autorizzazioni Exchange Server
Microsoft Exchange Server include un ampio set di autorizzazioni predefinite, in base al modello di autorizzazioni RBAC (Role Based Controllo di accesso), che è possibile usare immediatamente per concedere facilmente le autorizzazioni agli amministratori e agli utenti. È possibile usare le funzionalità di autorizzazioni in Exchange Server in modo da poter mettere in funzione rapidamente la nuova organizzazione.
Nota
La disabilitazione dell'ereditarietà delle autorizzazioni negli oggetti Active Directory (AD), in un dominio di Active Directory preparato per ospitare Exchange, non è supportata. La rimozione delle autorizzazioni correlate a Exchange per gli oggetti AD causerà l'interruzione delle attività e delle funzioni di Exchange o potrebbe causare problemi sconosciuti.
Autorizzazioni basate sui ruoli
In Exchange Server le autorizzazioni concesse agli amministratori e agli utenti si basano sui ruoli di gestione. Un ruolo definisce l'insieme di attività che un amministratore o un utente sono in grado di eseguire. Ad esempio, un ruolo di gestione denominato Mail Recipients definisce le attività che un utente può eseguire in un set di cassette postali, contatti e gruppi di distribuzione. Quando viene assegnato un ruolo a un amministratore o a un utente, alla persona vengono concesse le autorizzazioni fornite dal ruolo.
Esistono due tipi di ruoli, ovvero ruoli amministrativi e ruoli dell'utente finale:
Ruoli amministrativi: questi ruoli contengono autorizzazioni che possono essere assegnate agli amministratori o agli utenti specializzati usando gruppi di ruoli che gestiscono una parte dell'organizzazione di Exchange, ad esempio destinatari, server o database.
Ruoli dell'utente finale: questi ruoli, assegnati usando i criteri di assegnazione dei ruoli, consentono agli utenti di gestire gli aspetti della cassetta postale e dei gruppi di distribuzione di cui sono proprietari. I ruoli dell'utente finale iniziano con il prefisso
My.
Quando i ruoli vengono assegnati agli amministratori e agli utenti, vengono loro concesse le autorizzazioni per eseguire le attività rendendo disponibili i cmdlet. Poiché l'interfaccia di amministrazione di Exchange (EAC) e Exchange Management Shell usano i cmdlet per gestire Exchange, concedere l'accesso a un cmdlet consente all'amministratore o all'utente di eseguire l'attività in ognuna delle interfacce di gestione di Exchange.
Gruppi di ruoli e criteri dell'assegnazione di ruoli
I ruoli concedono le autorizzazioni per eseguire attività in Exchange Server, ma è necessario un modo semplice per assegnare i ruoli ad amministratori e utenti. Exchange Server offre i metodi seguenti per semplificare questa operazione:
Gruppi di ruoli: i gruppi di ruoli consentono di concedere autorizzazioni agli amministratori e agli utenti specializzati.
Criteri di assegnazione di ruolo: i criteri di assegnazione di ruolo consentono di concedere agli utenti finali le autorizzazioni per modificare le impostazioni della cassetta postale o dei gruppi di distribuzione di cui sono proprietari.
Per ulteriori informazioni sui gruppi di ruoli e sui criteri di assegnazione dei ruoli, vedere le seguenti sezioni.
Gruppi di ruoli
A ogni amministratore che gestisce Exchange Server deve essere assegnato almeno uno o più ruoli. Gli amministratori possono avere più di un ruolo perché possono eseguire funzioni di processo che si estendono su più aree in Exchange. Ad esempio, un amministratore potrebbe gestire sia i destinatari che i server Exchange. In questo caso, a tale amministratore potrebbero essere assegnati entrambi i Mail Recipients ruoli e Exchange Servers .
Per semplificare l'assegnazione di più ruoli a un amministratore, Exchange Server include i gruppi di ruoli. I gruppi di ruoli sono gruppi di sicurezza universali speciali usati da Exchange Server che possono contenere utenti di Active Directory, gruppi di sicurezza dell'utente e altri gruppi di ruoli. Quando viene assegnato un ruolo a un gruppo di ruoli, le autorizzazioni concesse dal ruolo vengono estese a tutti i membri del gruppo di ruoli. Questa funzionalità consente di assegnare molti ruoli a molti membri del gruppo di ruoli contemporaneamente. I gruppi di ruoli riguardano in genere aree di gestione più ampie, ad esempio la gestione dei destinatari. Vengono usati solo con i ruoli amministrativi e non con i ruoli dell'utente finale.
Nota
È possibile assegnare un ruolo direttamente a un utente o a un gruppo di protezione universale (USG) senza utilizzare un gruppo di ruolo. Questo metodo di assegnazione di ruolo, tuttavia, è una procedura avanzata che non viene affrontata in questo argomento. Si consiglia di utilizzare i gruppi di ruoli per gestire le autorizzazioni.
Nella figura che segue viene mostrata la relazione tra utenti, gruppi di ruoli e ruoli.
Ruoli, gruppi di ruoli e membri del gruppo di ruoli
Exchange Server include diversi gruppi di ruoli predefiniti, ognuno dei quali fornisce le autorizzazioni per gestire aree specifiche in Exchange Server. Alcuni gruppi di ruolo possono sovrapporsi ad altri. Nella tabella seguente i gruppi di ruolo vengono elencati singolarmente con relativa descrizione dell'utilizzo. Per visualizzare i ruoli assegnati a ogni gruppo di ruoli, fare clic sul nome del gruppo di ruoli nella colonna "Gruppo di ruoli" e quindi passare alla sezione "Ruoli di gestione assegnati a questo gruppo di ruoli".
Importante
Se un amministratore è membro di più gruppi di ruoli, Exchange Server concede all'amministratore tutte le autorizzazioni fornite da tali gruppi di ruoli.
Gruppi di ruoli incorporati
| Gruppo di ruolo | Descrizione |
|---|---|
| Gestione organizzazione | Gli amministratori membri del gruppo di ruoli Gestione organizzazione hanno accesso amministrativo all'intera organizzazione Exchange Server e possono eseguire quasi tutte le attività su qualsiasi oggetto Exchange Server, con alcune eccezioni, ad esempio il Discovery Management ruolo. Importante: poiché il gruppo di ruoli Gestione organizzazione è un ruolo potente, solo gli utenti o gli USG che eseguono attività amministrative a livello di organizzazione che possono potenzialmente influire sull'intera organizzazione di Exchange devono essere membri di questo gruppo di ruoli. |
| View-Only Organization Management | Gli amministratori membri del gruppo di ruolo Gestione organizzazione sola visualizzazione possono visualizzare le proprietà di qualsiasi oggetto nell'organizzazione di Exchange. |
| Gestione destinatari | Gli amministratori membri del gruppo di ruoli Gestione destinatari hanno accesso amministrativo per creare o modificare i destinatari Exchange Server all'interno dell'organizzazione Exchange Server. |
| UM Management | Gli amministratori membri del gruppo di ruolo Gestione messaggistica unificata possono gestire le funzionalità nell'organizzazione di Exchange, ad esempio la configurazione del servizio Messaggistica unificata, le proprietà di messaggistica unificata sulle cassette postali, i prompt di messaggistica unificata e la configurazione dell'operatore automatico di messaggistica unificata. Nota: la messaggistica unificata non è disponibile in Exchange 2019. |
| Assistenza | Per impostazione predefinita, il gruppo di ruoli help desk consente ai membri di visualizzare e modificare le opzioni "Outlook sul web" (in precedenza note come Outlook Web App) di qualsiasi utente dell'organizzazione. Queste opzioni potrebbero includere la modifica del nome visualizzato, dell'indirizzo e del numero telefonico. Queste opzioni non includono opzioni non disponibili nelle opzioni "Outlook sul web", ad esempio la modifica delle dimensioni di una cassetta postale o la configurazione del database delle cassette postali in cui si trova una cassetta postale. |
| Gestione di Hygiene | Gli amministratori membri del gruppo di ruoli Gestione igiene possono configurare le funzionalità antivirus e antispam di Exchange Server. I programmi di terze parti che si integrano con Exchange Server possono aggiungere account di servizio a questo gruppo di ruoli per concedere a tali programmi l'accesso ai cmdlet necessari per recuperare e configurare la configurazione di Exchange. |
| Gestione record | Gli utenti membri del gruppo di ruoli Gestione record possono configurare le funzionalità di conformità, ad esempio i tag dei criteri di conservazione, le classificazioni dei messaggi e le regole del flusso di posta (note anche come regole di trasporto). |
| Gestione individuazione | Gli amministratori o gli utenti membri del gruppo di ruoli Gestione individuazione possono eseguire ricerche di dati nelle cassette postali nell'organizzazione di Exchange per i dati che soddisfano criteri specifici e possono anche configurare blocchi legali nelle cassette postali. |
| Gestione cartelle pubbliche | Gli amministratori membri del gruppo di ruoli Gestione cartelle pubbliche possono gestire le cartelle pubbliche nei server che eseguono Exchange Server. |
| Gestione server | Gli amministartori membri del gruppo di ruolo Gestione server possono eseguire la configurazione specifica del server delle funzionalità relative al trasporto, alla messaggistica unificata, all'accesso client e alle cassette postali come, ad esempio, copie del database, certificati, code di trasporto, connettori di invio, directory virtuali e protocolli per l'accesso client. Nota: la messaggistica unificata non è disponibile in Exchange 2019. |
| Installazione delegata | Gli amministratori membri del gruppo di ruoli Configurazione delegata possono distribuire i server che eseguono Exchange Server precedentemente sottoposti a provisioning da un membro del gruppo di ruoli Gestione organizzazione. |
| Gestione della conformità | Gli utenti membri del gruppo di ruoli Gestione conformità possono configurare e gestire le impostazioni di conformità di Exchange in base ai criteri dell'organizzazione. |
Se si lavora in una piccola organizzazione con pochi amministratori, è possibile usare solo il gruppo di ruoli Gestione organizzazione e nessuno degli altri gruppi di ruoli. Se si lavora in un'organizzazione di dimensioni maggiori, è possibile che siano presenti amministratori che eseguono attività specifiche che amministrano Exchange, ad esempio la gestione dei destinatari o del server. In questi casi, è possibile aggiungere un amministratore al gruppo di ruoli Gestione destinatari e un altro amministratore al gruppo di ruoli Gestione server. Questi amministratori possono quindi gestire le aree specifiche di Exchange Server, ma non avranno le autorizzazioni per gestire le aree di cui non sono responsabili.
Se non è possibile trovare un gruppo di ruoli predefinito adatto ai processi che gli amministratori devono eseguire, è possibile creare gruppi di ruoli e aggiungervi ruoli. Per ulteriori informazioni, vedere Utilizzo dei gruppi di ruoli più avanti in questo argomento.
Criteri di assegnazione dei ruoli
Exchange Server fornisce criteri di assegnazione dei ruoli in modo da poter controllare le impostazioni che gli utenti possono configurare nelle cassette postali e nei gruppi di distribuzione di cui sono proprietari. Tali impostazioni includono il nome visualizzato, le informazioni di contatto, le impostazioni del sistema di caselle vocali e l'appartenenza a gruppi di distribuzione.
L'organizzazione Exchange Server può avere più criteri di assegnazione di ruolo che forniscono livelli diversi di autorizzazioni per i diversi tipi di utenti nelle organizzazioni. Ad alcuni utenti può essere consentito modificare l'indirizzo o creare gruppi di distribuzione, mentre altri no. Tutto dipende dai criteri di assegnazione dei ruoli associati alla cassetta postale. I criteri dell'assegnazione di ruolo vengono aggiunti direttamente alle cassette postali e ogni cassetta postale può essere associata solo a un criterio dell'assegnazione di ruolo alla volta.
Tra i criteri dell'assegnazione di ruolo dell'organizzazione, uno è contrassegnato come predefinito. Il criterio dell'assegnazione di ruolo predefinito è associato a nuove cassette postali a cui non è stato assegnato esplicitamente un criterio specifico di assegnazione del ruolo al momento della creazione. Il criterio dell'assegnazione di ruolo predefinito deve contenere le autorizzazioni da applicare alla maggior parte delle cassette postali.
Le autorizzazioni vengono aggiunte ai criteri dell'assegnazione di ruolo utilizzando i ruoli dell'utente finale. I ruoli dell'utente finale iniziano con My e concedono agli utenti le autorizzazioni per gestire solo la cassetta postale o i gruppi di distribuzione di cui sono proprietari. Non possono essere utilizzati per gestire altre cassette postali. Solo i ruoli dell'utente finale possono essere assegnati ai criteri dell'assegnazione di ruolo.
Quando a un utente finale viene assegnato un criterio dell'assegnazione di ruolo, tutte le cassette postali associate a quel ruolo ricevono le autorizzazioni concesse dal ruolo. È pertanto possibile aggiungere o rimuovere autorizzazioni per set di utenti senza dover configurare singole cassette postali. Nella figura seguente viene illustrato quanto segue:
I ruoli dell'utente finale vengono assegnati ai criteri dell'assegnazione di ruolo. I criteri dell'assegnazione di ruolo possono condividere gli stessi ruoli dell'utente finale.
I criteri dell'assegnazione di ruolo sono associati alle cassette postali. Ogni cassetta postale può essere associata a un solo criterio dell'assegnazione di ruolo.
Una volta associata una cassetta postale a un criterio dell'assegnazione di ruolo, i ruoli dell'utente finale vengono applicati alla cassetta postale. Le autorizzazioni concesse dai ruoli vengono concesse all'utente della cassetta postale.
Ruoli, criteri dell'assegnazione di ruolo e cassette postali
I criteri di assegnazione di ruolo predefiniti sono inclusi in Exchange Server. Come suggerisce il nome, si tratta del criterio di assegnazione dei ruoli predefinito. Per modificare le autorizzazioni fornite da questo criterio dell'assegnazione di ruolo o per creare criteri dell'assegnazione di ruolo, vedere Utilizzo dei criteri di assegnazione dei ruoli più avanti in questo argomento.
Utilizzo dei gruppi di ruoli
Per gestire le autorizzazioni usando i gruppi di ruoli in Exchange Server, è consigliabile usare l'interfaccia di amministrazione di Exchange. Quando si utilizza EAC per gestire i gruppi di ruoli, è possibile aggiungere e rimuovere ruoli e membri, creare gruppi di ruoli e copiare gruppi di ruoli con poche operazioni del mouse. EAC offre finestre di dialogo semplici, come la finestra di dialogo nuovo gruppo di ruoli, mostrata nella figura seguente, per eseguire tali attività.
Finestra di dialogo Nuovo gruppo di ruoli in Stima al completamento
Se nessuno dei gruppi di ruoli inclusi in Exchange Server dispone delle autorizzazioni necessarie, è possibile usare EAC per creare un gruppo di ruoli e aggiungere i ruoli con le autorizzazioni necessarie. Per il nuovo gruppo di ruoli, è necessario:
Scegliere un nome.
Selezionare i ruoli da aggiungere.
Aggiungere membri.
Salvalo.
Una volta creato il gruppo di ruoli, è possibile gestirlo come qualsiasi altro gruppo.
Se è presente un gruppo di ruoli che dispone di alcune, ma non di tutte le autorizzazioni necessarie, è possibile copiarlo e modificarlo per creare un gruppo di ruoli. La copia di un gruppo di ruoli esistente consente di apportare modifiche senza influire sul gruppo di ruoli originale. Durante la copia del gruppo di ruoli, è possibile aggiungere un nuovo nome e la descrizione, aggiungere e rimuovere ruoli dal nuovo gruppo di ruoli e aggiungere nuovi membri. Quando si crea o si copia un gruppo di ruoli, viene utilizzata la stessa finestra di dialogo visualizzata nella figura precedente.
È possibile modificare anche gruppi di ruoli esistenti. È possibile aggiungere e rimuovere ruoli da gruppi di ruoli esistenti e aggiungere e rimuovere membri contemporaneamente, utilizzando una finestra di dialogo di EAC simile a quella riportata nella figura precedente. Aggiungendo o rimuovendo ruoli da gruppi di ruoli, vengono attivate e disattivate le funzionalità amministrative dei membri del gruppo di ruoli.
Nota
Anche se è possibile determinare quali ruoli sono assegnati ai gruppi di ruoli predefiniti, è consigliabile copiare i gruppi di ruoli predefiniti, modificare la copia del gruppo di ruoli e quindi aggiungere membri alla copia del gruppo di ruoli.
Utilizzo dei criteri di assegnazione dei ruoli
Per gestire le autorizzazioni concesse agli utenti finali per gestire la propria cassetta postale in Exchange Server, è consigliabile usare EAC. Quando si utilizza EAC per la gestione delle autorizzazioni degli utenti finali, è possibile aggiungere, rimuovere i ruoli e creare criteri di assegnazione dei ruoli con poche operazioni del mouse. L'Interfaccia di amministrazione di Exchange offre finestre di dialogo semplici, come la finestra di dialogo criterio di assegnazione dei ruoli, mostrata nella figura seguente, per eseguire tali attività.
Finestra di dialogo dei criteri di assegnazione dei ruoli in Stima al completamento
Exchange Server include un criterio di assegnazione di ruolo denominato Default Role Assignment Policy.Exchange Server include un criterio di assegnazione di ruolo denominato Default Role Assignment Policy. Questo criterio di assegnazione del ruolo consente agli utenti con cassette postali associate al criterio di effettuare le seguenti operazioni:
Unirsi ai gruppi di distribuzione che consentono ai membri di gestire la propria appartenenza o abbandonarli.
Visualizzare e modificare le impostazioni di base della propria cassetta postale, ad esempio le regole di Posta in arrivo, il comportamento ortografico, le impostazioni della posta indesiderata e i dispositivi Microsoft ActiveSync.
Modificare le informazioni di contatto, quali indirizzo e numero di telefono dell'ufficio, numero di cellulare e del cercapersone.
Creare, modificare o visualizzare le impostazioni dei messaggi di testo.
Visualizzare o modificare le impostazioni della casella vocale.
Visualizzare e modificare le applicazioni del marketplace.
Creare cassette postali di team e collegarle agli elenchi di Microsoft SharePoint.
Per aggiungere o rimuovere le autorizzazioni dal Criterio predefinito di assegnazione dei ruoli o da un qualsiasi altro criterio di assegnazione del ruolo, è possibile utilizzare EAC. Quando si apre il criterio di assegnazione di ruolo nell'interfaccia di amministrazione di Exchange, selezionare la casella di controllo accanto ai ruoli a cui si vuole assegnare o deselezionare la casella di controllo accanto ai ruoli da rimuovere. Le modifiche apportate al criterio di assegnazione del ruolo vengono applicate a ogni cassetta postale associata.
Per assegnare autorizzazioni dell'utente finale diverse ai vari tipi di utenti dell'organizzazione, è possibile creare criteri di assegnazione dei ruoli. È possibile specificare un nuovo nome per il criterio di assegnazione del ruolo, quindi selezionare i ruoli da assegnare al criterio. Una volta creato un criterio di assegnazione del ruolo, è possibile associarlo alle cassette postali utilizzando EAC.
Se si vuole determinare quale criterio di assegnazione di ruolo è l'impostazione predefinita, è necessario usare Exchange Management Shell. Quando viene cambiato il criterio di assegnazione del ruolo predefinito, le cassette postali che vengono create saranno associate al nuovo criterio di assegnazione del ruolo predefinito, se esplicitamente specificato. Il criterio di assegnazione del ruolo associato alle cassette postali esistenti non viene modificato quando si seleziona un nuovo criterio di assegnazione del ruolo predefinito.
Note:
Se si seleziona una casella di controllo per un ruolo con ruoli figlio, vengono selezionate anche le caselle di controllo per i ruoli figlio. Se si deseleziona la casella di controllo per un ruolo con ruoli figlio, vengono deselezionate anche le caselle di controllo per i ruoli figlio.
Per la procedura dettagliata relativa alla creazione dei criteri di assegnazione del ruolo o alla modifica dei criteri di assegnazione del ruolo esistente, vedere gli argomenti indicati di seguito: