Управление организацией
Область применения: Exchange Server 2013 г.
Группа ролей управления "Управление организацией" является одной из нескольких встроенных групп ролей, составляющих модель разрешений на основе ролей контроль доступа (RBAC) в Microsoft Exchange Server 2013 г. Группы ролей назначаются одной или нескольким ролям управления, которые содержат разрешения, необходимые для выполнения определенного набора задач. Члены группы ролей получают доступ к ролям управления, назначенным группе. Дополнительные сведения о группах ролей см. в разделе Общие сведения о группах ролей управления.
Администраторы, которые являются членами группы ролей Управление организацией, имеют административный доступ ко всей организации Exchange 2013 и могут выполнять практически любую задачу с любым объектом Exchange 2013, за некоторыми исключениями. По умолчанию члены этой группы ролей не могут выполнять поиск в почтовых ящиках и управлять ролями управления верхнего уровня с незаданной областью. Дополнительные сведения см. в разделе Делегирование только назначений ролей далее в этом разделе.
Важно!
Группа ролей Управление организацией является многофункциональной ролью, и поэтому членами этой группы могут быть только пользователи или универсальные группы безопасности, выполняющие административные задачи на уровне организации, которые могут влиять на всю организацию Exchange.
Эта группа ролей эквивалентна роли администратора организации Exchange в Exchange Server 2007.
Дополнительные сведения об управлении доступом на основе ролей см. в разделе Общие сведения об управлении доступом на основе ролей.
Членство в группе ролей
По умолчанию учетная запись, используемая для установки Exchange 2013 в организации, добавляется в качестве участника группы ролей Управление организацией. Затем пользователь под этой учетной записью может при необходимости добавлять других участников в эту группу ролей.
Чтобы добавить участников в эту группу ролей или удалить их из нее, см. раздел Управление участниками группы ролей.
По умолчанию только участники группы ролей управления организацией могут добавлять и удалять участников из этой группы ролей. Дополнительные сведения о добавлении дополнительных делегатов групп ролей см. в разделе "Добавление или удаление делегата группы ролей" статьи Управление группами ролей.
Следующую команду можно использовать для просмотра списка пользователей или универсальных групп безопасности, которые являются участниками этой группы ролей.
Get-RoleGroupMember "Organization Management"
Дополнительные сведения об участниках группы ролей см. в разделе Управление группами ролей.
Настройка группы ролей
Этой группе ролей назначены роли управления по умолчанию. Роли перечислены в разделе "Роли управления, назначенные этой группе ролей". В соответствии с требованиями организации назначения ролей можно добавлять в группы ролей или удалять из групп.
Группы ролей, предоставляемые в Exchange 2013, предназначены для соответствия более детализированным задачам. Путем назначения ролей группе ролей участники группы могут выполнять задачи, связанные с ролью. Например, роль «Ведение журнала» позволяет управлять агентом ведения журнала и правилами ведения журнала. Дополнительные сведения о назначении ролей группам ролей см. в статье Общие сведения о назначениях ролей управления.
Ролям, назначенным этой группе ролей, предоставлены области управления по умолчанию. Области управления определяют объекты Exchange, которые участники группы ролей могут просматривать и изменять. Области, связанные с назначениями между ролями и группами ролей, можно изменять. Например, это может понадобиться, чтобы позволить участникам группы ролей изменять получателей определенного подразделения или в определенном местоположении. Дополнительные сведения об областях управления см. в разделе Общие сведения об областях ролей управления.
Дополнительные сведения о настройке этой группы ролей см. в следующих разделах.
Чтобы создать группу ролей и назначить некоторые роли, назначенные этой группе ролей, новой группе ролей, см. тему "Создание группы ролей" в разделе Управление группами ролей.
Ниже перечислены некоторые способы настройки этой роли.
- Владелец разрешений. Если разрешения в организации контролируются определенной группой, отличной от администраторов Exchange, можно создать группу ролей и переместить обычные и делегированные назначения ролей для роли "Управление ролями" в новую группу ролей. Это действие используется для запрета участникам группы ролей Управление организацией управлять любыми разрешениями RBAC.
- Разделенные разрешения Active Directory. Если создание субъектов безопасности в организации, таких как учетные записи пользователей, контролируется определенной группой, отличной от администраторов Exchange, можно создать группу ролей и переместить обычные и делегированные назначения ролей для роли создания получателя почты и роли создания и членства в новой группе ролей. Это предотвращает создание объектов Active Directory членами группы ролей "Управление организацией". Однако они могут продолжать включать по почте новые объекты Active Directory. Дополнительные сведения о разделенных разрешениях см. в разделе Общие сведения о разделенных разрешениях.
Ограничения настройки
Любую роль можно добавить или удалить из этой группы ролей со следующими ограничениями.
- У каждой роли должно быть как минимум одно назначение роли делегирования группе ролей или универсальной группе безопасности, прежде чем назначение роли делегирования может быть удалено из этой группы ролей.
- У роли управления ролями должно быть как минимум одно назначение стандартной роли группе ролей или универсальной группе безопасности, прежде чем назначение стандартной роли может быть удалено из этой группы ролей.
Эти ограничения предназначены для предотвращения случайной блокировки пользователем самого себя. Предусматривая наличие как минимум одного назначения роли делегирования между каждой ролью и одной или несколькими группами ролей или универсальными группами безопасности, можно всегда иметь возможность назначать роли уполномоченным этой роли. Предусматривая наличие как минимум одного назначения стандартной роли между ролью управления ролями и одной или несколькими группами ролей или универсальными группами безопасности, можно всегда иметь возможность настраивать группы ролей и назначения ролей.
Важно!
Для этих ограничений требуется, чтобы группы ролей или универсальные группы безопасности являлись объектами назначения стандартных ролей и ролей делегирования. Нельзя удалить назначение роли делегирования или стандартное назначение для роли управления ролями, если последнее назначение выполнялось для пользователя.
Назначения ролей только для делегирования
Некоторые назначения ролей между группой ролей Управление организацией и ролями управления, например поиск по почтовым ящикам и управление ролями с незаданной областью, предназначены только для делегирования. Эти роли дают доступ к конфиденциальным данным или личным сведениям, таким как содержимое почтовых ящиков, а также обеспечивают создание мощных ролей управления с незаданной областью.
Назначение только ролей делегирования позволяет участникам группы ролей Управление организацией только назначать связанные роли другим группам ролей, политикам назначения ролей управления, пользователям или универсальным группам безопасности. По умолчанию участники группы ролей Управление организацией не получают каких-либо разрешений, которые предоставляются данной ролью. Это помогает предотвратить случайное раскрытие личных сведений или несанкционированное получение прав.
Участники группы ролей Управление организацией могут назначать себя в любую роль, фактически позволяя себе выполнять любые задачи. Например, член группы ролей Управление организацией может назначить роль поиска в почтовых ящиках в группу ролей Управление организацией. После назначения этой роли участники группы ролей Управление организацией могут выполнять задачи, которые поддерживаются ролью поиска в почтовых ящиках.
Дополнительные сведения о назначениях ролей делегирования см. в разделе Общие сведения о назначениях ролей управления.
Дополнительные разрешения
Разрешения, предоставляемые участникам группы ролей Управление организацией, в основном определяются ролями управления, назначенными этой группе ролей. Однако не все задачи, которые необходимо выполнить, охватываются ролями управления. Некоторые задачи выполняются за пределами средств управления Exchange, которые не позволяют применить модель разрешений RBAC. Для таких задач разрешения предоставляются путем добавления группы ролей Управление организацией в списки управления доступом (ACL) определенных объектов Active Directory.
Для следующих задач разрешения были получены с помощью списков управления доступом объектов Active Directory, а не с помощью назначения роли управления группе ролей Управление организацией.
- Запуск DomainPrep и ForestPrep с помощью Setup.exe
- Развертывание дополнительных серверов в организации
Роли управления, назначенные этой группе ролей
По умолчанию только участники группы ролей управления организацией могут добавлять и удалять участников из этой группы ролей. Дополнительные сведения о том, как добавлять представителей группы ролей, см. в подразделе "Добавление или удаление представителя группы ролей" в разделе Manage Role Groups.
- В таблице ниже перечислены все роли управления, назначенные этой группе ролей и следующим атрибутам каждого назначения роли:
- Обычное назначение. Предоставляет участникам группы ролей доступ к записям ролей управления, предоставляемым связанной ролью управления.
- Область чтения получателей. Определяет объекты получателей, которые участники группы ролей могут читать из Active Directory.
- Область записи получателя. Определяет, какие объекты-получатели члены группы ролей могут изменяться в Active Directory.
- Область чтения конфигурации. Определяет объекты сервера и конфигурации, которые участники группы ролей могут читать из Active Directory.
- Область записи конфигурации. Определяет, какие объекты организации и сервера члены группы ролей могут изменять в Active Directory.
Область записи конфигурации. Определяет объекты сервера и организации, которые участники группы ролей могут изменять в exADNoMk.
| Роль управления | Стандартное назначение | Делегирование назначения | Область чтения получателей | Область записи получателей | Область чтения конфигурации | Область записи конфигурации |
|---|---|---|---|---|---|---|
| Роль разрешений Active Directory | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль списков адресов | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль ApplicationImpersonation | X | Organization |
Organization |
None |
None |
|
| Роль ArchiveApplication | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль журналов аудита | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль агентов расширения командлетов | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль предотвращения потери данных | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль групп обеспечения доступности баз данных | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль копий баз данных | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль баз данных | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль аварийного восстановления | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль групп рассылки | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль пограничных подписок | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль политик адресов электронной почты | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль соединителей Exchange | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль сертификатов сервера Exchange Server | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль серверов Exchange | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль виртуальных каталогов Exchange | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль федеративного общего доступа | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль управления правами на доступ к данным | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль ведения журнала | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль хранения для судебного разбирательства | X | X | Organization |
Organization |
OrganizationConfig |
None |
| Роль LegalHoldApplication | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Роль общедоступных папок с включенной поддержкой почты | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль создания получателя электронной почты | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль получателей почты | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль советов по использованию электронной почты | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль импорта и экспорта почтового ящика | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Роль поиска в почтовом ящике | X | Organization |
Organization |
None |
None |
|
| Роль MailboxSearchApplication | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Роль отслеживания сообщений | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль переноса | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль мониторинга | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль перемещения почтовых ящиков | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль OfficeExtensionApplication | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Роль клиентского доступа организации | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль конфигурации организации | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль параметров транспорта организации | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль протоколов POP3 и IMAP4 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль общедоступных папок | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль соединителей получения | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль политик получателя | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль удаленных и обслуживаемых доменов | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль сброса пароля | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Роль управления хранением | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль управления ролями | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль создания и членства в группе безопасности | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль соединителей отправки | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль поддержки диагностики | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Роль TeamMailboxLifecycleApplication | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Роль агентов транспорта | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль санации транспорта | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль очередей транспорта | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль правил транспорта | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль почтовых ящиков единой системы обмена сообщениями | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль запросов единой системы обмена сообщениями | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль управления с незаданной областью | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Роль единой системы обмена сообщениями | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль UserApplication | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Роль параметров пользователя | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль только для просмотра журналов аудита | X | X | Organization |
None |
OrganizationConfig |
None |
| Роль конфигурации с правами только на просмотр | X | X | Organization |
None |
OrganizationConfig |
None |
| Роль получателей с правами только на просмотр | X | X | Organization |
None |
OrganizationConfig |
None |
| Роль WorkloadManagement | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Роль "Мои настраиваемые приложения" | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Роль My Marketplace Apps | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Роль MyBaseOptions | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Роль MyContactInformation | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Роль MyDiagnostics | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Роль MyDistributionGroupMembership | X | MyGAL |
MyGAL |
None |
None |
|
| Роль MyDistributionGroups | X | MyGAL |
MyDistributionGroups |
OrganizationConfig |
None |
|
| Роль MyProfileInformation | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Роль MyRetentionPolicies | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Роль MyTeamMailboxes | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Роль MyTextMessaging | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Роль MyVoiceMail | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |