Condividi tramite


Informazioni sui ruoli di gestione

 

Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Ultima modifica dell'argomento: 2015-03-09

I ruoli di gestione fanno parte del modello di autorizzazioni relativo al controllo dell'accesso basato sui ruoli (RBAC) utilizzato in Microsoft Exchange Server 2010. I ruoli funzionano come un raggruppamento logico di cmdlet combinati per consentire l'accesso per la visualizzazione o la modifica della configurazione dei componenti di Exchange 2010, quali le cassette postali, le regole di trasporto e i destinatari. I ruoli di gestione possono essere ulteriormente combinati in raggruppamenti più grandi denominati gruppi di ruoli di gestione e criteri di assegnazione dei ruoli di gestione che abilitano la gestione della configurazione delle aree funzionali e dei destinatari. I gruppi di ruoli e i criteri di assegnazione dei ruoli assegnano le autorizzazioni, rispettivamente, agli amministratori e agli utenti finali. Per ulteriori informazioni sulla gestione dei gruppi di ruoli e dei criteri di assegnazione dei ruoli, vedere Informazioni sul controllo di accesso basato sui ruoli.

Nota

Questo argomento è incentrato sulla funzionalità RBAC avanzata. Se si desidera gestire le autorizzazioni di base di Exchange 2010, quale l'utilizzo del Pannello di controllo di Exchange (ECP) per aggiungere membri nei gruppi del ruolo oppure per rimuoverli da tali gruppi, per creare e modificare gruppi del ruolo oppure per creare e modificare i criteri di assegnazione del ruolo, vedere Informazioni sulle autorizzazioni.

Sommario

Ruoli di gestione incorporati

Ruoli di gestione di primo livello senza ambito

Ruoli di gestione personalizzati

Gerarchia dei ruoli di gestione

Voci del ruolo di gestione

Voci di ruolo di primo livello senza ambito

Tipi di ruolo di gestione

Gli ambiti del ruolo di gestione e le assegnazioni dei ruoli di gestione sono componenti importanti per il funzionamento dei ruoli di gestione. Per ulteriori informazioni su tali componenti, vedere i seguenti argomenti:

Per informazioni sulle attività di gestione relative ai ruoli di gestione, vedere Gestione delle autorizzazioni.

Ruoli di gestione incorporati

Exchange 2010 fornisce molti ruoli di gestione incorporati che possono essere utilizzati per amministrare l'organizzazione. Ciascun ruolo include i cmdlet e i parametri necessari agli utenti per la gestione di determinati componenti di Exchange. Di seguito, sono riportati alcuni esempi di alcuni ruoli di gestione incorporati:

  • Destinatari di posta   Consente agli amministratori di gestire le cassette postali, i contatti e gli utenti di posta.

  • Regole di trasporto   Consente agli amministratori o a utenti esperti assegnati al ruolo di gestire la funzionalità relativa alle regole di trasporto.

  • Gruppi di distribuzione   Consente agli amministratori o a utenti esperti assegnati al ruolo di gestire i gruppi di distribuzione e i relativi membri.

  • MyPersonalInformation   Consente agli utenti finali di modificare il loro numero telefonico di casa e l'indirizzo del sito Web.

Per un elenco completo dei ruoli di gestione inclusi con Exchange 2010, vedere Ruoli di gestione incorporati.

È possibile prendere i ruoli incorporati forniti con Exchange 2010 e combinarli in qualsiasi modo per creare un modello di autorizzazioni valido per la propria azienda. Ad esempio, se si desidera che i membri di un gruppo di ruoli gestiscano i destinatari e le cartelle pubbliche, assegnare al gruppo entrambi i ruoli Destinatari di posta e Cartelle pubbliche. Spesso, vengono assegnati i ruoli ai gruppi di ruoli o ai criteri di assegnazione dei ruoli. È, inoltre, possibile assegnare ruoli di gestione direttamente agli utenti se si desidera controllare le autorizzazioni a livello capillare. Si consiglia di utilizzare gruppi di ruoli e criteri di assegnazione dei ruoli piuttosto che un'assegnazione diretta dei ruoli agli utenti per semplificare il modello delle autorizzazioni.

Nota

È possibile assegnare ai criteri di assegnazione dei ruoli solo ruoli di gestione degli utenti finali.

I ruoli di gestione incorporati non possono essere modificati. Tuttavia, è possibile creare ruoli di gestione basati sui ruoli di gestione incorporati e, quindi, assegnare questi nuovi ruoli ai gruppi di ruoli o ai criteri di assegnazione dei ruoli. È, quindi, possibile modificare i nuovi ruoli di gestione in base alle proprie esigenze. Si tratta di un'attività avanzata che un utente standard potrebbe anche non aver mai la necessità di svolgere.

Per ulteriori informazioni sulla creazione di ruoli basati sui ruoli di Exchange incorporati, vedere la sezione Ruoli di gestione personalizzati riportata più avanti in questo argomento.

Affinché diventino effettivi, i ruoli di gestione devono essere assegnati. Spesso, vengono assegnati ruoli di gestione ai gruppi di ruoli e ai criteri di assegnazione dei ruoli. In determinate circostanze, potrebbe anche essere possibile assegnare ruoli direttamente agli utenti, sebbene si tratti di un'attività avanzata che un utente standard potrebbe anche non aver mai la necessità di svolgere.

Per ulteriori informazioni sull'assegnazione dei ruoli di gestione, vedere i seguenti argomenti:

Per ulteriori informazioni sulle assegnazioni dei ruoli di gestione, vedere Informazioni sulle assegnazioni del ruolo di gestione.

Inizio pagina

Ruoli di gestione di primo livello senza ambito

I ruoli di gestione di primo livello senza ambito sono uno speciale tipo di ruolo di gestione che consente di concedere agli utenti l'accesso ai cmdlet non Exchange e agli script personalizzati tramite RBAC. I ruoli di gestione regolari consentono l'accesso solo ai cmdlet di Exchange. Qualora fosse necessario fornire l'accesso a cmdlet non di Exchange in esecuzione su un server di Exchange o pubblicare uno script che possa essere eseguito dagli utenti, è necessario aggiungerli a un ruolo senza ambito. Sono denominati ruoli di primo livello in quanto, se viene creato un ruolo senza ambito che non deriva da un ruolo padre, questo non ha un elemento padre ed è un peer dei ruoli di gestione incorporati forniti con Exchange 2010. Per indicare che si desidera creare una voce di ruolo di primo livello senza ambito, è necessario utilizzare l'opzione UnscopedTopLevel con il cmdlet New-ManagementRole.

I ruoli senza ambito vengono così denominati in quanto, a differenza dei ruoli di gestione regolari, non possono essere legati a una determinata destinazione. I ruoli senza ambito sono sempre a livello di organizzazione. Ciò significa che gli utenti a cui è assegnato a un ruolo senza ambito possono modificare qualsiasi oggetto all'interno dell'organizzazione Exchange 2010. Per questo motivo, è fondamentale accertarsi che gli script e i cmdlet resi disponibili tramite un ruolo senza ambito siano stati verificati accuratamente in modo che sia chiaro cosa andranno a modificare; è inoltre fondamentale prestare particolare attenzione all'assegnazione dei ruoli senza ambito.

I ruoli senza ambito possono essere assegnati agli assegnatari di ruoli, quali gruppi di ruoli, ruoli di gestione, utenti e gruppi di sicurezza universale. Non possono essere assegnati ai criteri di assegnazione dei ruoli di gestione.

Sebbene i cmdlet di Exchange non possano essere aggiunti come una voce di ruolo di gestione su un ruolo senza ambito, questi possono essere inclusi in script aggiunti come voci di ruolo. Ciò consente di creare script personalizzati che eseguono attività di Exchange che possono poi essere assegnate agli utenti. Uno scenario utile è quello in cui un utente deve eseguire un'attività altamente privilegiata che, normalmente, non rientra nel suo livello amministrativo e in cui la definizione di un nuovo ruolo di gestione o gruppo di ruoli potrebbe risultare problematica. È possibile creare uno script in grado di eseguire questa funzione specifica, aggiungerlo a un ruolo senza ambito e, quindi, assegnare il ruolo senza ambito all'utente. L'utente può, quindi, eseguire solo la funzione specifica fornita dallo script.

Le voci di ruolo aggiunte a un ruolo senza ambito devono anche essere designate come voci di ruolo di primo livello senza ambito. Per ulteriori informazioni sulle voci di ruolo di primo livello senza ambito, vedere Voci di ruolo di primo livello senza ambito.

Per impostazione predefinita, il gruppo di ruoli Gestione organizzazione non dispone delle autorizzazioni per la creazione o la gestione dei gruppi di ruoli senza ambito, onde evitare che i gruppi di ruoli senza ambito vengano creati o modificati erroneamente. Il gruppo di ruoli Gestione organizzazione può delegare il ruolo di gestione Gestione ruoli senza ambito a se stesso e ad altri ruoli assegnati. Per ulteriori informazioni su come creare un ruolo di gestione di primo livello senza ambito, vedere Creazione di un ruolo senza ambito.

Inizio pagina

Ruoli di gestione personalizzati

È possibile creare ruoli di gestione personalizzati che si basano sui ruoli di Exchange incorporati quando i ruoli di gestione incorporati non soddisfano le esigenze dei propri utenti. Quando si crea un ruolo di gestione personalizzato, il nuovo ruolo figlio eredita tutte le voci di ruolo di gestione del ruolo padre. È, quindi, possibile scegliere quali voci di ruolo di gestione si desidera mantenere nel ruolo di gestione personalizzato e rimuovere tutte le voci indesiderate.

I ruoli personalizzati diventano figli del ruolo utilizzato per creare il nuovo ruolo. È possibile utilizzare nel nuovo ruolo figlio solo le voci di ruolo di gestione presenti nel ruolo padre. Per ulteriori informazioni, vedere le seguenti sezioni riportate più avanti in questo argomento:

  • Gerarchia dei ruoli di gestione

  • Voci del ruolo di gestione

La creazione di ruoli di gestione personalizzati richiede più passi e rappresenta un'attività avanzata che un utente standard potrebbe anche non aver mai la necessità di svolgere. Prima di creare un ruolo di gestione personalizzato, accertarsi che uno dei ruoli di gestione incorporati non fornisca le autorizzazioni necessarie. Per ulteriori informazioni sui ruoli di gestione incorporati o se si desidera creare ruoli di gestione personalizzati, vedere i seguenti argomenti:

Per ulteriori informazioni sulla creazione di un ruolo di gestione, vedere Creazione di un ruolo.

Inizio pagina

Gerarchia dei ruoli di gestione

I ruoli di gestione coesistono in una gerarchia padre e figlio. In cima alla gerarchia ci sono i ruoli di gestione incorporati forniti in Exchange 2010 per impostazione predefinita. Quando si crea un ruolo, in realtà si esegue una copia di un ruolo padre. Il nuovo ruolo è un elemento figlio del ruolo da cui è stato copiato. È, quindi, possibile personalizzare il nuovo ruolo per soddisfare le esigenze degli amministratori o degli utenti a cui si desidera assegnare il ruolo.

È possibile utilizzare i ruoli personalizzati per creare nuovi ruoli. Quando si crea un ruolo da un ruolo personalizzato esistente, quest'ultimo rimane un elemento figlio del relativo ruolo padre, ma diviene anche l'elemento genitore per il nuovo ruolo. Ogni volta che si copia un ruolo, il nuovo ruolo figlio può contenere solo le voci di ruolo presenti nel ruolo padre immediato.

A ciascun ruolo di gestione viene assegnato un tipo di ruolo non modificabile. Il tipo di ruolo definisce il contesto di utilizzo base per il ruolo. Il tipo di ruolo viene copiato dal ruolo padre quando viene creato il ruolo figlio.

Gerarchia dei ruoli di gestione

Diagramma gerarchico dei ruoli di gestione RBAC

Nella figura precedente, viene illustrata la relazione gerarchica dei diversi ruoli di gestione. I ruoli Destinatari di posta e Assistenza tecnica sono ruoli incorporati. Tutti i ruoli figlio derivati da questi ruoli ereditano il tipo di ruolo di ciascun ruolo incorporato. Ad esempio, tutti i ruoli figlio derivati direttamente o indirettamente dal ruolo Destinatari di posta ereditano il tipo di ruolo MailRecipients.

Il ruolo personalizzato Amministratori destinatari Seattle è un elemento figlio del ruolo incorporato Destinatari di posta, ma anche l'elemento padre dei ruoli personalizzati Amministratori destinatari ufficio 1 Seattle e Amministratori destinatari ufficio 2 Seattle. Il ruolo personalizzato Amministratori destinatari Seattle contiene solo un sottoinsieme di cmdlet disponibili nel ruolo Destinatari di posta. I ruoli figlio del ruolo personalizzato Amministratori destinatari Seattle possono contenere solo cmdlet presenti anche in quel ruolo. Ad esempio, se un cmdlet è presente nel ruolo Destinatari di posta, ma non nel ruolo personalizzato Amministratori destinatari Seattle, non è possibile aggiungere il cmdlet al ruolo personalizzato Amministratori destinatari ufficio 1 Seattle.

Tutti i ruoli personalizzati seguono lo stesso modello dei ruoli trattati in precedenza. Per ulteriori informazioni su come viene verificato l'accesso ai cmdlet nei ruoli di gestione, vedere la sezione Voci del ruolo di gestione riportata più avanti in questo argomento.

Inizio pagina

Voci del ruolo di gestione

Ogni ruolo di gestione, sia che si tratti di un ruolo di Exchange personalizzato o di un ruolo senza ambito, deve disporre di almeno una voce di ruolo di gestione. Una voce consiste in un singolo cmdlet e nei relativi parametri, uno script o un'autorizzazione speciale che si desidera rendere disponibile. Se un cmdlet o o uno script non appare come una voce in un ruolo di gestione, non sarà possibile accedere a tale cmdlet o script tramite quel ruolo. In modo analogo, se un parametro non è presente in una voce, non sarà possibile accedere al parametro su quel cmdlet o script tramite quel ruolo.

Exchange 2010 consente di gestire le voci di ruolo basate sui ruoli di gestione di primo livello di Exchange incorporati e le voci di ruolo basate sui ruoli di gestione di primo livello senza ambito. I ruoli basati sui ruoli di primo livello di Exchange incorporati possono contenere solo le voci di ruolo corrispondenti a cmdlet di Exchange 2010. Per aggiungere script o cmdlet non Exchange personalizzati in modo che gli utenti possano utilizzarli, è necessario aggiungerli come voci di ruolo senza ambito a un ruolo di primo livello senza ambito. Per ulteriori informazioni sulle voci di ruolo senza ambito, vedere la sezione Voci di ruolo di primo livello senza ambito riportata più avanti in questo argomento.

Tutte le voci di ruolo, indipendentemente dal fatto che la voce di ruolo sia un ruolo basato su cmdlet di Exchange o una voce di ruolo senza ambito, rispettano gli stessi principi illustrati nelle sezioni seguenti.

Per ulteriori informazioni sulle voci di ruolo di gestione, vedere Ruoli di gestione e voci di ruolo.

Relazioni tra i ruoli di gestione padre e figlio

Come indicato in precedenza, una voce di ruolo di gestione, inclusi il cmdlet e i relativi parametri, deve essere presente nel ruolo padre immediato affinché possa essere aggiunta al ruolo figlio. Ad esempio, se il ruolo padre non dispone di una voce per New-Mailbox, non sarà possibile assegnare il ruolo figlio a quel cmdlet. Inoltre, se Set-Mailbox si trova nel ruolo padre ma il parametro Database è stato rimosso dalla voce, non sarò possibile aggiungere il parametro Database nel cmdlet Set-Mailbox alla voce nel ruolo figlio.

Poiché non è possibile aggiungere le voci di ruolo di gestione ai ruoli figlio se queste non appaiono nei ruoli padre e poiché il ruolo si basa su un tipo di ruolo specifico, è necessario scegliere attentamente il ruolo padre da copiare quando si desidera creare un ruolo personalizzato.

Inizio pagina

Nomi delle voci di ruolo di gestione

I nomi delle voci di ruolo di gestione sono una combinazione del ruolo di gestione a cui sono associate e il nome del cmdlet o dello script. Il nome del ruolo e il cmdlet o lo script sono separati da un carattere barra rovesciata (\). Ad esempio, il nome della voce di ruolo per il cmdlet Set-Mailbox nel ruolo Destinatari di posta è Mail Recipients\Set-Mailbox. Se il nome di una voce di ruolo contiene spazi, racchiudere l'intero nome tra virgolette (").

Il carattere jolly (*) può essere utilizzato nel nome della voce di ruolo al fine di restituire tutte le voci di ruolo corrispondenti all'input fornito. Il carattere jolly può essere utilizzato su entrambi i lati del carattere barra rovesciata. La seguente tabella contiene alcune variazioni sulle varie possibilità di utilizzo del carattere jolly in un nome della voce di ruolo.

Nome della voce di ruolo di gestione con caratteri jolly

Esempio Descrizione

*\*

Restituisce un elenco di tutte le voci di ruolo per tutti i ruoli.

*\Set-Mailbox

Restituisce un elenco di tutte le voci di ruolo contenenti il cmdlet Set-Mailbox.

Mail Recipients\*

Restituisce un elenco di tutte le voci di ruolo nel ruolo Destinatari di posta.

Mail Recipients\*Mailbox

Restituisce un elenco di tutte le voci di ruolo nel ruolo Destinatari di posta che contengono cmdlet che terminano con la parola Mailbox.

My*\*Group*

Restituisce un elenco di tutte le voci di ruolo contenenti la stringa Group nel nome del cmdlet per tutti i ruoli che iniziano con My.

Voci di ruolo di primo livello senza ambito

Le voci di ruolo di primo livello senza ambito vengono utilizzate con i ruoli di gestione di primo livello senza ambito per creare ruoli basati su cmdlet non Exchange o script personalizzati. Ciascuna voce di ruolo senza ambito è associata a un singolo cmdlet non di Exchange o script personalizzato. Per indicare che si desidera creare una voce di ruolo senza ambito in un ruolo senza ambito, è necessario specificare il parametro UnscopedTopLevel nel cmdlet Add-ManagementRoleEntry.

Quando si aggiunge la voce di ruolo senza ambito, è necessario specificare tutti i parametri che possono essere utilizzati con lo script o con il cmdlet non di Exchange. Exchange tenta di verificare i parametri forniti quando si aggiunge la voce di ruolo. Gli utenti assegnati al ruolo senza ambito potranno usufruire solo dei parametri aggiunti alla voce di ruolo al momento della creazione. Se si aggiungono parametri allo script o al cmdlet non di Exchange o se viene rinominato un parametro, è necessario aggiornare la voce di ruolo manualmente. Exchange non verifica se sono state apportate modifiche ai parametri esistenti in una voce di ruolo senza ambito. Se un parametro in una voce di ruolo viene modificato in uno script e si tenta di utilizzare quel parametro, il comando non verrà eseguito.

Gli script aggiunti a una voce di ruolo senza ambito devono trovarsi nella directory degli script di Exchange 2010 su ogni server a cui gli amministratori e gli utenti effettuano la connessione mediante l'uso di Exchange Management Shell. Se si tenta di aggiungere una voce di ruolo senza ambito basata su uno script non presente nella directory degli script di Exchange 2010 sul server utilizzato per aggiungere la voce di ruolo, si verificherà un errore. Il percorso predefinito di installazione della directory contenente gli script di Exchange 2010 è C:\Programmi\Microsoft\Exchange Server\V14\Scripts.

I cmdlet non di Exchange aggiunti a una voce di ruolo senza ambito devono essere installati su ciascun server di Exchange 2010 a cui gli amministratori e gli utenti effettuano la connessione mediante l'uso di Shell e su cui desiderano utilizzare i cmdlet. Se si tenta di aggiungere una voce di ruolo senza ambito basata su un cmdlet non di Exchange non installato sul server di Exchange 2010 utilizzato per aggiungere la voce di ruolo, si verificherà un errore. Quando si aggiunge un cmdlet non Exchange, è necessario specificare il nome dello snap-in di Windows PowerShell contenente il cmdlet non Exchange.

Per ulteriori informazioni su come aggiungere una voce di ruolo di gestione senza ambito, vedere Aggiunta di una voce a un ruolo.

Inizio pagina

Tipi di ruolo di gestione

I tipi di ruolo di gestione sono alla base di tutti i ruoli di gestione. I tipi stabiliscono gli ambiti impliciti definiti in tutti i ruoli di gestione di un determinato tipo di ruolo e agiscono anche come un raggruppamento logico di ruoli correlati. Tutti i ruoli di gestione derivati dal ruolo di gestione padre incorporato presentano lo stesso tipo di ruolo. Fare riferimento alla figura relativa alla gerarchia dei ruoli di gestione riportata precedentemente in questo argomento per un'illustrazione della relazione. I tipi di ruolo di gestione rappresentano il numero massimo di cmdlet e relativi parametri che è possibile aggiungere a un ruolo associato a uno specifico tipo di ruolo.

I tipi di ruolo di gestione sono suddivisi nelle seguenti categorie:

  • Amministrativo o specialistico   I ruoli associati a un tipo di ruolo amministrativo o specialistico hanno un ambito di impatto più vasto all'interno dell'organizzazione di Exchange. I ruoli di questo tipo di ruolo consentono attività, quali gestione del server o dei destinatari, configurazione dell'organizzazione, amministrazione della conformità, controllo e altro ancora.

  • Orientato all'utente   I ruoli associati a un tipo di ruolo orientato all'utente hanno un ambito di impatto strettamente legato a un singolo utente. I ruoli di questo tipo di ruolo consentono attività, quali configurazione del profilo utente e gestione personale, gestione dei gruppi di distribuzione di proprietà di un utente e altro ancora.

    I nomi dei ruoli associati ai tipi di ruolo orientati all'utente e i nomi dei tipi di ruolo orientati all'utente iniziano con My.

  • Specializzato   I ruoli associati a tipi di ruolo specializzati consentono attività che non appartengono ai tipi di ruolo amministrativi o orientati all'utente. I ruoli di questo tipo di ruolo consentono attività quali la rappresentazione delle applicazioni e l'uso di script e cmdlet non di Exchange.

Nella tabella seguente, sono riportati tutti i tipi di ruolo di gestione amministrativi in Exchange 2010 e viene indicato se la configurazione consentita dal tipo di ruolo viene applicata all'intera organizzazione di Exchange oppure solo a un singolo server. Per ulteriori informazioni su ciascuno dei ruoli di gestione associato a questi tipi di ruolo, inclusa una descrizione di ciascun ruolo, che potrebbe trarre vantaggi dall'assegnazione al ruolo e altre informazioni, vedere Ruoli di gestione incorporati.

Tipi di ruolo amministrativi

Tipo di ruolo di gestione Ruoli di gestione incorporati Descrizione Organizzazione o server

ActiveDirectoryPermissions

Ruolo Autorizzazioni di Active Directory

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di configurare le autorizzazioni Active Directory in un'organizzazione. Alcune funzionalità che utilizzano le autorizzazioni Active Directory o un elenco di controllo di accesso includono i connettori di invio e ricezione del trasporto e le autorizzazioni di invio per conto di altri per le cassette postali.

Nota

Le autorizzazioni impostate direttamente su oggetti Active Directory potrebbero non essere applicate tramite RBAC.

Organizzazione

AddressLists

Ruolo Elenchi degli indirizzi

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire elenchi di indirizzi, elenchi di indirizzi globali ed elenchi di indirizzi offline in un'organizzazione.

Organizzazione

ApplicationImpersonation

Ruolo ApplicationImpersonation

Questo tipo di ruolo è associato ai ruoli che consentono alle applicazioni di impersonare gli utenti in un'organizzazione per eseguire attività per conto di tali utenti.

Organizzazione

AuditLogs

Ruolo Registri di controllo

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire la configurazione delle registrazioni di controllo in un'organizzazione.

Organizzazione

CmdletExtensionAgents

Ruolo Agenti di estensione cmdlet

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire gli agenti di estensione dei cmdlet in un'organizzazione.

Organizzazione

DatabaseAvailabilityGroups

Ruolo Gruppi di disponibilità del database

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire i gruppi di disponibilità del database in un'organizzazione. Gli amministratori assegnati a questo ruolo sono direttamente o indirettamente gli amministratori di livello superiore responsabili per la configurazione a elevata disponibilità in un'organizzazione.

Organizzazione

DatabaseCopies

Ruolo Copie del database

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire le copie del database sui singoli server.

Server

Databases

Ruolo Database

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di creare, gestire, installare e disinstallare database di cassette postali e cartelle pubbliche sui singoli server.

Server

DisasterRecovery

Ruolo Ripristino di emergenza

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di ripristinare le cassette postali e i gruppi di disponibilità del database in un'organizzazione.

Organizzazione

DistributionGroups

Ruolo Gruppi di distribuzione

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di creare e gestire gruppi di distribuzione e membri dei gruppi di distribuzione in un'organizzazione.

Organizzazione

EdgeSubscriptions

Ruolo Sottoscrizioni Edge

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire la configurazione della sincronizzazione Edge e delle sottoscrizioni tra i server Trasporto Edge e Trasporto Hub in un'organizzazione.

Organizzazione

EmailAddressPolicies

Ruolo Criteri degli indirizzi di posta elettronica

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire i criteri degli indirizzi di posta elettronica in un'organizzazione.

Organizzazione

ExchangeConnectors

Ruolo Connettori di Exchange

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire connettori diversi da quelli di invio e ricezione in un'organizzazione. Questi connettori includono i connettori del gruppo di routing e i connettori dell'agente di recapito.

Organizzazione

ExchangeServerCertificates

Ruolo Certificati server Exchange

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di creare, importare, esportare e gestire i certificati del server di Exchange sui singoli server.

Server

ExchangeServers

Ruolo Server Exchange

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire la configurazione dei server di Exchange sui singoli server.

Server

ExchangeVirtualDirectories

Ruolo Directory virtuali di Exchange

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire Microsoft Office Outlook Web App, Microsoft ActiveSync, le Rubriche offline, il servizio di individuazione automatica, Windows PowerShell e le directory virtuali di interfaccia per l'amministrazione Web sui singoli server.

Server

FederatedSharing

Ruolo Condivisione federata

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire la condivisione tra foreste e tra organizzazioni in un'organizzazione.

Organizzazione

InformationRightsManagement

Ruolo Information Rights Management

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire le funzionalità IRM (Information Rights Management) di Exchange in un'organizzazione.

Organizzazione

Journaling

Ruolo Inserimento nel journal

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire la configurazione del journal in un'organizzazione.

Organizzazione

LegalHold

Ruolo Conservazione legale

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di specificare se i dati all'interno di una cassetta postale devono essere conservati per eventuali controversie legali in un'organizzazione.

Organizzazione

MailboxImportExport

Ruolo Esportazione/importazione cassetta postale

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di importare ed esportare il contenuto delle cassette postali e di eliminare da queste eventuali contenuti non desiderati.

Organizzazione

MailboxSearch

Ruolo Ricerca cassette postali

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di cercare il contenuto di una o più cassette postali in un'organizzazione.

Organizzazione

MailEnabledPublicFolders

Ruolo Cartelle pubbliche abilitate alla posta elettronica

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di stabilire se le singole cartelle pubbliche sono abilitate o disabilitate all'utilizzo della posta elettronica in un'organizzazione.

Questo tipo di ruolo consente di gestire solamente le proprietà di posta elettronica delle cartelle pubbliche; ma non consente di gestire le proprietà delle cartelle pubbliche che non sono proprietà della posta elettronica. Per gestire le proprietà delle cartelle pubbliche che non riguardano la posta elettronica, è necessario assegnare all'utente un ruolo associato al tipo di ruolo PublicFolders.

Organizzazione

MailRecipientCreation

Ruolo Creazione destinatario di posta elettronica

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di creare cassette postali, utenti di posta elettronica, contatti di posta, gruppi di distribuzione e gruppi di distribuzione dinamica in un'organizzazione. I ruoli associati a questo tipo di ruolo possono essere combinati con i ruoli associati al tipo di ruolo MailRecipients per consentire la creazione e gestione dei destinatari.

Questo tipo di ruolo non consente all'utente di abilitare le cartelle pubbliche alla posta. Per abilitare le cartelle pubbliche alla posta, è necessario che all'utente sia assegnato a un ruolo associato al tipo di ruolo MailEnabledPublicFolders.

Se l'organizzazione gestisce un modello di autorizzazioni diviso, in cui la creazione dei destinatari viene eseguita da un gruppo diverso rispetto a quello che esegue la gestione dei destinatari, assegnare il ruolo MailRecipientCreation al gruppo che esegue la creazione dei destinatari e il ruolo MailRecipients al gruppo che esegue la gestione dei destinatari.

Organizzazione

MailRecipients

Ruolo Destinatari di posta

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire cassette postali, utenti di posta, contatti di posta, gruppi di distribuzione e gruppi di distribuzione dinamica esistenti in un'organizzazione. I ruoli associati a questo tipo di ruolo non possono creare tali destinatari, ma possono essere combinati con i ruoli associati al tipo di ruolo MailRecipientCreation per consentire la creazione e gestione dei destinatari.

Questo tipo di ruolo non consente all'utente di gestire le cartelle pubbliche abilitate alla posta o i gruppi di distribuzione. Per gestire le cartelle pubbliche abilitate alla posta, è necessario che all'utente sia assegnato un ruolo associato al tipo di ruolo MailEnabledPublicFolders. Per gestire i gruppi di distribuzione, è necessario che all'utente sia assegnato un ruolo associato al tipo di ruolo DistributionGroups.

Se l'organizzazione gestisce un modello di autorizzazioni diviso, in cui la creazione dei destinatari viene eseguita da un gruppo diverso rispetto a quello che esegue la gestione dei destinatari, assegnare il ruolo MailRecipientCreation al gruppo che esegue la creazione dei destinatari e il ruolo MailRecipients al gruppo che esegue la gestione dei destinatari.

Organizzazione

MailTips

Ruolo Suggerimenti messaggio

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire i suggerimenti per i messaggi in un'organizzazione.

Organizzazione

MessageTracking

Ruolo Verifica dei messaggi

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di tenere traccia dei messaggi in un'organizzazione.

Organizzazione

Migration

Ruolo Migrazione

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di eseguire la migrazione delle cassette postali e del contenuto delle cassette postali da o verso un server.

Server

Monitoring

Ruolo Monitoraggio

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di monitorare i servizi di Microsoft Exchange e la disponibilità dei componenti in un'organizzazione. Oltre che con gli amministratori, è possibile utilizzare i ruoli associati a questo tipo di ruolo con l'account di servizio utilizzato dalle applicazioni di monitoraggio per raccogliere informazioni sullo stato dei server di Exchange.

Organizzazione

MoveMailboxes

Ruolo Sposta cassette postali

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di spostare le cassette postali tra i server di un'organizzazione e tra i server nell'organizzazione locale e in un'altra organizzazione.

Organizzazione

OrganizationClientAccess

Ruolo Accesso client organizzazione

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire le impostazioni del server Accesso client in un'organizzazione.

Organizzazione

OrganizationConfiguration

Ruolo Configurazione organizzazione

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire le impostazioni a livello di organizzazione in un'organizzazione. I tipi di configurazione dell'organizzazione che possono essere controllati con questo tipo di ruolo includono quanto segue e altro ancora:

  • Se i suggerimenti per i messaggi sono abilitati o disabilitati per l'organizzazione.

  • L'URL della home page della cartella gestita.

  • L'indirizzo SMTP del destinatario di Microsoft Exchange e gli indirizzi di posta elettronica alternativi.

  • La configurazione dello schema delle proprietà della cassetta postale delle risorse.

  • L'URL della Guida per la console di gestione di Exchange e Outlook Web App.

Questo tipo di ruolo non comprende le autorizzazioni incluse nei tipi di ruolo OrganizationClientAccess o OrganizationTransportSettings.

Organizzazione

OrganizationTransportSettings

Ruolo Impostazioni trasporto organizzazione

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire le impostazioni di trasporto a livello di organizzazione, quali i messaggi di sistema, la configurazione del sito e altre impostazioni di trasporto a livello di organizzazione in un'organizzazione.

Questo ruolo non consente all'utente di creare o gestire connettori di trasporto di invio o di ricezione, code, elementi Hygiene, agenti, domini accettati e remoti o regole. Per creare o gestire tutte le funzionalità di trasporto, è necessario che all'utente siano assegnati i ruoli associati ai seguenti tipi di ruolo:

  • Connettori di ricezione   ReceiveConnectors

  • Connettori di invio   SendConnectors

  • Code di trasporto   TransportQueues

  • Igiene di trasporto   TransportHygiene

  • Agenti di trasporto   TransportAgents

  • Domini accettati e remoti   RemoteAndAcceptedDomains

  • Regole di trasporto   TransportRules

Organizzazione

POP3AndIMAP4Protocols

Ruolo Protocolli POP3 e IMAP4

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire la configurazione POP3 e IMAP4, quali l'autenticazione e le impostazioni di connessione, sui singoli server.

Server

PublicFolderReplication

Ruolo Replica cartelle pubbliche

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di avviare e arrestare la replica delle cartelle pubbliche in un'organizzazione.

Organizzazione

PublicFolders

Ruolo Cartelle pubbliche

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire le cartelle pubbliche in un'organizzazione.

Questo tipo di ruolo non consente all'utente la gestione delle cartella pubbliche abilitate alla posta o la gestione della replica delle cartelle pubbliche. Per abilitare o disabilitare una cartella pubblica alla posta, è necessario che all'utente sia assegnato a un ruolo associato al tipo di ruolo MailEnabledPublicFolders. Per configurare la replica delle cartelle pubbliche, è necessario che all'utente sia assegnato a un ruolo associato al tipo di ruolo PublicFolderReplication.

Organizzazione

ReceiveConnectors

Ruolo Connettori di ricezione

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire la configurazione del connettore di ricezione del trasporto, quali i limiti di dimensione su un singolo server.

Server

RecipientPolicies

Ruolo Criteri destinatario

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire i criteri relativi ai destinatari, quali i criteri di provisioning, in un'organizzazione.

Organizzazione

RemoteAndAcceptedDomains

Ruolo Domini accettati e remoti

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire i domini accettati e remoti in un'organizzazione.

Organizzazione

RetentionManagement

Ruolo Gestione conservazione

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire i criteri di conservazione in un'organizzazione.

Organizzazione

RoleManagement

Ruolo Gestione dei ruoli

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire i gruppi di ruoli di gestione, i criteri di assegnazione dei ruoli, i ruoli di gestione, le voci di ruolo, le assegnazioni e gli ambiti in un'organizzazione.

Gli utenti a cui sono stati assegnati i ruoli associati a questo tipo di ruolo possono sovrascrivere il gruppo di ruoli gestito dalla proprietà , configurare qualsiasi gruppo di ruoli e aggiungere o rimuovere membri da un qualsiasi gruppo di ruoli.

Organizzazione

SecurityGroupCreationAndMembership

Creazione gruppo di sicurezza e ruolo di appartenenza

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di creare e gestire gruppi di protezione universale e le relative appartenenze in un'organizzazione.

Se l'organizzazione gestisce un modello di divisione delle autorizzazioni in cui la creazione dei gruppi di sicurezza universale viene eseguita da un gruppo diverso da quello che gestisce i server Exchange, assegnare a quel gruppo i ruoli associati a questo tipo di ruolo.

Organizzazione

SendConnectors

Ruolo Connettori di invio

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire i connettori di invio del trasporto in un'organizzazione.

Organizzazione

SupportDiagnostics

Ruolo Diagnostica di supporto

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di eseguire una diagnostica avanzata seguendo le istruzioni del Servizio Supporto Tecnico Clienti Microsoft in un'organizzazione.

Avviso

I ruoli associati a questo tipo di ruolo concedono le autorizzazioni ai cmdlet e script che dovrebbero essere utilizzati sotto la guida del Servizio Supporto Tecnico Clienti Microsoft.

Organizzazione

TransportAgents

Ruolo Agenti di trasporto

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire gli agenti di trasporto in un'organizzazione.

Organizzazione

TransportHygiene

Ruolo Trasporto Hygiene

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire funzionalità antivirus e di protezione da posta indesiderata in un'organizzazione.

Organizzazione

TransportQueues

Ruolo Code di trasporto

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire le code di trasporto su un singolo server.

Server

TransportRules

Ruolo Regole di trasporto

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire le regole di trasporto in un'organizzazione.

Organizzazione

UMMailboxes

Ruolo Cassette postali di messaggistica unificata

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire la configurazione di messaggistica unificata delle cassette postali e altri destinatari in un'organizzazione.

Organizzazione

UMPrompts

Ruolo Prompt di messaggistica unificata

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di creare e gestire istruzioni vocali di messaggistica unificata personalizzate in un'organizzazione.

Organizzazione

UnifiedMessaging

Ruolo Messaggistica unificata

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di gestire i server di messaggistica unificata in un'organizzazione.

Questo ruolo non consente all'utente di gestire la configurazione della cassetta postale specifica di messaggistica unificata o i prompt di messaggistica unificata. Per gestire la configurazione della cassetta postale specifica per la messaggistica unificata, utilizzare ruoli associati al tipo di ruolo UMMailboxes. Per gestire le richieste di messaggistica unificata, utilizzare i ruoli associati al tipo di ruolo UMPrompts.

Organizzazione

UnScopedRoleManagement

Ruolo Gestione ruoli senza ambito

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di creare e gestire ruoli di gestione di primo livello senza ambito in un'organizzazione.

Organizzazione

UserOptions

Ruolo Opzioni utente

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di visualizzare le opzioni di Outlook Web App di un utente in un'organizzazione. I ruoli associati a questo tipo di ruolo possono essere utilizzati per aiutare l'utente a risolvere i problemi di diagnostica riscontrati nella configurazione. 

Organizzazione

ViewOnlyAuditLogs

Ruolo dei log di controllo con diritti di sola visualizzazione

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di eseguire delle ricerche nel registro di controllo in un'organizzazione.

Organizzazione

ViewOnlyConfiguration

Ruolo Configurazione di sola lettura

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di visualizzare tutte le impostazioni di configurazione di Exchange non relative ai destinatari in un'organizzazione. Esempi di configurazioni visualizzabili sono la configurazione del server, la configurazione di trasporto, la configurazione del database e la configurazione a livello dell'organizzazione.

I ruoli associati a questo tipo di ruolo possono essere combinati con i ruoli associati al tipo di ruolo ViewOnlyRecipients per creare un ruolo in grado di visualizzare tutti gli oggetti in un'organizzazione.

Organizzazione

ViewOnlyRecipients

Ruolo Destinatari di sola lettura

Questo tipo di ruolo è associato ai ruoli che consentono agli amministratori di visualizzare la configurazione dei destinatari, quali cassette postali, utenti di posta, contatti di posta, gruppi di distribuzione e gruppi di distribuzione dinamica.

I ruoli associati a questo tipo di ruolo possono essere combinati con i ruoli associati al tipo di ruolo ViewOnlyConfiguration per creare un ruolo in grado di visualizzare tutti gli oggetti in un'organizzazione.

Organizzazione

Nella tabella che segue sono elencati tutti i tipi di ruoli di gestione orientati all'utente e i corrispondenti ruoli di gestione incorporati in Exchange 2010.

Tipi di ruolo orientati all'utente

Tipo di ruolo di gestione Ruoli orientati all'utente incorporati Descrizione

MyBaseOptions

Ruolo MyBaseOptions

Questo tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di visualizzare e modificare la configurazione di base delle relative cassette postali e impostazioni associate.

MyContactInformation

Ruolo MyAddressInformation

Ruolo MyContactInformation

Ruolo MyMobileInformation

Ruolo MyPersonalInformation

Questo tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di modificare le proprie informazioni di contatto. Queste informazioni includono i relativi indirizzi e numeri di telefono.

MyDistributionGroupMembership

Ruolo MyDistributionGroupMembership

Questo tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di visualizzare e modificare la propria appartenenza ai gruppi di distribuzione in un'organizzazione, purché tali gruppi di distribuzione consentano la manipolazione dell'appartenenza al gruppo.

MyDistributionGroups

Ruolo MyDistributionGroups

Questo tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di creare, modificare e visualizzare i gruppi di distribuzione e di modificare, visualizzare, rimuovere e aggiungere membri ai gruppi di distribuzione di loro proprietà.

MyProfileInformation

Ruolo MyDisplayName

Ruolo MyName

Ruolo MyProfileInformation

Questo tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di modificare il proprio nome.

MyRetentionPolicies

Ruolo MyRetentionPolicies

Questo tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di visualizzare i relativi tag di conservazione e di visualizzarne e modificarne le impostazioni e i valori predefiniti.

MyTextMessaging

Ruolo di MyTextMessaging

Questo tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di creare, visualizzare e modificare le relative impostazioni per la messaggistica di testo.

MyVoiceMail

Ruolo MyVoiceMail

Questo tipo di ruolo è associato ai ruoli che consentono ai singoli utenti di visualizzare e modificare le relative impostazioni di posta vocale.

Inizio pagina

Per ulteriori informazioni

New-ManagementRole

New-ManagementRoleAssignment

Set-ManagementRoleAssignment

New-ManagementScope

Set-ManagementScope

New-ManagementRoleAssignment

Set-ManagementRoleAssignment

 ©2010 Microsoft Corporation. Tutti i diritti riservati.