Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
APLICA-SE A:
2016 2019 Subscription Edition
Microsoft Exchange Server inclui um grande conjunto de permissões predefinidas, com base no modelo de permissões de Controle de Acesso Baseado em Funções (RBAC), que pode utilizar imediatamente para conceder facilmente permissões aos seus administradores e utilizadores. Pode utilizar as funcionalidades de permissões no Exchange Server para que possa começar a trabalhar rapidamente na sua nova organização.
Observação
A desativação da herança de permissões em objetos do Active Directory (AD), num domínio do AD preparado para alojar o Exchange, não é suportada. A remoção de permissões relacionadas com o Exchange em objetos do AD fará com que as tarefas e funções do Exchange se quebrem ou possam originar problemas desconhecidos.
Permissões baseadas em função
No Exchange Server, as permissões que concede aos administradores e utilizadores baseiam-se em funções de gestão. Uma função define o conjunto de tarefas que um administrador ou usuário pode realizar. Por exemplo, uma função de gestão denominada Mail Recipients define as tarefas que alguém pode realizar num conjunto de caixas de correio, contactos e grupos de distribuição. Quando uma função é atribuída a um administrador ou usuário, essa pessoa recebe as permissões fornecidas pela função.
Existem dois tipos de funções, nomeadamente funções administrativas e funções de utilizador final:
Funções administrativas: estas funções contêm permissões que podem ser atribuídas a administradores ou utilizadores especializados através de grupos de funções que gerem uma parte da organização do Exchange, como destinatários, servidores ou bases de dados.
Funções de utilizador final: estas funções, atribuídas através de políticas de atribuição de funções, permitem aos utilizadores gerir aspetos da caixa de correio e dos grupos de distribuição que possuem. As funções de utilizador final começam com o prefixo
My.
Quando as funções são atribuídas a administradores e utilizadores, dá-lhes as permissões para realizar tarefas ao disponibilizar os cmdlets para os mesmos. Uma vez que o Centro de administração do Exchange (EAC) e a Shell de Gestão do Exchange utilizam cmdlets para gerir o Exchange, conceder acesso a um cmdlet dá ao administrador ou utilizador a permissão para executar a tarefa em cada uma das interfaces de gestão do Exchange.
grupos de função e políticas de atribuição de função
As funções concedem permissões para realizar tarefas no Exchange Server, mas precisa de uma forma fácil de atribuir as funções a administradores e utilizadores. Exchange Server fornece-lhe os seguintes métodos para o ajudar a fazê-lo:
Grupos de funções: os grupos de funções permitem-lhe conceder permissões a administradores e utilizadores especializados.
Políticas de atribuição de funções: as políticas de atribuição de funções permitem-lhe conceder permissões aos utilizadores finais para alterar as definições na caixa de correio ou nos grupos de distribuição que possuem.
Para obter mais informações sobre grupos de funções e diretivas de atribuição de função, consulte as próximas seções.
Grupos de função
Todos os administradores que gerem Exchange Server têm de ter, pelo menos, uma ou mais funções atribuídas. Os administradores podem ter mais do que uma função porque podem desempenhar funções de trabalho que abrangem várias áreas no Exchange. Por exemplo, um administrador pode gerir os destinatários e os servidores exchange. Neste caso, esse administrador poderá ter as funções e Exchange Servers atribuídasMail Recipients.
Para facilitar a atribuição de múltiplas funções a um administrador, Exchange Server inclui grupos de funções. Os grupos de funções são grupos de segurança universal especiais (USGs) utilizados por Exchange Server que podem conter utilizadores do AD, USGs e outros grupos de funções. Quando uma função é atribuída a um grupo de função, as permissões concedidas pela função são concedidas a todos os membros do grupo de função. Esta funcionalidade permite-lhe atribuir várias funções a muitos membros do grupo de funções de uma só vez. Os grupos de função normalmente abrangem áreas mais amplas de gerenciamento, como o gerenciamento de destinatários. São utilizados apenas com funções administrativas e não com funções de utilizador final.
Observação
É possível atribuir uma função diretamente a um usuário ou USG sem usar um grupo de funções. Entretanto, esse método de atribuição de função é um procedimento avançado e não é discutido neste tópico. Recomendamos que você use grupos de função para gerenciar permissões.
A figura a seguir mostra a relação entre usuários, grupos de função e funções.
Funções, grupos de função e membros de grupo de função do
Exchange Server inclui vários grupos de funções incorporados, cada um deles fornecendo permissões para gerir áreas específicas no Exchange Server. Alguns grupos de funções podem se sobrepor a outros. As tabelas a seguir relacionam cada grupo de funções com a descrição do seu uso. Se quiser ver as funções atribuídas a cada grupo de funções, clique no nome do grupo de funções na coluna "Grupo de funções" e, em seguida, aceda à secção "Funções de Gestão Atribuídas a Este Grupo de Funções".
Importante
Se um administrador for membro de mais do que um grupo de funções, Exchange Server concede ao administrador todas as permissões fornecidas por esses grupos de funções.
Grupos de função internos
| Grupo de função | Descrição |
|---|---|
| Organization Management | Os administradores que são membros do grupo de funções Gestão da Organização têm acesso administrativo a toda a organização Exchange Server e podem efetuar praticamente qualquer tarefa em relação a qualquer objeto Exchange Server, com algumas exceções, como a Discovery Management função. Importante: uma vez que o grupo de funções Gestão da Organização é uma função poderosa, apenas os utilizadores ou USGs que efetuam tarefas administrativas ao nível da organização que possam afetar potencialmente toda a organização do Exchange devem ser membros deste grupo de funções. |
| View-Only Organization Management | Os administradores que são membros do grupo de função Exibir Somente Gerenciamento da Organização podem exibir as propriedades de qualquer objeto na organização do Exchange. |
| Gerenciamento de Destinatários | Os administradores que são membros do grupo de funções Gestão de Destinatários têm acesso administrativo para criar ou modificar Exchange Server destinatários na Exchange Server organização. |
| Gerenciamento de UM | Os administradores que são membros do grupo de funções de Gestão de UM podem gerir funcionalidades na organização do Exchange, como a configuração do serviço Unified Messaging (UM), as propriedades um nas caixas de correio, os pedidos do UM e a configuração do atendedor automático do UM. (Nota: o UM não está disponível no Exchange 2019.) |
| Suporte Técnico | Por predefinição, o grupo de funções Suporte Técnico permite que os membros vejam e modifiquem as opções "Outlook na Web" (anteriormente conhecidas como Outlook Web App) de qualquer utilizador na organização. Essas opções podem incluir a modificação do nome para exibição, endereço e número de telefone do usuário. Estas opções não incluem opções que não estão disponíveis nas opções de "Outlook na Web", como modificar o tamanho de uma caixa de correio ou configurar a base de dados da caixa de correio na qual está localizada uma caixa de correio. |
| Gerenciamento de Higienização | Os administradores que são membros do grupo de funções Gestão de Higiene podem configurar as funcionalidades antivírus e antisspam do Exchange Server. Os programas de terceiros que se integram com Exchange Server podem adicionar contas de serviço a este grupo de funções para conceder a esses programas acesso aos cmdlets necessários para obter e configurar a configuração do Exchange. |
| Gerenciamento de Registros | Os utilizadores que são membros do grupo de funções Gestão de Registos podem configurar funcionalidades de conformidade, tais como etiquetas de política de retenção, classificações de mensagens e regras de fluxo de correio (também conhecidas como regras de transporte). |
| Gerenciamento de Descobertas | Os administradores ou utilizadores que são membros do grupo de funções Gestão de Deteção podem efetuar pesquisas de caixas de correio na organização do Exchange para obter dados que cumpram critérios específicos e também podem configurar retenções legais em caixas de correio. |
| Gerenciamento de Pasta Pública | Administradores que são membros do grupo de função Gerenciamento de Pasta Pública podem gerenciar pastas públicas em servidores que executam o Exchange Server. |
| Gerenciamento do Servidor | Administradores que sejam membros do grupo de funções de Gerenciamento de Servidor podem definir configurações específicas de recursos de servidor de transporte, Unificação de Mensagens, acesso para cliente e caixa de correio, como cópias de bancos de dados, certificados, filas de transporte e conectores de Envio, diretórios virtuais e protocolos de acesso para cliente. (Nota: o UM não está disponível no Exchange 2019.) |
| Configuração Delegada | Os administradores que são membros do grupo de função Instalação Delegada podem implantar servidores executando o Exchange que tenham sido previamente configurados por um membro do grupo de função Gerenciamento da Organização. |
| Gerenciamento de Conformidade | Os utilizadores que são membros do grupo de funções Gestão de Conformidade podem configurar e gerir as definições de conformidade do Exchange de acordo com a política da organização. |
Se trabalhar numa pequena organização que tenha apenas alguns administradores, só poderá utilizar o grupo de funções Gestão da Organização e nenhum dos outros grupos de funções. Se trabalhar numa organização maior, poderá ter administradores que executam tarefas específicas que administram o Exchange, como a gestão de destinatários ou servidores. Nesses casos, pode adicionar um administrador ao grupo de funções Gestão de Destinatários e outro administrador ao grupo de funções Gestão de Servidores. Esses administradores podem então gerir as suas áreas específicas de Exchange Server, mas não terão permissões para gerir áreas pelas quais não são responsáveis.
Se não conseguir encontrar um grupo de funções incorporado que se adeque às tarefas que os administradores precisam de fazer, pode criar grupos de funções e adicionar-lhes funções. Para obter mais informações, consulte Trabalhar com grupos de funções, posteriormente neste tópico.
Diretivas de atribuição de função
Exchange Server fornece políticas de atribuição de funções para que possa controlar as definições que os seus utilizadores podem configurar nas caixas de correio e nos grupos de distribuição que possuem. Essas configurações incluem seus nomes para exibição, informações de contato, configurações de caixa postal e associação a grupos de distribuição.
A sua organização Exchange Server pode ter várias políticas de atribuição de funções que fornecem diferentes níveis de permissões para os diferentes tipos de utilizadores nas suas organizações. Alguns utilizadores podem alterar o endereço ou criar grupos de distribuição, enquanto outros não podem. Tudo depende da política de atribuição de funções associada à respetiva caixa de correio. As diretivas de atribuição de função são adicionadas diretamente às caixas de correio, e cada caixa de correio pode ser associada somente a uma diretiva de atribuição de função por vez.
Entre as diretivas de atribuição de função em sua organização, uma é identificada como padrão. A diretiva de atribuição de função padrão é associada a novas caixas de correio que não tenham uma diretiva de atribuição de função específica explicitamente atribuída ao serem criadas. A diretiva de atribuição de função padrão deve conter as permissões que serão aplicadas à maioria de suas caixas de correio.
As permissões são adicionadas às diretivas de atribuição de função por meio de funções de usuário final. As funções de utilizador final começam com My e concedem permissões para os utilizadores gerirem apenas a caixa de correio ou os grupos de distribuição que possuem. Elas não podem ser usadas para gerenciar qualquer outra caixa de correio. Somente funções de usuário final podem ser atribuídas às diretivas de atribuição de função.
Quando uma função de usuário final é atribuída a uma diretiva de atribuição de função, todas as caixas de correio associadas a essa diretiva recebem as permissões concedidas pela função. Por conseguinte, pode adicionar ou remover permissões a conjuntos de utilizadores sem ter de configurar caixas de correio individuais. A figura seguinte mostra que:
Funções de usuário final são atribuídas a diretivas de atribuição de função. Diretivas de atribuição de função podem compartilhar as mesmas funções de usuário final.
Diretivas de atribuição de função são associadas a caixas de correio. Cada caixa de correio só pode ser associada a uma diretiva de atribuição de função.
Quando uma caixa de correio é associada a uma política de atribuição de função, as funções de usuário final são aplicadas a essa caixa de correio. As permissões concedidas pelas funções são concedidas ao usuário da caixa de correio.
Funções, diretivas de atribuição de função e caixas de correio
A Política de Atribuição de Função Predefinida está incluída no Exchange Server. Como o nome indica, essa é a diretiva de atribuição de função padrão. Caso queira alterar as permissões fornecidas por esta diretiva de atribuição de função ou criar diretivas de atribuição de função, consulte Trabalhar com políticas de atribuição de função mais adiante neste tópico.
Trabalhar com grupos de funções
Para gerir as suas permissões através de grupos de funções no Exchange Server, recomendamos que utilize o Centro de administração do Exchange (EAC). Usando o EAC para gerenciar grupos de funções, você pode adicionar e remover funções e membros, criar grupos de funções e copiar grupos de função com poucos cliques do mouse. O EAC fornece caixas de diálogo simples, como a novo grupo de função, mostrada na figura a seguir, para realizar essas tarefas.
Caixa de diálogo de nova grupo de funções no EAC
Se nenhum dos grupos de funções incluídos no Exchange Server tiver as permissões necessárias, pode utilizar o EAC para criar um grupo de funções e adicionar as funções que têm as permissões necessárias. Para o seu novo grupo de funções, terá de:
Escolha um nome.
Selecione as funções que pretende adicionar.
Adicionar membros.
Salve-o.
Depois de ter criado o grupo de funções, você o gerencia como qualquer outro grupo de funções.
Caso exista um grupo de função contendo algumas, mas não todas, das permissões necessárias, você poderá copiá-lo e fazer alterações para criar um grupo de função. Copiar um grupo de funções existente permite-lhe efetuar alterações ao mesmo sem afetar o grupo de funções original. Como parte da cópia do grupo de função, é possível atribuir um novo nome e descrição, adicionar e remover funções desse novo grupo de função e adicionar novos membros. Para criar ou copiar um grupo de funções, é usada a mesma caixa de diálogo mostrada na figura anterior.
Os grupos de função existentes também podem ser modificados. Você pode adicionar e remover funções dos grupos de funções existentes e adicionar e remover membros desses grupos ao mesmo tempo usando uma caixa de diálogo do EAC, semelhante à da figura anterior. Ao adicionar e remover funções de grupos de função, você ativa e desativa recursos administrativos para os membros desses grupos de função.
Observação
Embora possa determinar que funções estão atribuídas a grupos de funções incorporados, recomendamos que copie grupos de funções incorporados, modifique a cópia do grupo de funções e, em seguida, adicione membros à cópia do grupo de funções.
Trabalhar com políticas de atribuição de função
Para gerir as permissões que concede aos utilizadores finais para gerirem a sua própria caixa de correio no Exchange Server, recomendamos que utilize o EAC. Usando o EAC para gerenciar as permissões de usuários finais, você pode adicionar e remover funções e criar políticas de atribuição de função com poucos cliques do mouse. O EAC fornece caixas de diálogo simples, como a política de atribuição de funções, mostrada na figura a seguir, para realizar essas tarefas.
Caixa de diálogo de política de atribuição de funções no EAC
Exchange Server inclui uma política de atribuição de funções denominada Política de Atribuição de Funções Predefinida. Essa diretiva de atribuição de função permite aos usuários cujas caixas de correio estejam associadas à diretiva fazer o seguinte:
Associar-se ou sair de grupos de distribuição que permitam aos membros gerenciar suas próprias associações.
Exibir e modificar configurações básicas de suas caixas de correio, como regras da Caixa de Entrada, comportamento da correção ortográfica, configurações de lixo eletrônico, e dispositivos do Microsoft ActiveSync.
Modificar suas informações de contato, como endereço comercial e número de telefone, número de telefone celular e número de pager.
Criar, modificar ou exibir configurações de mensagens de texto.
Exibir ou modificar as configurações de caixa postal.
Exibir e modificar seus aplicativos do marketplace.
Criar caixas de correio de equipe e conectá-las às listas do Microsoft SharePoint.
Se quiser adicionar ou remover permissões da Política de Atribuição de Função Padrão ou de qualquer outra política de atribuição de função, você pode usar o EAC. Quando abrir a política de atribuição de funções no EAC, selecione a caixa de verificação junto às funções que pretende atribuir à mesma ou desmarque a caixa de verificação junto às funções que pretende remover. A alteração feita na diretiva de atribuição de função é aplicada a todas as caixas de correio associadas a ela.
Caso queira atribuir diferentes permissões de usuário final aos vários tipos de usuários em sua organização, você pode criar diretivas de atribuição de função. Você pode especificar um novo nome para a política de atribuição de função e então selecionar as funções que deseja atribuir à política de atribuição de função. Depois de criar uma política de atribuição de função, você poderá associá-la a caixas de correio usando o EAC.
Se quiser determinar que política de atribuição de funções é a predefinição, tem de utilizar a Shell de Gestão do Exchange. Quando a política de atribuição de função padrão é alterada, todas as caixas de correio criadas serão associadas à nova política de atribuição de função se nenhuma política for explicitamente especificada. A diretiva de atribuição de função associada às caixas de correio existentes não muda quando é selecionada uma nova diretiva de atribuição de função padrão.
Observações:
Se selecionar uma caixa de verificação para uma função que tenha funções subordinadas, as caixas de verificação das funções subordinadas também serão selecionadas. Se desmarcar a caixa de verificação de uma função com funções subordinadas, as caixas de verificação das funções subordinadas também serão desmarcadas.
Para obter uma descrição detalhada de como criar diretivas de atribuição de função ou fazer alterações nas diretivas de atribuição de função existentes, consulte os seguintes tópicos: