Condividi tramite


Ruolo Domini accettati e remoti

 

Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Ultima modifica dell'argomento: 2015-03-09

Il ruolo di gestione Remote and Accepted Domains consente agli amministratori di gestire i domini remoti e accettati in un'organizzazione.

Questo ruolo di gestione è uno dei numerosi gruppi incorporati che costituiscono il modello delle autorizzazioni del controllo di accesso basato sul ruolo (RBAC) in Microsoft Exchange Server 2010. I ruoli di gestione che vengono assegnati a uno o più gruppi, i criteri di assegnazione dei ruoli di gestione, gli utenti o i gruppi di protezione universale (USG) agiscono in qualità di raggruppamento logico di cmdlet o script che sono combinati per fornire accesso alla visualizzazione o alle modifiche della configurazione dei componenti di Exchange 2010, come le cassette postali, le regole di trasporto e i destinatari. Se un cmdlet o uno script e i relativi parametri, denominati collettivamente voce del ruolo di gestione, vengono inclusi in un ruolo, quel cmdlet o script e i relativi parametri possono essere eseguiti dagli utenti ai quali è stato assegnato il ruolo. Per ulteriori informazioni sui ruoli di gestione e sulle voci di ruolo, vedere Informazioni sui ruoli di gestione.

Per ulteriori informazioni sui ruoli di gestione, sui gruppi di ruoli di gestione ed altri componenti RBAC, vedere Informazioni sul controllo di accesso basato sui ruoli.

Assegnazioni del ruolo di gestione

Per consentire a questo ruolo di concedere autorizzazioni, occorre assegnarlo ad un assegnatario di ruolo, che può essere un gruppo di ruoli, un utente o un gruppo di protezione universale (USG). Questa assegnazione viene eseguita utilizzando le assegnazioni del ruolo di gestione. Le assegnazioni di ruolo collegano tra loro gli assegnatari e i ruoli. Se a un assegnatario di ruolo viene assegnato più di un ruolo, gli viene concessa la combinazione di tutte le autorizzazioni consentite da tutti i ruoli assegnati.

Oltre a collegare gli assegnatari dei ruoli ai ruoli, le assegnazioni dei ruoli possono essere applicate anche agli ambiti di gestione personalizzati o incorporati. Gli ambiti di gestione controllano quali oggetti destinatario, server e database possono essere modificati dagli assegnatari dei ruoli. Se questo ruolo viene assegnato ad una assegnatario di ruolo, ma un ambito di gestione consente all'assegnatario del ruolo di gestire soltanto alcuni oggetti sulla base di un ambito definito, l'assegnatario del ruolo può utilizzare solo le autorizzazioni concesse da questo ruolo sugli oggetti specifici. Non è possibile applicare le autorizzazioni fornite da questo ruolo agli oggetti al di fuori dell'ambito definito sull'assegnazione del ruolo. Per altre informazioni sulle assegnazioni dei ruoli e sugli ambiti, vedere gli argomenti seguenti:

Questo ruolo viene assegnato a uno o più gruppi di ruoli per impostazione predefinita. Per ulteriori informazioni, vedere la sezione "Assegnazioni del ruolo di gestione predefinite" più avanti in questo argomento.

Se si desidera visualizzare un elenco di gruppi di ruoli, utenti o gruppi di protezione universale assegnati a questo ruolo, usare il comando seguente.

Get-ManagementRoleAssignment -Role "<nome ruolo>"

Assegnazioni di ruolo regolari e di delega

È possibile assegnare questo ruolo agli assegnatari dei ruoli sia utilizzando le assegnazioni regolari che le deleghe delle assegnazioni. Le assegnazioni regolari concedono all'assegnatario del ruolo le autorizzazioni fornite dal ruolo. La delega delle assegnazioni consente a un assegnatario di assegnare ad altri il ruolo specificato. Per ulteriori informazioni sulle assegnazioni dei ruoli normali e tramite delega, vedere Informazioni sulle assegnazioni del ruolo di gestione.

Aggiunta o eliminazione delle assegnazioni di ruolo

È possibile cambiare gli assegnatari a cui è associato questo ruolo. Cambiando l'assegnatario a cui è associato questo ruolo, è possibile cambiare gli utenti a cui vengono concesse le autorizzazioni. È possibile assegnare questo ruolo ad altri gruppi di ruoli incorporati oppure è possibile creare gruppi di ruoli e assegnare loro questo ruolo. È inoltre possibile assegnare questo ruolo a utenti o gruppi di protezione universale (USG). Tuttavia, si consiglia di limitare l'assegnazione dei ruoli agli utenti e ai gruppi di protezione universale (USG) perché queste assegnazioni possono aumentare notevolmente la complessità del modello delle autorizzazioni.

Per assegnare questo ruolo agli assegnatari di ruolo, assegnarlo a un gruppo di ruoli di cui si è membri, direttamente a sé stessi oppure a un gruppo di protezione universale di cui si è membri, utilizzando un'assegnazione di ruolo di delega. Per ulteriori informazioni sulle assegnazioni di ruolo di delega, vedere la sezione "Assegnazioni di ruolo regolari e di delega".

È inoltre possibile rimuovere questo ruolo da gruppi di ruoli incorporati, da gruppi di ruoli creati, dagli utenti e dai gruppi di protezione universale (USG). Tuttavia, deve esistere sempre almeno un'assegnazione di ruolo di delega tra questo ruolo e un gruppo di ruoli o un gruppo di protezione universale. Non è possibile eliminare l'ultima assegnazione di ruolo di delega. Questa limitazione serve ad evitare che l'utente rimanga bloccato fuori dal sistema.

Importante

Ci deve essere sempre almeno una delega di assegnazione dei ruoli tra questo ruolo e un gruppo di ruoli o gruppo di protezione universale (USG). Non è possibile rimuovere l'ultima delega di assegnazione dei ruoli associata a questo ruolo se l'ultima assegnazione era stata fatta ad un utente.

Per altre informazioni su come aggiungere o rimuovere le assegnazioni tra questo ruolo e gruppi di ruoli, utenti e gruppi di protezione universali, vedere gli argomenti seguenti:

Modifica degli ambiti di gestione per le assegnazioni di ruolo

È inoltre possibile modificare gli ambiti di gestione sulle assegnazioni dei ruoli esistenti tra questo ruolo e gli assegnatari di ruolo. Modificando gli ambiti sulle assegnazioni dei ruoli, è possibile controllare quali oggetti possono essere gestiti utilizzando le autorizzazioni fornite da questo ruolo. È possibile scegliere tra varie alternative quando si modifica l'ambito di un'assegnazione di ruolo. È possibile eseguire una delle operazioni seguenti:

Abilitazione o disabilitazione delle assegnazioni di ruolo

Abilitando o disabilitando un'assegnazione di ruolo, si può controllare l'utilizzo o meno di quell'assegnazione. Se un'assegnazione di ruolo è disabilitata, le autorizzazioni fornite dal ruolo associato non vengono applicate all'assegnatario del ruolo. Questo potrebbe essere utile se si desidera rimuovere temporaneamente le autorizzazione senza eliminare un'assegnazione di ruolo. Per ulteriori informazioni, vedere Modifica di un'assegnazione di ruolo.

Assegnazioni del ruolo di gestione predefinite

Questo ruolo ha un'assegnazioni dei ruoli ad uno o più assegnatari del ruolo. La tabella seguente indica se l'assegnazione dei ruoli è regolare o se c'è una delega, e indica anche gli ambiti di gestione applicati a ciascuna assegnazione. Nell'elenco seguente viene descritta ciascuna colonna:

  • Assegnazione regolare   Le assegnazioni regolari del ruolo consentono all'assegnatario del ruolo di accedere alle autorizzazione fornite dalle voci del ruolo di gestione su questo ruolo.

  • Assegnazione di delega   Le assegnazioni di delega del ruolo conferiscono all'assegnatario del ruolo la capacità di assegnare questo ruolo ai gruppi di ruoli, agli utenti o ai gruppi di protezione universale (USG).

  • Ambito di lettura del destinatario   L'ambito di lettura del destinatario determina quali oggetti destinatari può leggere l'assegnatario del ruolo da Active Directory.

  • Ambito di scrittura del destinatario   L'ambito di scrittura del destinatario determina quali oggetti destinatario possono essere modificati dall'assegnatario del ruolo in Active Directory.

  • Ambito di lettura della configurazione   L'ambito di lettura della configurazione determina quali oggetti di configurazione e server possono essere letti dall'assegnatario del ruolo da Active Directory.

  • Ambito di scrittura della configurazione   L'ambito di scrittura della configurazione determina quali oggetti dell'organizzazione e dei server possono essere modificati dall'assegnatario del ruolo in Active Directory.

Assegnazioni del ruolo di gestione predefinite per questo ruolo

Gruppo di ruolo Assegnazione regolare Assegnazione di delega Ambito di lettura del destinatario Ambito di scrittura del destinatario Ambito di lettura della configurazione Ambito di scrittura della configurazione

Gestione dell'organizzazione

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Personalizzazione del ruolo di gestione

Questo ruolo è stato configurato per fornire all'assegnatario di un ruolo tutti i cmdlet necessari e i relativi parametri per gestire le funzionalità e i componenti elencati all'inizio di questo argomento. Sono stati forniti anche altri ruoli per attivare la gestione di altre funzionalità. Aggiungendo e rimuovendo ruoli, è possibile creare un modello di autorizzazioni personalizzate senza che sia necessario personalizzare i singoli ruoli di gestione. Per un elenco completo dei ruoli, vedere Ruoli di gestione incorporati. Per ulteriori informazioni sulla personalizzazione dei gruppi di ruoli, vedere i seguenti argomenti:

Se si desidera creare una versione personalizzata di questo ruolo, è necessario creare un ruolo figlio e personalizzare il nuovo ruolo.

Avviso

Le informazioni riportate di seguito consentono di eseguire la gestione avanzata delle autorizzazioni. La personalizzazione dei ruoli di gestione può aumentare notevolmente la complessità del modello delle autorizzazioni. Alcune funzionalità potrebbero smettere di funzionare se si sostituisce un ruolo di gestione incorporato con un ruolo personalizzato non configurato correttamente.

Qui di seguito sono riportati i passaggi più comuni per creare un ruolo personalizzato e assegnarlo a un assegnatario di ruolo:

  1. Creare una copia di questo ruolo utilizzando il cmdlet New-ManagementRole. Per ulteriori informazioni, vedere Creazione di un ruolo.

  2. Modificare o rimuovere le voci del ruolo sul nuovo ruolo utilizzando i cmdlet Set-ManagementRoleEntry e Remove-ManagementRoleEntry. Non è possibile aggiungere altre voci di ruolo al nuovo ruolo poiché questo può contenere solo le voci di ruolo del ruolo padre incorporato. Per ulteriori informazioni, vedere i seguenti argomenti:

  3. Se si desidera sostituire il ruolo incorporato con questo nuovo ruolo personalizzato, eliminare qualsiasi assegnazione di ruolo associata al ruolo incorporato utilizzando il cmdlet Remove-ManagementRoleAssignment. Per ulteriori informazioni, vedere i seguenti argomenti:

  4. Aggiungere il nuovo ruolo personalizzato agli assegnatari di ruolo richiesti utilizzando il cmdlet New-ManagementRoleAssignment. Per ulteriori informazioni, vedere i seguenti argomenti:

 ©2010 Microsoft Corporation. Tutti i diritti riservati.