Informazioni sugli ambiti del ruolo di gestione
Si applica a: Exchange Server 2010
Ultima modifica dell'argomento: 2009-10-14
Gli ambiti dei ruoli di gestione consentono di definire lo specifico ambito di impatto o influenza di un ruolo di gestione quando viene creata un'assegnazione dei ruoli di gestione. Quando si applica un ambito, l'assegnatario dei ruoli può modificare solo gli oggetti contenuti all'interno di quell'ambito. Un assegnatario dei ruoli può indicare un gruppo dei ruoli di gestione, un ruolo di gestione, un criterio di assegnazione dei ruoli di gestione, un utente o un gruppo di protezione universale. Per ulteriori informazioni sui ruoli di gestione, vedere Informazioni sul controllo di accesso basato sui ruoli.
Ogni ruolo di gestione, che sia incorporato o personalizzato, dispone di ambiti di gestione. Gli ambiti di gestione possono essere:
- Normale Un ambito normale non è esclusivo. Determina se, in Active Directory, gli oggetti possono essere visualizzati o modificati dagli utenti assegnati al ruolo di gestione. In genere, un ruolo di gestione indica ciò che è possibile creare o modificare, mentre un ambito dei ruoli di gestione indica dove è possibile creare o modificare. Gli ambiti normali possono essere impliciti o espliciti, entrambi descritti più avanti in questo argomento.
- Esclusivo Un ambito esclusivo si comporta quasi come un ambito normale. L'unica differenza è che gli ambiti esclusivi consentono di negare agli utenti l'accesso agli oggetti contenuti all'interno dell'ambito, in quanto quegli utenti non sono assegnati a un ruolo associato all'ambito esclusivo. Tutti gli ambiti esclusivi sono espliciti, descritti più avanti in questo argomento.
Per ulteriori informazioni sugli ambiti esclusivi, vedere Informazioni sugli ambiti esclusivi.
Gli ambiti possono essere ereditati dal ruolo di gestione, specificati come ambito relativo predefinito per un'assegnazione dei ruoli di gestione o creati utilizzando i filtri personalizzati e aggiunti a un'assegnazione dei ruoli di gestione. Gli ambiti ereditati dai ruoli di gestione vengono denominati ambiti impliciti, mentre quelli predefiniti e personalizzati vengono denominati ambiti espliciti. Nelle sezioni seguenti vengono descritti tutti i tipi di ambito:
- Ambiti impliciti
- Ambiti espliciti
- Ambiti relativi predefiniti
- Ambiti personalizzati
Ogni ruolo può disporre dei seguenti tipi di ambiti:
- Ambito di lettura del destinatario L'ambito implicito di lettura del destinatario determina gli oggetti destinatario che l'utente assegnato al ruolo di gestione può leggere da Active Directory.
- Ambito di scrittura del destinatario L'ambito implicito di scrittura del destinatario determina gli oggetti destinatario che l'utente assegnato al ruolo di gestione può modificare in Active Directory.
- Ambito di lettura della configurazione L'ambito implicito di lettura della configurazione determina gli oggetti configurazione che l'utente assegnato al ruolo di gestione può leggere da Active Directory.
- Ambito di scrittura della configurazione L'ambito di scrittura della configurazione determina gli oggetti dell'organizzazione e dei server che l'utente assegnato al ruolo di gestione può modificare in Active Directory.
Gli oggetti destinatario comprendono le cassette postali, i gruppi di distribuzione, gli utenti abilitati alla posta e altri oggetti. Gli oggetti configurazione comprendono i server che eseguono Microsoft Exchange Server 2010. Ogni tipo di ambito può essere implicito o esplicito.
Ambiti impliciti
Gli ambiti impliciti indicano gli ambiti predefiniti che si applicano a un tipo di ruolo di gestione. Siccome gli ambiti impliciti vengono associati a un tipo di ruolo di gestione, tutti i ruoli di gestione padre e figlio con lo stesso tipo di ruolo dispongono anche degli stessi ambiti impliciti. Gli ambiti impliciti si applicano ai ruoli di gestione incorporati e a quelli personalizzati. Per ulteriori informazioni sui ruoli di gestione e sui tipi di ruolo di gestione, vedere Informazioni sui ruoli di gestione.
Nelle tabelle seguenti vengono elencati tutti gli ambiti impliciti definibili per i ruoli di gestione.
Ambiti impliciti definiti per i ruoli di gestione
| Ambiti impliciti | Descrizione |
|---|---|
|
Se Se Questo ambito viene utilizzato solo con gli ambiti di scrittura e lettura del destinatario. |
|
Se Se Questo ambito viene utilizzato solo con gli ambiti di lettura del destinatario. |
|
Se Se Questo ambito viene utilizzato solo con gli ambiti di scrittura e lettura del destinatario. |
|
Se Se Questo ambito viene utilizzato solo con gli ambiti di scrittura e lettura del destinatario. |
|
Se Se Questo ambito viene utilizzato solo con gli ambiti di scrittura e lettura della configurazione. |
|
Se |
Se un ruolo viene associato a un assegnatario e nessun ambito predefinito o personalizzato viene specificato, gli ambiti impliciti definiti per il ruolo vengono utilizzati per controllare gli oggetti organizzazione o destinatario che l'utente può visualizzare o modificare.
Nella seguente tabella vengono elencati tutti i ruoli di gestione incorporati e i relativi ambiti impliciti.
Ambiti impliciti dei ruoli di gestione incorporati
| Ruolo di gestione | Ambito di lettura del destinatario | Ambito di scrittura del destinatario | Ambito di lettura della configurazione | Ambito di scrittura della configurazione |
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
L'ambito di scrittura implicito di un ruolo è sempre uguale o inferiore all'ambito di lettura implicito. Ciò significa che un ruolo non può mai modificare gli oggetti non visualizzabili dall'ambito.
Non è possibile modificare gli ambiti impliciti definiti per i ruoli di gestione. Tuttavia, è possibile sostituire l'ambito di scrittura implicito e l'ambito di configurazione per un ruolo di gestione. Quando un ambito relativo predefinito o un ambito personalizzato viene utilizzato per un'assegnazione di ruolo, l'ambito di scrittura implicito o l'ambito di configurazione del ruolo viene sostituito, dando precedenza al nuovo ambito. L'ambito di lettura implicito di un ruolo non può essere sostituito e viene sempre applicato. Per ulteriori informazioni sugli ambiti espliciti predefiniti o personalizzati, vedere le relative sezioni più avanti in questo argomento.
Ambiti espliciti
Gli ambiti espliciti sono ambiti che controllano gli oggetti modificabili da un ruolo di gestione. Mentre gli ambiti impliciti vengono definiti per un ruolo di gestione, gli ambiti espliciti vengono definiti per un'assegnazione dei ruoli di gestione. Ciò consente agli ambiti impliciti di essere applicati in modo coerente in tutti i ruoli di gestione, se non si stabilisce di utilizzare un altro ambito esplicito. Per ulteriori informazioni sulle assegnazioni del ruolo di gestione, vedere Informazioni sulle assegnazioni del ruolo di gestione.
Gli ambiti espliciti sostituiscono gli ambiti impliciti di configurazione e di scrittura di un ruolo di gestione. Non sostituiscono l'ambito di lettura implicito di un ruolo di gestione. L'ambito di lettura implicito continua a definire gli oggetti che il ruolo di gestione può leggere.
Gli ambiti espliciti risultano utili quando l'ambito di scrittura implicito di un ruolo di gestione non soddisfa le esigenze dell'azienda. È possibile aggiungere un ambito esplicito per comprendere quasi tutto ciò che si desidera, fino a quando il nuovo ambito non supera i limiti dell'ambito di lettura implicito. I cmdlet che fanno parte di un ruolo di gestione devono essere in grado di leggere le informazioni sugli oggetti o i contenitori che comprendono gli oggetti per i cmdlet per creare o modificare gli oggetti. Ad esempio, se l'ambito di lettura implicito per un ruolo di gestione è impostato su Self, non è possibile aggiungere un ambito di scrittura esplicito di Organization, perché l'ambito di scrittura esplicito supera i limiti dell'ambito di lettura implicito.
Nelle sezioni seguenti vengono descritti gli ambiti relativi predefiniti e gli ambiti personalizzati.
Ambiti relativi predefiniti
Exchange 2010 offre diversi ambiti di scrittura relativi predefiniti che è possibile utilizzare per modificare l'ambito di un ruolo di gestione. Gli ambiti relativi predefiniti forniscono un modo semplice per soddisfare maggiormente le esigenze dell'azienda, senza dover creare manualmente gli ambiti personalizzati. Vengono denominati ambiti relativi perché riguardano l'assegnatario a cui viene associato il ruolo. Ad esempio, l'ambito relativo predefinito Self limita quell'ambito di scrittura solo all'utente corrente. L'ambito relativo predefinito MyDistributionGroups limita l'ambito di scrittura al gruppo di distribuzione che appartiene solo all'utente corrente. Gli ambiti relativi predefiniti possono essere utilizzati solo per esaminare gli oggetti destinatario. Non è possibile utilizzare gli ambiti relativi predefiniti per esaminare gli oggetti configurazione. Nella tabella seguente vengono elencati gli ambiti relativi predefiniti che è possibile utilizzare.
Ambiti relativi predefiniti
| Ambiti impliciti | Descrizione |
|---|---|
|
Se Se Questo ambito viene utilizzato solo con gli ambiti di scrittura e lettura del destinatario. |
|
Se Se Questo ambito viene utilizzato solo con gli ambiti di scrittura e lettura del destinatario. |
|
Se Se Questo ambito viene utilizzato solo con gli ambiti di scrittura e lettura del destinatario. |
Gli ambiti relativi predefiniti vengono applicati quando si crea una nuova assegnazione dei ruoli di gestione. Durante la creazione dell'assegnazione di ruolo, utilizzando il cmdlet New-ManagementRoleAssignment, è possibile specificare un ambito relativo predefinito utilizzando il parametro RecipientRelativeWriteScope. Una volta creata la nuova assegnazione di ruolo, il nuovo ruolo predefinito sostituisce l'ambito di scrittura implicito del ruolo di gestione.
Per ulteriori informazioni sull'aggiunta di un'assegnazione dei ruoli di gestione a un ambito relativo predefinito, vedere Aggiunta di un ruolo ad un utente o a un gruppo di protezione universale.
Ambiti personalizzati
Gli ambiti personalizzati sono necessari quando né l'ambito di scrittura implicito né gli ambiti relativi predefiniti soddisfano le esigenze dell'azienda. Gli ambiti personalizzati consentono di definire più precisamente l'ambito a cui verrà applicato il ruolo di gestione. Ad esempio, si potrebbe indirizzare una specifica unità organizzativa, un tipo specifico di destinatario o entrambi.
Come con gli ambiti relativi predefiniti, gli ambiti personalizzati sostituiscono gli ambiti impliciti di scrittura e di configurazione dell'organizzazione definiti per i ruoli di gestione. L'ambito di lettura implicito per i ruoli di gestione continua a essere applicato e l'ambito personalizzato risultante non deve superare i limiti dell'ambito di lettura implicito.
L'ambito personalizzato più semplice indica un ambito di unità organizzativa creato utilizzando il parametro RecipientOrganizationalUnitScope del cmdlet New-ManagementRoleAssignment . Specificando un ambito di unità organizzativa quando viene assegnato un ruolo, l'utente assegnato al ruolo può modificare solo gli oggetti destinatario all'interno di quell'unità organizzativa.
Per ulteriori informazioni sull'aggiunta di un'assegnazione dei ruoli di gestione a un ambito di unità organizzativa, vedere Aggiunta di un ruolo ad un utente o a un gruppo di protezione universale.
Utilizzando il cmdlet New-ManagementScope, possono essere creati ambiti personalizzati più complessi e precisi. Con il cmdlet New-ManagementScope, è possibile creare ambiti filtrati per il destinatario e la configurazione. Gli ambiti filtrati per il destinatario utilizzano i filtri per indirizzare specifici destinatari in base al tipo o ad altre proprietà del destinatario, quali reparto, gestore, percorso e altro ancora. Gli ambiti filtrati per la configurazione utilizzano i filtri per indirizzare specifici server in base alle proprietà filtrabili che possono essere definite per i server, come un sito di Active Directory o un ruolo del server.
Quando si crea un ambito filtrato per il destinatario o la configurazione, vengono restituiti solo gli oggetti destinatario o server che corrispondono ai rispettivi ambiti filtrati. Quando questi ambiti vengono applicati a un'assegnazione di ruolo utilizzando i cmdlet New-ManagementRoleAssignment o Set-ManagementRoleAssignment, solo gli oggetti che corrispondono ai filtri possono essere modificati dagli assegnatari del ruolo. Una volta creato un ambito personalizzato, non è possibile modificare il tipo di ambito. Un ambito per il destinatario è sempre un ambito per il destinatario e un ambito per la configurazione è sempre un ambito per la configurazione.
Per impostazione predefinita, un ambito personalizzato consente a un assegnatario del ruolo di accedere a una serie di oggetti che corrispondono ai filtri definiti. Tuttavia, non escludono attivamente l'accesso agli altri assegnatari del ruolo che non sono stati associati allo stesso ambito o a uno equivalente. Tutti gli ambiti personalizzati possono accedere agli stessi oggetti se i filtri per questi ambiti corrispondono agli stessi oggetti. Potrebbero essere presenti oggetti per i quali questo comportamento non è voluto, come nel caso del personale importante, come i dirigenti. Per questi oggetti, è possibile definire gli ambiti esclusivi. Gli ambiti esclusivi utilizzano i filtri come gli ambiti normali ma, a differenza di questi, negano l'accesso agli oggetti compresi nell'ambito a chi non fa parte dello stesso ambito esclusivo o uno equivalente. Per ulteriori informazioni sugli ambiti esclusivi, vedere Informazioni sugli ambiti esclusivi.
Per ulteriori informazioni
Informazioni sui filtri ambito del ruolo di gestione
Creazione di un ambito normale o esclusivo
Modifica dell'ambito di un ruolo
Modifica dell'ambito per le assegnazioni di ruolo in un gruppo di ruolo