Ruolo Ripristino di emergenza
Si applica a: Exchange Server 2010
Ultima modifica dell'argomento: 2009-10-12
Il ruolo di gestione Disaster Recovery
consente agli amministratori di ripristinare i gruppi di disponibilità del database e cassette postali, creare database delle cassette postali e di avviare e arrestare i gruppi di distribuzione del database nell'organizzazione.
Questo ruolo di gestione è uno dei numerosi gruppi incorporati che costituiscono il modello delle autorizzazioni del controllo di accesso basato sul ruolo (RBAC) in Microsoft Exchange Server 2010. I ruoli di gestione che vengono assegnati a uno o più gruppi, i criteri di assegnazione dei ruoli di gestione, gli utenti o i gruppi di protezione universale (USG) agiscono in qualità di raggruppamento logico di cmdlet o script che sono combinati per fornire accesso alla visualizzazione o alle modifiche della configurazione dei componenti di Exchange 2010 , come le cassette postali, le regole di trasporto e i destinatari. Se un cmdlet o uno script e i relativi parametri, denominati collettivamente voce del ruolo di gestione, vengono inclusi in un ruolo, quel cmdlet o script e i relativi parametri possono essere eseguiti dagli utenti ai quali è stato assegnato il ruolo. Per ulteriori informazioni sui ruoli di gestione e sulle voci di ruolo, vedere Informazioni sui ruoli di gestione.
Per ulteriori informazioni sui ruoli di gestione, sui gruppi di ruoli di gestione ed altri componenti RBAC, vedere Informazioni sul controllo di accesso basato sui ruoli.
Assegnazioni del ruolo di gestione
Per consentire a questo ruolo di concedere autorizzazioni, occorre assegnarlo ad un assegnatario di ruolo, che può essere un gruppo di ruoli, un utente o un gruppo di protezione universale (USG). Questa assegnazione viene eseguita utilizzando le assegnazioni del ruolo di gestione. Le assegnazioni dei ruoli collegano tra loro gli assegnatari e i ruoli. Se ad un assegnatario di ruolo viene assegnato più di un ruolo, gli viene concessa la combinazione di tutte le autorizzazioni consentite da tutti i ruoli assegnati.
Oltre a collegare gli assegnatari dei ruoli ai ruoli, le assegnazioni dei ruoli possono essere applicate anche agli ambiti di gestione personalizzati o incorporati. Gli ambiti di gestione controllano quali oggetti server e destinatari possono essere modificati dagli assegnatari dei ruoli. Se questo ruolo viene assegnato ad una assegnatario di ruolo, ma un ambito di gestione consente all'assegnatario del ruolo di gestire soltanto alcuni oggetti sulla base di un ambito definito, l'assegnatario del ruolo può utilizzare solo le autorizzazioni concesse da questo ruolo sugli oggetti specifici. Non è possibile applicare le autorizzazioni fornite da questo ruolo agli oggetti al di fuori dell'ambito definito sull'assegnazione del ruolo. Per ulteriori informazioni sulle assegnazioni dei ruoli e sugli ambiti, vedere i seguenti argomenti:
- Informazioni sulle assegnazioni del ruolo di gestione
- Informazioni sugli ambiti del ruolo di gestione
Questo ruolo viene assegnato a uno o più gruppi di ruoli per impostazione predefinita. Per ulteriori informazioni, vedere la sezione "Assegnazioni del ruolo di gestione predefinite".
Se si desidera visualizzare un elenco dei gruppi di ruoli, utenti o gruppi di protezione universale (USG), utilizzare il comando seguente.
Get-ManagementRoleAssignment -Role "Active Directory Permissions"
Assegnazioni di ruolo regolari e di delega
È possibile assegnare questo ruolo agli assegnatari dei ruoli sia utilizzando le assegnazioni regolari che le deleghe delle assegnazioni. Le assegnazioni regolari di ruolo concedono le autorizzazioni fornite dal ruolo all'assegnatario del ruolo. La delega delle assegnazioni di ruolo consente a un assegnatario di assegnare il ruolo specificato ad altri assegnatari. Per ulteriori informazioni sulle assegnazioni del ruolo di delega, vedere Informazioni sulle assegnazioni del ruolo di gestione.
Aggiunta o eliminazione delle assegnazioni di ruolo
È possibile cambiare gli assegnatari ai quali è stato assegnato questo ruolo. Cambiando l'assegnatario a cui viene assegnato questo ruolo, è possibile cambiare gli utenti a cui sono state concesse le autorizzazioni. È possibile assegnare questo ruolo ad altri gruppi di ruoli incorporati oppure è possibile creare gruppi di ruoli e assegnare loro questo ruolo. È inoltre possibile assegnare questo ruolo a utenti o gruppi di protezione universale (USG). Tuttavia, si consiglia di limitare l'assegnazione dei ruoli agli utenti e ai gruppi di protezione universale (USG) perché queste assegnazioni possono aumentare notevolmente la complessità del modello delle autorizzazioni.
Per assegnare questo ruolo agli assegnatari di ruolo, assegnarlo ad un gruppo di ruoli di cui si è membri oppure fare in modo di ricevere l'assegnazione personalmente o assegnarlo ad un gruppo di protezione universale di cui si è membri utilizzando una delega di assegnazione del ruolo. Per ulteriori informazioni sulla delega di assegnazione del ruolo, vedere la sezione "Assegnazioni regolari e delega di assegnazione".
È inoltre possibile rimuovere questo ruolo da gruppi di ruoli incorporati, da gruppi di ruoli creati, dagli utenti e dai gruppi di protezione universale (USG). Tuttavia ci deve essere sempre almeno una delega di assegnazione dei ruoli tra questo ruolo e un gruppo di ruoli o gruppo di protezione universale (USG). Non è possibile eliminare l'ultima delega di assegnazione dei ruoli. Questa limitazione serve ad evitare che l'utente rimanga bloccato fuori dal sistema.
Importante
Ci deve essere sempre almeno una delega di assegnazione dei ruoli tra questo ruolo e un gruppo di ruoli o gruppo di protezione universale (USG). Non è possibile rimuovere l'ultima delega di assegnazione dei ruoli associata a questo ruolo se l'ultima assegnazione era stata fatta ad un utente.
Per ulteriori informazioni su come aggiungere o rimuovere le assegnazioni tra questo ruolo e i gruppi di ruoli, utenti e gruppi di protezione universale (USG), vedere i seguenti argomenti:
- Aggiunta di un ruolo a un gruppo di ruoli
- Eliminazione di un ruolo da un gruppo di ruoli
- Aggiunta di un ruolo ad un utente o a un gruppo di protezione universale
- Eliminazione di un ruolo da un utente o da un gruppo di protezione universale
Modifica degli ambiti di gestione per le assegnazioni di ruolo
È inoltre possibile modificare gli ambiti di gestione sulle assegnazioni dei ruoli esistenti tra questo ruolo e gli assegnatari di ruolo. Modificando gli ambiti sulle assegnazioni dei ruoli, è possibile controllare quali oggetti possono essere gestiti utilizzando le autorizzazioni fornite da questo ruolo. È possibile scegliere tra varie alternative quando si modifica l'ambito di un'assegnazione di ruolo. È possibile effettuare una delle operazioni seguenti:
- Aggiungere un nuovo ambito personalizzato utilizzando il cmdlet Set ManagementRoleAssignment. Per ulteriori informazioni, vedere i seguenti argomenti:
- Aggiungere o modificare un ambito di un'unità organizzativa utilizzando il cmdletSet-ManagementRoleAssignment. Per ulteriori informazioni, vedere Modifica di un'assegnazione di ruolo.
- Aggiungere o modificare un ambito predefinito utilizzando il cmdlet Set-ManagementRoleAssignment. Per ulteriori informazioni, vedere Modifica di un'assegnazione di ruolo.
- Modificare i filtri dell'ambito del destinatario o del server o l'elenco dei server su un ambito personalizzato associato ad un'assegnazione di ruolo utilizzando il cmdlet Set-ManagementScope. Per ulteriori informazioni, vedere Modifica dell'ambito di un ruolo.
Abilitazione o disabilitazione delle assegnazioni di ruolo
Abilitando o disabilitando un'assegnazione di ruolo, si controlla se l'assegnazione del ruolo dovrebbe essere valida. Se un'assegnazione di ruolo viene disabilitata, il ruolo associato non viene applicato all'assegnatario del ruolo. Questo potrebbe essere utile se si desidera rimuovere temporaneamente le autorizzazione senza eliminare un'assegnazione di ruolo. Per ulteriori informazioni, vedere Modifica di un'assegnazione di ruolo.
Assegnazioni del ruolo di gestione predefinite
Questo ruolo ha un'assegnazioni dei ruoli ad uno o più assegnatari del ruolo. La tabella seguente indica se l'assegnazione dei ruoli è regolare o se c'è una delega, e indica anche gli ambiti di gestione applicati a ciascuna assegnazione. Nell'elenco seguente viene descritta ciascuna colonna:
- Assegnazione regolare Le assegnazioni regolari del ruolo consentono all'assegnatario del ruolo di accedere alle autorizzazione fornite dalle voci del ruolo di gestione su questo ruolo.
- Assegnazione di delega Le assegnazioni di delega del ruolo conferiscono all'assegnatario del ruolo la capacità di assegnare questo ruolo ai gruppi di ruoli, agli utenti o ai gruppi di protezione universale (USG).
- Ambito di lettura del destinatario L'ambito di lettura del destinatario determina quali oggetti destinatari può leggere l'assegnatario del ruolo da Active Directory.
- Ambito di scrittura del destinatario L'ambito di scrittura del destinatario determina quali oggetti destinatario possono essere modificati dall'assegnatario del ruolo in Active Directory.
- Ambito di lettura della configurazione L'ambito di lettura della configurazione determina quali oggetti di configurazione e server possono essere letti dall'assegnatario del ruolo da Active Directory.
- Ambito di scrittura della configurazione L'ambito di scrittura della configurazione determina quali oggetti dell'organizzazione e dei server possono essere modificati dall'assegnatario del ruolo in Active Directory.
Assegnazioni del ruolo di gestione predefinite per questo ruolo
Gruppo di ruolo | Assegnazione regolare | Assegnazione di delega | Ambito di lettura del destinatario | Ambito di scrittura del destinatario | Ambito di lettura della configurazione | Ambito di scrittura della configurazione |
---|---|---|---|---|---|---|
X |
X |
|
|
|
|
Personalizzazione del ruolo di gestione
Questo ruolo è stato configurato per fornire all'assegnatario di un ruolo tutti i cmdlet necessari e i relativi parametri per gestire le funzionalità e i componenti elencati all'inizio di questo argomento. Sono stati forniti anche altri ruoli per attivare la gestione di altre funzionalità. Aggiungendo e rimuovendo ruoli, è possibile creare un modello di autorizzazioni personalizzate senza che sia necessario personalizzare i singoli ruoli di gestione. Per l'elenco completo dei ruoli, vedere Ruoli di gestione incorporati. Per ulteriori informazioni sulla personalizzazione dei gruppi di ruoli, vedere i seguenti argomenti:
Se si desidera creare una versione personalizzata di questo ruolo, è necessario creare un ruolo figlio e personalizzare il nuovo ruolo.
Avviso
Le informazioni riportate di seguito consentono di eseguire la gestione avanzata delle autorizzazioni. La personalizzazione dei ruoli di gestione può aumentare notevolmente la complessità del modello delle autorizzazioni. Alcune funzionalità potrebbero smettere di funzionare se si sostituisce un ruolo di gestione incorporato con un ruolo personalizzato non configurato correttamente.
Qui di seguito sono riportati i passi più comuni per creare un ruolo personalizzato e assegnarlo ad un assegnatario di ruolo:
- Creare una copia di questo ruolo utilizzando il cmdlet New-ManagementRole. Per ulteriori informazioni, vedere Creazione di un ruolo.
- Modificare o rimuovere le voci del ruolo sul nuovo ruolo utilizzando i cmdlet Set-ManagementRoleEntry e Remove-ManagementRoleEntry. Non è possibile aggiungere altre voci di ruolo al nuovo ruolo poiché questo può contenere solo le voci di ruolo del ruolo padre incorporato. Per ulteriori informazioni, vedere i seguenti argomenti:
- Se si desidera sostituire il ruolo incorporato con questo nuovo ruolo personalizzato, eliminare qualsiasi assegnazione di ruolo associata al ruolo incorporato utilizzando il cmdlet Remove-ManagementRoleAssignment. Per ulteriori informazioni, vedere i seguenti argomenti:
- Aggiungere il nuovo ruolo personalizzato agli assegnatari di ruolo richiesti utilizzando il cmdlet New-ManagementRoleAssignment. Per ulteriori informazioni, vedere i seguenti argomenti:
Aggiunta di un ruolo ad un utente o a un gruppo di protezione universale
Importante
Se si desidera che oltre all'utente che ha creato il ruolo, altri utenti siano in grado di assegnare il nuovo ruolo personalizzato, aggiungere una delega di assegnazione del ruolo ad almeno un assegnatario di ruolo. Per ulteriori informazioni, vedere Assegnazioni del ruolo delegato.