ruolo MyRetentionPolicies

Ruolo MyTeamMailbox

Ruolo MyTextMessaging

Ruolo MyVoiceMail

Ruolo OfficeExtensionApplication

Ruolo App personalizzate org

Ruolo App Marketplace dell'org

Ruolo Accesso client organizzazione

Ruolo Configurazione organizzazione

Ruolo Impostazioni trasporto organizzazione

Ruolo Protocolli POP3 e IMAP4

Ruolo Cartelle pubbliche

Ruolo connettori di ricezione

Ruolo Criteri destinatario

Ruolo di domini accettati e remoti

Ruolo Reimpostazione password

Ruolo Gestione conservazionet

Ruolo Gestione dei ruoli

Creazione gruppo di sicurezza e ruolo di appartenenza

Ruolo connettori di invio

Ruolo Diagnostica di supporto

Ruolo Cassette postali team

Ruolo TeamMailboxLifecycleApplication

Ruolo di agenti di trasporto

Ruolo igiene di trasporto

Ruolo delle code di trasporto

Ruolo di regole di trasporto

Ruolo cassette postali di messaggistica unificata

Ruolo di richieste di messaggistica unificata

Ruolo Messaggistica unificata

Ruolo Gestione ruoli senza ambito

Ruolo Opzioni utente

Ruolo UserApplication

Ruolo dei log di controllo con diritti di sola visualizzazione

Ruolo Configurazione di sola lettura

Ruolo Destinatari di sola lettura

Questi ruoli di gestione sono uno dei diversi ruoli predefiniti nel modello di autorizzazioni RBAC (Role Based Controllo di accesso) in Microsoft Exchange Server 2013. I ruoli di gestione, assegnati a uno o più gruppi di ruoli di gestione, criteri di assegnazione dei ruoli di gestione, utenti o gruppi di sicurezza universale (USG), fungono da raggruppamento logico di cmdlet o script combinati per fornire l'accesso per visualizzare o modificare la configurazione dei componenti di Exchange 2013, ad esempio database delle cassette postali, regole di trasporto e destinatari. Un cmdlet o uno script e i relativi parametri, denominati collettivamente voce del ruolo di gestione, inclusi in un ruolo possono essere eseguiti dagli utenti assegnati a quel ruolo. Per altre informazioni sui ruoli di gestione e sulle voci dei ruoli di gestione, vedere Informazioni sui ruoli di gestione.

Per altre informazioni sui ruoli di gestione, sui gruppi di ruoli di gestione e sugli altri componenti di Controllo degli accessi in base al ruolo, vedere Understanding Role Based Access Control.

Assegnazioni del ruolo di gestione

Affinché questi ruoli concedano le autorizzazioni, devono essere assegnati a un assegnatario di ruolo, che può essere un gruppo di ruoli, un utente o un gruppo di sicurezza universale (USG). Questa assegnazione viene eseguita con le assegnazioni del ruolo di gestione. Le assegnazioni dei ruoli collegano gli assegnatari e i ruoli tra loro. Un assegnatario di ruolo a cui è assegnato più di un ruolo dispone di tutte le autorizzazioni concesse a tutti i ruoli a lui assegnati.

Oltre a collegare gli assegnatari dei ruoli ai ruoli, le assegnazioni dei ruoli possono essere applicate anche agli ambiti di gestione personalizzati o incorporati. Gli ambiti di gestione controllano quali oggetti destinatario, server e database possono essere modificati dagli assegnatari di ruolo. Se questi ruoli sono assegnati a un assegnatario di ruolo, ma un ambito di gestione consente all'assegnatario di ruolo solo di gestire determinati oggetti in base a un ambito definito, l'assegnatario del ruolo può usare solo le autorizzazioni concesse da questi ruoli su tali oggetti specifici. Le autorizzazioni fornite da questi ruoli non possono essere applicate a oggetti esterni all'ambito definito nell'assegnazione di ruolo. Per altre informazioni sulle assegnazioni dei ruoli e sugli ambiti, vedere gli argomenti seguenti:

Questi ruoli vengono assegnati a uno o più gruppi di ruoli per impostazione predefinita. Per altre informazioni, vedere la sezione "Assegnazioni predefinite del ruolo di gestione" più avanti in questo argomento.

Se si vuole visualizzare un elenco di gruppi di ruoli, utenti o gruppi di sicurezza di servizio assegnati a questi ruoli, usare il comando seguente.

Get-ManagementRoleAssignment -Role "<role name>"

Regular and delegating role assignments

Questi ruoli possono essere assegnati agli assegnatari di ruolo usando assegnazioni di ruolo regolari o di delega. Le assegnazioni regolari concedono all'assegnatario del ruolo le autorizzazioni fornite dal ruolo. L'assegnazione del ruolo di delega consente a un assegnatario di assegnare il ruolo ad altri utenti. Per altre informazioni sulle assegnazioni dei ruoli regolari e tramite assegnazione del ruolo di delega, vedere Informazioni sulle assegnazioni del ruolo di gestioneInformazioni sulle assegnazioni dei ruoli di gestione.

Aggiunta o eliminazione delle assegnazioni di ruolo

È possibile modificare gli assegnatari di ruolo a cui vengono assegnati questi ruoli. Modificando l'assegnatario di ruolo a cui vengono assegnati questi ruoli, si modifica l'utente a cui vengono concesse le autorizzazioni. È possibile assegnare questi ruoli ad altri gruppi di ruoli predefiniti oppure è possibile creare gruppi di ruoli e assegnarli. È anche possibile assegnare questi ruoli a utenti o usg. Tuttavia, si consiglia di limitare l'assegnazione dei ruoli agli utenti e ai gruppi di protezione universali (USG) perché queste assegnazioni possono aumentare notevolmente la complessità del modello delle autorizzazioni.

Per assegnare questi ruoli agli assegnatari di ruolo, il ruolo deve essere assegnato a un gruppo di ruoli di cui si è membri, direttamente all'utente o a un gruppo di sicurezza di sicurezza di cui si è membri, usando un'assegnazione di ruolo di delega. Per altre informazioni sulle assegnazioni del ruolo di delega, vedere la sezione "Assegnazioni di ruoli regolari e di delega".

È anche possibile rimuovere questi ruoli dai gruppi di ruoli predefiniti, dai gruppi di ruoli creati, dagli utenti e dagli USG. Tuttavia, deve essere sempre presente almeno un'assegnazione di ruolo di delega tra questi ruoli e un gruppo di ruoli o usg. Non è possibile eliminare l'ultima assegnazione del ruolo di delega. Questa limitazione serve a evitare che l'utente rimanga bloccato fuori dal sistema.

Importante

Deve essere presente almeno un'assegnazione di ruolo di delega tra questi ruoli e un gruppo di ruoli o usg. Non è possibile rimuovere l'ultima assegnazione di ruolo di delega associata a questi ruoli se l'ultima assegnazione è a un utente.

Per altre informazioni su come aggiungere o rimuovere assegnazioni tra questi ruoli e gruppi di ruoli, utenti e gruppi di sicurezza di servizio, vedere gli argomenti seguenti:

Modifica degli ambiti di gestione per le assegnazioni di ruolo

È anche possibile modificare gli ambiti di gestione per le assegnazioni di ruolo esistenti tra questi ruoli e gli assegnatari di ruolo. Modificando gli ambiti nelle assegnazioni di ruolo, è possibile controllare quali oggetti possono essere gestiti usando le autorizzazioni fornite da questi ruoli. Quando si modifica l'ambito di un'assegnazione di ruolo, sono disponibili varie opzioni. È possibile eseguire una delle operazioni seguenti:

  • Aggiungere un nuovo ambito personalizzato utilizzando il cmdlet Set-ManagementRoleAssignment. Per ulteriori informazioni, vedere i seguenti argomenti:

  • Aggiungere o modificare l'ambito di un'unità organizzativa utilizzando il cmdlet Set-ManagementRoleAssignment. Per altre informazioni, vedere Modifica di un'assegnazione di ruoloModificare un'assegnazione di ruolo.

  • Aggiungere o modificare un ambito predefinito utilizzando il cmdlet Set-ManagementRoleAssignment. Per altre informazioni, vedere Modifica di un'assegnazione di ruoloModificare un'assegnazione di ruolo.

  • Modificare l'ambito del destinatario, del server o del database in un ambito personalizzato associato ad un'assegnazione di ruolo utilizzando il cmdlet Set-ManagementScope. Per altre informazioni, vedere Modificare un ambito del ruolo.

Abilitazione o disabilitazione delle assegnazioni di ruolo

Abilitando o disabilitando un'assegnazione di ruolo, si può controllare l'applicazione di tale assegnazione. Se un'assegnazione di ruolo è disabilitata, le autorizzazioni fornite dal ruolo associato non vengono applicate all'assegnatario del ruolo. Questo risulta utile se si desidera rimuovere temporaneamente le autorizzazioni senza eliminare un'assegnazione di ruolo. Per altre informazioni, vedere Modifica di un'assegnazione di ruoloModificare un'assegnazione di ruolo.

Personalizzazione del ruolo di gestione

Questi ruoli sono stati configurati per fornire a un assegnatario di ruoli tutti i cmdlet e i parametri necessari per gestire le funzionalità e i componenti elencati all'inizio di questo argomento. Sono stati forniti anche altri ruoli per consentire la gestione di altre funzionalità. Mediante l'aggiunta e la rimozione di ruoli nei gruppi di ruoli, è possibile creare un modello di autorizzazioni personalizzate senza che sia necessario personalizzare i singoli ruoli di gestione. Per un elenco completo dei ruoli, vedere Ruoli di gestione predefiniti. Per altre informazioni sulla personalizzazione dei gruppi di ruoli, vedere Gestire i gruppi di ruoli.

Se si decide di creare una versione personalizzata di questi ruoli, è necessario creare un ruolo come figlio di questi ruoli e personalizzare il nuovo ruolo.

Avviso

Le informazioni riportate di seguito consentono di eseguire la gestione avanzata delle autorizzazioni. La personalizzazione dei ruoli di gestione può aumentare notevolmente la complessità del modello delle autorizzazioni. Se si sostituisce un ruolo di gestione incorporato con un ruolo personalizzato non configurato correttamente, alcune funzionalità potrebbero smettere di funzionare.

Qui di seguito sono riportati i passaggi più comuni per creare un ruolo personalizzato e assegnarlo a un assegnatario di ruolo:

  1. Creare una copia di un ruolo. Per altre informazioni, vedere Creare un ruolo.

  2. Modificare o rimuovere le voci del ruolo sul nuovo ruolo utilizzando i cmdlet Set-ManagementRoleEntry e Remove-ManagementRoleEntry. Non è possibile aggiungere altre voci di ruolo al nuovo ruolo poiché questo può contenere solo le voci di ruolo del ruolo padre incorporato. Per altre informazioni, vedere gli argomenti seguenti:

  3. Se si desidera sostituire il ruolo incorporato con questo nuovo ruolo personalizzato, eliminare qualsiasi assegnazione di ruolo associata al ruolo incorporato. Per ulteriori informazioni, vedere gli argomenti seguenti:

  4. Aggiungere il nuovo ruolo personalizzato agli assegnatari di ruolo richiesti. Per ulteriori informazioni, vedere gli argomenti seguenti: