Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: Exchange Server 2013
Os Escopos de função de gerenciamento permitem que você defina o escopo específico do impacto ou da influência de uma função de gerenciamento quando uma atribuição de função de gerenciamento é criada. Quando você aplica um escopo, o destinatário da função pode apenas modificar os objetos contidos nesse escopo. O destinatário da função pode ser um grupo de função de gerenciamento, uma diretiva de atribuição de gerenciamento de função, um usuário ou um USG (grupo de segurança universal). Para mais informações sobre funções de gerenciamento, consulte Controle de acesso baseado em função de compreensão.
Observação
Este tópico concentra-se na funcionalidade avançada de RBAC. Se quiser gerir permissões básicas do Exchange 2013, como utilizar o Centro de administração do Exchange (EAC) para adicionar e remover membros de e para grupos de funções, criar e modificar grupos de funções ou criar e modificar políticas de atribuição de funções, consulte Permissões.
Todas as funções de gerenciamento, sejam funções internas ou personalizadas, têm escopos de gerenciamento. Um escopo de gerenciamento pode ser:
Normal: um âmbito regular não é exclusivo. Ele determina onde, no Active Directory, os objetos podem ser exibidos ou modificados por usuários destinatários da função de gerenciamento. Em geral, uma função de gerenciamento indica o que você pode criar ou modificar e um escopo de função de gerenciamento indica onde você pode criar ou modificar. Os escopos regulares podem ser implícitos ou explícitos - ambos serão discutidos adiante, neste tópico.
Exclusivo: um âmbito exclusivo comporta-se quase da mesma forma que um âmbito normal. A diferença principal é que ele permite que você impeça que usuários acessem os objetos contidos dentro do escopo exclusivo, se esses usuários não forem os destinatários de uma função associada ao escopo exclusivo. Todos os escopos exclusivos são explícitos, e serão discutidos adiante, neste tópico.
Para mais informações sobre escopos exclusivos, consulte Noções básicas sobre escopos exclusivos.
Os escopos podem ser herdados da função de gerenciamento, especificados como um escopo relativo predefinido em uma atribuição de função de gerenciamento ou criados através de filtros personalizados em adicionados a uma atribuição de função de gerenciamento. Os escopos herdados de funções de gerenciamento são chamados escopos implícitos, enquanto escopos predefinidos e personalizados são chamados de escopos explícitos. As seções a seguir descrevem os tipos de escopo:
- Implicit Scopes
- Explicit Scopes
- Predefined Relative Scopes
- Custom Scopes
- Recipient Filter Scopes
- Configuration Scopes
Cada função pode ter os seguintes tipos de escopos:
- Âmbito de leitura do destinatário: o âmbito de leitura implícito do destinatário determina os objetos de destinatário que o utilizador atribuiu à função de gestão pode ler a partir do Active Directory.
- Âmbito de escrita do destinatário: o âmbito de escrita implícito do destinatário determina os objetos de destinatário que o utilizador atribuiu à função de gestão tem permissão para modificar no Active Directory.
- Âmbito de leitura da configuração: o âmbito de leitura da configuração implícita determina os objetos de configuração que o utilizador atribuiu à função de gestão pode ler a partir do Active Directory.
- Âmbito de escrita da configuração: o âmbito de escrita de configuração implícita determina os objetos organizacionais, de base de dados e de servidor que o utilizador atribuiu à função de gestão pode modificar no Active Directory.
Objetos de destinatário incluem caixas de correio, grupos de distribuição, usuários habilitados para email e outros objetos. Os objetos de configuração incluem servidores com Microsoft Exchange Server 2013 e bases de dados localizadas em servidores com o Exchange. Cada tipo de escopo pode ser implícito ou explícito.
Escopos implícitos
Os escopos implícitos são os escopos-padrão que se aplicam a um tipo de função de gerenciamento. Como os escopos implícitos são associados a um tipo de função de gerenciamento, todas as funções de gerenciamento mães e filhas com o mesmo tipo de função também terão os mesmos escopos implícitos. Os escopos implícitos se aplicam tanto a funções de gerenciamento internas quanto a funções de gerenciamento personalizadas. Para obter mais informações sobre funções de gestão e tipos de funções de gestão, veja Compreender as funções de gestão.
As tabelas a seguir listam todos os escopos implícitos que podem ser definidos em funções de gerenciamento.
Escopos implícitos definidos nas funções de gerenciamento
| Escopos implícitos | Descrição |
|---|---|
Organization |
Se Organization estiver presente no âmbito de escrita do destinatário da função, a função pode criar ou modificar objetos de destinatário em toda a organização do Exchange. Se Organization estiver presente no âmbito de leitura do destinatário da função, as funções podem ver qualquer objeto de destinatário na organização do Exchange. Esse escopo é usado somente com os escopos de leitura e gravação do destinatário. |
MyGAL |
Se MyGAL estiver presente no âmbito de escrita do destinatário da função, a função pode ver as propriedades de qualquer destinatário na lista de endereços global (GAL) do utilizador atual. Se MyGAL estiver presente no âmbito de leitura do destinatário da função, a função pode ver as propriedades de qualquer destinatário na GAL atual. Esse escopo é usado somente com os escopos de leitura de destinatário. |
Self |
Se Self estiver presente no âmbito de escrita do destinatário da função, a função só pode modificar as propriedades da caixa de correio do utilizador atual. Se Self estiver presente no âmbito de leitura do destinatário da função, a função só pode ver as propriedades da caixa de correio do utilizador atual. Esse escopo é usado somente com os escopos de leitura e gravação do destinatário. |
MyDistributionGroups |
Se MyDistributionGroups estiver presente no âmbito de escrita do destinatário da função, a função pode criar ou modificar objetos de lista de distribuição pertencentes ao utilizador atual. Se MyDistributionGroups estiver presente no âmbito de leitura do destinatário da função, a função pode ver os objetos da lista de distribuição pertencentes ao utilizador atual. Esse escopo é usado somente com os escopos de leitura e gravação do destinatário. |
OrganizationConfig |
Se OrganizationConfig estiver presente no âmbito de escrita da configuração da função, a função pode criar ou modificar qualquer objeto de configuração de servidor ou base de dados na organização do Exchange. Se OrganizationConfig estiver presente no âmbito de leitura da configuração da função, a função pode ver qualquer objeto de configuração de servidor ou base de dados na organização do Exchange. Esse escopo é usado somente com escopos de leitura e gravação de configuração. |
None |
Se None estiver num âmbito, esse âmbito não está disponível para a função. Por exemplo, uma função que tenha None no âmbito de escrita do destinatário não pode modificar objetos de destinatário na organização do Exchange. |
Se uma função for atribuída a um destinatário de função e nenhum escopo predefinido ou personalizado for especificado, os escopos implícitos definidos na função serão usados para controlar os objetos de destinatário ou organização que o usuário pode exibir ou modificar.
O escopo de gravação implícito de uma função é sempre igual a ou menor que o escopo de leitura implícito. Isso significa que uma função nunca pode modificar objetos que não podem ser vistos pelo escopo.
Não é possível alterar os escopos implícitos definidos nas funções de gerenciamento. Você pode, entretanto, ignorar o escopo de gravação implícito e o escopo de configuração em uma função de gerenciamento. Quando um escopo relativo predefinido ou personalizado é usado em uma atribuição de função, o escopo de gravação implícito da função é substituído, e o novo escopo prevalece. O escopo de leitura implícito de uma função não pode ser substituído e sempre se aplica. Para mais informações, consulte Escopos relativos predefinidos e Escopos personalizados.
Expanda a seguinte tabela para ver uma lista de todas as funções de gerenciamento integradas e seus escopos implícitos. Para obter mais informações sobre cada função integrada, consulte Funções de gerenciamento internas.
Escopos implícitos de funções de gerenciamento internas
| Função de gerenciamento | Escopo de leitura do destinatário | Escopo de gravação do destinatário | Escopo de leitura da configuração | Escopo de gravação do destinatário |
|---|---|---|---|---|
Active Directory Permissions |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Address Lists |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
ApplicationImpersonation |
Organization |
Organization |
None |
None |
ArchiveApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Audit Logs |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Cmdlet Extension Agents |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Data Loss Prevention |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Database Availability Groups |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Database Copies |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Databases |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Disaster Recovery |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Distribution Groups |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Edge Subscriptions |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
E-Mail Address Policies |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Connectors |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Server Certificates |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Servers |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Virtual Directories |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Federated Sharing |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Information Rights Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Journaling |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Legal Hold |
Organization |
Organization |
OrganizationConfig |
None |
LegalHoldApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Enabled Public Folders |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Recipient Creation |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Recipients |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Tips |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mailbox Import Export |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mailbox Search |
Organization |
Organization |
None |
None |
MailboxSearchApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Message Tracking |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Migration |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Monitoring |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Move Mailboxes |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
OfficeExtensionApplication |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
My Custom Apps |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
My Marketplace Apps |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyAddressInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyBaseOptions |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyContactInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyDiagnostics |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyDisplayName |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyDistributionGroupMembership |
MyGAL |
MyGAL |
None |
None |
MyDistributionGroups |
MyGAL |
MyDistributionGroups |
OrganizationConfig |
None |
MyMobileInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyName |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyPersonalInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyProfileInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyRetentionPolicies |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyTeamMailboxes |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
MyTextMessaging |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyVoiceMail |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
Organization Client Access |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Organization Configuration |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Organization Transport Settings |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
POP3 And IMAP4 Protocols |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Public Folders |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Receive Connectors |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Recipient Policies |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Remote and Accepted Domains |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Reset Password |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Retention Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Role Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Security Group Creation and Membership |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Send Connectors |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Support Diagnostics |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
TeamMailboxLifecycleApplication |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
Transport Agents |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Transport Hygiene |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Transport Queues |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Transport Rules |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UM Mailboxes |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UM Prompts |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Unified Messaging |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UnScoped Role Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UserApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
User Options |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
View-Only Audit Logs |
Organization |
None |
OrganizationConfig |
None |
View-Only Configuration |
Organization |
None |
OrganizationConfig |
None |
View-Only Recipients |
Organization |
None |
OrganizationConfig |
None |
WorkloadManagement |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Escopos explícitos
Os escopos explícitos são escopos que você mesmo define para controlar que objetos uma função de gerenciamento pode modificar. Embora os escopos implícitos sejam definidos em uma função de gerenciamento, os escopos explícitos são definidos em uma atribuição de função de gerenciamento. Isso permite que os escopos implícitos sejam aplicados consistentemente por todas as funções de gerenciamento, a menos que você escolha usar um escopo explícito de substituição. Para mais informações sobre as atribuições da função de gerenciamento, consulte Noções básicas sobre as atribuições de função de gerenciamento.
Os escopos explícitos substituem os escopos implícitos de gravação e configuração de uma função de gerenciamento. Eles não substituem o escopo de leitura implícito de uma função de gerenciamento. O escopo de leitura implícito continua a definir que objetos a função de gerenciamento pode ler.
Os escopos explícitos são úteis quando o escopo de gravação implícito de uma função de gerenciamento não cumpre as necessidades de seus negócios. Você pode adicionar um escopo explícito para incluir praticamente qualquer coisa que você queira, contanto que o novo escopo não exceda os limites do escopo de leitura implícito. Os cmdlets que são parte de uma função de gerenciamento devem poder ler informações sobre os objetos ou contêineres que contenham objetos para os cmdlets criarem ou modificarem objetos. Por exemplo, se o âmbito de leitura implícito numa função de gestão estiver definido como Self, não pode adicionar um âmbito de escrita explícito de Organization porque o âmbito de escrita explícito excede os limites do âmbito de leitura implícito.
Para obter mais informações, consulte as seguintes seções:
Predefined Relative Scopes
Custom Scopes
Escopos relativos predefinidos
O Exchange 2013 fornece vários âmbitos de escrita relativa predefinidos que pode utilizar para modificar o âmbito de uma função de gestão. Os escopos relativos predefinidos oferecem um jeito fácil de você combinar melhor as necessidades de seus negócios sem ter que criar escopos personalizados manualmente. Eles são chamados de escopos relativos porque eles são relativos ao destinatário da função ao qual a atribuição de função associada é atribuída. Por exemplo, o Self âmbito relativo predefinido restringe esse âmbito de escrita apenas ao utilizador atual. O MyDistributionGroups âmbito relativo predefinido restringe o âmbito de escrita ao grupo de distribuição que o utilizador atual detém apenas. Escopos relativos predefinidos só podem ser usados para objetos de destinatário do escopo. Escopos relativos predefinidos não podem ser usados para objetos de configuração do escopo. A tabela a seguir lista os escopos relativos predefinidos que podem ser usados.
Escopos relativos predefinidos
| Escopos implícitos | Descrição |
|---|---|
Organization |
Se Organization estiver presente no âmbito de escrita do destinatário da função, a função pode criar ou modificar objetos de destinatário em toda a organização do Exchange. Se Organization estiver presente no âmbito de leitura do destinatário da função, as funções podem ver qualquer objeto de destinatário na organização do Exchange. Esse escopo é usado somente com os escopos de leitura e gravação do destinatário. |
Self |
Se Self estiver presente no âmbito de escrita do destinatário da função, a função só pode modificar as propriedades da caixa de correio do utilizador atual. Se Self estiver presente no âmbito de leitura do destinatário da função, a função só pode ver as propriedades da caixa de correio do utilizador atual. Esse escopo é usado somente com os escopos de leitura e gravação do destinatário. |
MyDistributionGroups |
Se MyDistributionGroups estiver presente no âmbito de escrita do destinatário da função, a função pode criar ou modificar objetos de lista de distribuição pertencentes ao utilizador atual. Se MyDistributionGroups estiver presente no âmbito de leitura do destinatário da função, a função pode ver os objetos da lista de distribuição pertencentes ao utilizador atual. Esse escopo é usado somente com os escopos de leitura e gravação do destinatário. |
Os escopos relativos predefinidos são aplicados quando você cria uma nova atribuição de função de gerenciamento. Durante a criação da atribuição de função, com o cmdlet New-ManagementRoleAssignment , pode especificar um âmbito relativo predefinido com o parâmetro RecipientRelativeWriteScope . Quando a nova atribuição de função é criada, a nova função predefinida substitui o escopo de gravação implícito da função de gerenciamento. Não é possível especificar um escopo de destinatário personalizado quando se cria uma atribuição de função com um escopo relativo predefinido. Entretanto, você poderá especificar um escopo de configuração personalizado, se necessário.
Para mais informações sobre como adicionar uma atribuição de função de gerenciamento com um escopo relativo predefinido, consulte Adicionar uma função a um usuário ou USG.
Escopos personalizados
Os âmbitos personalizados são necessários quando nem o âmbito de escrita implícito nem os âmbitos relativos predefinidos satisfazem as necessidades da sua empresa. Os escopos personalizados permitem que você defina, em nível granular, o escopo a que sua função de gerenciamento será aplicada. Por exemplo, você pode querer focar uma unidade organizacional (OU) específica, um tipo específico de destinatário ou ambos. Ou é possível permitir apenas que um grupo de administradores possa gerenciar um conjunto específico de bancos de dados de caixa de correio.
Assim como os escopos relativos predefinidos, os escopos personalizados substituem os escopos implícitos de gravação e configuração de organização definidos nas funções de gerenciamento. O escopo de leitura implícito nas funções de gerenciamento continua a se aplicar, e o escopo personalizado resultante não deve exceder os limites do escopo de leitura implícito. É possível criar os seguintes três tipos de escopos personalizados:
Âmbito da UO: um âmbito de UO, que é o âmbito personalizado mais simples, é criado com o parâmetro RecipientOrganizationalUnitScope no cmdlet New-ManagementRoleAssignment . Especificando um escopo da OU quando uma função é atribuída, o destinatário da função atribuído á função pode modificar somente os objetos de destinatário dentro dessa OU. Para mais informações sobre como adicionar uma atribuição de função de gerenciamento com um escopo da OU, consulte Adicionar uma função a um usuário ou USG.
Âmbito do filtro do destinatário: os âmbitos de filtro do destinatário utilizam filtros para direcionar destinatários específicos com base no tipo de destinatário ou noutras propriedades do destinatário, como departamento, gestor, localização e muito mais. Para obter mais informações, consulte a seção Escopos de filtro de destinatário.
Âmbito de configuração: os âmbitos de configuração utilizam filtros ou listas para direcionar servidores específicos com base em listas de servidores ou propriedades filtráveis que podem ser definidas em servidores, como um site do Active Directory ou uma função de servidor. Os âmbitos de configuração também podem utilizar âmbitos de base de dados para direcionar bases de dados específicas com base em listas de bases de dados ou propriedades de base de dados filtráveis. Para obter mais informações, consulte a seção Escopos de configuração.
Escopos personalizados de destinatário e de configuração complexos e granulares simples e amplos podem ser criados com o uso do cmdlet New-ManagementScope. Quando você cria um escopo de destinatário ou configuração, somente os objetos de destinatário, servidor ou banco de dados que correspondam aos respectivos escopos filtrados são retornados. Quando esses escopos são aplicados a uma função de atribuição, usando os cmdlets New-ManagementRoleAssignment ou Set-ManagementRoleAssignment, somente os objetos que correspondam a esses escopos podem ser modificados pelos destinatários da função a quem a função foi atribuída. Após um escopo personalizado ter sido criado, você não pode alterar o tipo de escopo. Um escopo de destinatário é sempre um escopo de destinatário, e um escopo de configuração é sempre um escopo de configuração.
Por padrão, um escopo personalizado habilita um destinatário de função a acessar um conjunto de objetos que correspondam aos escopos que você definir. Entretanto, eles não excluem ativamente o acesso a outros destinatários de função a que não foi atribuído o mesmo escopo ou um equivalente. Qualquer escopo personalizado poderá acessar os mesmos objetos, se as listas ou os filtros nesses escopos corresponderem aos mesmos objetos. Podem existir objetos em que este comportamento não é desejado, como no caso dos executivos. Para esses objetos, você pode definir escopos exclusivos. Escopos exclusivos usam listas ou filtros da mesma forma que os escopos regulares, mas, ao contrário destes, negam acesso a objetos incluídos no escopo para qualquer um que não faça parte do mesmo escopo exclusivo ou um equivalente. Para mais informações sobre escopos exclusivos, consulte Noções básicas sobre escopos exclusivos.
Âmbitos de filtro de destinatários
Os escopos de filtro de destinatário permitem controlar quais destinatários de função de objetos de destinatário podem ser gerenciados pela avaliação de uma ou mais propriedades em objeto de destinatário em relação a um valor especificado em uma instrução de filtro. Os destinatários incluídos nos escopos de destinatário são caixas de correio, usuários habilitados para email, grupos de distribuição e contatos de email. Somente os destinatários que correspondam ao filtro especificado podem ser gerenciados pelos destinatários de função com essa atribuição de função. Um exemplo de uma instrução de filtro é { Name -Eq "David" } onde Nome é a propriedade no objeto do destinatário que está a ser avaliada e David é o valor que pretende avaliar em relação à propriedade. O operador de comparação -Eq indica que o valo armazenado na propriedade deve ser igual ao especificado para que o filtro seja verdadeiro. Se o filtro for verdadeiro, esse destinatário será incluído no escopo.
Os âmbitos de filtro do destinatário são criados ao especificar o filtro de destinatário a utilizar com o parâmetro RecipientRestrictionFilter no cmdlet New-ManagementScope . Por padrão, o cmdlet New-ManagementScope cria escopos regulares. Se quiser criar um âmbito exclusivo, inclua o comutador Exclusivo juntamente com o parâmetro RecipientRestrictionFilter .
Quando você cria um filtro de restrição de destinatário, o Exchange avalia o filtro fornecido em relação a qualquer objeto de destinatário na organização por padrão. Se quiser limitar os destinatários que o âmbito avalia, pode utilizar o parâmetro RecipientRoot juntamente com o parâmetro RecipientRestrictionFilter . O parâmetro RecipientRoot aceita uma UO. Quando utiliza o parâmetro RecipientRoot , o Exchange avalia apenas os destinatários incluídos na UO especificada em relação ao filtro que forneceu.
Quando adiciona um âmbito de filtro de destinatário a uma atribuição de função, especifique o nome do âmbito do destinatário no parâmetro CustomRecipientWriteScope no New-ManagementRoleAssignment se estiver a criar uma nova atribuição de função ou o cmdlet Set-ManagementRoleAssignment se estiver a atualizar uma atribuição de função existente. Cada atribuição de função pode ter um escopo de destinatário, incluindo escopos relativos predefinidos. É possível adicionar um escopo de configuração à mesma atribuição de função adicionada a um escopo de destinatário.
Para mais informações sobre sintaxe de filtro e para uma lista completa de propriedades de destinatário filtráveis em destinatários, consulte Noções básicas sobre filtros do escopo de função de gerenciamento.
Âmbitos de configuração
Seguem-se os dois tipos de âmbitos de configuração oferecidos no Exchange 2013:
Âmbitos do servidor: existem dois tipos de âmbitos de servidor, âmbitos de filtro de servidor e âmbitos de lista de servidor. A configuração do servidor, incluindo Conectores de receção, filas de transporte, certificados de servidor, diretórios virtuais, etc., pode ser gerida se um objeto de servidor estiver incluído num âmbito de servidor.
Âmbitos de filtro do servidor: os âmbitos de filtro do servidor permitem-lhe controlar que atribuições de função de objetos de servidor podem gerir ao avaliar uma ou mais propriedades num objeto de servidor relativamente a um valor que especificar numa instrução de filtro. Para criar um âmbito de filtro de servidor, utilize o parâmetro ServerRestrictionFilter no cmdlet New-ManagementScope .
Âmbitos da lista de servidores: os âmbitos da lista de servidores permitem-lhe controlar que atribuições de função de objetos de servidor podem gerir ao definir uma lista de servidores aos quais um detentor de funções pode aceder. Para criar um âmbito de lista de servidor, utilize o parâmetro ServerList no cmdlet New-ManagementScope .
Âmbitos da base de dados: existem dois tipos de âmbitos de base de dados, âmbitos de filtro de base de dados e âmbitos de lista de bases de dados. A configuração de banco de dados que poderá ser gerenciada se um objeto de banco de dados a ser incluído em um escopo de banco de dados tiver limites de cota de banco de dados, manutenção de banco de dados, replicação de pasta pública, se um banco de dados está montado ou não etc. Além da configuração de banco de dados, os escopos de banco de dados podem também ser usados para controlar quais destinatários de bancos de dados podem ser criados. Se tiver servidores SP1 anteriores ao Exchange 2010 na sua organização, consulte a secção Âmbitos da base de dados e versões anteriores do Exchange mais adiante neste tópico.
Âmbitos do filtro de base de dados: os âmbitos de filtro da base de dados permitem-lhe controlar que atribuições de função de objetos de base de dados podem gerir ao avaliar uma ou mais propriedades num objeto de base de dados relativamente a um valor que especificar numa instrução de filtro. Para criar um âmbito de filtro de base de dados, utilize o parâmetro DatabaseRestrictionFilter no cmdlet New-ManagementScope .
Âmbitos da lista de bases de dados: os âmbitos da lista de bases de dados permitem-lhe controlar os objetos de base de dados que os detentores de funções podem gerir ao definir uma lista de bases de dados às quais um detentor de funções pode aceder. Para criar um âmbito de lista de bases de dados, utilize o parâmetro DatabaseList no cmdlet New-ManagementScope .
Para mais informações sobre sintaxe de filtro e para uma lista completa de propriedades de servidor e banco de dados filtráveis, consulte Noções básicas sobre filtros do escopo de função de gerenciamento.
As listas de servidor e banco de dados podem ser definidas com a especificação de cada servidor e banco de dados que quiser incluir em seus respectivos escopos. Vários servidores ou bancos de dados podem ser especificados em seus respectivos escopos, separando os nomes de servidor e banco de dados com vírgulas.
Quando adiciona um âmbito de configuração de servidor ou base de dados a uma atribuição de função, especifique o nome do âmbito de configuração do servidor ou da base de dados no parâmetro CustomConfigWriteScope no cmdlet New-ManagementRoleAssignment se estiver a criar uma nova atribuição de função ou o cmdlet Set-ManagementRoleAssignment se estiver a atualizar uma atribuição de função existente. Cada atribuição de função pode ter apenas um escopo de configuração.
Além de controlar quais destinatários de função de bancos de dados podem gerenciar, os escopos de banco de dados também permitem controlar quais destinatários de função de bancos de dados podem criar caixas de correio. Isso é separado do controle de quais destinatários um destinatário de função pode gerenciar. Se um destinatário de função tiver permissões para criar uma nova caixa de correio, habilitar por email um usuário existente ou mover caixas de correio, você poderá refinar as permissões usando escopos de banco de dados para controlar o banco de dados em que a caixa de correio é criada ou para qual banco de dados uma caixa de correio é movida. Controlar os destinatários que um detentor de funções pode gerir é feito com um âmbito de destinatário especificado no parâmetro CustomRecipientWriteScope no cmdlet New-ManagementRoleAssignment ou Set-ManagementRoleAssignment . Controlar as bases de dados para as quais uma caixa de correio pode ser criada ou movida é controlado através de um âmbito de base de dados especificado no parâmetro CustomConfigurationWriteScope nos mesmos cmdlets.
Observação
A distribuição de caixa de correio automática pode ser controlada com o uso de escopos de banco de dados.
As funcionalidades do Exchange podem exigir que os âmbitos do servidor, os âmbitos da base de dados ou ambos sejam geridos. Se um recurso solicitar que os escopos de servidor e de banco de dados sejam gerenciados, duas atribuições de função deverão ser criadas e atribuída ao destinatário de função que deverá ter acesso para gerenciar o recurso. Uma atribuição de função deverá ser associada ao escopo de servidor, e outra, ao escopo de banco de dados.
Alguns cmdlets podem usar escopos de configuração que não sejam imediatamente óbvio. A seguinte tabela inclui uma lista de cmdlets e os escopos de configuração que podem ser usados para controlar seu uso. Para os cmdlets incluídos na área de recursos de destinatários, os escopos de configuração permite controlar quais destinatários de bancos de dados podem ser criados. Eles não controlam quais destinatários podem ser gerenciados. A coluna Escopos necessários pode conter o seguinte:
Base de dados: para executar o cmdlet, tem de ser atribuída ao detentor da função uma atribuição de função com um âmbito de base de dados que inclua a base de dados a ser gerida ou o âmbito de escrita de configuração implícita da função tem de incluir a base de dados a ser gerida.
Servidor: para executar o cmdlet, tem de ser atribuída ao detentor da função uma atribuição de função com um âmbito de servidor que inclua o servidor a ser gerido ou o âmbito de escrita de configuração implícita da função tem de incluir o servidor a ser gerido.
Servidor ou base de dados: para executar o cmdlet, tem de ser atribuída ao detentor da função uma atribuição de função em que um âmbito de base de dados inclua a base de dados que está a ser gerida ou onde um âmbito do servidor inclui o servidor onde a base de dados está localizada. Ou, o escopo de gravação de configuração implícito da função deve conter o banco de dados a ser gerenciado ou conter o servidor em que o banco de dados está localizado, e a atribuição de função não pode ter um escopo de gravação personalizado.
Servidor e base de dados: para executar este cmdlet, o detentor da função tem de ter duas atribuições de função atribuídas. A primeira atribuição de função deve ter um escopo de banco de dados que inclua o banco de dados a ser gerenciado. A segunda atribuição de função deve ter um escopo de servidor que inclua o servidor em que o banco de dados está localizado. As atribuições de função podem ter escopos de configuração personalizados definidos, ou as atribuições de função podem herdar o escopo de gravação de configuração implícito a partir da função. Para herdar o escopo de gravação implícito da função, a atribuição de função não pode ter um escopo de gravação personalizado.
Áreas de recurso e escopos de banco de dados e servidor aplicáveis
| Área de recurso | Cmdlet | Escopos necessários |
|---|---|---|
| Bancos de dados | Dismount-Database | Banco de dados |
| Bancos de dados | Mount-Database | Banco de dados |
| Bancos de dados | Move-DatabasePath | Servidor e banco de dados |
| Bancos de dados | Remove-MailboxDatabase | Servidor ou banco de dados |
| Bancos de dados | Set-MailboxDatabase | Banco de dados |
| Alta disponibilidade | Add-DatabaseAvailabilityGroupServer | Servidor |
| Alta disponibilidade | Add-MailboxDatabaseCopy | Servidor |
| Alta disponibilidade | Move-ActiveMailboxDatabase | Servidor |
| Alta disponibilidade | Remove-DatabaseAvailabilityGroupServer | Servidor |
| Alta disponibilidade | Remove-MailboxDatabaseCopy | Servidor ou banco de dados |
| Alta disponibilidade | Resume-MailboxDatabaseCopy | Servidor ou banco de dados |
| Alta disponibilidade | Set-MailboxDatabaseCopy | Servidor ou banco de dados |
| Alta disponibilidade | Suspend-MailboxDatabaseCopy | Servidor ou banco de dados |
| Alta disponibilidade | Update-MailboxDatabaseCopy | Servidor ou banco de dados |
| Destinatários | Connect-Mailbox | Banco de dados |
| Destinatários | Enable-Mailbox | Banco de dados |
| Destinatários | New-Mailbox | Banco de dados |
| Destinatários | New-MoveRequest | Banco de dados |
| Solução de problemas | Test-MapiConnectivity | Banco de dados |
Âmbitos da base de dados e versões anteriores do Exchange
Os âmbitos da base de dados foram introduzidos pela primeira vez no Microsoft Exchange 2010 Service Pack 1 (SP1) e continuam a ser suportados no Exchange 2013. As versões do Exchange anteriores ao Exchange 2010 SP1 suportam apenas âmbitos de destinatários e âmbitos de configuração do servidor. Quando cria um novo âmbito de base de dados num servidor do Exchange 2010 SP1 ou posterior, receberá o seguinte aviso:
WARNING: Database management scopes will only be applied when a user connects to a server running Exchange 2010 SP1 or later. Servers running a version of Exchange prior to Exchange 2010 SP1 won't apply any roles from a role assignment linked to a database scope. Database management scopes also won't be visible to the Get-ManagementScope cmdlet when it's run from a pre-Exchange 2010 SP1 server.
Quando cria um âmbito de base de dados, este só é aplicado aos utilizadores que se ligam a servidores com o Exchange 2010 SP1 ou posterior. Os utilizadores que se ligam a servidores pré-Exchange 2010 SP1 não terão atribuições de funções associadas aos âmbitos da base de dados aplicados aos mesmos. Isto significa que quaisquer permissões fornecidas por estas atribuições de funções não serão concedidas aos utilizadores quando se ligarem a servidores do Exchange 2010 SP1. Os âmbitos da base de dados não podem ser criados, removidos, modificados ou visualizados a partir de servidores do Exchange 2010 SP1.
Um escopo de banco de dados pode incluir qualquer banco de dados de sua organização do Exchange. Isto inclui servidores Exchange Server 2007, Exchange 2010 e Exchange 2013. Isso permite controlar quais bancos de dados, independentemente da versão do Exchange, que os usuários podem gerenciar. Tal como acontece com outros âmbitos de base de dados, as atribuições de funções associadas a âmbitos de bases de dados que contenham bases de dados do Exchange 2007 e do Exchange 2010 só são aplicadas aos utilizadores quando se ligam a um servidor exchange 2010 SP1 ou posterior.
Os utilizadores que se ligam a um servidor pré-Exchange 2010 SP1 podem ver e modificar atribuições de funções associadas a âmbitos de base de dados. Isso inclui a mudança do escopo da configuração em uma atribuição de função existente para um escopo de servidor se ela estiver atualmente associada a um escopo de banco de dados. No entanto, se o âmbito de configuração de uma atribuição de função for alterado para um âmbito de servidor e um utilizador quiser alterá-lo posteriormente para um âmbito de base de dados ou se o utilizador quiser alterar o âmbito de configuração para outro âmbito da base de dados, o utilizador tem de efetuar a alteração enquanto estiver ligado a um servidor do Exchange 2010 SP1 ou posterior. Os utilizadores só podem especificar âmbitos de servidor quando alteram o âmbito de configuração numa atribuição de função se estiverem ligados a um servidor do Exchange 2010 SP1.