Informazioni sugli ambiti del ruolo di gestione

  • Articolo

 

Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Ultima modifica dell'argomento: 2015-03-09

Gli ambiti dei ruoli di gestione consentono di definire lo specifico ambito di impatto o influenza di un ruolo di gestione quando viene creata un'assegnazione dei ruoli di gestione. Quando si applica un ambito, l'assegnatario dei ruoli può modificare solo gli oggetti contenuti all'interno di quell'ambito. Un assegnatario dei ruoli può indicare un gruppo dei ruoli di gestione, un ruolo di gestione, un criterio di assegnazione dei ruoli di gestione, un utente o un gruppo di protezione universale. Per ulteriori informazioni sui ruoli di gestione, vedere Informazioni sul controllo di accesso basato sui ruoli.

Ogni ruolo di gestione, se incorporato o personalizzato, ha ambiti di gestione. Gli ambiti di gestione possono essere:

  • Normale   Un ambito normale non è esclusivo. Determina se, in Active Directory, gli oggetti possono essere visualizzati o modificati dagli utenti assegnati al ruolo di gestione. In generale, un ruolo di gestione indica gli elementi che è possibile creare o modificare, mentre l'ambito di un ruolo di gestione indica la posizione in cui è possibile eseguire le operazioni di creazione o modifica. Gli ambiti regolari possono essere impliciti o espliciti. Verranno entrambi illustrati più avanti in questo argomento.

  • Esclusivo   Un ambito esclusivo si comporta quasi come un ambito normale. L'unica differenza è che gli ambiti esclusivi consentono di negare agli utenti l'accesso agli oggetti contenuti all'interno dell'ambito, in quanto quegli utenti non sono assegnati a un ruolo associato all'ambito esclusivo. Tutti gli ambiti esclusivi sono espliciti, descritti più avanti in questo argomento.

    Per ulteriori informazioni sugli ambiti esclusivi, vedere Informazioni sugli ambiti esclusivi.

Gli ambiti possono essere ereditati dal ruolo di gestione, specificati come ambito relativo predefinito per un'assegnazione dei ruoli di gestione o creati utilizzando i filtri personalizzati e aggiunti a un'assegnazione dei ruoli di gestione. Gli ambiti ereditati dai ruoli di gestione vengono denominati ambiti impliciti, mentre quelli predefiniti e personalizzati vengono denominati ambiti espliciti. Nelle sezioni seguenti vengono descritti tutti i tipi di ambito:

  • Ambiti impliciti

  • Ambiti espliciti

  • Ambiti relativi predefiniti

  • Ambiti personalizzati

    • Ambiti di filtro dei destinatari

    • Ambiti di configurazione

Ogni ruolo può disporre dei seguenti tipi di ambiti:

  • Ambito di lettura del destinatario   L'ambito implicito di lettura del destinatario determina gli oggetti destinatario che l'utente assegnato al ruolo di gestione può leggere da Active Directory.

  • Ambito di scrittura del destinatario   L'ambito implicito di scrittura del destinatario determina gli oggetti destinatario che l'utente assegnato al ruolo di gestione può modificare in Active Directory.

  • Ambito di lettura della configurazione   L'ambito implicito di lettura della configurazione determina gli oggetti configurazione che l'utente assegnato al ruolo di gestione può leggere da Active Directory.

  • Ambito di scrittura della configurazione    L'ambito implicito di scrittura della configurazione determina gli oggetti dell'organizzazione, dei database e dei server che l'utente assegnato al ruolo di gestione può modificare in Active Directory.

Gli oggetti destinatario comprendono le cassette postali, i gruppi di distribuzione, gli utenti abilitati alla posta e altri oggetti. Gli oggetti di configurazione comprendono i server che eseguono Microsoft Exchange Server 2010 e i database che si trovano sui server che eseguono Exchange. Ogni tipo di ambito può essere implicito o esplicito.

Ambiti impliciti

Gli ambiti impliciti indicano gli ambiti predefiniti che si applicano a un tipo di ruolo di gestione. Siccome gli ambiti impliciti vengono associati a un tipo di ruolo di gestione, tutti i ruoli di gestione padre e figlio con lo stesso tipo di ruolo dispongono anche degli stessi ambiti impliciti. Gli ambiti impliciti si applicano ai ruoli di gestione incorporati e a quelli personalizzati. Per ulteriori informazioni sui ruoli di gestione e sui tipi di ruolo di gestione, vedere Informazioni sui ruoli di gestione.

Nelle tabelle seguenti vengono elencati tutti gli ambiti impliciti definibili per i ruoli di gestione.

Ambiti impliciti definiti per i ruoli di gestione

Ambiti impliciti Descrizione

Organization

Se Organization è presente nell'ambito di scrittura del destinatario, il ruolo può creare o modificare gli oggetti destinatario in tutta l'organizzazione Exchange.

Se Organization è presente nell'ambito di lettura del destinatario, i ruoli possono visualizzare qualsiasi oggetto destinatario in tutta l'organizzazione Exchange.

Questo ambito viene utilizzato solo con gli ambiti di scrittura e lettura del destinatario.

MyGAL

Se MyGAL è presente nell'ambito di scrittura del destinatario, il ruolo può visualizzare le proprietà di qualsiasi destinatario all'interno dell'elenco indirizzi globale dell'utente corrente.

Se MyGAL è presente nell'ambito di lettura del destinatario, il ruolo può visualizzare le proprietà di qualsiasi destinatario all'interno dell'elenco indirizzi globale corrente.

Questo ambito viene utilizzato solo con gli ambiti di lettura del destinatario.

Self

Se Self è presente nell'ambito di scrittura del destinatario, il ruolo può modificare solo le proprietà della cassetta postale dell'utente corrente.

Se Self è presente nell'ambito di lettura del destinatario, il ruolo può visualizzare solo le proprietà della cassetta postale dell'utente corrente.

Questo ambito viene utilizzato solo con gli ambiti di scrittura e lettura del destinatario.

MyDistributionGroups

Se MyDistributionGroups è presente nell'ambito di scrittura del destinatario, il ruolo può creare o modificare gli oggetti lista di distribuzione che appartengono all'utente corrente.

Se MyDistributionGroups è presente nell'ambito di lettura del destinatario, il ruolo può visualizzare gli oggetti lista di distribuzione che appartengono all'utente corrente.

Questo ambito viene utilizzato solo con gli ambiti di scrittura e lettura del destinatario.

OrganizationConfig

Se OrganizationConfig è presente nell'ambito di scrittura della configurazione, il ruolo può creare o modificare qualsiasi oggetto di configurazione del server o del database in tutta l'organizzazione di Exchange.

Se OrganizationConfig è presente nell'ambito di lettura della configurazione, il ruolo può visualizzare qualsiasi oggetto di configurazione del server o del database in tutta l'organizzazione di Exchange.

Questo ambito viene utilizzato solo con gli ambiti di scrittura e lettura della configurazione.

None

Se None si trova in un ambito, quell'ambito non è disponibile per il ruolo. Ad esempio, un ruolo che presenta None nell'ambito di scrittura del destinatario non può modificare gli oggetti destinatario nell'organizzazione Exchange.

Se un ruolo viene associato a un assegnatario e nessun ambito predefinito o personalizzato viene specificato, gli ambiti impliciti definiti per il ruolo vengono utilizzati per controllare gli oggetti organizzazione o destinatario che l'utente può visualizzare o modificare.

L'ambito di scrittura implicito di un ruolo è sempre uguale o inferiore all'ambito di lettura implicito. Ciò significa che un ruolo non può mai modificare gli oggetti non visualizzabili dall'ambito.

Non è possibile modificare gli ambiti impliciti definiti per i ruoli di gestione. Tuttavia, è possibile sostituire l'ambito di scrittura implicito e l'ambito di configurazione per un ruolo di gestione. Quando un ambito relativo predefinito o un ambito personalizzato viene utilizzato per un'assegnazione di ruolo, l'ambito di scrittura implicito del ruolo viene sostituito, dando precedenza al nuovo ambito. L'ambito di lettura implicito di un ruolo non può essere sostituito e viene sempre applicato. Per ulteriori informazioni, vedere Ambiti relativi predefiniti e Ambiti personalizzati.

Espandere la tabella seguente per visualizzare un elenco di tutti i ruoli di gestione incorporati e i relativi ambiti impliciti. Per ulteriori informazioni su ogni ruolo incorporato, vedere Ruoli di gestione incorporati.

Ambiti impliciti dei ruoli di gestione incorporati

Ruolo di gestione Ambito di lettura del destinatario Ambito di scrittura del destinatario Ambito di lettura della configurazione Ambito di scrittura della configurazione

Active Directory Permissions

Organization

Organization

OrganizationConfig

OrganizationConfig

Address Lists

Organization

Organization

OrganizationConfig

OrganizationConfig

ApplicationImpersonation

Organization

Organization

None

None

Audit Logs

Organization

Organization

OrganizationConfig

OrganizationConfig

Cmdlet Extension Agents

Organization

Organization

OrganizationConfig

OrganizationConfig

Database Availability Groups

Organization

Organization

OrganizationConfig

OrganizationConfig

Database Copies

Organization

Organization

OrganizationConfig

OrganizationConfig

Databases

Organization

Organization

OrganizationConfig

OrganizationConfig

Disaster Recovery

Organization

Organization

OrganizationConfig

OrganizationConfig

Distribution Groups

Organization

Organization

OrganizationConfig

OrganizationConfig

Edge Subscriptions

Organization

Organization

OrganizationConfig

OrganizationConfig

E-Mail Address Policies

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Server Certificates

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Servers

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Virtual Directories

Organization

Organization

OrganizationConfig

OrganizationConfig

Federated Sharing

Organization

Organization

OrganizationConfig

OrganizationConfig

Information Rights Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Journaling

Organization

Organization

OrganizationConfig

OrganizationConfig

Legal Hold

Organization

Organization

OrganizationConfig

None

Mail Enabled Public Folders

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Recipient Creation

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Recipients

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Tips

Organization

Organization

OrganizationConfig

OrganizationConfig

Mailbox Import Export

Organization

Organization

OrganizationConfig

OrganizationConfig

Mailbox Search

Organization

Organization

None

None

Message Tracking

Organization

Organization

OrganizationConfig

OrganizationConfig

Migration

Organization

Organization

OrganizationConfig

OrganizationConfig

Monitoring

Organization

Organization

OrganizationConfig

OrganizationConfig

Move Mailboxes

Organization

Organization

OrganizationConfig

OrganizationConfig

MyAddressInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyBaseOptions

Self

Self

OrganizationConfig

OrganizationConfig

MyContactInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyDiagnostics

Self

Self

OrganizationConfig

OrganizationConfig

MyDisplayName

Self

Self

OrganizationConfig

OrganizationConfig

MyDistributionGroupMembership

MyGAL

MyGAL

None

None

MyDistributionGroups

MyGAL

MyDistributionGroups

OrganizationConfig

None

MyMobileInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyName

Self

Self

OrganizationConfig

OrganizationConfig

MyPersonalInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyProfileInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyRetentionPolicies

Self

Self

OrganizationConfig

OrganizationConfig

MyTextMessaging

Self

Self

OrganizationConfig

OrganizationConfig

MyVoiceMail

Self

Self

OrganizationConfig

OrganizationConfig

Organization Client Access

Organization

Organization

OrganizationConfig

OrganizationConfig

Organization Configuration

Organization

Organization

OrganizationConfig

OrganizationConfig

Organization Transport Settings

Organization

Organization

OrganizationConfig

OrganizationConfig

POP3 And IMAP4 Protocols

Organization

Organization

OrganizationConfig

OrganizationConfig

Public Folder Replication

Organization

Organization

OrganizationConfig

OrganizationConfig

Public Folders

Organization

Organization

OrganizationConfig

OrganizationConfig

Receive Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Recipient Policies

Organization

Organization

OrganizationConfig

OrganizationConfig

Remote and Accepted Domains

Organization

Organization

OrganizationConfig

OrganizationConfig

Retention Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Role Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Security Group Creation and Membership

Organization

Organization

OrganizationConfig

OrganizationConfig

Send Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Support Diagnostics

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Agents

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Hygiene

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Queues

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Rules

Organization

Organization

OrganizationConfig

OrganizationConfig

UM Mailboxes

Organization

Organization

OrganizationConfig

OrganizationConfig

UM Prompts

Organization

Organization

OrganizationConfig

OrganizationConfig

Unified Messaging

Organization

Organization

OrganizationConfig

OrganizationConfig

UnScoped Role Management

Organization

Organization

OrganizationConfig

OrganizationConfig

User Options

Organization

Organization

OrganizationConfig

OrganizationConfig

View-Only Audit Logs

Organization

None

OrganizationConfig

None

View-Only Configuration

Organization

None

OrganizationConfig

None

View-Only Recipients

Organization

None

OrganizationConfig

None

Ambiti espliciti

Gli ambiti espliciti sono ambiti che controllano gli oggetti modificabili da un ruolo di gestione. Mentre gli ambiti impliciti vengono definiti per un ruolo di gestione, gli ambiti espliciti vengono definiti per un'assegnazione del ruolo di gestione. Ciò consente agli ambiti impliciti di essere applicati in modo coerente in tutti i ruoli di gestione, se non si stabilisce di utilizzare un altro ambito esplicito. Per ulteriori informazioni sulle assegnazioni del ruolo di gestione, vedere Informazioni sulle assegnazioni del ruolo di gestione.

Gli ambiti espliciti sostituiscono gli ambiti impliciti di configurazione e di scrittura di un ruolo di gestione. Non sostituiscono l'ambito di lettura implicito di un ruolo di gestione. L'ambito di lettura implicito continua a definire gli oggetti che il ruolo di gestione può leggere.

Gli ambiti espliciti risultano utili quando l'ambito di scrittura implicito di un ruolo di gestione non soddisfa le esigenze dell'azienda. È possibile aggiungere un ambito esplicito per comprendere quasi tutto ciò che si desidera, fino a quando il nuovo ambito non supera i limiti dell'ambito di lettura implicito. I cmdlet che fanno parte di un ruolo di gestione devono essere in grado di leggere le informazioni sugli oggetti o i contenitori che comprendono gli oggetti per i cmdlet per creare o modificare gli oggetti. Ad esempio, se l'ambito di lettura implicito per un ruolo di gestione è impostato su Self, non è possibile aggiungere un ambito di scrittura esplicito di Organization, perché l'ambito di scrittura esplicito supera i limiti dell'ambito di lettura implicito.

Per ulteriori informazioni, vedere le seguenti sezioni:

  • Ambiti relativi predefiniti

  • Ambiti personalizzati

Ambiti relativi predefiniti

Exchange 2010 offre diversi ambiti di scrittura relativi predefiniti che è possibile utilizzare per modificare l'ambito di un ruolo di gestione. Gli ambiti relativi predefiniti forniscono un modo semplice per soddisfare maggiormente le esigenze dell'azienda, senza dover creare manualmente gli ambiti personalizzati. Vengono denominati ambiti relativi perché riguardano l'assegnatario a cui viene associato il ruolo. Ad esempio, l'ambito relativo predefinito Self limita quell'ambito di scrittura solo all'utente corrente. L'ambito relativo predefinito MyDistributionGroups limita l'ambito di scrittura al gruppo di distribuzione che appartiene solo all'utente corrente. Gli ambiti relativi predefiniti possono essere utilizzati solo per esaminare gli oggetti destinatario. Non è possibile utilizzare gli ambiti relativi predefiniti per esaminare gli oggetti configurazione. Nella tabella seguente sono elencati gli ambiti relativi predefiniti che è possibile utilizzare.

Ambiti relativi predefiniti

Ambiti impliciti Descrizione

Organization

Se Organization è presente nell'ambito di scrittura del destinatario, il ruolo può creare o modificare gli oggetti destinatario in tutta l'organizzazione Exchange.

Se Organization è presente nell'ambito di lettura del destinatario, i ruoli possono visualizzare qualsiasi oggetto destinatario in tutta l'organizzazione Exchange.

Questo ambito viene utilizzato solo con gli ambiti di scrittura e lettura del destinatario.

Self

Se Self è presente nell'ambito di scrittura del destinatario, il ruolo può modificare solo le proprietà della cassetta postale dell'utente corrente.

Se Self è presente nell'ambito di lettura del destinatario, il ruolo può visualizzare solo le proprietà della cassetta postale dell'utente corrente.

Questo ambito viene utilizzato solo con gli ambiti di scrittura e lettura del destinatario.

MyDistributionGroups

Se MyDistributionGroups è presente nell'ambito di scrittura del destinatario, il ruolo può creare o modificare gli oggetti lista di distribuzione che appartengono all'utente corrente.

Se MyDistributionGroups è presente nell'ambito di lettura del destinatario, il ruolo può visualizzare gli oggetti lista di distribuzione che appartengono all'utente corrente.

Questo ambito viene utilizzato solo con gli ambiti di scrittura e lettura del destinatario.

Gli ambiti relativi predefiniti vengono applicati quando si crea una nuova assegnazione dei ruoli di gestione. Durante la creazione dell'assegnazione di ruolo, utilizzando il cmdlet New-ManagementRoleAssignment, è possibile specificare un ambito relativo predefinito utilizzando il parametro RecipientRelativeWriteScope. Una volta creata la nuova assegnazione di ruolo, il nuovo ruolo predefinito sostituisce l'ambito di scrittura implicito del ruolo di gestione. Non è possibile specificare un ambito dei destinatari personalizzato quando si crea un'assegnazione di ruolo con un ambito relativo predefinito. Se necessario, è comunque possibile specificare un ambito di configurazione personalizzato.

Per ulteriori informazioni sull'aggiunta di un'assegnazione dei ruoli di gestione a un ambito relativo predefinito, vedere Aggiunta di un ruolo ad un utente o a un gruppo di protezione universale.

Ambiti personalizzati

Gli ambiti personalizzati sono necessari quando né l'ambito di scrittura implicito né gli ambiti relativi predefiniti soddisfano le esigenze dell'azienda. Gli ambiti personalizzati consentono di definire più precisamente l'ambito a cui verrà applicato il ruolo di gestione. Ad esempio, si potrebbe indirizzare una specifica unità organizzativa, un tipo specifico di destinatario o entrambi. Oppure è possibile consentire solo a un gruppo di amministratori di gestire un insieme specifico di database delle cassette postali.

Come con gli ambiti relativi predefiniti, gli ambiti personalizzati sostituiscono gli ambiti impliciti di scrittura e di configurazione dell'organizzazione definiti per i ruoli di gestione. L'ambito di lettura implicito per i ruoli di gestione continua a essere applicato e l'ambito personalizzato risultante non deve superare i limiti dell'ambito di lettura implicito. È possibile creare i seguenti tre tipi di ambiti personalizzati:

  • Ambito di unità organizzativa   Un ambito di unità organizzativa, che indica l'ambito personalizzato più semplice, viene creato utilizzando il parametro RecipientOrganizationalUnitScope del cmdlet New-ManagementRoleAssignment . Specificando un ambito di unità organizzativa quando viene assegnato un ruolo, l'assegnatario del ruolo può modificare solo gli oggetti destinatario all'interno di tale unità organizzativa. Per ulteriori informazioni sull'aggiunta di un'assegnazione dei ruoli di gestione a un ambito di unità organizzativa, vedere Aggiunta di un ruolo ad un utente o a un gruppo di protezione universale.

  • Ambito di filtro dei destinatari   Gli ambiti di filtro dei destinatari utilizzano i filtri per indirizzare specifici destinatari in base al tipo o ad altre proprietà dei destinatari, come il reparto, il gestore, il percorso e altro ancora. Per ulteriori informazioni, vedere la sezione Ambiti di filtro dei destinatari.

  • Ambito di configurazione   Gli ambiti di configurazione utilizzano i filtri o gli elenchi per indirizzare specifici server in base agli elenchi o alle proprietà filtrabili definibili per i server, come un sito Active Directory o un ruolo del server. In Exchange 2010 Service Pack 1 (SP1), gli ambiti di configurazione possono utilizzare anche gli ambiti di database per indirizzare specifici database in base agli elenchi o alle proprietà filtrabili dei database. Per ulteriori informazioni, vedere la sezione Ambiti di configurazione.

Utilizzando il cmdlet New-ManagementScope, è possibile creare ambiti personalizzati di configurazione e del destinatario semplici e ampi o complessi e precisi. Quando si crea un ambito di configurazione o del destinatario, vengono restituiti solo gli oggetti destinatario, server o database che corrispondono ai rispettivi ambiti. Quando questi ambiti vengono applicati a un'assegnazione di ruolo utilizzando i cmdlet New-ManagementRoleAssignment o Set-ManagementRoleAssignment, solo gli oggetti che corrispondono agli ambiti possono essere modificati dagli assegnatari del ruolo. Una volta creato un ambito personalizzato, non è possibile modificare il tipo di ambito. Un ambito per il destinatario è sempre un ambito per il destinatario e un ambito per la configurazione è sempre un ambito per la configurazione.

Per impostazione predefinita, un ambito personalizzato consente a un assegnatario del ruolo di accedere a una serie di oggetti corrispondenti agli ambiti definiti. Tuttavia, non escludono attivamente l'accesso agli altri assegnatari del ruolo che non sono stati associati allo stesso ambito o a uno equivalente. Tutti gli ambiti personalizzati possono accedere agli stessi oggetti se gli elenchi o i filtri per questi ambiti corrispondono agli stessi oggetti. Potrebbero essere presenti oggetti per i quali questo comportamento non è voluto, come nel caso del personale importante, come i dirigenti. Per questi oggetti, è possibile definire gli ambiti esclusivi. Gli ambiti esclusivi utilizzano i filtri o gli elenchi come gli ambiti normali ma, a differenza di questi, negano l'accesso agli oggetti compresi nell'ambito a chi non fa parte dello stesso ambito esclusivo o uno equivalente. Per ulteriori informazioni sugli ambiti esclusivi, vedere Informazioni sugli ambiti esclusivi.

Ambiti di filtro dei destinatari

Gli ambiti di filtro dei destinatari consentono di controllare gli oggetti destinatario gestibili dagli assegnatari del ruolo valutando una o più proprietà di un oggetto destinatario rispetto al valore specificato in un'istruzione per il filtro. I destinatari compresi negli ambiti dei destinatari sono le cassette postali, gli utenti abilitati alla posta, i gruppi di distribuzione e i contatti di posta. Solo i destinatari corrispondenti al filtro specificato possono essere gestiti dagli assegnatari del ruolo. Un esempio di istruzione per il filtro è { Name -Eq "David" } doveName è la proprietà dell'oggetto destinatario valutato e David è il valore che si desidera valutare rispetto alla proprietà. L'operatore di confronto -Eq indica che il valore archiviato nella proprietà deve essere pari al valore specificato per il filtro affinché sia true. Se il filtro è true, il destinatario è compreso nell'ambito.

Gli ambiti di filtro dei destinatari vengono creati specificando il filtro destinatario da utilizzare con il parametro RecipientRestrictionFilter nel cmdlet New-ManagementScope. Per impostazione predefinita, il cmdlet New-ManagementScope crea ambiti normali. Se si desidera creare un ambito esclusivo, includere l'opzione Exclusive al parametro RecipientRestrictionFilter.

Quando si crea un filtro di restrizione dei destinatari, Exchange valuta per impostazione predefinita il filtro fornito rispetto a ogni oggetto destinatario dell'organizzazione. Se si desidera limitare i destinatari valutati dall'ambito, è possibile utilizzare il parametro RecipientRoot insieme al parametro RecipientRestrictionFilter. Il parametro RecipientRoot accetta un'unità organizzativa. Quando si utilizza il parametro RecipientRoot, Exchange valuta solo i destinatari compresi nell'unità organizzativa specificata rispetto al filtro fornito.

Quando si aggiunge un ambito di filtro dei destinatari a un'assegnazione di ruolo, specificare il nome dell'ambito dei destinatari nel parametro CustomRecipientWriteScope di New-ManagementRoleAssignment, se si sta creando una nuova assegnazione di ruolo, oppure il cmdlet Set-ManagementRoleAssignment se si sta aggiornando un'assegnazione di ruolo esistente. Ogni assegnazione di ruolo può disporre di un unico ambito dei destinatari, compresi gli ambiti relativi predefiniti. È possibile aggiungere un unico ambito di configurazione alla stessa assegnazione di ruolo a cui è stato aggiunto un ambito dei destinatari.

Per ulteriori informazioni sulla sintassi dei filtri e per un elenco completo delle proprietà filtrabili dei destinatari, vedere Informazioni sui filtri ambito del ruolo di gestione.

Ambiti di configurazione

Di seguito vengono riportati i due tipi di ambiti di configurazione disponibili in Exchange 2010:

  • Ambiti dei server   Esistono due tipi di ambiti dei server, l'ambito di filtro e l'ambito di elenco. La configurazione dei server, gestibile se un oggetto server è compreso in un ambito dei server, comprende i connettori di ricezione, le code di trasporto, i certificati dei server, le directory virtuali e così via.

    • Ambiti di filtro dei server   Gli ambiti di filtro dei server consentono di controllare gli oggetti server gestibili dagli assegnatari del ruolo valutando una o più proprietà di un oggetto server rispetto al valore specificato in un'istruzione per il filtro. Per creare un ambito di filtro dei server, utilizzare il parametro ServerRestrictionFilter nel cmdlet New-ManagementScope.

    • Ambiti di elenco dei server   Gli ambiti di elenco dei server consentono di controllare gli oggetti server gestibili dagli assegnatari del ruolo definendo un elenco di server accessibili da un assegnatario del ruolo. Per creare un ambito di elenco dei server, utilizzare il parametro ServerList nel cmdlet New-ManagementScope.

  • Ambiti dei database   Esistono due tipi di ambiti dei database, l'ambito di filtro e l'ambito di elenco. La configurazione dei database, gestibile se un oggetto database è compreso in un ambito dei database, comprende i limiti di quota, la manutenzione dei database, la replica delle cartelle pubbliche, lo stato di montaggio di un database e così via. Oltre alla configurazione, gli ambiti dei database possono essere utilizzati anche per controllare in quali database possono essere creati i destinatari. Gli ambiti dei database sono disponibili solo in Exchange 2010 SP1.

    • Ambiti di filtro dei database   Gli ambiti di filtro dei database consentono di controllare gli oggetti database gestibili dagli assegnatari del ruolo valutando una o più proprietà di un oggetto database rispetto al valore specificato in un'istruzione per il filtro. Per creare un ambito di filtro dei database, utilizzare il parametro DatabaseRestrictionFilter nel cmdlet New-ManagementScope.

    • Ambiti di elenco dei database   Gli ambiti di elenco dei database consentono di controllare gli oggetti database gestibili dagli assegnatari del ruolo definendo un elenco di database accessibili da un assegnatario del ruolo. Per creare un ambito di elenco dei database, utilizzare il parametro DatabaseList nel cmdlet New-ManagementScope.

Per ulteriori informazioni sulla sintassi dei filtri e per un elenco completo delle proprietà filtrabili dei server e dei database, vedere Informazioni sui filtri ambito del ruolo di gestione.

Gli elenchi dei server e dei database possono essere definiti specificando ogni server e ogni database che si desidera includere nei rispettivi ambiti. Nei rispettivi ambiti possono essere specificati più server o database, separando i nomi con una virgola.

Quando si aggiunge un ambito di configurazione dei server o dei database a un'assegnazione di ruolo, specificare il nome dell'ambito nel parametro CustomConfigWriteScope del cmdlet New-ManagementRoleAssignment, se si sta creando una nuova assegnazione di ruolo, oppure il cmdlet Set-ManagementRoleAssignment se si sta aggiornando un'assegnazione di ruolo esistente. Ogni assegnazione di ruolo può disporre di un unico ambito di configurazione.

Oltre al controllo dei database gestibili dagli assegnatari del ruolo, gli ambiti dei database consentono anche di controllare i database in cui gli assegnatari del ruolo possono creare le cassette postali. Si tratta di un'operazione diversa dal controllo dei destinatari gestibili da un assegnatario del ruolo. Se un assegnatario del ruolo dispone delle autorizzazioni per creare una nuova cassetta postale, abilitare alla posta un utente esistente o spostare le cassette postali, è possibile definire ulteriormente le autorizzazioni utilizzando gli ambiti dei database per controllare il database in cui viene creata la cassetta postale o in quale database viene spostata una cassetta postale. Il controllo dei destinatari gestibili da un assegnatario del ruolo viene eseguito utilizzando l'ambito dei destinatari specificato nel parametro CustomRecipientWriteScope del cmdlet New-ManagementRoleAssignment o Set-ManagementRoleAssignment. Il controllo dei database in cui può essere creata o spostata una cassetta postale viene eseguito utilizzando l'ambito dei database specificato nel parametro CustomConfigurationWriteScope degli stessi cmdlet.

Nota

La distribuzione automatica delle cassette postali può essere controllata utilizzando gli ambiti dei database. Per ulteriori informazioni, vedere Informazioni sulla distribuzione automatica delle cassette postali.

Le funzionalità di Exchange 2010 SP1 possono richiedere la gestione degli ambiti dei server, degli ambiti dei database o di entrambi. Se una funzionalità richiede la gestione di entrambi gli ambiti, due assegnazioni di ruolo devono essere create e associate all'assegnatario del ruolo che deve disporre dell'accesso alla gestione della funzionalità. All'ambito dei server e dei database deve essere associata un'unica assegnazione di ruolo.

Alcuni cmdlet può utilizzare gli ambiti di configurazione non immediatamente evidenti. La tabella seguente contiene un elenco dei cmdlet e degli ambiti di configurazione utilizzabile per controllarne l'applicazione. Per i cmdlet compresi nell'area funzionale dei destinatari, gli ambiti di configurazione consentono di controllare in quali database possono essere creati i destinatari. Non controllano quali destinatari possono essere gestiti. La colonna Ambiti necessari può contenere i seguenti elementi:

  • Database   Per eseguire il cmdlet, all'assegnatario del ruolo deve essere associata un'assegnazione di ruolo con l'ambito dei database che comprende il database da gestire oppure l'ambito implicito di scrittura della configurazione del ruolo deve comprendere il database da gestire.

  • Server   Per eseguire il cmdlet, all'assegnatario del ruolo deve essere associata un'assegnazione di ruolo con l'ambito dei server che comprende il server da gestire oppure l'ambito implicito di scrittura della configurazione del ruolo deve comprendere il server da gestire.

  • Server o database   Per eseguire il cmdlet, all'assegnatario del ruolo deve essere associata un'assegnazione di ruolo in cui l'ambito dei database comprende il database gestito oppure in cui l'ambito dei server comprende il server in cui si trova il database. Oppure, l'ambito implicito di scrittura della configurazione del ruolo deve contenere il database da gestire o contenere il server in cui si trova il database e l'assegnazione di ruolo non può disporre di un ambito di scrittura personalizzato.

  • Server e database   Per eseguire questo cmdlet, all'assegnatario del ruolo devono essere associate due assegnazioni di ruolo. La prima assegnazione di ruolo deve comprendere l'ambito dei database che comprende il database da gestire. La seconda assegnazione di ruolo deve comprendere l'ambito dei server che comprende il server da gestire. Le assegnazioni di ruolo possono disporre di ambiti di configurazione personalizzati definiti o possono ereditare l'ambito implicito di scrittura della configurazione dal ruolo. Per ereditare l'ambito implicito di scrittura dal ruolo, l'assegnazione di ruolo non può disporre di un ambito di scrittura personalizzato.

Aree funzionali e ambiti di server e database applicabili

Area funzionale Cmdlet Ambiti necessari

Database

Clean-MailboxDatabase

Database

Database

Dismount-Database

Database

Database

Mount-Database

Database

Database

Move-DatabasePath

Server e database

Database

Remove-MailboxDatabase

Server o database

Database

Remove-PublicFolderDatabase

Server o database

Database

Set-MailboxDatabase

Database

Database

Set-PublicFolderDatabase

Database

Disponibilità elevata

Add-DatabaseAvailabilityGroupServer

Server

Disponibilità elevata

Add-MailboxDatabaseCopy

Server

Disponibilità elevata

Move-ActiveMailboxDatabase

Server

Disponibilità elevata

New-DatabaseAvailabilityGroup

Server

Disponibilità elevata

Remove-DatabaseAvailabilityGroup

Server

Disponibilità elevata

Remove-DatabaseAvailabilityGroupServer

Server

Disponibilità elevata

Remove-MailboxDatabaseCopy

Server o database

Disponibilità elevata

Resume-MailboxDatabaseCopy

Server o database

Disponibilità elevata

Set-DatabaseAvailabilityGroup

Server

Disponibilità elevata

Set-MailboxDatabaseCopy

Server o database

Disponibilità elevata

Start-DatabaseAvailabilityGroup

Server

Disponibilità elevata

Stop-DatabaseAvailabilityGroup

Server

Disponibilità elevata

Suspend-MailboxDatabaseCopy

Server o database

Disponibilità elevata

Update-MailboxDatabaseCopy

Server o database

Destinatari

Connect-Mailbox

Database

Destinatari

Enable-Mailbox

Database

Destinatari

New-Mailbox

Database

Destinatari

New-MoveRequest

Database

Risoluzione dei problemi

Test-MapiConnectivity

Database

Ambiti dei database e installazioni precedenti a Exchange 2010 SP1

Gli ambiti dei database sono una novità di Exchange 2010 SP1. La versione di produzione (RTM) di Exchange 2010 supporta solo gli ambiti dei destinatari e gli ambiti di configurazione dei server. Quando si crea un nuovo ambito dei database su un server Exchange 2010 SP1, verrà visualizzato il seguente avviso:

WARNING: Database management scopes will only apply when connected to a server running Exchange 2010 SP1 or greater.
Exchange 2010 RTM servers will not apply any roles from a role assignment linked to a database scope. Database
management scopes will also not be visible to reporting cmdlets (Get-ManagementScope) when executed from an Exchange
2010 RTM server.

Una volta creato, l'ambito dei database viene applicato solo agli utenti che si connettono a server che eseguono Exchange 2010 SP1. Gli utenti che si connettono a server che eseguono Exchange 2010 RTM non disporranno di alcuna associazione di ruolo assegnata agli ambiti dei database applicati. Ciò significa che nessuna autorizzazione fornita da queste assegnazioni di ruolo verrà concessa agli utenti quando si connettono ai server Exchange 2010 RTM. Gli ambiti dei database non possono essere creati, rimossi, modificati o visualizzati dai server Exchange 2010 RTM.

Un ambito dei database può comprendere qualsiasi database nell'organizzazione di Exchange, compresi Exchange Server 2007 e Exchange 2010 RTM. Ciò consente di controllare i database gestibili dagli utenti, indipendentemente dalla versione di Exchange. Come con altri ambiti dei database, le assegnazioni di ruolo associate agli ambiti dei database contenenti i database di Exchange 2007 e Exchange 2010 RTM vengono applicate agli utenti solo quando si connettono a un server Exchange 2010 SP1.

Gli utenti che si connettono a un server Exchange 2010 RTM possono visualizzare e modificare le assegnazioni di ruolo associate agli ambiti dei database, compresa la modifica dell'ambito di configurazione di un'assegnazione di ruolo esistente in un ambito dei server, se è attualmente associata a un ambito dei database. Se tuttavia l'ambito di configurazione di un'assegnazione di ruolo viene modificato in un ambito server e in seguito un utente desidera riconvertirlo in un ambito di database, oppure modificare l'ambito di configurazione in un altro ambito di database, può apportare la modifica mentre è connesso a un server Exchange 2010 SP1. Se gli utenti sono connessi a un server Exchange 2010 RTM, quando cambiano l'ambito di configurazione di un'assegnazione di ruolo possono specificare solo ambiti server.

 ©2010 Microsoft Corporation. Tutti i diritti riservati.