Informazioni sui ruoli di gestione
Si applica a: Exchange Server 2013
I ruoli di gestione fanno parte del modello di autorizzazioni relativo al controllo dell'accesso basato sui ruoli (RBAC) utilizzato in Microsoft Exchange Server 2013. I ruoli funzionano come un raggruppamento logico di cmdlet, combinati per consentire l'accesso alla configurazione dei componenti di Exchange 2013, quali cassette postali, regole di trasporto e destinatari, per la visualizzazione o la modifica. I ruoli di gestione possono essere ulteriormente combinati in grandi raggruppamenti chiamati gruppi di ruoli di gestione e criteri di assegnazione dei ruoli di gestione, che permettono la gestione delle aree di funzionalità e della configurazione dei destinatari. I gruppi di ruoli e i criteri di assegnazione dei ruoli assegnano le autorizzazioni, rispettivamente, agli amministratori e agli utenti finali. Per ulteriori informazioni sulla gestione dei gruppi di ruoli e dei criteri di assegnazione dei ruoli, vedere Controllo di accesso basato sui ruoli.
Nota
Questo argomento è incentrato sulla funzionalità RBAC avanzata. Per gestire le autorizzazioni di base di Exchange 2013, ad esempio l'uso dell'interfaccia di amministrazione di Exchange (EAC) per aggiungere e rimuovere membri da e verso gruppi di ruoli, creare e modificare gruppi di ruoli o creare e modificare i criteri di assegnazione dei ruoli, vedere Autorizzazioni.
Gli ambiti del ruolo di gestione e le assegnazioni dei ruoli di gestione sono componenti importanti per il funzionamento dei ruoli di gestione. Per ulteriori informazioni su tali componenti, vedere i seguenti argomenti:
- Comprensione degli ambiti di gestione dei ruoli
- Informazioni sulle assegnazioni dei ruoli di gestione
Per informazioni sulle attività di gestione correlate ai ruoli di gestione, vedere vedere Autorizzazioni.
Ruoli di gestione incorporati
Exchange 2013 fornisce molti ruoli di gestione incorporati che possono essere utilizzati per amministrare l'organizzazione. Ciascun ruolo include i cmdlet e i parametri necessari agli utenti per la gestione di determinati componenti di Exchange. Di seguito, sono riportati alcuni esempi di alcuni ruoli di gestione incorporati:
- Destinatari posta: consente agli amministratori di gestire cassette postali, contatti e utenti di posta elettronica.
- Regole di trasporto: consente agli amministratori o agli utenti specializzati assegnati al ruolo di gestire la funzionalità delle regole di trasporto.
- Gruppi di distribuzione: consente agli amministratori o agli utenti specializzati assegnati al ruolo di gestire i gruppi di distribuzione e i membri del gruppo di distribuzione.
- MyPersonalInformation: consente agli utenti finali di modificare il proprio numero di telefono di casa e l'indirizzo del sito Web.
Per un elenco completo dei ruoli di gestione inclusi con Exchange 2013, vedere Ruoli di gestione predefiniti.
È possibile prendere i ruoli incorporati forniti con Exchange 2013 e combinarli in qualsiasi modo per creare un modello di autorizzazioni valido per la propria azienda. Ad esempio, se si desidera che i membri di un gruppo di ruoli gestiscano i destinatari e le cartelle pubbliche, assegnare al gruppo entrambi i ruoli Destinatari di posta e Cartelle pubbliche. Spesso, vengono assegnati i ruoli ai gruppi di ruoli o ai criteri di assegnazione dei ruoli. È, inoltre, possibile assegnare ruoli di gestione direttamente agli utenti se si desidera controllare le autorizzazioni a livello capillare. Si consiglia di utilizzare gruppi di ruoli e criteri di assegnazione dei ruoli piuttosto che un'assegnazione diretta dei ruoli agli utenti per semplificare il modello delle autorizzazioni.
Nota
È possibile assegnare ai criteri di assegnazione dei ruoli solo ruoli di gestione degli utenti finali.
I ruoli di gestione incorporati non possono essere modificati. Tuttavia, è possibile creare ruoli di gestione basati sui ruoli di gestione incorporati e, quindi, assegnare questi nuovi ruoli ai gruppi di ruoli o ai criteri di assegnazione dei ruoli. È, quindi, possibile modificare i nuovi ruoli di gestione in base alle proprie esigenze. Si tratta di un'attività avanzata che un utente standard potrebbe anche non aver mai la necessità di svolgere.
Per altre informazioni sulla creazione di ruoli personalizzati basati sui ruoli predefiniti di Exchange, vedere Ruoli di gestione personalizzati più avanti in questo argomento.
Affinché diventino effettivi, i ruoli di gestione devono essere assegnati. Spesso, vengono assegnati ruoli di gestione ai gruppi di ruoli e ai criteri di assegnazione dei ruoli. In determinate circostanze, potrebbe anche essere possibile assegnare ruoli direttamente agli utenti, sebbene si tratti di un'attività avanzata che un utente standard potrebbe anche non aver mai la necessità di svolgere.
Per ulteriori informazioni sull'assegnazione dei ruoli di gestione, vedere i seguenti argomenti:
- Gestire gruppi di ruoli
- Gestire i criteri di assegnazione dei ruoli
- Aggiungere un ruolo di un utente o gruppo di protezione universale
Per ulteriori informazioni sulle assegnazioni dei ruoli di gestione, vedere Informazioni sulle assegnazioni dei ruoli di gestione.
Ruoli di gestione di primo livello senza ambito
I ruoli di gestione di primo livello senza ambito sono uno speciale tipo di ruolo di gestione che consente di concedere agli utenti l'accesso ai cmdlet non Exchange e agli script personalizzati tramite RBAC. I ruoli di gestione regolari consentono l'accesso solo ai cmdlet di Exchange. Qualora fosse necessario fornire l'accesso a cmdlet non di Exchange in esecuzione su un server di Exchange o pubblicare uno script che possa essere eseguito dagli utenti, è necessario aggiungerli a un ruolo senza ambito. Sono denominati ruoli di primo livello in quanto, se viene creato un ruolo senza ambito che non deriva da un ruolo padre, questo non ha un elemento padre ed è un peer dei ruoli di gestione incorporati forniti con Exchange 2013. Per indicare che si vuole creare una voce di ruolo di primo livello senza ambito, è necessario usare l'opzione UnscopedTopLevel con il cmdlet New-ManagementRole .
I ruoli senza ambito vengono così denominati in quanto, a differenza dei ruoli di gestione regolari, non possono essere legati a una determinata destinazione. I ruoli senza ambito sono sempre a livello di organizzazione. Ciò significa che gli utenti a cui è assegnato a un ruolo senza ambito possono modificare qualsiasi oggetto all'interno dell'organizzazione Exchange 2013. Per questo motivo, è fondamentale accertarsi che gli script e i cmdlet resi disponibili tramite un ruolo senza ambito siano stati verificati accuratamente in modo che sia chiaro cosa andranno a modificare; è inoltre fondamentale prestare particolare attenzione all'assegnazione dei ruoli senza ambito.
I ruoli senza ambito possono essere assegnati agli assegnatari di ruoli, quali gruppi di ruoli, ruoli di gestione, utenti e gruppi di sicurezza universale. Non possono essere assegnati ai criteri di assegnazione dei ruoli di gestione.
Sebbene i cmdlet di Exchange non possano essere aggiunti come una voce di ruolo di gestione su un ruolo senza ambito, questi possono essere inclusi in script aggiunti come voci di ruolo. Ciò consente di creare script personalizzati che eseguono attività di Exchange che possono poi essere assegnate agli utenti. Uno scenario utile è quello in cui un utente deve eseguire un'attività altamente privilegiata che, normalmente, non rientra nel suo livello amministrativo e in cui la definizione di un nuovo ruolo di gestione o gruppo di ruoli potrebbe risultare problematica. È possibile creare uno script in grado di eseguire questa funzione specifica, aggiungerlo a un ruolo senza ambito e, quindi, assegnare il ruolo senza ambito all'utente. L'utente può, quindi, eseguire solo la funzione specifica fornita dallo script.
Le voci di ruolo aggiunte a un ruolo senza ambito devono anche essere designate come voci di ruolo di primo livello senza ambito. Per altre informazioni sulle voci di ruolo di primo livello senza ambito, vedere Voci di ruolo Top-Level senza ambito più avanti in questo argomento.
Per impostazione predefinita, il gruppo di ruoli Gestione organizzazione non dispone delle autorizzazioni per creare o gestire gruppi di ruoli senza ambito. Ciò consente di evitare che i gruppi di ruoli senza ambito vengano creati o modificati erroneamente. Il gruppo di ruoli Gestione organizzazione può delegare il ruolo Di gestione ruoli senza ambito a se stesso e ad altri assegnatari di ruolo. Per altre informazioni su come creare un ruolo di gestione di primo livello senza ambito, vedere Creare un ruolo senza ambito.
Ruoli di gestione personalizzati
È possibile creare ruoli di gestione personalizzati che si basano sui ruoli di Exchange incorporati quando i ruoli di gestione incorporati non soddisfano le esigenze dei propri utenti. Quando si crea un ruolo di gestione personalizzato, il nuovo ruolo figlio eredita tutte le voci di ruolo di gestione del ruolo padre. È, quindi, possibile scegliere quali voci di ruolo di gestione si desidera mantenere nel ruolo di gestione personalizzato e rimuovere tutte le voci indesiderate.
I ruoli personalizzati diventano figli del ruolo utilizzato per creare il nuovo ruolo. È possibile utilizzare nel nuovo ruolo figlio solo le voci di ruolo di gestione presenti nel ruolo padre. Per ulteriori informazioni, vedere le seguenti sezioni riportate più avanti in questo argomento:
- Management Role Hierarchy
- Management Role Entries
La creazione di ruoli di gestione personalizzati richiede più passi e rappresenta un'attività avanzata che un utente standard potrebbe anche non aver mai la necessità di svolgere. Prima di creare un ruolo di gestione personalizzato, accertarsi che uno dei ruoli di gestione incorporati non fornisca le autorizzazioni necessarie. Per ulteriori informazioni sui ruoli di gestione incorporati o se si desidera creare ruoli di gestione personalizzati, vedere i seguenti argomenti:
Per ulteriori informazioni sulla creazione di un ruolo di gestione, vedere Creare un ruolo.
Gerarchia dei ruoli di gestione
I ruoli di gestione coesistono in una gerarchia padre e figlio. In cima alla gerarchia ci sono i ruoli di gestione incorporati forniti in Exchange 2013 per impostazione predefinita. Quando si crea un ruolo, in realtà si esegue una copia di un ruolo padre. Il nuovo ruolo è un elemento figlio del ruolo da cui è stato copiato. È, quindi, possibile personalizzare il nuovo ruolo per soddisfare le esigenze degli amministratori o degli utenti a cui si desidera assegnare il ruolo.
È possibile utilizzare i ruoli personalizzati per creare nuovi ruoli. Quando si crea un ruolo da un ruolo personalizzato esistente, quest'ultimo rimane un elemento figlio del relativo ruolo padre, ma diviene anche l'elemento genitore per il nuovo ruolo. Ogni volta che si copia un ruolo, il nuovo ruolo figlio può contenere solo le voci di ruolo presenti nel ruolo padre immediato.
A ciascun ruolo di gestione viene assegnato un tipo di ruolo non modificabile. Il tipo di ruolo definisce il contesto di utilizzo base per il ruolo. Il tipo di ruolo viene copiato dal ruolo padre quando viene creato il ruolo figlio.
.gif "Diagramma gerarchico del ruolo di gestione degli accessi in base al ruolo")
Nella figura precedente, viene illustrata la relazione gerarchica dei diversi ruoli di gestione. I ruoli Destinatari di posta e Assistenza tecnica sono ruoli incorporati. Tutti i ruoli figlio derivati da questi ruoli ereditano il tipo di ruolo di ciascun ruolo incorporato. Ad esempio, tutti i ruoli figlio derivati direttamente o indirettamente dal ruolo Destinatari di posta elettronica ereditano il MailRecipients tipo di ruolo.
Il ruolo personalizzato Amministratori destinatari Seattle è un elemento figlio del ruolo incorporato Destinatari di posta, ma anche l'elemento padre dei ruoli personalizzati Amministratori destinatari ufficio 1 Seattle e Amministratori destinatari ufficio 2 Seattle. Il ruolo personalizzato Amministratori destinatari Seattle contiene solo un sottoinsieme di cmdlet disponibili nel ruolo Destinatari di posta. I ruoli figlio del ruolo personalizzato Amministratori destinatari Seattle possono contenere solo cmdlet presenti anche in quel ruolo. Ad esempio, se un cmdlet è presente nel ruolo Destinatari di posta, ma non nel ruolo personalizzato Amministratori destinatari Seattle, non è possibile aggiungere il cmdlet al ruolo personalizzato Amministratori destinatari ufficio 1 Seattle.
Tutti i ruoli personalizzati seguono lo stesso modello dei ruoli trattati in precedenza. Per altre informazioni sul controllo dell'accesso ai cmdlet sui ruoli di gestione, vedere Voci del ruolo di gestione più avanti in questo argomento.
Voci del ruolo di gestione
Ogni ruolo di gestione, sia che si tratti di un ruolo di Exchange personalizzato o di un ruolo senza ambito, deve disporre di almeno una voce di ruolo di gestione. Una voce consiste in un singolo cmdlet e nei relativi parametri, uno script o un'autorizzazione speciale che si desidera rendere disponibile. Se un cmdlet o o uno script non appare come una voce in un ruolo di gestione, non sarà possibile accedere a tale cmdlet o script tramite quel ruolo. In modo analogo, se un parametro non è presente in una voce, non sarà possibile accedere al parametro su quel cmdlet o script tramite quel ruolo.
Exchange 2013 consente di gestire le voci di ruolo basate sui ruoli di gestione di primo livello di Exchange incorporati e le voci di ruolo basate sui ruoli di gestione di primo livello senza ambito. I ruoli basati sui ruoli di primo livello di Exchange incorporati possono contenere solo le voci di ruolo corrispondenti a cmdlet di Exchange 2013. Per aggiungere script o cmdlet non Exchange personalizzati in modo che gli utenti possano utilizzarli, è necessario aggiungerli come voci di ruolo senza ambito a un ruolo di primo livello senza ambito. Per altre informazioni sulle voci di ruolo senza ambito, vedere Voci di ruolo senza ambito Top-Level più avanti in questo argomento.
Tutte le voci di ruolo, indipendentemente dal fatto che la voce di ruolo sia un ruolo basato su cmdlet di Exchange o una voce di ruolo senza ambito, rispettano gli stessi principi illustrati nelle sezioni seguenti.
Per ulteriori informazioni sulle voci di ruolo di gestione, vedere Ruoli di gestione e voci di ruolo.
Relazioni tra i ruoli di gestione padre e figlio
Come indicato in precedenza, una voce di ruolo di gestione, inclusi il cmdlet e i relativi parametri, deve essere presente nel ruolo padre immediato affinché possa essere aggiunta al ruolo figlio. Ad esempio, se il ruolo padre non dispone di una voce per New-Mailbox, non sarà possibile assegnare il ruolo figlio a quel cmdlet. Inoltre, se Set-Mailbox è nel ruolo padre ma il parametro Database è stato rimosso dalla voce, il parametro Database nel cmdlet Set-Mailbox non può essere aggiunto alla voce nel ruolo figlio.
Poiché non è possibile aggiungere le voci di ruolo di gestione ai ruoli figlio se queste non appaiono nei ruoli padre e poiché il ruolo si basa su un tipo di ruolo specifico, è necessario scegliere attentamente il ruolo padre da copiare quando si desidera creare un ruolo personalizzato.
Nomi delle voci dei ruoli di gestione
I nomi delle voci di ruolo di gestione sono una combinazione del ruolo di gestione a cui sono associate e il nome del cmdlet o dello script. Il nome del ruolo e il cmdlet o lo script sono separati da un carattere barra rovesciata (\). Ad esempio, il nome della voce di ruolo per il cmdlet Set-Mailbox nel ruolo Destinatari posta elettronica è Mail Recipients\Set-Mailbox. Se il nome di una voce di ruolo contiene spazi, racchiudere l'intero nome tra virgolette (").
Il carattere jolly (*) può essere utilizzato nel nome della voce di ruolo al fine di restituire tutte le voci di ruolo corrispondenti all'input fornito. Il carattere jolly può essere utilizzato su entrambi i lati del carattere barra rovesciata. La seguente tabella contiene alcune variazioni sulle varie possibilità di utilizzo del carattere jolly in un nome della voce di ruolo.
| Esempio | Descrizione |
|---|---|
*\* |
Restituisce un elenco di tutte le voci di ruolo per tutti i ruoli. |
*\Set-Mailbox |
Restituisce un elenco di tutte le voci di ruolo contenenti il cmdlet Set-Mailbox. |
Mail Recipients\* |
Restituisce un elenco di tutte le voci di ruolo nel ruolo Destinatari di posta. |
Mail Recipients\*Mailbox |
Restituisce un elenco di tutte le voci di ruolo nel ruolo Destinatari di posta che contengono cmdlet che terminano con la parola Mailbox. |
My*\*Group* |
Restituisce un elenco di tutte le voci di ruolo contenenti la stringa Group nel nome del cmdlet per tutti i ruoli che iniziano con My. |
Voci di ruolo di primo livello senza ambito
Le voci di ruolo di primo livello senza ambito vengono utilizzate con i ruoli di gestione di primo livello senza ambito per creare ruoli basati su cmdlet non Exchange o script personalizzati. Ciascuna voce di ruolo senza ambito è associata a un singolo cmdlet non di Exchange o script personalizzato. Per indicare che si vuole creare una voce di ruolo senza ambito in un ruolo senza ambito, è necessario specificare il parametro UnscopedTopLevel nel cmdlet Add-ManagementRoleEntry .
Quando si aggiunge la voce di ruolo senza ambito, è necessario specificare tutti i parametri che possono essere utilizzati con lo script o con il cmdlet non di Exchange. Exchange tenta di verificare i parametri forniti quando si aggiunge la voce di ruolo. Gli utenti assegnati al ruolo senza ambito potranno usufruire solo dei parametri aggiunti alla voce di ruolo al momento della creazione. Se si aggiungono parametri allo script o al cmdlet non di Exchange o se viene rinominato un parametro, è necessario aggiornare la voce di ruolo manualmente. Exchange non verifica se sono state apportate modifiche ai parametri esistenti in una voce di ruolo senza ambito. Se un parametro in una voce di ruolo viene modificato in uno script e si tenta di utilizzare quel parametro, il comando non verrà eseguito.
Gli script aggiunti a una voce di ruolo senza ambito devono trovarsi nella directory degli script di Exchange 2013 su ogni server a cui gli amministratori e gli utenti effettuano la connessione mediante l'uso di Exchange Management Shell. Se si tenta di aggiungere una voce di ruolo senza ambito basata su uno script non presente nella directory degli script di Exchange 2013 sul server utilizzato per aggiungere la voce di ruolo, si verificherà un errore. Il percorso di installazione predefinito della directory degli script di Exchange 2013 è C:\Programmi\Microsoft\Exchange Server\V15\RemoteScripts o %ExchangeInstallPath%RemoteScripts.
I cmdlet non di Exchange aggiunti a una voce di ruolo senza ambito devono essere installati su ciascun server di Exchange 2013 a cui gli amministratori e gli utenti effettuano la connessione mediante l'uso di Shell e su cui desiderano utilizzare i cmdlet. Se si tenta di aggiungere una voce di ruolo senza ambito basata su un cmdlet non di Exchange non installato sul server di Exchange 2013 utilizzato per aggiungere la voce di ruolo, si verificherà un errore. Quando si aggiunge un cmdlet non Exchange, è necessario specificare il nome dello snap-in di Windows PowerShell contenente il cmdlet non Exchange.
Per ulteriori informazioni su come aggiungere una voce di ruolo di gestione senza ambito, vedere Aggiungere una voce di ruolo a un ruolo.
Tipi di ruoli di gestione
I tipi di ruolo di gestione sono alla base di tutti i ruoli di gestione. I tipi stabiliscono gli ambiti impliciti definiti in tutti i ruoli di gestione di un determinato tipo di ruolo e agiscono anche come un raggruppamento logico di ruoli correlati. Tutti i ruoli di gestione derivati dal ruolo di gestione padre incorporato presentano lo stesso tipo di ruolo. Fare riferimento alla figura relativa alla gerarchia dei ruoli di gestione riportata precedentemente in questo argomento per un'illustrazione della relazione. I tipi di ruolo di gestione rappresentano il numero massimo di cmdlet e relativi parametri che è possibile aggiungere a un ruolo associato a uno specifico tipo di ruolo.
I tipi di ruolo di gestione sono suddivisi nelle seguenti categorie:
Amministrativo o specializzato: i ruoli associati a un tipo di ruolo amministrativo o specialistico hanno un ambito di impatto più ampio nell'organizzazione di Exchange. I ruoli di questo tipo di ruolo consentono attività, quali gestione del server o dei destinatari, configurazione dell'organizzazione, amministrazione della conformità, controllo e altro ancora.
Incentrato sull'utente: i ruoli associati a un tipo di ruolo incentrato sull'utente hanno un ambito di impatto strettamente correlato a un singolo utente. I ruoli di questo tipo di ruolo consentono attività, quali configurazione del profilo utente e gestione personale, gestione dei gruppi di distribuzione di proprietà di un utente e altro ancora.
I nomi dei ruoli associati ai tipi di ruolo orientati all'utente e i nomi dei tipi di ruolo orientati all'utente iniziano con My.
Specialità: i ruoli associati ai tipi di ruolo speciali consentono attività che non sono tipi di ruolo amministrativi o incentrati sull'utente. I ruoli di questo tipo di ruolo consentono attività quali la rappresentazione delle applicazioni e l'uso di script e cmdlet non di Exchange.
Nella tabella seguente, sono riportati tutti i tipi di ruolo di gestione amministrativi in Exchange 2013 e viene indicato se la configurazione consentita dal tipo di ruolo viene applicata all'intera organizzazione di Exchange oppure solo a un singolo server. Per ulteriori informazioni su ciascuno dei ruoli di gestione associato a questi tipi di ruolo, inclusa una descrizione di ciascun ruolo, che potrebbe trarre vantaggi dall'assegnazione al ruolo e altre informazioni, vedere Ruoli di gestione predefiniti.
| Tipo di ruolo di gestione | Ruoli di gestione incorporati | Descrizione | Organizzazione o server |
|---|---|---|---|
ActiveDirectoryPermissions |
Ruolo Autorizzazioni di Active Directory | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di configurare le autorizzazioni di Active Directory in un'organizzazione. Alcune funzionalità che usano le autorizzazioni di Active Directory o un elenco di controllo di accesso (ACL) includono i connettori di ricezione e invio di trasporto e le autorizzazioni Invia come e invia per conto delle cassette postali. Nota: le autorizzazioni impostate direttamente sugli oggetti Active Directory potrebbero non essere applicate tramite controllo degli accessi in base al ruolo. |
Organizzazione |
AddressLists |
Ruolo Elenchi degli indirizzi | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire elenchi di indirizzi, elenchi di indirizzi globali ed elenchi di indirizzi offline in un'organizzazione. | Organizzazione |
ApplicationImpersonation |
Ruolo ApplicationImpersonation | Questo tipo di ruolo è associato ai ruoli che consentono alle applicazioni di impersonare gli utenti in un'organizzazione per eseguire attività per conto di tali utenti. | Organizzazione |
ArchiveApplication |
Ruolo ArchiveApplication | Questo tipo di ruolo è associato ai ruoli che consentono alle applicazioni partner di archiviare gli elementi nelle cassette postali utente in un'organizzazione. | Organizzazione |
AuditLogs |
Ruolo Log di audit | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire la configurazione delle registrazioni di controllo in un'organizzazione. | Organizzazione |
CmdletExtensionAgents |
Ruolo Agenti di estensione cmdlet | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire gli agenti di estensione dei cmdlet in un'organizzazione. | Organizzazione |
DataLossPrevention |
Ruolo di prevenzione della perdita di dati | Questo tipo di ruolo è associato ai ruoli che consentono di creare e gestire i criteri di prevenzione della perdita di dati (DLP) e le regole al loro interno in un'organizzazione. | Organizzazione |
DatabaseAvailabilityGroups |
Ruolo Gruppi di disponibilità del database | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire i gruppi di disponibilità del database in un'organizzazione. Gli amministratori assegnati a questo ruolo sono direttamente o indirettamente gli amministratori di livello superiore responsabili per la configurazione a elevata disponibilità in un'organizzazione. | Organizzazione |
DatabaseCopies |
Ruolo Copie del database | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire le copie del database sui singoli server. | Server |
Databases |
Ruolo Database | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di creare, gestire, montare e smontare i database delle cassette postali sui singoli server. | Server |
DisasterRecovery |
Ruolo Ripristino di emergenza | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di ripristinare le cassette postali e i database delle cassette postali, creare database delle cassette postali ed eseguire il passaggio e il cambio per compatibilità dei centri dati per i gruppi di disponibilità del database in un'organizzazione. | Organizzazione |
DistributionGroups |
Ruolo di gruppi di distribuzione | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di creare e gestire gruppi di distribuzione e membri dei gruppi di distribuzione in un'organizzazione. | Organizzazione |
EdgeSubscriptions |
Ruolo Sottoscrizioni Edge | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire la sincronizzazione perimetrale e la configurazione della sottoscrizione tra i server Trasporto Edge di Exchange 2010 e i server Cassette postali di Exchange 2013 in un'organizzazione. | Organizzazione |
EmailAddressPolicies |
Ruolo Criteri degli indirizzi di posta elettronica | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire i criteri degli indirizzi di posta elettronica in un'organizzazione. | Organizzazione |
ExchangeConnectors |
Ruolo Connettori di Exchange | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di creare, modificare, visualizzare e rimuovere i connettori degli agenti di recapito. | Organizzazione |
ExchangeServerCertificates |
Ruolo Certificati server Exchange | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di creare, importare, esportare e gestire i certificati del server Exchange nei singoli server. | Server |
ExchangeServers |
Ruolo Server Exchange | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire la configurazione del server Exchange nei singoli server. | Server |
ExchangeVirtualDirectories |
Ruolo Directory virtuali di Exchange | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire Outlook Web App, Microsoft ActiveSync, rubrica offline (OAB), individuazione automatica, Windows PowerShell e directory virtuali dell'interfaccia di amministrazione di Exchange nei singoli server. | Server |
FederatedSharing |
Ruolo Condivisione federata | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire la condivisione tra foreste e tra organizzazioni in un'organizzazione. | Organizzazione |
InformationRightsManagement |
Ruolo Information Rights Management | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire le funzionalità di Information Rights Management (IRM) di Exchange in un'organizzazione. | Organizzazione |
Journaling |
Ruolo inserimento nel journal | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire la configurazione del journal in un'organizzazione. | Organizzazione |
LegalHold |
Ruolo Blocco a fini giudiziari | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di specificare se i dati all'interno di una cassetta postale devono essere conservati per eventuali controversie legali in un'organizzazione. | Organizzazione |
MailboxImportExport |
Ruolo di importazione\esportazione delle cassette postali | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di importare ed esportare il contenuto delle cassette postali e di eliminare da queste eventuali contenuti non desiderati. | Organizzazione |
MailboxSearch |
Ruolo Ricerca cassette postali | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di cercare il contenuto di una o più cassette postali in un'organizzazione. | Organizzazione |
MailboxSearchApplication |
Ruolo MailboxSearchApplication | Questo tipo di ruolo è associato ai ruoli che consentono alle applicazioni partner di impostare e visualizzare lo stato di conservazione a fini giudiziari di una cassetta postale in un'organizzazione. | Organizzazione |
MailEnabledPublicFolders |
Ruolo di cartelle pubbliche abilitate alla posta | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di stabilire se le singole cartelle pubbliche sono abilitate o disabilitate all'utilizzo della posta elettronica in un'organizzazione. Questo tipo di ruolo consente di gestire le proprietà di posta elettronica delle sole cartelle pubbliche. Non consente di gestire le proprietà delle cartelle pubbliche che non riguardano la posta elettronica. Per gestire le proprietà delle cartelle pubbliche che non sono proprietà di posta elettronica, è necessario assegnare un ruolo associato al PublicFolders tipo di ruolo. |
Organizzazione |
MailRecipientCreation |
Ruolo di creazione dei destinatari di posta | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di creare cassette postali, utenti di posta elettronica, contatti di posta, gruppi di distribuzione e gruppi di distribuzione dinamica in un'organizzazione. I ruoli associati a questo tipo di ruolo possono essere combinati con i ruoli associati al MailRecipients tipo di ruolo per consentire la creazione e la gestione dei destinatari. Questo tipo di ruolo non consente all'utente di abilitare le cartelle pubbliche alla posta. Per abilitare le cartelle pubbliche tramite posta elettronica, è necessario assegnare un ruolo associato al MailEnabledPublicFolders tipo di ruolo. Se l'organizzazione mantiene un modello di suddivisione delle autorizzazioni in cui la creazione del destinatario viene eseguita da un gruppo diverso dal gruppo che esegue la gestione dei destinatari, assegnare il MailRecipientCreation ruolo al gruppo che esegue la creazione del destinatario e il MailRecipients ruolo al gruppo che esegue la gestione dei destinatari. |
Organizzazione |
MailRecipients |
Ruolo destinatari di posta elettronica | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire cassette postali, utenti di posta, contatti di posta, gruppi di distribuzione e gruppi di distribuzione dinamica esistenti in un'organizzazione. I ruoli associati a questo tipo di ruolo non possono creare questi destinatari, ma possono essere combinati con i ruoli associati al MailRecipientCreation tipo di ruolo per abilitare la creazione e la gestione dei destinatari. Questo tipo di ruolo non consente all'utente di gestire le cartelle pubbliche abilitate alla posta o i gruppi di distribuzione. Per gestire le cartelle pubbliche abilitate per la posta elettronica, è necessario assegnare un ruolo associato al MailEnabledPublicFolders tipo di ruolo. Per gestire i gruppi di distribuzione, è necessario assegnare un ruolo associato al DistributionGroups tipo di ruolo. Se l'organizzazione mantiene un modello di suddivisione delle autorizzazioni in cui la creazione del destinatario viene eseguita da un gruppo diverso dal gruppo che esegue la gestione dei destinatari, assegnare il MailRecipientCreation ruolo al gruppo che esegue la creazione del destinatario e il MailRecipients ruolo al gruppo che esegue la gestione dei destinatari. |
Organizzazione |
MailTips |
Ruolo Suggerimenti posta elettronica | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire i suggerimenti per i messaggi in un'organizzazione. | Organizzazione |
MessageTracking |
Ruolo Verifica dei messaggi | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di tenere traccia dei messaggi in un'organizzazione. | Organizzazione |
Migration |
Ruolo Migrazione | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di eseguire la migrazione delle cassette postali e del contenuto delle cassette postali da o verso un server. | Server |
Monitoring |
Ruolo Monitoraggio | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di monitorare i servizi di Microsoft Exchange e la disponibilità dei componenti in un'organizzazione. Oltre agli amministratori, i ruoli associati a questo tipo di ruolo possono essere usati con l'account del servizio usato dalle applicazioni di monitoraggio per raccogliere informazioni sullo stato dei server Exchange. | Organizzazione |
MoveMailboxes |
Ruolo Sposta cassette postali | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di spostare le cassette postali tra i server di un'organizzazione e tra i server nell'organizzazione locale e in un'altra organizzazione. | Organizzazione |
OfficeExtensionApplication |
Ruolo OfficeExtensionApplication | Questo tipo di ruolo è associato ai ruoli che consentono alle applicazioni di estensione di Microsoft Office di accedere alle cassette postali utente in un'organizzazione. | Organizzazione |
OrgCustomApps |
Ruolo App personalizzate org | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di visualizzare e modificare le app personalizzate dell'organizzazione in un'organizzazione. | Organizzazione |
OrgMarketplaceApps |
Ruolo App Marketplace dell'org | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di visualizzare e modificare le app Marketplace dell'organizzazione in un'organizzazione. | Organizzazione |
OrganizationClientAccess |
Ruolo Accesso client organizzazione | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire le impostazioni del server Accesso client in un'organizzazione. | Organizzazione |
OrganizationConfiguration |
Ruolo Configurazione organizzazione | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire le impostazioni a livello di organizzazione in un'organizzazione. I tipi di configurazione dell'organizzazione che possono essere controllati con questo tipo di ruolo includono quanto segue e altro ancora:
Questo tipo di ruolo non include le autorizzazioni incluse nei |
Organizzazione |
OrganizationTransportSettings |
Ruolo Impostazioni trasporto organizzazione | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire le impostazioni di trasporto a livello di organizzazione, quali i messaggi di sistema, la configurazione del sito Active Directory e altre impostazioni di trasporto a livello di organizzazione in un'organizzazione. Questo ruolo non consente all'utente di creare o gestire connettori di trasporto di invio o di ricezione, code, elementi Hygiene, agenti, domini accettati e remoti o regole. Per creare o gestire tutte le funzionalità di trasporto, è necessario che all'utente siano assegnati i ruoli associati ai seguenti tipi di ruolo:
|
Organizzazione |
POP3AndIMAP4Protocols |
Ruolo Protocolli POP3 e IMAP4 | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire la configurazione POP3 e IMAP4, quali l'autenticazione e le impostazioni di connessione, sui singoli server. | Server |
PublicFolders |
Ruolo Cartelle pubbliche | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire le cartelle pubbliche in un'organizzazione. Questo tipo di ruolo non consente all'utente di gestire l'abilitazione delle cartelle pubbliche alla posta elettronica. Per abilitare o disabilitare una cartella pubblica, è necessario assegnare un ruolo associato al MailEnabledPublicFolders tipo di ruolo. |
Organizzazione |
ReceiveConnectors |
Ruolo connettori di ricezione | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire la configurazione del connettore di ricezione del trasporto, quali i limiti di dimensione su un singolo server. | Server |
RecipientPolicies |
Ruolo Criteri destinatario | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire i criteri relativi ai destinatari, quali i criteri di provisioning e dei dispositivi mobili, in un'organizzazione. | Organizzazione |
RemoteAndAcceptedDomains |
Ruolo di domini accettati e remoti | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire i domini accettati e remoti in un'organizzazione. | Organizzazione |
ResetPassword |
Ruolo Reimpostazione password | Questo tipo di ruolo è associato ai ruoli che consentono agli utenti di reimpostare le proprie password e agli amministratori di reimpostare le password degli utenti in un'organizzazione. | Organizzazione |
RetentionManagement |
Ruolo Gestione conservazione | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire i criteri di conservazione in un'organizzazione. | Organizzazione |
RoleManagement |
Ruolo Gestione dei ruoli | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire i gruppi di ruoli di gestione, i criteri di assegnazione dei ruoli, i ruoli di gestione, le voci di ruolo, le assegnazioni e gli ambiti in un'organizzazione. Gli utenti a cui sono stati assegnati i ruoli associati a questo tipo di ruolo possono sovrascrivere il gruppo di ruoli role group managed by, configurare qualsiasi gruppo di ruoli e aggiungere o rimuovere membri da un qualsiasi gruppo di ruoli. |
Organizzazione |
SecurityGroupCreationAndMembership |
Creazione gruppo di sicurezza e ruolo di appartenenza | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di creare e gestire gruppi di protezione universale e le relative appartenenze in un'organizzazione. Se l'organizzazione mantiene un modello di suddivisione delle autorizzazioni in cui la creazione e la gestione del gruppo di sicurezza di microsoft azure viene eseguita da un gruppo diverso rispetto al gruppo che gestisce i server Exchange, assegnare i ruoli associati a questo tipo di ruolo a tale gruppo. |
Organizzazione |
SendConnectors |
Ruolo connettori di invio | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire i connettori di invio del trasporto in un'organizzazione. | Organizzazione |
SupportDiagnostics |
Ruolo Diagnostica di supporto | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di eseguire una diagnostica avanzata seguendo le istruzioni del Servizio Supporto Tecnico Clienti Microsoft in un'organizzazione. Nota: i ruoli associati a questo tipo di ruolo concedono le autorizzazioni ai cmdlet e agli script che devono essere usati solo sotto la direzione del servizio clienti e del supporto tecnico Microsoft. |
Organizzazione |
TeamMailboxes |
Ruolo Cassette postali team | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di definire uno o più criteri di provisioning delle cassette postali del sito e di gestire le cassette postali del sito in un'organizzazione. Gli amministratori a cui sono assegnati ruoli associati a questo tipo di ruolo possono gestire cassette postali del sito che non sono di loro proprietà. | Organizzazione |
TeamMailboxLifecycleApplication |
Ruolo TeamMailboxLifecycleApplication | Questo tipo di ruolo è associato ai ruoli che consentono alle applicazioni partner di aggiornare gli stati del ciclo di vita delle cassette postali del sito in un'organizzazione. | Organizzazione |
TransportAgents |
Ruolo di agenti di trasporto | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire gli agenti di trasporto in un'organizzazione. | Organizzazione |
TransportHygiene |
Ruolo igiene di trasporto | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire le funzionalità di protezione dalla posta indesiderata e anti-malware in un'organizzazione. | Organizzazione |
TransportQueues |
Ruolo delle code di trasporto | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire le code di trasporto su un singolo server. | Server |
TransportRules |
Ruolo di regole di trasporto | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire le regole di trasporto in un'organizzazione. | Organizzazione |
UMMailboxes |
Ruolo cassette postali di messaggistica unificata | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire la configurazione di messaggistica unificata delle cassette postali e altri destinatari in un'organizzazione. | Organizzazione |
UMPrompts |
Ruolo di richieste di messaggistica unificata | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di creare e gestire istruzioni vocali di messaggistica unificata personalizzate in un'organizzazione. | Organizzazione |
UnifiedMessaging |
Ruolo Messaggistica unificata | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire i servizi di messaggistica unificata in un'organizzazione. Questo ruolo non consente all'utente di gestire la configurazione della cassetta postale specifica di messaggistica unificata o i prompt di messaggistica unificata. Per gestire la configurazione della cassetta postale specifica della messaggistica unificata, usare i ruoli associati al UMMailboxes tipo di ruolo. Per gestire i prompt di messaggistica unificata, usare i ruoli associati al UMPrompts tipo di ruolo. |
Organizzazione |
UnScopedRoleManagement |
Ruolo Gestione ruoli senza ambito | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di creare e gestire ruoli di gestione di primo livello senza ambito in un'organizzazione. | Organizzazione |
UserOptions |
Ruolo Opzioni utente | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di visualizzare le opzioni di Outlook Web App di un utente in un'organizzazione. I ruoli associati a questo tipo di ruolo possono essere utilizzati per aiutare l'utente a risolvere i problemi di diagnostica riscontrati nella configurazione. | Organizzazione |
UserApplication |
Ruolo UserApplication | Questo tipo di ruolo è associato ai ruoli che consentono alle applicazioni partner di agire per conto degli utenti finali in un'organizzazione. | Organizzazione |
ViewOnlyAuditLogs |
Ruolo dei log di controllo con diritti di sola visualizzazione | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di eseguire delle ricerche nel registro di controllo in un'organizzazione. | Organizzazione |
ViewOnlyConfiguration |
Ruolo Configurazione di sola lettura | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di visualizzare tutte le impostazioni di configurazione di Exchange non destinatari in un'organizzazione. Esempi di configurazioni visualizzabili sono la configurazione del server, la configurazione di trasporto, la configurazione del database e la configurazione a livello dell'organizzazione. I ruoli associati a questo tipo di ruolo possono essere combinati con i ruoli associati al ViewOnlyRecipients tipo di ruolo per creare un ruolo in grado di visualizzare ogni oggetto in un'organizzazione. |
Organizzazione |
ViewOnlyRecipients |
Ruolo Destinatari di sola lettura | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di visualizzare la configurazione dei destinatari, quali cassette postali, utenti di posta, contatti di posta, gruppi di distribuzione e gruppi di distribuzione dinamica. I ruoli associati a questo tipo di ruolo possono essere combinati con i ruoli associati al ViewOnlyConfiguration tipo di ruolo per creare un ruolo in grado di visualizzare ogni oggetto nell'organizzazione. |
Organizzazione |
WorkloadManagement |
Ruolo WorkloadManagement | Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire i criteri di gestione del carico di lavoro in un'organizzazione. Gli amministratori possono configurare le definizioni di integrità delle risorse e le classificazioni dei carichi di lavoro, nonché abilitare o disabilitare la gestione dei carichi di lavoro. | Organizzazione |
Nella tabella che segue sono elencati tutti i tipi di ruoli di gestione orientati all'utente e i corrispondenti ruoli di gestione incorporati in Exchange 2013.
| Tipo di ruolo di gestione | Ruoli orientati all'utente incorporati | Descrizione |
|---|---|---|
MyBaseOptions |
Ruolo MyBaseOptions | Questo tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di visualizzare e modificare la configurazione di base delle relative cassette postali e impostazioni associate. |
MyContactInformation |
Ruolo MyAddressInformation Ruolo MyContactInformation Ruolo MyMobileInformation Ruolo MyPersonalInformation |
Questo tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di modificare le proprie informazioni di contatto. Queste informazioni includono i relativi indirizzi e numeri di telefono. |
MyCustomApps |
Ruolo App personalizzate | Questo tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di visualizzare e modificare le relative app personalizzate. |
MyDiagnostics |
Ruolo MyDiagnostics | Il tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di eseguire la diagnostica di base sulle cassette postali, ad esempio recuperando le informazioni di diagnostica del calendario. |
MyDistributionGroupMembership |
Ruolo MyDistributionGroupMembership | Questo tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di visualizzare e modificare la propria appartenenza ai gruppi di distribuzione in un'organizzazione, purché tali gruppi di distribuzione consentano la manipolazione dell'appartenenza al gruppo. |
MyDistributionGroups |
Ruolo MyDistributionGroups | Questo tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di creare, modificare e visualizzare i gruppi di distribuzione e di modificare, visualizzare, rimuovere e aggiungere membri ai gruppi di distribuzione di loro proprietà. |
MyProfileInformation |
Ruolo MyDisplayName Ruolo MyName Ruolo MyProfileInformation |
Questo tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di modificare il proprio nome. |
MyMarketplaceApps |
Ruolo App Marketplace personali | Questo tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di visualizzare e modificare le relative app Marketplace. |
MyRetentionPolicies |
Ruolo MyRetentionPolicies | Questo tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di visualizzare i relativi tag di conservazione e di visualizzarne e modificarne le impostazioni e i valori predefiniti. |
MyTeamMailboxes |
Ruolo MyTeamMailbox | Questo tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di creare cassette postali del sito e connetterle ai siti Microsoft SharePoint. |
MyTextMessaging |
Ruolo MyTextMessaging | Questo tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di creare, visualizzare e modificare le relative impostazioni per la messaggistica di testo. |
MyVoiceMail |
Ruolo MyVoiceMail | Questo tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di visualizzare e modificare le relative impostazioni di posta vocale. |