Informazioni sui gruppi del ruolo di gestione
Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Ultima modifica dell'argomento: 2015-03-09
Un gruppo del ruolo di gestione è un gruppo di protezione universale utilizzato nel modello di autorizzazioni Controllo di accesso basato sui ruoli (RBAC) in Microsoft Exchange Server 2010. Un gruppo del ruolo di gestione consente di semplificare l'assegnazione dei ruoli di gestione a un gruppo di utenti. A tutti i membri di un gruppo di ruolo viene assegnato lo stesso insieme di ruoli. Ai gruppi di ruolo vengono assegnati ruoli di amministratore ed esperto che definiscono le principali attività amministrative in Exchange 2010, come la gestione dell'organizzazione, la gestione dei destinatari e altre attività. I gruppi di ruolo consentono di assegnare più facilmente una gamma più amplia di autorizzazioni a un gruppo di amministratori o di utenti esperti.
Nota
Questo argomento è incentrato sulla funzionalità RBAC avanzata. Se si desidera gestire le autorizzazioni di base di Exchange 2010, quale l'utilizzo del Pannello di controllo di Exchange (ECP) per aggiungere membri nei gruppi del ruolo oppure per rimuoverli da tali gruppi, per creare e modificare gruppi del ruolo oppure per creare e modificare i criteri di assegnazione del ruolo, vedere Informazioni sulle autorizzazioni.
Sommario
Livelli dei gruppi di ruolo
Gestione dei gruppi di ruolo
Gruppi di ruolo incorporati
Gruppi di ruolo collegati
Delega dei gruppi di ruolo
Appartenenza ai gruppi di ruolo
Flusso di lavoro Creazione gruppi di ruolo
Nota
Se si desidera assegnare le autorizzazioni agli utenti per gestire la cassetta postale o i gruppi di distribuzione, vedere Informazioni sui criteri di assegnazione del ruolo di gestione.
Livelli dei gruppi di ruolo
Di seguito vengono riportati i livelli che costituiscono il modello dei gruppi di ruolo:
Detentore del ruolo Un detentore del ruolo indica una cassetta postale che può essere aggiunta come membro di un gruppo di ruolo. Quando una cassetta postale viene aggiunta come membro di un gruppo di ruolo, le assegnazioni eseguite tra i ruoli di gestione e un gruppo di ruolo vengono applicate alla cassetta postale. Alla cassetta postale vengono concesse tutte le autorizzazioni fornite dai ruoli di gestione.
Gruppo del ruolo di gestione Il gruppo del ruolo di gestione indica uno speciale gruppo di protezione universale contenente cassette postali membri del gruppo di ruolo. Qui è possibile aggiungere e rimuovere membri e individuare i ruoli di gestione assegnati. La combinazione di tutti i ruoli di un gruppo consente di definire ogni elemento gestibile dagli utenti aggiunti a un gruppo nell'organizzazione di Exchange.
Assegnazione del ruolo di gestione Un'assegnazione del ruolo di gestione consente di collegare un ruolo di gestione a un gruppo di ruolo. L'assegnazione di un ruolo di gestione a un gruppo consente ai membri del gruppo di utilizzare i cmdlet e i parametri definiti nel ruolo di gestione. Le assegnazioni di ruolo possono utilizzare gli ambiti di gestione per controllare dove può essere utilizzata l'assegnazione. Per ulteriori informazioni, vedere Informazioni sulle assegnazioni del ruolo di gestione.
Ambito del ruolo di gestione Un ambito del ruolo di gestione indica l'ambito di influenza o di impatto per un'assegnazione di ruolo. Quando un ruolo viene assegnato con un ambito a un gruppo, l'ambito di gestione fa preciso riferimento agli oggetti che l'assegnazione può gestire. L'assegnazione e l'ambito vengono quindi forniti ai membri del gruppo di ruolo, che limita ciò che i membri possono gestire. Un ambito può essere costituito da un elenco di server o database, unità organizzative o filtri degli oggetti server, database o destinatari. Per ulteriori informazioni, vedere Informazioni sugli ambiti del ruolo di gestione.
Ruolo di gestione Un ruolo di gestione è un contenitore per un raggruppamento di voci del ruolo di gestione. I ruoli vengono utilizzati per definire le specifiche attività che possono essere eseguite dai membri di un gruppo assegnato al ruolo. Per ulteriori informazioni, vedere Informazioni sui ruoli di gestione.
Voci del ruolo di gestione Voci del ruolo di gestione indica le singole voci di un ruolo di gestione che forniscono l'accesso a cmdlet, script e altre autorizzazioni speciali che consentono l'accesso a eseguire una specifica attività. Nella maggior parte dei casi, le voci di ruolo sono costituite da un unico cmdlet, dai parametri a cui è possibile accedere dal ruolo di gestione e dal gruppo a cui è stato assegnato il ruolo.
Nella seguente figura vengono illustrati tutti i livelli dei gruppi di ruolo dell'elenco precedente e come ogni livello si riferisca agli altri.
Livelli dei gruppi del ruolo di gestione
.jpg "Layer del gruppo di ruoli gestione")
Per ulteriori informazioni su RBAC, vedere Informazioni sul controllo di accesso basato sui ruoli.
Inizio pagina
Gestione dei gruppi di ruolo
Quando si crea un gruppo di ruolo, viene creato il gruppo di protezione universale contenente i membri del gruppo e vengono create le assegnazioni tra il gruppo e i ruoli di gestione specificati. Eventualmente, è possibile specificare anche l'ambito di gestione da applicare alle assegnazioni di ruolo e aggiungere le cassette postali che si desidera far diventare membri del nuovo gruppo.
Dopo aver creato un gruppo di ruolo, ogni livello diventa un oggetto indipendente. Il gruppo di ruolo continua a essere il punto centrale in cui tutti i livelli sono uniti tra loro. Tuttavia, ogni livello viene gestito individualmente. Ad esempio, per modificare l'ambito di gestione applicato al gruppo di ruolo durante la creazione, è necessario modificare l'ambito di ogni singola assegnazione dopo aver creato il gruppo. La gestione del modello dei gruppi di ruolo viene eseguita utilizzando i cmdlet che gestiscono i singoli livelli del modello.
Nella seguente tabella vengono elencati il livello dei gruppi di ruolo e gli argomenti relativi alle procedure utilizzabili per la gestione di ogni livello.
Argomenti relativi alla gestione dei gruppi di ruolo
| Livello del modello dei gruppi di ruolo | Argomento relativo alla gestione |
|---|---|
Detentore del ruolo |
|
Gruppo di ruolo |
Creazione di un gruppo di ruoli Modifica di un gruppo di protezione universale esterno collegato su un gruppo di ruoli collegato |
Ruoli di gestione e assegnazioni |
Aggiunta di un ruolo a un gruppo di ruoli Eliminazione di un ruolo da un gruppo di ruoli Modifica dell'ambito per le assegnazioni di ruolo in un gruppo di ruolo |
Voci del ruolo di gestione |
Aggiunta di una voce a un ruolo Eliminazione di una voce di ruolo da un ruolo Nota La modifica delle voci del ruolo di gestione in ruoli di gestione di un gruppo di ruolo è un'attività avanzata e in genere non è necessaria. È possibile, invece, utilizzare un ruolo di gestione preesistente che si adatta alle esigenze. Per ulteriori informazioni, vedere Gruppi di ruolo incorporati. |
Inizio pagina
Gruppi di ruolo incorporati
I gruppi di ruolo incorporati sono ruoli forniti con Exchange 2010. Forniscono un insieme di gruppi di ruolo utilizzabili per fornire vari livelli di autorizzazioni amministrative ai gruppi di utenti. È possibile aggiungere o rimuovere utenti da tutti i gruppi di ruolo incorporati. È possibile aggiungere o rimuovere anche assegnazioni di ruolo dalla maggior parte dei gruppi di ruolo. Di seguito vengono riportate le uniche eccezioni:
Non è possibile rimuovere alcuna assegnazione del ruolo di delega dal gruppo di ruolo Gestione organizzazione.
Non è possibile rimuovere il ruolo Gestione dei ruoli dal gruppo di ruolo Gestione organizzazione.
Nella seguente tabella vengono elencati tutti i gruppi di ruolo incorporati inclusi con Exchange 2010. Per ulteriori informazioni sui gruppi di ruolo incorporati, vedere Gruppi di ruolo incorporati.
Gruppi di ruoli incorporati
| Gruppo di ruolo | Descrizione |
|---|---|
Gli amministratori membri del gruppo di ruolo Gestione organizzazione dispongono dell'accesso amministrativo all'intera organizzazione di Exchange 2010 e possono eseguire quasi tutte le attività su qualsiasi oggetto Exchange 2010. |
|
Gli amministratori membri del gruppo di ruolo Gestione organizzazione in sola visualizzazione possono visualizzare le proprietà di tutti gli oggetti nell'organizzazione di Exchange. |
|
Gli amministratori membri del gruppo di ruolo Gestione destinatari dispongono dell'accesso amministrativo per creare o modificare i destinatari di Exchange 2010 all'interno dell'organizzazione di Exchange 2010. |
|
Gli amministratori membri del gruppo di ruolo Gestione della messaggistica unificata possono gestire le funzionalità della messaggistica unificata nell'organizzazione di Exchange, come la configurazione del server Messaggistica unificata, le proprietà per le cassette postali, i prompt e la configurazione dell'operatore automatico. |
|
Gli amministratori o gli utenti membri del gruppo di ruolo Gestione individuazione possono effettuare la ricerca delle cassette postali nell'organizzazione di Exchange in base ai dati che rispondono a determinati criteri. |
|
Gli utenti membri del gruppo di ruolo Gestione record possono configurare le funzionalità di conformità, come le tag dei criteri di conservazione, le classificazioni dei messaggi, le regole di trasporto e altro ancora. |
|
Gli amministratori membri del gruppo di ruolo Gestione del server dispongono dell'accesso amministrativo alla configurazione del server Exchange 2010. Non dispongono dell'accesso ad amministrare la configurazione dei destinatari di Exchange 2010. |
|
Gli utenti membri del gruppo di ruolo Assistenza possono eseguire una gestione limitata dei destinatari di Exchange 2010. |
|
Gli amministratori che appartengono al gruppo di ruolo per la gestione della sicurezza possono configurare le funzionalità antivirus e filtro posta indesiderata di Exchange 2010. È possibile aggiungere account di servizio a questo gruppo per consentire ai programmi di terzi integrabili con Exchange 2010 di accedere ai cmdlet necessari per recuperare e impostare la configurazione di Exchange. |
|
Gli amministratori membri del gruppo di ruolo Gestione cartelle pubbliche possono gestire le cartelle pubbliche e i database sui server Exchange 2010. |
|
Gli amministratori membri del gruppo di ruolo Configurazione delegata possono distribuire i server Exchange 2010 di provisioning precedenti. |
Inizio pagina
Gruppi di ruolo collegati
I gruppi di ruolo collegati vengono utilizzati nelle organizzazioni che installano Exchange 2010 in una specifica foresta delle risorse e collocano gli utenti in altre foreste esterne attendibili. I gruppi di ruolo collegati, come suggerisce il nome, creano un collegamento tra un gruppo della foresta di Exchange e un gruppo di protezione universale di una foresta esterna. Risulta utile quando gli account utente dei Servizi di dominio Active Directory degli amministratori desiderati per amministrare Exchange non si trovano nella stessa foresta delle risorse di Exchange. I gruppi di ruolo collegati possono essere associati solo a un unico gruppo di protezione universale esterno. Inoltre, non è necessario creare un trust bidirezionale tra la foresta di Exchange e la foresta esterna. La foresta di Exchange deve rendere attendibile la foresta esterna, ma quest'ultima non deve rendere attendibile la foresta di Exchange.
Per ulteriori informazioni sulle autorizzazioni in topologie a più foreste, vedere Informazioni sulle autorizzazioni su più foreste.
Un gruppo di ruolo collegato è costituito da due parti:
Gruppo di ruolo collegato Il gruppo di ruolo collegato indica un oggetto contenitore che associa il gruppo di protezione universale esterno alle assegnazioni del ruolo di gestione associate al gruppo.
Gruppo di protezione universale esterno Il gruppo di protezione universale esterno contiene i membri a cui vengono concesse le autorizzazioni fornite dal gruppo di ruolo collegato.
Quando si crea un gruppo di ruolo collegato, viene fornito un controller di dominio nella foresta esterna contenente gli utenti desiderati per gestire la foresta di Exchange e il gruppo di protezione universale contenente tali utenti come membri, il nome del gruppo di protezione universale esterno e le credenziali necessarie per accedere alla foresta esterna. Exchange consente di aggiungere l'ID di sicurezza (SID) del gruppo di protezione universale esterno al gruppo di ruolo collegato. Siccome il SID del gruppo di protezione universale costituisce l'unica identificazione del gruppo di protezione universale esterno, se si dispone di più foreste esterne, si consiglia vivamente di specificare la foresta esterna nel nome del gruppo di ruolo.
Un gruppo di ruolo collegato non contiene alcun membro. Tutti i membri di tale gruppo vengono gestiti utilizzando il gruppo di protezione universale esterno. In altri termini, non è possibile utilizzare i cmdlet Update-RoleGroupMember, Add-RoleGroupMember o Remove-RoleGroupMember per aggiungere o rimuovere i membri del gruppo di ruolo. Quando si aggiungono membri al gruppo di protezione universale esterno, vengono concesse loro le autorizzazioni fornite dal gruppo di ruolo collegato.
Non è possibile modificare un gruppo di ruolo standard, contenente i propri membri, in un gruppo di ruolo collegato e viceversa. Se si desidera modificare un gruppo di ruolo standard in un gruppo di ruolo collegato, è necessario creare un nuovo gruppo di ruolo collegato e replicare le assegnazioni del ruolo di gestione presenti sul gruppo standard nel gruppo di ruolo collegato. Questo è il caso anche dei gruppi di ruolo incorporati, in quanto gruppi di ruolo standard. Se si desidera eseguire tutta la gestione della foresta di Exchange da una foresta esterna, è necessario creare nuovi gruppi di ruolo collegati e aggiungere i ruoli di gestione esistenti nei gruppi di ruolo incorporati ai nuovi gruppi di ruolo collegati. Per ulteriori informazioni su come eseguire questa operazione, vedere Creazione di gruppi di ruoli collegati che riflettono gruppi di ruoli incorporati.
Per ulteriori informazioni sulla distribuzione di Exchange in una foresta delle risorse, vedere Distribuzione di Exchange 2010 in una topologia di foresta di risorse di Exchange.
Inizio pagina
Delega dei gruppi di ruolo
Per impostazione predefinita, i membri del gruppo di ruolo Gestione organizzazione possono aggiungere e rimuovere membri dai gruppi. Tuttavia, è possibile abilitare gli utenti non membri del gruppo di ruolo Gestione organizzazione ad aggiungere e rimuovere i membri del gruppo. In tal caso, è possibile utilizzare la delega dei gruppi di ruolo.
La delega dei gruppi di ruolo viene controllata dalla proprietà ManagedBy di ogni gruppo. La proprietà ManagedBy contiene un elenco di utenti che possono aggiungere e rimuovere membri da tale gruppo di ruolo o modificarne la configurazione. Agli utenti non viene assegnata alcuna autorizzazione fornita dal gruppo di ruolo, a meno che non siano anche membri del gruppo.
Se la proprietà ManagedBy è impostata su un gruppo di ruolo, solo gli utenti elencati come gestore dei gruppi di ruolo su tale proprietà possono modificare un gruppo o l'appartenenza di un gruppo per impostazione predefinita. Tuttavia, un parametro facoltativo sui cmdlet, che modificano i gruppi di ruolo o l'appartenenza al gruppo, può ignorare tale restrizione. L'opzione BypassSecurityGroupManagerCheck può essere utilizzata dagli utenti membri del ruolo Gestione organizzazione o a cui è assegnato, direttamente o indirettamente, il ruolo Gestione ruoli. Quando questa opzione viene utilizzata, la proprietà ManagedBy viene ignorata e l'utente può modificare il gruppo di ruolo o l'appartenenza al gruppo.
Se la proprietà ManagedBy non è impostata su un gruppo di ruolo, solo gli utenti membri del ruolo Gestione organizzazione o a cui viene assegnato, direttamente o indirettamente, il ruolo Gestione ruoli possono modificare un gruppo o l'appartenenza al gruppo.
Nota
I ruoli associati a un gruppo potrebbero essere assegnati utilizzando le assegnazioni del ruolo di delega. Con le assegnazioni del ruolo di delega, i membri di un gruppo di ruolo, a cui viene assegnato un ruolo delegato, possono assegnare tale ruolo a un altro gruppo, criterio di assegnazione, utente o gruppo di protezione universale. I membri del gruppo di ruolo possono assegnare solo tale ruolo e non possono delegare il gruppo, a meno che non vengano aggiunti anche alla proprietà ManagedBy. Per ulteriori informazioni sulle assegnazioni del ruolo di delega, vedere Informazioni sulle assegnazioni del ruolo di gestione.
Per ulteriori informazioni su come gestire la delega dei gruppi di ruolo, vedere Aggiunta o eliminazione di un delegato del gruppo di ruoli.
Inizio pagina
Appartenenza ai gruppi di ruolo
Quando un utente diventa membro di un gruppo di ruolo, i ruoli di gestione assegnati al gruppo vengono associati all'utente. Se un utente è membro di più gruppi di ruolo, i ruoli di gestione di ogni gruppo vengono aggregati e assegnati all'utente. Gli utenti, i gruppi di protezione universale e altri gruppi possono essere membri di gruppi di ruolo.
Solo gli utenti membri dei gruppi di ruolo Gestione organizzazione o Gestione ruoli, e gli utenti delegati ad aggiungere e rimuovere utenti dai gruppi, possono gestire l'appartenenza ai gruppi.
Per ulteriori informazioni su come gestire l'appartenenza ai gruppi di ruolo, vedere i seguenti argomenti:
Flusso di lavoro Creazione gruppi di ruolo
Come accennato in precedenza, un gruppo di ruolo è costituito da numerosi livelli. Per comprendere cosa succede quando un gruppo di ruolo viene creato, vedere il seguente esempio, in cui viene creato un nuovo gruppo.
New-RoleGroup -Name "Seattle Recipient Management" -Roles "Mail Recipients", "Distribution Groups", "Move Mailboxes", "UM Mailboxes" -CustomRecipientWriteScope "Seattle Users", -ManagedBy "Brian", "David", "Katie" -Members "Ray", "Jens", "Maria", "Chris", "Maira", "Carter", "Jesse", "Lukas", "Isabel", "Rick", "Katie"
Quando viene eseguito il precedente comando, si verifica quanto segue:
Viene creato il nuovo oggetto gruppo di ruolo, che indica uno speciale gruppo di protezione universale, denominato Seattle Recipient Management.
Le cassette postali di Ray, Jens, Maria, Chris, Maira, Carter, Jesse, Lukas, Isabel, Rick e Katie vengono aggiunte come membri del gruppo di ruolo. Tali utenti ricevono le autorizzazioni fornite da questo gruppo di ruolo.
Gli utenti Brian e David vengono aggiunti alla proprietà ManagedBy del gruppo di ruolo. Questi utenti possono aggiungere e rimuovere membri dal gruppo di ruolo, ma non verrà concessa loro alcuna autorizzazione fornita dal gruppo, in quanto non membri. Inoltre, Katie viene aggiunta alla proprietà ManagedBy del gruppo di ruolo. Siccome è stata aggiunta alla proprietà ManagedBy ed è un membro del gruppo di ruolo, può aggiungere o rimuovere membri dal gruppo e le sono concesse le autorizzazioni fornite dal gruppo.
Vengono create le seguenti assegnazioni del ruolo di gestione. Le assegnazioni di ruolo consentono di associare al gruppo di ruolo ogni ruolo di gestione specificato nel comando. L'ambito di gestione Seattle Users viene aggiunto a ogni assegnazione di ruolo. Il nome di ogni assegnazione di ruolo indica una combinazione del ruolo di gestione assegnato e del nome del gruppo.
Mail Recipients_Seattle Recipient ManagementDistribution Groups_Seattle Recipient ManagementMove Mailboxes_Seattle Recipient ManagementUM Mailboxes_Seattle Recipient Management
Se si confrontano i risultati di questo comando con la figura dei livelli del gruppo di ruolo Gestione di questo argomento, è possibile visualizzare dove ogni passo è correlato ai livelli del gruppo. Per gestire ogni livello del gruppo di ruolo, è possibile quindi fare riferimento agli argomenti relativi alla gestione del gruppo di ruolo Gestione mostrati in "Gestione dei gruppi di ruolo" di questo argomento.
Inizio pagina
©2010 Microsoft Corporation. Tutti i diritti riservati.