Condividi tramite


Informazioni sugli ambiti del ruolo di gestione

Si applica a: Exchange Server 2010

Ultima modifica dell'argomento: 2009-10-14

Gli ambiti dei ruoli di gestione consentono di definire lo specifico ambito di impatto o influenza di un ruolo di gestione quando viene creata un'assegnazione dei ruoli di gestione. Quando si applica un ambito, l'assegnatario dei ruoli può modificare solo gli oggetti contenuti all'interno di quell'ambito. Un assegnatario dei ruoli può indicare un gruppo dei ruoli di gestione, un ruolo di gestione, un criterio di assegnazione dei ruoli di gestione, un utente o un gruppo di protezione universale. Per ulteriori informazioni sui ruoli di gestione, vedere Informazioni sul controllo di accesso basato sui ruoli.

Ogni ruolo di gestione, che sia incorporato o personalizzato, dispone di ambiti di gestione. Gli ambiti di gestione possono essere:

  • Normale   Un ambito normale non è esclusivo. Determina se, in Active Directory, gli oggetti possono essere visualizzati o modificati dagli utenti assegnati al ruolo di gestione. In genere, un ruolo di gestione indica ciò che è possibile creare o modificare, mentre un ambito dei ruoli di gestione indica dove è possibile creare o modificare. Gli ambiti normali possono essere impliciti o espliciti, entrambi descritti più avanti in questo argomento.
  • Esclusivo   Un ambito esclusivo si comporta quasi come un ambito normale. L'unica differenza è che gli ambiti esclusivi consentono di negare agli utenti l'accesso agli oggetti contenuti all'interno dell'ambito, in quanto quegli utenti non sono assegnati a un ruolo associato all'ambito esclusivo. Tutti gli ambiti esclusivi sono espliciti, descritti più avanti in questo argomento.
    Per ulteriori informazioni sugli ambiti esclusivi, vedere Informazioni sugli ambiti esclusivi.

Gli ambiti possono essere ereditati dal ruolo di gestione, specificati come ambito relativo predefinito per un'assegnazione dei ruoli di gestione o creati utilizzando i filtri personalizzati e aggiunti a un'assegnazione dei ruoli di gestione. Gli ambiti ereditati dai ruoli di gestione vengono denominati ambiti impliciti, mentre quelli predefiniti e personalizzati vengono denominati ambiti espliciti. Nelle sezioni seguenti vengono descritti tutti i tipi di ambito:

  • Ambiti impliciti
  • Ambiti espliciti
    • Ambiti relativi predefiniti
    • Ambiti personalizzati

Ogni ruolo può disporre dei seguenti tipi di ambiti:

  • Ambito di lettura del destinatario   L'ambito implicito di lettura del destinatario determina gli oggetti destinatario che l'utente assegnato al ruolo di gestione può leggere da Active Directory.
  • Ambito di scrittura del destinatario   L'ambito implicito di scrittura del destinatario determina gli oggetti destinatario che l'utente assegnato al ruolo di gestione può modificare in Active Directory.
  • Ambito di lettura della configurazione   L'ambito implicito di lettura della configurazione determina gli oggetti configurazione che l'utente assegnato al ruolo di gestione può leggere da Active Directory.
  • Ambito di scrittura della configurazione    L'ambito di scrittura della configurazione determina gli oggetti dell'organizzazione e dei server che l'utente assegnato al ruolo di gestione può modificare in Active Directory.

Gli oggetti destinatario comprendono le cassette postali, i gruppi di distribuzione, gli utenti abilitati alla posta e altri oggetti. Gli oggetti configurazione comprendono i server che eseguono Microsoft Exchange Server 2010. Ogni tipo di ambito può essere implicito o esplicito.

Ambiti impliciti

Gli ambiti impliciti indicano gli ambiti predefiniti che si applicano a un tipo di ruolo di gestione. Siccome gli ambiti impliciti vengono associati a un tipo di ruolo di gestione, tutti i ruoli di gestione padre e figlio con lo stesso tipo di ruolo dispongono anche degli stessi ambiti impliciti. Gli ambiti impliciti si applicano ai ruoli di gestione incorporati e a quelli personalizzati. Per ulteriori informazioni sui ruoli di gestione e sui tipi di ruolo di gestione, vedere Informazioni sui ruoli di gestione.

Nelle tabelle seguenti vengono elencati tutti gli ambiti impliciti definibili per i ruoli di gestione.

Ambiti impliciti definiti per i ruoli di gestione

Ambiti impliciti Descrizione

Organization

Se Organization è presente nell'ambito di scrittura del destinatario, il ruolo può creare o modificare gli oggetti destinatario in tutta l'organizzazione Exchange.

Se Organization è presente nell'ambito di lettura del destinatario, i ruoli possono visualizzare qualsiasi oggetto destinatario in tutta l'organizzazione Exchange.

Questo ambito viene utilizzato solo con gli ambiti di scrittura e lettura del destinatario.

MyGAL

Se MyGAL è presente nell'ambito di scrittura del destinatario, il ruolo può visualizzare le proprietà di qualsiasi destinatario all'interno dell'elenco indirizzi globale dell'utente corrente.

Se MyGAL è presente nell'ambito di lettura del destinatario, il ruolo può visualizzare le proprietà di qualsiasi destinatario all'interno dell'elenco indirizzi globale corrente.

Questo ambito viene utilizzato solo con gli ambiti di lettura del destinatario.

Self

Se Self è presente nell'ambito di scrittura del destinatario, il ruolo può modificare solo le proprietà della cassetta postale dell'utente corrente.

Se Self è presente nell'ambito di lettura del destinatario, il ruolo può visualizzare solo le proprietà della cassetta postale dell'utente corrente.

Questo ambito viene utilizzato solo con gli ambiti di scrittura e lettura del destinatario.

MyDistributionGroups

Se MyDistributionGroups è presente nell'ambito di scrittura del destinatario, il ruolo può creare o modificare gli oggetti lista di distribuzione che appartengono all'utente corrente.

Se MyDistributionGroups è presente nell'ambito di lettura del destinatario, il ruolo può visualizzare gli oggetti lista di distribuzione che appartengono all'utente corrente.

Questo ambito viene utilizzato solo con gli ambiti di scrittura e lettura del destinatario.

OrganizationConfig

Se OrganizationConfig è presente nell'ambito di scrittura della configurazione, il ruolo può creare o modificare qualsiasi oggetto di configurazione server in tutta l'organizzazione Exchange.

Se OrganizationConfig è presente nell'ambito di lettura della configurazione, il ruolo può visualizzare qualsiasi oggetto di configurazione server in tutta l'organizzazione Exchange.

Questo ambito viene utilizzato solo con gli ambiti di scrittura e lettura della configurazione.

None

Se None si trova in un ambito, quell'ambito non è disponibile per il ruolo. Ad esempio, un ruolo che presenta None nell'ambito di scrittura del destinatario non può modificare gli oggetti destinatario nell'organizzazione Exchange.

Se un ruolo viene associato a un assegnatario e nessun ambito predefinito o personalizzato viene specificato, gli ambiti impliciti definiti per il ruolo vengono utilizzati per controllare gli oggetti organizzazione o destinatario che l'utente può visualizzare o modificare.

Nella seguente tabella vengono elencati tutti i ruoli di gestione incorporati e i relativi ambiti impliciti.

Ambiti impliciti dei ruoli di gestione incorporati

Ruolo di gestione Ambito di lettura del destinatario Ambito di scrittura del destinatario Ambito di lettura della configurazione Ambito di scrittura della configurazione

Active Directory Permissions

Organization

Organization

OrganizationConfig

OrganizationConfig

Address Lists

Organization

Organization

OrganizationConfig

OrganizationConfig

Audit Logs

Organization

Organization

OrganizationConfig

OrganizationConfig

Cmdlet Extension Agents

Organization

Organization

OrganizationConfig

OrganizationConfig

Database Availability Groups

Organization

Organization

OrganizationConfig

OrganizationConfig

Database Copies

Organization

Organization

OrganizationConfig

OrganizationConfig

Databases

Organization

Organization

OrganizationConfig

OrganizationConfig

Disaster Recovery

Organization

Organization

OrganizationConfig

OrganizationConfig

Distribution Groups

Organization

Organization

OrganizationConfig

OrganizationConfig

Edge Subscriptions

Organization

Organization

OrganizationConfig

OrganizationConfig

E-Mail Address Policies

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Server Certificates

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Servers

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Virtual Directories

Organization

Organization

OrganizationConfig

OrganizationConfig

Federated Sharing

Organization

Organization

OrganizationConfig

OrganizationConfig

Information Rights Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Journaling

Organization

Organization

OrganizationConfig

OrganizationConfig

Legal Hold

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Enabled Public Folders

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Recipient Creation

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Recipients

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Tips

Organization

Organization

OrganizationConfig

OrganizationConfig

Mailbox Search

Organization

Organization

OrganizationConfig

OrganizationConfig

Message Tracking

Organization

Organization

OrganizationConfig

OrganizationConfig

Migration

Organization

Organization

OrganizationConfig

OrganizationConfig

Monitoring

Organization

Organization

OrganizationConfig

OrganizationConfig

Move Mailboxes

Organization

Organization

OrganizationConfig

OrganizationConfig

MyBaseOptions

Self

Self

OrganizationConfig

OrganizationConfig

MyContactInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyDistributionGroupMembership

MyGAL

MyGAL

None

None

MyDistributionGroups

MyGAL

MyDistributionGroups

OrganizationConfig

None

MyMailSubscriptions

Self

Self

OrganizationConfig

OrganizationConfig

MyProfileInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyRetentionPolicies

Self

Self

OrganizationConfig

OrganizationConfig

MyTextMessaging

Self

Self

OrganizationConfig

OrganizationConfig

MyVoiceMail

Self

Self

OrganizationConfig

OrganizationConfig

Organization Client Access

Organization

Organization

OrganizationConfig

OrganizationConfig

Organization Configuration

Organization

Organization

OrganizationConfig

OrganizationConfig

Organization Transport Settings

Organization

Organization

OrganizationConfig

OrganizationConfig

POP3 And IMAP4 Protocols

Organization

Organization

OrganizationConfig

OrganizationConfig

Public Folder Replication

Organization

Organization

OrganizationConfig

OrganizationConfig

Public Folders

Organization

Organization

OrganizationConfig

OrganizationConfig

Receive Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Recipient Policies

Organization

Organization

OrganizationConfig

OrganizationConfig

Remote and Accepted Domains

Organization

Organization

OrganizationConfig

OrganizationConfig

Reset Password

Organization

Organization

OrganizationConfig

OrganizationConfig

Retention Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Role Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Security Group Creation and Membership

Organization

Organization

OrganizationConfig

OrganizationConfig

Send Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Support Diagnostics

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Agents

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Hygiene

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Queues

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Rules

Organization

Organization

OrganizationConfig

OrganizationConfig

UM Mailboxes

Organization

Organization

OrganizationConfig

OrganizationConfig

UM Prompts

Organization

Organization

OrganizationConfig

OrganizationConfig

Unified Messaging

Organization

Organization

OrganizationConfig

OrganizationConfig

UnScoped Role Management

Organization

Organization

OrganizationConfig

OrganizationConfig

User Options

Organization

Organization

OrganizationConfig

OrganizationConfig

View-Only Configuration

Organization

Organization

OrganizationConfig

OrganizationConfig

View-Only Recipients

Organization

Organization

OrganizationConfig

OrganizationConfig

L'ambito di scrittura implicito di un ruolo è sempre uguale o inferiore all'ambito di lettura implicito. Ciò significa che un ruolo non può mai modificare gli oggetti non visualizzabili dall'ambito.

Non è possibile modificare gli ambiti impliciti definiti per i ruoli di gestione. Tuttavia, è possibile sostituire l'ambito di scrittura implicito e l'ambito di configurazione per un ruolo di gestione. Quando un ambito relativo predefinito o un ambito personalizzato viene utilizzato per un'assegnazione di ruolo, l'ambito di scrittura implicito o l'ambito di configurazione del ruolo viene sostituito, dando precedenza al nuovo ambito. L'ambito di lettura implicito di un ruolo non può essere sostituito e viene sempre applicato. Per ulteriori informazioni sugli ambiti espliciti predefiniti o personalizzati, vedere le relative sezioni più avanti in questo argomento.

Ambiti espliciti

Gli ambiti espliciti sono ambiti che controllano gli oggetti modificabili da un ruolo di gestione. Mentre gli ambiti impliciti vengono definiti per un ruolo di gestione, gli ambiti espliciti vengono definiti per un'assegnazione dei ruoli di gestione. Ciò consente agli ambiti impliciti di essere applicati in modo coerente in tutti i ruoli di gestione, se non si stabilisce di utilizzare un altro ambito esplicito. Per ulteriori informazioni sulle assegnazioni del ruolo di gestione, vedere Informazioni sulle assegnazioni del ruolo di gestione.

Gli ambiti espliciti sostituiscono gli ambiti impliciti di configurazione e di scrittura di un ruolo di gestione. Non sostituiscono l'ambito di lettura implicito di un ruolo di gestione. L'ambito di lettura implicito continua a definire gli oggetti che il ruolo di gestione può leggere.

Gli ambiti espliciti risultano utili quando l'ambito di scrittura implicito di un ruolo di gestione non soddisfa le esigenze dell'azienda. È possibile aggiungere un ambito esplicito per comprendere quasi tutto ciò che si desidera, fino a quando il nuovo ambito non supera i limiti dell'ambito di lettura implicito. I cmdlet che fanno parte di un ruolo di gestione devono essere in grado di leggere le informazioni sugli oggetti o i contenitori che comprendono gli oggetti per i cmdlet per creare o modificare gli oggetti. Ad esempio, se l'ambito di lettura implicito per un ruolo di gestione è impostato su Self, non è possibile aggiungere un ambito di scrittura esplicito di Organization, perché l'ambito di scrittura esplicito supera i limiti dell'ambito di lettura implicito.

Nelle sezioni seguenti vengono descritti gli ambiti relativi predefiniti e gli ambiti personalizzati.

Ambiti relativi predefiniti

Exchange 2010 offre diversi ambiti di scrittura relativi predefiniti che è possibile utilizzare per modificare l'ambito di un ruolo di gestione. Gli ambiti relativi predefiniti forniscono un modo semplice per soddisfare maggiormente le esigenze dell'azienda, senza dover creare manualmente gli ambiti personalizzati. Vengono denominati ambiti relativi perché riguardano l'assegnatario a cui viene associato il ruolo. Ad esempio, l'ambito relativo predefinito Self limita quell'ambito di scrittura solo all'utente corrente. L'ambito relativo predefinito MyDistributionGroups limita l'ambito di scrittura al gruppo di distribuzione che appartiene solo all'utente corrente. Gli ambiti relativi predefiniti possono essere utilizzati solo per esaminare gli oggetti destinatario. Non è possibile utilizzare gli ambiti relativi predefiniti per esaminare gli oggetti configurazione. Nella tabella seguente vengono elencati gli ambiti relativi predefiniti che è possibile utilizzare.

Ambiti relativi predefiniti

Ambiti impliciti Descrizione

Organization

Se Organization è presente nell'ambito di scrittura del destinatario, il ruolo può creare o modificare gli oggetti destinatario in tutta l'organizzazione Exchange.

Se Organization è presente nell'ambito di lettura del destinatario, i ruoli possono visualizzare qualsiasi oggetto destinatario in tutta l'organizzazione Exchange.

Questo ambito viene utilizzato solo con gli ambiti di scrittura e lettura del destinatario.

Self

Se Self è presente nell'ambito di scrittura del destinatario, il ruolo può modificare solo le proprietà della cassetta postale dell'utente corrente.

Se Self è presente nell'ambito di lettura del destinatario, il ruolo può visualizzare solo le proprietà della cassetta postale dell'utente corrente.

Questo ambito viene utilizzato solo con gli ambiti di scrittura e lettura del destinatario.

MyDistributionGroups

Se MyDistributionGroups è presente nell'ambito di scrittura del destinatario, il ruolo può creare o modificare gli oggetti lista di distribuzione che appartengono all'utente corrente.

Se MyDistributionGroups è presente nell'ambito di lettura del destinatario, il ruolo può visualizzare gli oggetti lista di distribuzione che appartengono all'utente corrente.

Questo ambito viene utilizzato solo con gli ambiti di scrittura e lettura del destinatario.

Gli ambiti relativi predefiniti vengono applicati quando si crea una nuova assegnazione dei ruoli di gestione. Durante la creazione dell'assegnazione di ruolo, utilizzando il cmdlet New-ManagementRoleAssignment, è possibile specificare un ambito relativo predefinito utilizzando il parametro RecipientRelativeWriteScope. Una volta creata la nuova assegnazione di ruolo, il nuovo ruolo predefinito sostituisce l'ambito di scrittura implicito del ruolo di gestione.

Per ulteriori informazioni sull'aggiunta di un'assegnazione dei ruoli di gestione a un ambito relativo predefinito, vedere Aggiunta di un ruolo ad un utente o a un gruppo di protezione universale.

Ambiti personalizzati

Gli ambiti personalizzati sono necessari quando né l'ambito di scrittura implicito né gli ambiti relativi predefiniti soddisfano le esigenze dell'azienda. Gli ambiti personalizzati consentono di definire più precisamente l'ambito a cui verrà applicato il ruolo di gestione. Ad esempio, si potrebbe indirizzare una specifica unità organizzativa, un tipo specifico di destinatario o entrambi.

Come con gli ambiti relativi predefiniti, gli ambiti personalizzati sostituiscono gli ambiti impliciti di scrittura e di configurazione dell'organizzazione definiti per i ruoli di gestione. L'ambito di lettura implicito per i ruoli di gestione continua a essere applicato e l'ambito personalizzato risultante non deve superare i limiti dell'ambito di lettura implicito.

L'ambito personalizzato più semplice indica un ambito di unità organizzativa creato utilizzando il parametro RecipientOrganizationalUnitScope del cmdlet New-ManagementRoleAssignment . Specificando un ambito di unità organizzativa quando viene assegnato un ruolo, l'utente assegnato al ruolo può modificare solo gli oggetti destinatario all'interno di quell'unità organizzativa.

Per ulteriori informazioni sull'aggiunta di un'assegnazione dei ruoli di gestione a un ambito di unità organizzativa, vedere Aggiunta di un ruolo ad un utente o a un gruppo di protezione universale.

Utilizzando il cmdlet New-ManagementScope, possono essere creati ambiti personalizzati più complessi e precisi. Con il cmdlet New-ManagementScope, è possibile creare ambiti filtrati per il destinatario e la configurazione. Gli ambiti filtrati per il destinatario utilizzano i filtri per indirizzare specifici destinatari in base al tipo o ad altre proprietà del destinatario, quali reparto, gestore, percorso e altro ancora. Gli ambiti filtrati per la configurazione utilizzano i filtri per indirizzare specifici server in base alle proprietà filtrabili che possono essere definite per i server, come un sito di Active Directory o un ruolo del server. 

Quando si crea un ambito filtrato per il destinatario o la configurazione, vengono restituiti solo gli oggetti destinatario o server che corrispondono ai rispettivi ambiti filtrati. Quando questi ambiti vengono applicati a un'assegnazione di ruolo utilizzando i cmdlet New-ManagementRoleAssignment o Set-ManagementRoleAssignment, solo gli oggetti che corrispondono ai filtri possono essere modificati dagli assegnatari del ruolo. Una volta creato un ambito personalizzato, non è possibile modificare il tipo di ambito. Un ambito per il destinatario è sempre un ambito per il destinatario e un ambito per la configurazione è sempre un ambito per la configurazione.

Per impostazione predefinita, un ambito personalizzato consente a un assegnatario del ruolo di accedere a una serie di oggetti che corrispondono ai filtri definiti. Tuttavia, non escludono attivamente l'accesso agli altri assegnatari del ruolo che non sono stati associati allo stesso ambito o a uno equivalente. Tutti gli ambiti personalizzati possono accedere agli stessi oggetti se i filtri per questi ambiti corrispondono agli stessi oggetti. Potrebbero essere presenti oggetti per i quali questo comportamento non è voluto, come nel caso del personale importante, come i dirigenti. Per questi oggetti, è possibile definire gli ambiti esclusivi. Gli ambiti esclusivi utilizzano i filtri come gli ambiti normali ma, a differenza di questi, negano l'accesso agli oggetti compresi nell'ambito a chi non fa parte dello stesso ambito esclusivo o uno equivalente. Per ulteriori informazioni sugli ambiti esclusivi, vedere Informazioni sugli ambiti esclusivi.

Per ulteriori informazioni

Informazioni sui filtri ambito del ruolo di gestione

Creazione di un ambito normale o esclusivo

Modifica dell'ambito di un ruolo

Modifica dell'ambito per le assegnazioni di ruolo in un gruppo di ruolo

New-ManagementRole

New-ManagementScope

Set-ManagementScope

New-ManagementRoleAssignment

Set-ManagementRoleAssignment