관리 역할 범위 이해
적용 대상: Exchange Server 2013
관리 역할 범위를 사용하면 관리 역할 할당을 만들 때 관리 역할의 영향 또는 영향의 특정 범위를 정의할 수 있습니다. 범위를 적용하면 역할이 할당된 역할 담당자는 그 범위에 있는 개체만 수정할 수 있습니다. 역할 담당자는 관리 역할 그룹, 관리 역할, 관리 역할 할당 정책, 사용자 또는 USG(유니버설 보안 그룹)입니다. 관리 역할에 대한 자세한 내용은 역할 기반 액세스 제어 이해를 참조하십시오.
참고
이 항목에서는 고급 RBAC 기능에 대해 중점적으로 설명합니다. EAC(Exchange 관리 센터)를 사용하여 역할 그룹에서 멤버를 추가 및 제거하거나, 역할 그룹을 만들고 수정하거나, 역할 할당 정책을 만들고 수정하는 등의 기본 Exchange 2013 권한을 관리하려면 권한을 참조하세요.
기본 제공 역할이건 사용자 지정 역할이건 모든 관리 역할은 관리 범위가 있습니다. 관리 범위는 다음 중 한 가지일 수 있습니다.
일반: 일반 범위 는 배타적이지 않습니다. Active Directory에서 관리 역할이 할당된 사용자가 개체를 보거나 수정할 수 있는 위치를 결정합니다. 일반적으로 관리 역할은 만들거나 수정할 수 있는 것을 나타내고, 관리 역할 범위는 만들거나 수정할 수 있는 위치를 나타냅니다. 일반 범위는 암시적 또는 명시적 범위일 수 있으며, 둘 다 이 항목의 뒷부분에서 설명합니다.
배타적: 배타적 범위 는 일반 범위와 거의 동일하게 작동합니다. 주요 차이점은 해당 사용자에게 배타적 범위와 연결된 역할이 할당되지 않은 경우 사용자가 배타적 범위 내에 포함된 개체에 대한 액세스를 거부할 수 있다는 것입니다. 모든 배타적 범위는 명시적 범위이며, 이 항목의 뒷부분에서 설명합니다.
단독 범위에 대한 자세한 내용은 배타적 범위 이해 (영문)를 참조하십시오.
범위는 관리 역할에서 상속하거나, 관리 역할 할당에서 미리 정의된 상대 범위로 지정하거나, 사용자 지정 필터로 만들어 관리 역할 할당에 추가할 수 있습니다. 관리 역할에서 상속된 범위를 암시적 범위 라고 하지만 미리 정의된 범위와 사용자 지정 범위를 명시적 범위라고 합니다. 다음 섹션에서는 각 범위 유형에 대해 설명합니다.
- 암시적 범위
- 명시적 범위
- 미리 정의된 상대 범위
- 사용자 지정 범위
- 받는 사람 필터 범위
- 구성 범위
각 역할에는 다음과 같은 유형의 범위를 지정할 수 있습니다.
- 받는 사람 읽기 범위: 암시적 수신자 읽기 범위는 관리 역할이 할당된 사용자가 Active Directory에서 읽을 수 있는 받는 사람 개체를 결정합니다.
- 받는 사람 쓰기 범위: 암시적 수신자 쓰기 범위는 Active Directory에서 사용자가 관리 역할을 할당한 받는 사람 개체를 결정합니다.
- 구성 읽기 범위: 암시적 구성 읽기 범위는 사용자가 관리 역할을 할당하여 Active Directory에서 읽을 수 있는 구성 개체를 결정합니다.
- 구성 쓰기 범위: 암시적 구성 쓰기 범위는 사용자가 Active Directory에서 수정할 수 있는 관리 역할을 할당한 조직, 데이터베이스 및 서버 개체를 결정합니다.
받는 사람 개체에는 사서함, 메일 그룹, 메일 사용 가능 사용자 및 기타 개체가 포함됩니다. 구성 개체에는 Microsoft Exchange Server 2013을 실행하는 서버와 Exchange를 실행하는 서버에 있는 데이터베이스가 포함됩니다. 각 유형의 범위는 암시적 범위 또는 명시적 범위가 될 수 있습니다.
암시적 범위
암시적 범위는 관리 역할 유형에 적용되는 기본 범위입니다. 암시적 범위가 관리 역할 유형과 연결되므로 역할 유형이 동일한 모든 상위 및 하위 관리 역할은 같은 암시적 범위가 지정됩니다. 암시적 범위는 기본 제공 역할과 사용자 지정 관리 역할 모두에 적용됩니다. 관리 역할 및 관리 역할 유형에 대한 자세한 내용은 관리 역할 이해를 참조하세요.
다음 표는 관리 역할에서 정의할 수 있는 모든 암시적 범위를 소개합니다.
관리 역할에 정의된 암시적 범위
암시적 범위 | 설명 |
---|---|
Organization |
이 역할의 받는 사람 쓰기 범위에 있는 경우 Organization 역할은 Exchange 조직 전체에서 받는 사람 개체를 만들거나 수정할 수 있습니다. 가 역할의 받는 사람 읽기 범위에 있는 경우 Organization 역할은 Exchange 조직 전체에서 받는 사람 개체를 볼 수 있습니다. 이 범위는 받는 사람 읽기 및 쓰기 범위에서만 사용됩니다. |
MyGAL |
가 역할의 받는 사람 쓰기 범위에 있는 경우 MyGAL 역할은 현재 사용자의 GAL(전역 주소 목록) 내에서 받는 사람의 속성을 볼 수 있습니다. 가 역할의 받는 사람 읽기 범위에 있는 경우 MyGAL 역할은 현재 GAL 내의 모든 받는 사람의 속성을 볼 수 있습니다. 이 범위는 받는 사람 읽기 범위에서만 사용됩니다. |
Self |
가 역할의 받는 사람 쓰기 범위에 있는 경우 Self 역할은 현재 사용자 사서함의 속성만 수정할 수 있습니다. 가 역할의 받는 사람 읽기 범위에 있는 경우 Self 역할은 현재 사용자 사서함의 속성만 볼 수 있습니다. 이 범위는 받는 사람 읽기 및 쓰기 범위에서만 사용됩니다. |
MyDistributionGroups |
가 역할의 받는 사람 쓰기 범위에 있는 경우 MyDistributionGroups 역할은 현재 사용자가 소유한 배포 목록 개체를 만들거나 수정할 수 있습니다. 가 역할의 받는 사람 읽기 범위에 있는 경우 MyDistributionGroups 역할은 현재 사용자가 소유한 배포 목록 개체를 볼 수 있습니다. 이 범위는 받는 사람 읽기 및 쓰기 범위에서만 사용됩니다. |
OrganizationConfig |
가 역할의 구성 쓰기 범위에 있는 경우 OrganizationConfig 역할은 Exchange 조직 전체에서 서버 또는 데이터베이스 구성 개체를 만들거나 수정할 수 있습니다. 가 역할의 구성 읽기 범위에 있는 경우 OrganizationConfig 역할은 Exchange 조직 전체의 모든 서버 또는 데이터베이스 구성 개체를 볼 수 있습니다. 이 범위는 구성 읽기 및 쓰기 범위에서만 사용됩니다. |
None |
가 범위에 있는 경우 None 해당 범위를 역할에 사용할 수 없습니다. 예를 들어 받는 사람 쓰기 범위에 있는 None 역할은 Exchange 조직의 받는 사람 개체를 수정할 수 없습니다. |
역할이 역할 담당자에게 할당되었지만 미리 정의된 범위나 사용자 지정 범위가 지정되지 않은 경우에는 역할에 정의된 암시적 범위를 사용하여 사용자가 보거나 수정할 수 있는 받는 사람 또는 조직 개체를 제어합니다.
역할의 암시적 쓰기 범위는 항상 암시적 읽기 범위보다 작거나 같습니다. 즉, 역할은 범위에서 볼 수 있는 개체만 수정할 수 있습니다.
관리 역할에 정의된 암시적 범위는 변경할 수 없습니다. 하지만 관리 역할에서 암시적 쓰기 범위 및 구성 범위를 재정의할 수는 있습니다. 미리 정의된 상대 범위 또는 사용자 지정 범위를 역할 할당에 사용하면 역할의 암시적 쓰기 범위가 재정의되고 새 범위가 우선적으로 적용됩니다. 역할의 암시적 읽기 범위는 재정의할 수 없으며 항상 적용됩니다. 자세한 내용은 미리 정의된 상대 범위 및 사용자 지정 범위를 참조하십시오.
다음 표를 확장하면 기본 제공되는 관리 역할과 해당되는 암시적 범위가 모두 나타납니다. 각 기본 제공 역할에 대한 자세한 내용은 기본 제공 관리 역할을 참조하세요.
기본 제공 관리 역할 암시적 범위
관리 역할 | 받는 사람 읽기 범위 | 받는 사람 쓰기 범위 | 구성 읽기 범위 | 구성 쓰기 범위 |
---|---|---|---|---|
Active Directory Permissions |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Address Lists |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
ApplicationImpersonation |
Organization |
Organization |
None |
None |
ArchiveApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Audit Logs |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Cmdlet Extension Agents |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Data Loss Prevention |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Database Availability Groups |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Database Copies |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Databases |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Disaster Recovery |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Distribution Groups |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Edge Subscriptions |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
E-Mail Address Policies |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Connectors |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Server Certificates |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Servers |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Virtual Directories |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Federated Sharing |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Information Rights Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Journaling |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Legal Hold |
Organization |
Organization |
OrganizationConfig |
None |
LegalHoldApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Enabled Public Folders |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Recipient Creation |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Recipients |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Tips |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mailbox Import Export |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mailbox Search |
Organization |
Organization |
None |
None |
MailboxSearchApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Message Tracking |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Migration |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Monitoring |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Move Mailboxes |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
OfficeExtensionApplication |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
My Custom Apps |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
My Marketplace Apps |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyAddressInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyBaseOptions |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyContactInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyDiagnostics |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyDisplayName |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyDistributionGroupMembership |
MyGAL |
MyGAL |
None |
None |
MyDistributionGroups |
MyGAL |
MyDistributionGroups |
OrganizationConfig |
None |
MyMobileInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyName |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyPersonalInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyProfileInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyRetentionPolicies |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyTeamMailboxes |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
MyTextMessaging |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyVoiceMail |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
Organization Client Access |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Organization Configuration |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Organization Transport Settings |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
POP3 And IMAP4 Protocols |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Public Folders |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Receive Connectors |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Recipient Policies |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Remote and Accepted Domains |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Reset Password |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Retention Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Role Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Security Group Creation and Membership |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Send Connectors |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Support Diagnostics |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
TeamMailboxLifecycleApplication |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
Transport Agents |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Transport Hygiene |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Transport Queues |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Transport Rules |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UM Mailboxes |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UM Prompts |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Unified Messaging |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UnScoped Role Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UserApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
User Options |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
View-Only Audit Logs |
Organization |
None |
OrganizationConfig |
None |
View-Only Configuration |
Organization |
None |
OrganizationConfig |
None |
View-Only Recipients |
Organization |
None |
OrganizationConfig |
None |
WorkloadManagement |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
명시적 범위
명시적 범위는 관리되는 역할에서 수정할 수 있는 개체를 제어하기 위해 직접 설정한 범위입니다. 암시적 범위는 관리 역할에 정의되지만, 명시적 범위는 관리 역할 할당에서 정의됩니다. 그렇기 때문에 재정의하는 명시적 범위를 사용하지 않는 경우에는 모든 관리 역할에서 일관성 있게 암시적 범위를 적용할 수 있습니다. 관리 역할 할당에 대한 자세한 내용은 관리 역할 할당 이해 (영문)를 참조하십시오.
명시적 범위는 관리 역할의 암시적인 쓰기 및 구성 범위를 재정의합니다. 관리 역할의 암시적인 읽기 범위는 재정의하지 않습니다. 암시적 읽기 범위는 계속해서 관리 역할이 읽을 수 있는 개체를 정의합니다.
명시적 범위는 관리 역할의 암시적 쓰기 범위가 비즈니스 요구에 맞지 않는 경우에 유용합니다. 새로운 범위가 암시적 읽기 범위의 경계를 넘지 않는 한 원하는 것은 무엇이든 명시적 범위에 추가할 수 있습니다. 관리 역할에 속한 cmdlet이 개체를 만들거나 수정하려면 개체나 개체를 포함한 컨테이너에 대한 정보를 읽을 수 있어야 합니다. 예를 들어 관리 역할의 암시적 읽기 범위가 로 설정된 Self
경우 명시적 쓰기 범위가 암시적 읽기 범위 Organization
의 범위를 초과하기 때문에 의 명시적 쓰기 범위를 추가할 수 없습니다.
자세한 내용은 다음 섹션을 참조하십시오.
미리 정의된 상대 범위
사용자 지정 범위
미리 정의된 상대 범위
Exchange 2013은 관리 역할의 범위를 수정하는 데 사용할 수 있는 몇 가지 미리 정의된 상대 쓰기 범위를 제공합니다. 미리 정의된 상대 범위를 사용하면 수동으로 사용자 지정 범위를 만들지 않고도 쉽게 비즈니스 요구를 충족할 수 있습니다. 상대 범위라는 이름은 연결된 역할 할당이 할당되는 역할 담당자에 상대적으로 지정되는 것을 의미합니다. 예를 들어 미리 정의된 상대 범위는 Self
해당 쓰기 범위를 현재 사용자로만 제한합니다. 미리 정의된 상대 범위는 MyDistributionGroups
현재 사용자가 소유하는 메일 그룹으로 쓰기 범위를 제한합니다. 미리 정의된 상대 범위는 받는 사람 개체의 범위를 지정하는 데에만 사용할 수 있습니다. 미리 정의된 상대 범위를 사용하여 구성 개체의 범위를 지정할 수는 없습니다. 다음 표는 사용할 수 있는 미리 정의된 상대 범위를 소개합니다.
미리 정의된 상대 범위
암시적 범위 | 설명 |
---|---|
Organization |
이 역할의 받는 사람 쓰기 범위에 있는 경우 Organization 역할은 Exchange 조직 전체에서 받는 사람 개체를 만들거나 수정할 수 있습니다. 가 역할의 받는 사람 읽기 범위에 있는 경우 Organization 역할은 Exchange 조직 전체에서 받는 사람 개체를 볼 수 있습니다. 이 범위는 받는 사람 읽기 및 쓰기 범위에서만 사용됩니다. |
Self |
가 역할의 받는 사람 쓰기 범위에 있는 경우 Self 역할은 현재 사용자 사서함의 속성만 수정할 수 있습니다. 가 역할의 받는 사람 읽기 범위에 있는 경우 Self 역할은 현재 사용자 사서함의 속성만 볼 수 있습니다. 이 범위는 받는 사람 읽기 및 쓰기 범위에서만 사용됩니다. |
MyDistributionGroups |
가 역할의 받는 사람 쓰기 범위에 있는 경우 MyDistributionGroups 역할은 현재 사용자가 소유한 배포 목록 개체를 만들거나 수정할 수 있습니다. 가 역할의 받는 사람 읽기 범위에 있는 경우 MyDistributionGroups 역할은 현재 사용자가 소유한 배포 목록 개체를 볼 수 있습니다. 이 범위는 받는 사람 읽기 및 쓰기 범위에서만 사용됩니다. |
미리 정의된 상대 범위는 새 관리 역할 할당을 만들 때 적용됩니다. 역할 할당을 만드는 동안 New-ManagementRoleAssignment cmdlet을 사용하여 RecipientRelativeWriteScope 매개 변수를 사용하여 미리 정의된 상대 범위를 지정할 수 있습니다. 새 역할 할당을 만들면 새 미리 정의된 역할이 관리 역할의 암시적 쓰기 범위를 재정의합니다. 미리 정의된 상대 범위로 역할 할당을 만들 때는 사용자 지정 받는 사람 범위를 지정할 수 없습니다. 그러나 필요한 경우 사용자 지정 구성 범위를 지정할 수 있습니다.
미리 정의된 상대 범위가 할당된 관리 역할을 추가하는 방법에 대한 자세한 내용은 사용자 또는 USG에는 역할을 추가 합니다.를 참조하십시오.
사용자 지정 범위
암시적 쓰기 범위나 미리 정의된 상대 범위가 비즈니스 요구 사항을 충족하지 않는 경우 사용자 지정 범위가 필요합니다. 사용자 지정 범위를 사용하면 관리 역할을 적용할 범위를 세분화된 수준에서 정의할 수 있습니다. 예를 들어 특정 OU(조직 단위), 특정 유형의 받는 사람 또는 둘 모두를 대상으로 할 수 있습니다. 또는 특정 사서함 데이터베이스 집합을 관리하도록 관리자 그룹에게 허용할 수도 있습니다.
미리 정의된 상대 범위와 마찬가지로 사용자 지정 범위도 관리 역할에 정의된 암시적 쓰기 및 조직 구성 범위를 재정의합니다. 관리 역할의 암시적 읽기 범위는 계속 적용되며 결과적인 사용자 지정 범위는 암시적 읽기 범위의 경계를 넘을 수 없습니다. 다음과 같은 세 가지 유형의 사용자 지정 범위를 만들 수 있습니다.
OU 범위: 가장 간단한 사용자 지정 범위인 OU 범위는 New-ManagementRoleAssignment cmdlet의 RecipientOrganizationalUnitScope 매개 변수를 사용하여 만들어집니다. 역할을 할당할 때 OU 범위를 지정하면 역할이 할당된 역할 담당자는 해당 OU 내의 받는 사람 개체만 수정할 수 있습니다. OU 범위가 할당된 관리 역할을 추가하는 방법에 대한 자세한 내용은 사용자 또는 USG에는 역할을 추가 합니다.를 참조하십시오.
받는 사람 필터 범위: 받는 사람 필터 범위는 필터를 사용하여 받는 사람 유형 또는 부서, 관리자, 위치 등과 같은 다른 받는 사람 속성에 따라 특정 받는 사람을 대상으로 지정합니다. 자세한 내용은 받는 사람 필터 범위 섹션을 참조하십시오.
구성 범위: 구성 범위는 필터 또는 목록을 사용하여 서버 목록 또는 서버에서 정의할 수 있는 필터링 가능한 속성(예: Active Directory 사이트 또는 서버 역할)에 따라 특정 서버를 대상으로 지정합니다. 구성 범위는 데이터베이스 범위를 사용하여 데이터베이스 목록 또는 필터링 가능한 데이터베이스 속성을 기반으로 특정 데이터베이스를 대상으로 지정할 수도 있습니다. 자세한 내용은 구성 범위 섹션을 참조하십시오.
New-ManagementScope cmdlet을 사용하면 단순하고 광범위하거나 복잡하고 세분화된 받는 사람 및 구성 사용자 지정 범위를 만들 수 있습니다. 받는 사람 또는 구성 범위를 만들면 해당 범위와 일치하는 받는 사람, 서버 또는 데이터베이스 개체만 반환됩니다. New-ManagementRoleAssignment 또는 Set-ManagementRoleAssignment cmdlet을 사용한 역할 할당에 이러한 범위를 적용할 경우 역할이 할당된 역할 담당자는 범위와 일치하는 개체만 수정할 수 있습니다. 사용자 지정 범위를 만들고 나면 범위 유형을 변경할 수 없습니다. 받는 사람 범위는 항상 받는 사람 범위이고 구성 범위는 항상 구성 범위입니다.
기본적으로 사용자 지정 범위를 사용하면 역할 담당자는 정의한 범위와 일치하는 개체 집합에 액세스할 수 있습니다. 하지만 동일하거나 동등한 범위가 할당되지 않은 다른 역할 담당자에 대한 액세스를 능동적으로 제외하지는 않습니다. 범위에 있는 목록 또는 필터가 동일한 개체와 일치하면 모든 사용자 지정 범위가 동일한 개체에 액세스할 수 있습니다. 임원의 경우와 같이 이 동작을 원하지 않는 개체가 있을 수 있습니다. 그러한 개체의 경우 단독 범위를 정의할 수 있습니다. 단독 범위는 일반 범위와 같은 방식으로 필터 또는 목록을 사용하지만 일반 범위와 달리 동일하거나 동등한 단독 범위에 속하지 않은 사람에게는 범위에 포함된 개체에 대한 액세스를 거부합니다. 단독 범위에 대한 자세한 내용은 배타적 범위 이해 (영문)를 참조하십시오.
받는 사람 필터 범위
받는 사람 필터 범위를 사용하면 필터 문에서 지정한 값에 대해 받는 사람 개체에서 하나 이상의 속성을 평가하여 역할 담당자가 관리할 수 있는 받는 사람 개체를 제어할 수 있습니다. 받는 사람 범위에 포함된 받는 사람은 사서함, 메일 사용 가능 사용자, 메일 그룹 및 메일 연락처입니다. 지정한 필터와 일치하는 받는 사람만 해당 역할 할당이 할당된 역할 담당자가 관리할 수 있습니다. 필터 문의 예로 Name은 { Name -Eq "David" }
평가되는 받는 사람 개체의 속성이고 David는 속성에 대해 평가하려는 값입니다.
-Eq 비교 연산자는 속성에 저장된 값이 필터가 true가 되도록 지정된 값과 같아야 했음을 나타냅니다. 필터가 true이면 해당 수신자가 범위에 포함됩니다.
받는 사람 필터 범위는 New-ManagementScope cmdlet에서 RecipientRestrictionFilter 매개 변수와 함께 사용할 받는 사람 필터를 지정하여 만들어집니다. 기본적으로 New-ManagementScope cmdlet은 일반 범위를 만듭니다. 배타적 범위를 만들려면 RecipientRestrictionFilter 매개 변수와 함께 배타적 스위치를 포함합니다.
받는 사람 제한 필터를 만들면 Exchange는 기본적으로 조직 내의 모든 받는 사람 개체를 기준으로 사용자가 제공한 필터를 평가합니다. 범위가 평가되는 받는 사람을 제한하려면 RecipientRestrictionFilter 매개 변수와 함께 RecipientRoot 매개 변수를 사용할 수 있습니다. RecipientRoot 매개 변수는 OU를 허용합니다. RecipientRoot 매개 변수를 사용하는 경우 Exchange는 지정한 OU에 포함된 받는 사람만 제공한 필터에 대해 평가합니다.
역할 할당에 받는 사람 필터 범위를 추가할 때 새 역할 할당을 만드는 경우 New-ManagementRoleAssignment의 CustomRecipientWriteScope 매개 변수에서 받는 사람 범위의 이름을 지정하거나 기존 역할 할당을 업데이트하는 경우 Set-ManagementRoleAssignment cmdlet을 지정합니다. 각 역할 할당은 미리 정의된 상대 범위를 포함하여 받는 사람 범위를 하나씩 가질 수 있습니다. 받는 사람 범위를 추가한 역할 할당에 구성 범위 하나를 추가할 수 있습니다.
필터 구문에 대한 자세한 내용 및 받는 사람에 대한 필터링 가능한 받는 사람 속성의 전체 목록은 관리 역할 범위 필터 이해 (영문)를 참조하십시오.
구성 범위
다음은 Exchange 2013에서 제공되는 두 가지 유형의 구성 범위입니다.
서버 범위: 두 가지 유형의 서버 범위, 즉 서버 필터 범위와 서버 목록 범위가 있습니다. 서버 개체가 서버 범위에 포함된 경우 수신 커넥터, 전송 큐, 서버 인증서, 가상 디렉터리 등을 포함한 서버 구성을 관리할 수 있습니다.
서버 필터 범위: 서버 필터 범위를 사용하면 서버 개체에서 필터 문에서 지정한 값에 대해 하나 이상의 속성을 평가하여 역할 담당자가 관리할 수 있는 서버 개체를 제어할 수 있습니다. 서버 필터 범위를 만들려면 New-ManagementScope cmdlet에서 ServerRestrictionFilter 매개 변수를 사용합니다.
서버 목록 범위: 서버 목록 범위를 사용하면 역할 담당자가 액세스할 수 있는 서버 목록을 정의하여 역할 담당자가 관리할 수 있는 서버 개체를 제어할 수 있습니다. 서버 목록 범위를 만들려면 New-ManagementScope cmdlet에서 ServerList 매개 변수를 사용합니다.
데이터베이스 범위: 데이터베이스 필터 범위와 데이터베이스 목록 범위라는 두 가지 유형의 데이터베이스 범위가 있습니다. 데이터베이스 개체가 데이터베이스 범위에 포함된 경우에 관리할 수 있는 데이터베이스 구성에는 데이터베이스 할당량 한도, 데이터베이스 유지 관리, 공용 폴더 복제, 데이터베이스 탑재 여부 등이 포함됩니다. 데이터베이스 구성 외에 데이터베이스 범위도 받는 사람을 생성할 수 있는 데이터베이스를 제어하는 데 사용할 수 있습니다. 조직에 Exchange 2010 SP1 이전 서버가 있는 경우 이 항목의 뒷부분에 나오는 데이터베이스 범위 및 이전 버전의 Exchange 섹션을 참조하세요.
데이터베이스 필터 범위: 데이터베이스 필터 범위를 사용하면 필터 문에서 지정한 값에 대해 데이터베이스 개체에서 하나 이상의 속성을 평가하여 역할 담당자가 관리할 수 있는 데이터베이스 개체를 제어할 수 있습니다. 데이터베이스 필터 범위를 만들려면 New-ManagementScope cmdlet에서 DatabaseRestrictionFilter 매개 변수를 사용합니다.
데이터베이스 목록 범위: 데이터베이스 목록 범위를 사용하면 역할 담당자가 액세스할 수 있는 데이터베이스 목록을 정의하여 역할 담당자가 관리할 수 있는 데이터베이스 개체를 제어할 수 있습니다. 데이터베이스 목록 범위를 만들려면 New-ManagementScope cmdlet에서 DatabaseList 매개 변수를 사용합니다.
필터 구문에 대한 자세한 내용 및 필터링 가능한 서버와 데이터베이스 속성의 전체 목록은 관리 역할 범위 필터 이해 (영문)를 참조하십시오.
서버 및 데이터베이스 목록은 각 범위에 포함할 서버와 데이터베이스를 지정하는 방법으로 정의할 수 있습니다. 서버와 데이터베이스 이름을 쉼표로 구분하여 여러 서버 또는 데이터베이스를 각 범위에 지정할 수 있습니다.
역할 할당에 서버 또는 데이터베이스 구성 범위를 추가할 때 새 역할 할당을 만드는 경우 New-ManagementRoleAssignment cmdlet의 CustomConfigWriteScope 매개 변수에서 서버 또는 데이터베이스 구성 범위의 이름을 지정하거나 기존 역할 할당을 업데이트하는 경우 Set-ManagementRoleAssignment cmdlet을 지정합니다. 각 역할 할당은 구성 범위를 하나씩만 가질 수 있습니다.
데이터베이스 범위를 사용하면 역할 담당자가 관리할 데이터베이스를 제어할 수 있을 뿐 아니라 역할 담당자가 사서함을 만들 데이터베이스도 제어할 수 있습니다. 이는 역할 담당자가 관리할 수 있는 받는 사람을 제어하는 기능과는 별개입니다. 역할 담당자에게 새 사서함을 만들거나 기존 사용자를 메일 사용이 가능한 사용자로 만들거나 사서함을 이동할 권한이 있는 경우, 권한을 더욱 구체화하여 데이터베이스 범위를 사용하여 사서함을 만들 데이터베이스 또는 사서함을 이동할 데이터베이스를 제어할 수 있습니다. 역할 담당자가 관리할 수 있는 받는 사람 제어는 New-ManagementRoleAssignment 또는 Set-ManagementRoleAssignment cmdlet의 CustomRecipientWriteScope 매개 변수에 지정된 받는 사람 범위를 사용하여 수행됩니다. 사서함을 만들거나 이동할 수 있는 데이터베이스 제어는 동일한 cmdlet의 CustomConfigurationWriteScope 매개 변수에 지정된 데이터베이스 범위를 사용하여 제어됩니다.
참고
자동 사서함 배포는 데이터베이스 범위를 사용하여 제어할 수 있습니다.
Exchange 기능을 관리하려면 서버 범위, 데이터베이스 범위 또는 둘 다 필요할 수 있습니다. 서버 범위와 데이터베이스 범위를 모두 관리해야 하는 기능인 경우에는 두 가지 역할 할당을 만들어 기능에 액세스하여 관리할 역할 담당자에게 할당해야 합니다. 한 역할 할당은 서버 범위와 연결하고 다른 역할 할당은 데이터베이스 범위와 연결해야 합니다.
일부 cmdlet은 명확하지 않은 구성 범위를 사용할 수 있습니다. 다음 표는 사용을 제어하는 데 사용할 수 있는 cmdlet 목록과 구성 범위를 제공합니다. 받는 사람 기능 영역에 포함된 cmdlet의 경우 구성 범위를 사용하여 받는 사람을 만들 데이터베이스를 제어할 수 있습니다. 받는 사람 중 누구를 관리할지는 제어하지 않습니다. 필요한 범위 열에 다음을 포함할 수 있습니다.
데이터베이스: cmdlet을 실행하려면 역할 담당자에게 관리할 데이터베이스를 포함하는 데이터베이스 범위가 있는 역할 할당을 할당해야 합니다. 그렇지 않으면 역할의 암시적 구성 쓰기 범위에 관리할 데이터베이스가 포함되어야 합니다.
서버: cmdlet을 실행하려면 역할 담당자에게 관리할 서버를 포함하는 서버 범위가 있는 역할 할당을 할당해야 합니다. 그렇지 않으면 역할의 암시적 구성 쓰기 범위에 관리할 서버가 포함되어야 합니다.
서버 또는 데이터베이스: cmdlet을 실행하려면 역할 담당자에게 데이터베이스 범위에 관리되는 데이터베이스가 포함되거나 서버 범위에 데이터베이스가 있는 서버가 포함된 역할 할당이 할당되어야 합니다. 또는 역할의 암시적 구성 쓰기 범위에는 관리할 데이터베이스가 포함되어야 하거나 데이터베이스가 있는 서버를 포함해야 하며 역할 할당에는 사용자 지정 쓰기 범위가 있을 수 없습니다.
서버 및 데이터베이스: 이 cmdlet을 실행하려면 역할 담당자에게 두 개의 역할 할당을 할당해야 합니다. 첫 번째 역할 할당에는 관리할 데이터베이스를 포함하는 데이터베이스 범위가 포함되어야 합니다. 두 번째 역할 할당에는 데이터베이스가 위치한 서버를 포함하는 서버 범위가 포함되어야 합니다. 역할 할당에서는 사용자 지정 구성 범위를 정의할 수도 있고 역할 할당이 역할로부터 암시적 구성 쓰기 범위를 상속할 수도 있습니다. 역할로부터 암시적 쓰기 범위를 상속하려면 역할 할당이 사용자 지정 쓰기 범위를 가질 수 없습니다.
기능 영역 및 해당 데이터베이스 및 서버 범위
기능 영역 | Cmdlet | 필수 범위 |
---|---|---|
데이터베이스 | Dismount-Database | Database |
데이터베이스 | Mount-Database | Database |
데이터베이스 | Move-DatabasePath | 서버 및 데이터베이스 |
데이터베이스 | Remove-MailboxDatabase | 서버 또는 데이터베이스 |
데이터베이스 | Set-MailboxDatabase | Database |
고가용성 | Add-DatabaseAvailabilityGroupServer | 서버 |
고가용성 | Add-MailboxDatabaseCopy | 서버 |
고가용성 | Move-ActiveMailboxDatabase | 서버 |
고가용성 | Remove-DatabaseAvailabilityGroupServer | 서버 |
고가용성 | Remove-MailboxDatabaseCopy | 서버 또는 데이터베이스 |
고가용성 | Resume-MailboxDatabaseCopy | 서버 또는 데이터베이스 |
고가용성 | Set-MailboxDatabaseCopy | 서버 또는 데이터베이스 |
고가용성 | Suspend-MailboxDatabaseCopy | 서버 또는 데이터베이스 |
고가용성 | Update-MailboxDatabaseCopy | 서버 또는 데이터베이스 |
받는 사람 | Connect-Mailbox | Database |
받는 사람 | Enable-Mailbox | Database |
받는 사람 | New-Mailbox | Database |
받는 사람 | New-MoveRequest | Database |
문제 해결 | Test-MapiConnectivity | Database |
데이터베이스 범위 및 이전 버전의 Exchange
데이터베이스 범위는 Microsoft Exchange 2010 SP1(서비스 팩 1)에서 처음 도입되었으며 Exchange 2013에서 계속 지원됩니다. Exchange 2010 SP1 이전 버전의 Exchange는 받는 사람 범위 및 서버 구성 범위만 지원합니다. Exchange 2010 SP1 이상 서버에서 새 데이터베이스 범위를 만들면 다음 경고가 표시됩니다.
WARNING: Database management scopes will only be applied when a user connects to a server running Exchange 2010 SP1 or later. Servers running a version of Exchange prior to Exchange 2010 SP1 won't apply any roles from a role assignment linked to a database scope. Database management scopes also won't be visible to the Get-ManagementScope cmdlet when it's run from a pre-Exchange 2010 SP1 server.
데이터베이스 범위를 만들 때 Exchange 2010 SP1 이상을 실행하는 서버에 연결하는 사용자에게만 적용됩니다. Exchange 2010 SP1 이전 서버에 연결하는 사용자는 데이터베이스 범위와 연결된 역할 할당이 적용되지 않습니다. 즉, 이러한 역할 할당에서 제공하는 모든 권한은 사용자가 Exchange 2010 SP1 이전 서버에 연결할 때 부여되지 않습니다. Exchange 2010 SP1 이전 서버에서 데이터베이스 범위를 만들거나, 제거하거나, 수정하거나, 볼 수 없습니다.
데이터베이스 범위는 Exchange 조직의 모든 데이터베이스를 포함할 수 있습니다. 여기에는 Exchange Server 2007, Exchange 2010 및 Exchange 2013 서버가 포함됩니다. 따라서 Exchange 버전에 관계없이 사용자가 관리할 수 있는 데이터베이스를 제어할 수 있습니다. 다른 데이터베이스 범위와 마찬가지로 Exchange 2007 및 Exchange 2010 데이터베이스를 포함하는 데이터베이스 범위와 연결된 역할 할당은 Exchange 2010 SP1 이상 서버에 연결할 때만 사용자에게 적용됩니다.
Exchange 2010 SP1 이전 서버에 연결하는 사용자는 데이터베이스 범위와 관련된 역할 할당을 보고 수정할 수 있습니다. 여기에는 현재 데이터베이스 범위에 연결되어 있는 경우 서버 범위에 대한 기존의 역할 할당에서 구성 범위를 변경하는 것도 포함됩니다. 그러나 역할 할당의 구성 범위가 서버 범위로 변경되고 나중에 사용자가 데이터베이스 범위로 다시 변경하려는 경우 또는 사용자가 구성 범위를 다른 데이터베이스 범위로 변경하려는 경우 사용자는 Exchange 2010 SP1 이상 서버에 연결된 상태에서 변경해야 합니다. 사용자는 Exchange 2010 SP1 이전 서버에 연결된 경우에만 역할 할당의 구성 범위를 변경할 때만 서버 범위를 지정할 수 있습니다.