Condividi tramite


Ruolo ApplicationImpersonation

Ultima modifica dell'argomento: 2009-10-12

Il ruolo di gestione ApplicationImpersonation consente alle applicazioni di impersonare gli utenti in un'organizzazione per eseguire attività per conto di tali utenti.

Questo ruolo di gestione è uno dei numerosi gruppi incorporati che costituiscono il modello delle autorizzazioni del controllo di accesso basato sul ruolo (RBAC) in Microsoft Exchange Server 2010. I ruoli di gestione che vengono assegnati a uno o più gruppi, i criteri di assegnazione dei ruoli di gestione, gli utenti o i gruppi di protezione universale (USG) agiscono in qualità di raggruppamento logico di cmdlet o script che sono combinati per fornire accesso alla visualizzazione o alle modifiche della configurazione dei componenti di Exchange 2010 , come le cassette postali, le regole di trasporto e i destinatari. Se un cmdlet o uno script e i relativi parametri, denominati collettivamente voce del ruolo di gestione, vengono inclusi in un ruolo, quel cmdlet o script e i relativi parametri possono essere eseguiti dagli utenti ai quali è stato assegnato il ruolo. Per ulteriori informazioni sui ruoli di gestione e sulle voci di ruolo, vedere Informazioni sui ruoli di gestione.

Per ulteriori informazioni sui ruoli di gestione, sui gruppi di ruoli di gestione ed altri componenti RBAC, vedere Informazioni sul controllo di accesso basato sui ruoli.

Assegnazioni del ruolo di gestione

Per consentire a questo ruolo di concedere autorizzazioni, occorre assegnarlo ad un assegnatario di ruolo, che può essere un gruppo di ruoli, un utente o un gruppo di protezione universale (USG). Questa assegnazione viene eseguita utilizzando le assegnazioni del ruolo di gestione. Le assegnazioni dei ruoli collegano tra loro gli assegnatari e i ruoli. Se ad un assegnatario di ruolo viene assegnato più di un ruolo, gli viene concessa la combinazione di tutte le autorizzazioni consentite da tutti i ruoli assegnati.

Oltre a collegare gli assegnatari dei ruoli ai ruoli, le assegnazioni dei ruoli possono essere applicate anche agli ambiti di gestione personalizzati o incorporati. Gli ambiti di gestione controllano quali oggetti server e destinatari possono essere modificati dagli assegnatari dei ruoli. Se questo ruolo viene assegnato ad una assegnatario di ruolo, ma un ambito di gestione consente all'assegnatario del ruolo di gestire soltanto alcuni oggetti sulla base di un ambito definito, l'assegnatario del ruolo può utilizzare solo le autorizzazioni concesse da questo ruolo sugli oggetti specifici. Non è possibile applicare le autorizzazioni fornite da questo ruolo agli oggetti al di fuori dell'ambito definito sull'assegnazione del ruolo. Per ulteriori informazioni sulle assegnazioni dei ruoli e sugli ambiti, vedere i seguenti argomenti:

Questo ruolo viene assegnato a uno o più gruppi di ruoli per impostazione predefinita. Per ulteriori informazioni, vedere la sezione "Assegnazioni del ruolo di gestione predefinite".

Se si desidera visualizzare un elenco dei gruppi di ruoli, utenti o gruppi di protezione universale (USG), utilizzare il comando seguente.

Get-ManagementRoleAssignment -Role "Active Directory Permissions"

Assegnazioni di ruolo regolari e di delega

È possibile assegnare questo ruolo agli assegnatari dei ruoli sia utilizzando le assegnazioni regolari che le deleghe delle assegnazioni. Le assegnazioni regolari di ruolo concedono le autorizzazioni fornite dal ruolo all'assegnatario del ruolo. La delega delle assegnazioni di ruolo consente a un assegnatario di assegnare il ruolo specificato ad altri assegnatari. Per ulteriori informazioni sulle assegnazioni del ruolo di delega, vedere Informazioni sulle assegnazioni del ruolo di gestione.

Aggiunta o eliminazione delle assegnazioni di ruolo

È possibile cambiare gli assegnatari ai quali è stato assegnato questo ruolo. Cambiando l'assegnatario a cui viene assegnato questo ruolo, è possibile cambiare gli utenti a cui sono state concesse le autorizzazioni. È possibile assegnare questo ruolo ad altri gruppi di ruoli incorporati oppure è possibile creare gruppi di ruoli e assegnare loro questo ruolo. È inoltre possibile assegnare questo ruolo a utenti o gruppi di protezione universale (USG). Tuttavia, si consiglia di limitare l'assegnazione dei ruoli agli utenti e ai gruppi di protezione universale (USG) perché queste assegnazioni possono aumentare notevolmente la complessità del modello delle autorizzazioni.

Per assegnare questo ruolo agli assegnatari di ruolo, assegnarlo ad un gruppo di ruoli di cui si è membri oppure fare in modo di ricevere l'assegnazione personalmente o assegnarlo ad un gruppo di protezione universale di cui si è membri utilizzando una delega di assegnazione del ruolo. Per ulteriori informazioni sulla delega di assegnazione del ruolo, vedere la sezione "Assegnazioni regolari e delega di assegnazione".

È inoltre possibile rimuovere questo ruolo da gruppi di ruoli incorporati, da gruppi di ruoli creati, dagli utenti e dai gruppi di protezione universale (USG). Tuttavia ci deve essere sempre almeno una delega di assegnazione dei ruoli tra questo ruolo e un gruppo di ruoli o gruppo di protezione universale (USG). Non è possibile eliminare l'ultima delega di assegnazione dei ruoli. Questa limitazione serve ad evitare che l'utente rimanga bloccato fuori dal sistema.

Importante

Ci deve essere sempre almeno una delega di assegnazione dei ruoli tra questo ruolo e un gruppo di ruoli o gruppo di protezione universale (USG). Non è possibile rimuovere l'ultima delega di assegnazione dei ruoli associata a questo ruolo se l'ultima assegnazione era stata fatta ad un utente.

Per ulteriori informazioni su come aggiungere o rimuovere le assegnazioni tra questo ruolo e i gruppi di ruoli, utenti e gruppi di protezione universale (USG), vedere i seguenti argomenti:

Modifica degli ambiti di gestione per le assegnazioni di ruolo

È inoltre possibile modificare gli ambiti di gestione sulle assegnazioni dei ruoli esistenti tra questo ruolo e gli assegnatari di ruolo. Modificando gli ambiti sulle assegnazioni dei ruoli, è possibile controllare quali oggetti possono essere gestiti utilizzando le autorizzazioni fornite da questo ruolo. È possibile scegliere tra varie alternative quando si modifica l'ambito di un'assegnazione di ruolo. È possibile effettuare una delle operazioni seguenti:

Abilitazione o disabilitazione delle assegnazioni di ruolo

Abilitando o disabilitando un'assegnazione di ruolo, si controlla se l'assegnazione del ruolo dovrebbe essere valida. Se un'assegnazione di ruolo viene disabilitata, il ruolo associato non viene applicato all'assegnatario del ruolo. Questo potrebbe essere utile se si desidera rimuovere temporaneamente le autorizzazione senza eliminare un'assegnazione di ruolo. Per ulteriori informazioni, vedere Modifica di un'assegnazione di ruolo.

Assegnazioni del ruolo di gestione predefinite

Questo ruolo ha un'assegnazioni dei ruoli ad uno o più assegnatari del ruolo. La tabella seguente indica se l'assegnazione dei ruoli è regolare o se c'è una delega, e indica anche gli ambiti di gestione applicati a ciascuna assegnazione. Nell'elenco seguente viene descritta ciascuna colonna:

  • Assegnazione regolare   Le assegnazioni regolari del ruolo consentono all'assegnatario del ruolo di accedere alle autorizzazione fornite dalle voci del ruolo di gestione su questo ruolo.
  • Assegnazione di delega   Le assegnazioni di delega del ruolo conferiscono all'assegnatario del ruolo la capacità di assegnare questo ruolo ai gruppi di ruoli, agli utenti o ai gruppi di protezione universale (USG).
  • Ambito di lettura del destinatario   L'ambito di lettura del destinatario determina quali oggetti destinatari può leggere l'assegnatario del ruolo da Active Directory.
  • Ambito di scrittura del destinatario   L'ambito di scrittura del destinatario determina quali oggetti destinatario possono essere modificati dall'assegnatario del ruolo in Active Directory.
  • Ambito di lettura della configurazione   L'ambito di lettura della configurazione determina quali oggetti di configurazione e server possono essere letti dall'assegnatario del ruolo da Active Directory.
  • Ambito di scrittura della configurazione   L'ambito di scrittura della configurazione determina quali oggetti dell'organizzazione e dei server possono essere modificati dall'assegnatario del ruolo in Active Directory.

Assegnazioni del ruolo di gestione predefinite per questo ruolo

Gruppo di ruolo Assegnazione regolare Assegnazione di delega Ambito di lettura del destinatario Ambito di scrittura del destinatario Ambito di lettura della configurazione Ambito di scrittura della configurazione

Gestione di Hygiene

X

 

Organization

Organization

None

None

Gestione dell'organizzazione

 

X

Organization

Organization

None

None

Personalizzazione del ruolo di gestione

Questo ruolo è stato configurato per fornire all'assegnatario di un ruolo tutti i cmdlet necessari e i relativi parametri per gestire le funzionalità e i componenti elencati all'inizio di questo argomento. Sono stati forniti anche altri ruoli per attivare la gestione di altre funzionalità. Aggiungendo e rimuovendo ruoli, è possibile creare un modello di autorizzazioni personalizzate senza che sia necessario personalizzare i singoli ruoli di gestione. Per l'elenco completo dei ruoli, vedere Ruoli di gestione incorporati. Per ulteriori informazioni sulla personalizzazione dei gruppi di ruoli, vedere i seguenti argomenti:

Se si desidera creare una versione personalizzata di questo ruolo, è necessario creare un ruolo figlio e personalizzare il nuovo ruolo.

Avviso

Le informazioni riportate di seguito consentono di eseguire la gestione avanzata delle autorizzazioni. La personalizzazione dei ruoli di gestione può aumentare notevolmente la complessità del modello delle autorizzazioni. Alcune funzionalità potrebbero smettere di funzionare se si sostituisce un ruolo di gestione incorporato con un ruolo personalizzato non configurato correttamente.

Qui di seguito sono riportati i passi più comuni per creare un ruolo personalizzato e assegnarlo ad un assegnatario di ruolo:

  1. Creare una copia di questo ruolo utilizzando il cmdlet New-ManagementRole. Per ulteriori informazioni, vedere Creazione di un ruolo.
  2. Modificare o rimuovere le voci del ruolo sul nuovo ruolo utilizzando i cmdlet Set-ManagementRoleEntry e Remove-ManagementRoleEntry. Non è possibile aggiungere altre voci di ruolo al nuovo ruolo poiché questo può contenere solo le voci di ruolo del ruolo padre incorporato. Per ulteriori informazioni, vedere i seguenti argomenti:
  3. Se si desidera sostituire il ruolo incorporato con questo nuovo ruolo personalizzato, eliminare qualsiasi assegnazione di ruolo associata al ruolo incorporato utilizzando il cmdlet Remove-ManagementRoleAssignment. Per ulteriori informazioni, vedere i seguenti argomenti:
  4. Aggiungere il nuovo ruolo personalizzato agli assegnatari di ruolo richiesti utilizzando il cmdlet New-ManagementRoleAssignment. Per ulteriori informazioni, vedere i seguenti argomenti: