Condividi tramite


Informazioni sulle assegnazioni del ruolo di gestione

Si applica a: Exchange Server 2010

Ultima modifica dell'argomento: 2009-10-14

Un'assegnazione del ruolo di gestione, che fa parte del modello di autorizzazioni Controllo di accesso basato sui ruoli (RBAC) in Microsoft Exchange Server 2010, indica il collegamento tra un ruolo di gestione e un assegnatario di ruolo. Un assegnatario di ruolo indica un gruppo di ruolo, un criterio di assegnazione dei ruoli, un utente o un gruppo di protezione universale. Un ruolo deve essere associato a un assegnatario per essere applicato. Per ulteriori informazioni su RBAC, vedere Informazioni sul controllo di accesso basato sui ruoli.

In questo argomento viene descritta l'assegnazione dei ruoli a gruppi di ruolo e a criteri di assegnazione dei ruoli e l'assegnazione diretta dei ruoli a utenti e a gruppi di protezione universale. Non viene descritta l'assegnazione dei gruppi di ruolo o dei criteri di assegnazione dei ruoli agli utenti. Per ulteriori informazioni sui gruppi di ruolo e i criteri di assegnazione dei ruoli, che costituiscono il metodo consigliato per assegnare le autorizzazioni agli utenti, vedere i seguenti argomenti:

È possibile creare i seguenti tipi di assegnazioni di ruolo, che vengono descritti in dettaglio più avanti in questo argomento:

  • Assegnazioni di ruolo regolari e di delega
  • Assegnazioni di ruolo esclusive

Assegnazioni del ruolo di gestione

Quando le assegnazioni di ruolo vengono modificate, le modifiche apportate riguarderanno probabilmente i gruppi di ruolo e i criteri di assegnazione dei ruoli. Aggiungendo, rimuovendo o modificando le assegnazioni di ruolo di questi assegnatari, è possibile controllare le autorizzazioni fornite agli amministratori e agli utenti, in pratica attivando o disattivando la gestione delle relative funzionalità.

È inoltre possibile assegnare i ruoli direttamente agli utenti o ai gruppi di protezione universale. Si tratta di un'attività più avanzata che consente di definire più precisamente le autorizzazioni fornite agli utenti. Sebbene fornisca flessibilità, aumenta anche la complessità del modello di autorizzazioni. Ad esempio, se l'utente modifica i processi, potrebbe essere necessario assegnare di nuovo manualmente a un altro utente i ruoli associati a tale utente. Per questo motivo si consiglia di utilizzare i gruppi di ruolo e i criteri di assegnazione dei ruoli per fornire le autorizzazioni agli utenti. È possibile assegnare i ruoli a un gruppo di ruolo o a un criterio di assegnazione dei ruoli, quindi aggiungere o rimuovere semplicemente i membri del gruppo di ruolo o modificare i criteri di assegnazione dei ruoli in base alle esigenze.

È possibile aggiungere, rimuovere e abilitare le assegnazioni di ruolo, modificare l'ambito di gestione per un'assegnazione di ruolo esistente e spostare le assegnazioni di ruolo ad altri assegnatari di ruolo. Il processo di assegnazione dei ruoli a gruppi di ruolo, criteri di assegnazione dei ruoli, utenti e gruppi di protezione universale è in gran parte lo stesso per ogni assegnatario di ruolo. Le uniche eccezioni sono:

  • Ai criteri di assegnazione dei ruoli possono essere assegnati solo ruoli di gestione di utenti finali.
  • Ai criteri di assegnazione dei ruoli non possono essere associate assegnazioni del ruolo di delega.
  • Durante la creazione di un'assegnazione di ruolo ai criteri di assegnazione dei ruoli, non è possibile specificare un ambito di gestione.

Per ulteriori informazioni sulla gestione delle assegnazioni di ruolo, vedere i seguenti argomenti:

Assegnazioni di ruolo regolari e di delega

Le assegnazioni di ruolo regolari consentono all'assegnatario di accedere alle voci del ruolo di gestione rese disponibili dal ruolo di gestione associato. Se più ruoli di gestione vengono associati a un assegnatario, le voci del ruolo di gestione per ogni ruolo vengono aggregate e applicate. Ciò significa che, se a un assegnatario di ruolo vengono associati i ruoli Regole di trasporto e Inserimento nel journal, i ruoli vengono combinati e tutte le voci associate del ruolo di gestione vengono fornite all'assegnatario. Se l'assegnatario è un gruppo di ruolo o un criterio di assegnazione dei ruoli, le autorizzazioni previste dai ruoli vengono poi fornite agli utenti assegnati al gruppo di ruolo o al criterio di assegnazione dei ruoli. Per ulteriori informazioni sui ruoli di gestione e sulle voci di ruolo, vedere Informazioni sui ruoli di gestione.

Le assegnazioni del ruolo di delega non consentono la gestione delle funzionalità. Le assegnazioni del ruolo di delega consentono a un assegnatario di associare il ruolo specificato ad altri assegnatari. Se l'assegnatario è un gruppo di ruolo, tutti i membri del gruppo possono associare il ruolo a un altro assegnatario. Per impostazione predefinita, solo il gruppo di ruolo Gestione organizzazione può associare i ruoli ad altri assegnatari. Solo gli utenti che hanno installato Exchange 2010 sono membri del gruppo di ruolo Gestione organizzazione per impostazione predefinita. È comunque possibile aggiungere altri utenti a questo gruppo di ruolo o crearne altri con assegnazioni del ruolo di delega.

Nota

Le assegnazioni del ruolo di delega consentono agli assegnatari di delegare i ruoli di gestione ad altri assegnatari. Ciò non consente agli utenti di delegare i gruppi di ruolo. Per ulteriori informazioni sulla delega dei gruppi di ruolo, vedere Informazioni sui gruppi del ruolo di gestione.

Se si desidera consentire a un utente di gestire una funzionalità e di assegnare ad altri utenti il ruolo che fornisce le autorizzazioni per l'utilizzo della funzionalità, assegnare:

  1. Un'assegnazione di ruolo regolare per ogni ruolo di gestione che garantisce l'accesso alle funzionalità da gestire.
  2. Un'assegnazione del ruolo di delega per ogni ruolo di gestione che si possono associare ad altri assegnatari.

Le assegnazioni del ruolo regolari e di delega per un assegnatario non devono essere identiche. Ad esempio, un utente è membro di un gruppo di ruolo assegnato al ruolo Regole di trasporto utilizzando un'assegnazione di ruolo regolare. In questo modo l'utente può gestire la funzionalità Regole di trasporto. Tuttavia, all'utente non è stata associata un'assegnazione del ruolo di delega per il ruolo Regole di trasporto, pertanto non può associare questo ruolo ad altri utenti. Comunque, l'utente è membro di un gruppo di ruolo assegnato al ruolo di gestione Inserimento nel journal utilizzando un'assegnazione del ruolo di delega. Il gruppo di ruolo di cui è membro l'utente non dispone di un'assegnazione di ruolo regolare per il ruolo Inserimento nel journal, ma, siccome dispone invece di un'assegnazione del ruolo di delega, l'utente può associare il ruolo ad altri assegnatari.

Ambiti di gestione

Quando si crea un'assegnazione del ruolo di gestione regolare o di delega, è possibile creare l'assegnazione con un ambito di gestione per limitare gli oggetti manipolabili dall'utente. Ciò significa che è possibile segmentare la gestione del server o degli oggetti destinatario dell'organizzazione. Ad esempio, gli amministratori di Vancouver possono gestire solo i destinatari dello stesso ufficio o gli amministratori di Sydney possono gestire solo i server del loro sito di Active Directory. Gli ambiti consentono di assegnare le autorizzazioni ai gruppi di utenti con maggiore granularità per individuare dove questi amministratori possono eseguire le loro attività. Ciò consente di creare un modello di autorizzazioni associato ai limiti geografici o dell'organizzazione.

È possibile creare un'assegnazione con un ambito predefinito o aggiungere un ambito personalizzato. Gli ambiti predefiniti, come limitare un utente solo alla propria cassetta postale o ai gruppi di distribuzione, possono essere applicati utilizzando le opzioni disponibili sull'assegnazione stessa. In alternativa, è possibile creare un ambito personalizzato e aggiungerlo all'assegnazione di ruolo. Se si specifica un ambito personalizzato, si ottiene un livello più alto di granularità oltre cui gli oggetti vengono inclusi nell'ambito. Non è possibile specificare gli ambiti predefiniti e personalizzati nella stessa assegnazione. Non è inoltre possibile combinare gli ambiti esclusivi e regolari nella stessa assegnazione. Senza un ambito personalizzato o predefinito, le assegnazioni di ruolo vengono limitate agli ambiti impliciti del ruolo associato. Per ulteriori informazioni sugli ambiti, vedere Informazioni sugli ambiti del ruolo di gestione.

Assegnazioni di ruolo esclusive

Le assegnazioni di ruolo esclusive vengono create quando si associa un ambito esclusivo a un'assegnazione di ruolo. Gli ambiti esclusivi agiscono come gli ambiti regolari e consentono agli assegnatari di ruolo di gestire i destinatari corrispondenti all'ambito esclusivo. Tuttavia, diversamente dagli ambiti regolari, a tutti gli altri assegnatari viene negata la possibilità di gestire i destinatari, anche se corrispondono agli ambiti applicati alle assegnazioni di ruolo. Ciò può risultare utile quando si desidera consentire la gestione di un destinatario solo a pochi amministratori. Solo questi specifici amministratori possono gestire il destinatario: a tutti gli altri amministratori viene negato l'accesso.

Ad esempio, si consideri quanto segue:

  • John è un dirigente di Contoso. La sua cassetta postale corrisponde all'ambito esclusivo denominato VIP Users, associato all'assegnazione esclusiva VIP Restricted.
  • La cassetta postale di John viene inclusa anche nell'ambito regolare denominato Redmond Users, associato all'assegnazione regolare Redmond Administration.
  • Bill è un amministratore associato all'assegnazione esclusiva VIP Restricted.
  • Chris è un amministratore associato all'assegnazione regolare Redmond Administration.

Dato che la cassetta postale di John corrisponde all'ambito esclusivo VIP Users, solo Bill può gestire la sua cassetta postale. Anche se la cassetta postale di John corrisponde anche all'ambito regolare Redmond Users, Chris non è associato all'assegnazione esclusiva VIP Restricted. Di conseguenza, Exchange nega a Chris la possibilità di gestire la cassetta postale di John. Per gestire la cassetta postale di John, Chris deve essere associato a un'assegnazione esclusiva con un ambito esclusivo corrispondente alla cassetta postale di John.

Per ulteriori informazioni, vedere Informazioni sugli ambiti del ruolo di gestione.