Поделиться через


Общие сведения об областях применения ролей управления

Область применения: Exchange Server 2013 г.

Области ролей управления позволяют задавать определенную область влияния роли управления при создании назначения роли управления. При применении области уполномоченный роли, которому назначается роль, может изменять только те объекты, которые находятся в пределах данной области. В качестве уполномоченного роли может выступать группа ролей управления, роль управления, политика назначения ролей управления, пользователь или универсальная группа безопасности. Дополнительные сведения о ролях управления см. в разделе Understanding Role Based Access Control.

Примечание.

В данном разделе рассматриваются расширенные возможности управления доступом на основе ролей (RBAC). Если вы хотите управлять базовыми разрешениями Exchange 2013, например с помощью Центра администрирования Exchange (EAC) для добавления и удаления участников групп ролей, создания и изменения групп ролей или создания и изменения политик назначения ролей, см. раздел Разрешения.

Каждая роль управления, встроенная или настраиваемая, имеет области управления. Области управления делятся на следующие.

  • Обычный: обычная область не является монопольной. Она определяет область Active Directory, объекты которой могут просматривать или изменять пользователи с назначенной ролью управления. Другими словами, роль управления определяет объекты, которые могут создавать или изменять пользователи, а область роли управления определяет пространство, в котором пользователи могут создавать или изменять эти объекты. Обычные области могут быть явными или неявными и будут рассматриваться подробнее далее в этом разделе.

  • Эксклюзивнаяобласть. Монопольная область работает почти так же, как и обычная область. Основное различие состоит в том, что с ее помощью можно запретить доступ пользователей к объектам, находящимся в пределах монопольной области, если им не назначена роль, сопоставленная с данной монопольной областью. Все монопольные области являются явными и рассматриваются далее в этом разделе.

    Дополнительные сведения о монопольных областях см. в разделе Общие сведения об исключительных областях.

Области могут наследоваться из роли управления, указанной в качестве предварительно определенной относительной области для назначения роли управления, или создаваться с помощью пользовательских фильтров и добавляться в назначение роли управления. Области, наследуемые из ролей управления, называются неявными областями, а предварительно определенные и настраиваемые — явными областями. В следующих подразделах описываются все типы областей.

  • Implicit Scopes
  • Explicit Scopes
  • Predefined Relative Scopes
  • Custom Scopes
    • Recipient Filter Scopes
    • Configuration Scopes

Каждая роль может иметь следующие типы областей.

  • Область чтения получателя. Область чтения неявного получателя определяет, какие объекты получателей, которым пользователь назначил роль управления, разрешено считывать из Active Directory.
  • Область записи получателей. Область записи неявного получателя определяет, какие объекты получателей пользователь, назначаемый роли управления, может изменяться в Active Directory.
  • Область чтения конфигурации. Неявная область чтения конфигурации определяет, какие объекты конфигурации, назначенные пользователю роли управления, разрешено считывать из Active Directory.
  • Область записи конфигурации. Область неявной записи конфигурации определяет, какие объекты организации, базы данных и сервера пользователю, назначаемой роли управления, разрешено изменять в Active Directory.

К объектам получателей относятся почтовые ящики, группы рассылки, пользователи с включенной поддержкой почты и другие объекты. К объектам конфигурации относятся серверы под управлением Microsoft Exchange Server 2013 и базы данных, размещенные на серверах под управлением Exchange. Каждый тип области может быть явной или неявной областью.

Неявные области

Неявные области — это области по умолчанию, которые применяются к типу роли управления. Поскольку неявные области сопоставлены с типом роли управления, все родительские и дочерние роли управления с одним типом роли также имеют неявные области. Неявные области применяются как к встроенным ролям управления, так и к настраиваемым. Дополнительные сведения о ролях управления и типах ролей управления см. в разделе Общие сведения о ролях управления.

В следующих таблицах приведены все неявные области, которые могут определяться в ролях управления.

Неявные области, определенные в ролях управления

Неявные области Описание
Organization Если Organization он присутствует в области записи получателя роли, роль может создавать или изменять объекты получателей в организации Exchange.

Если Organization он присутствует в области чтения получателя роли, роли могут просматривать любой объект получателя в организации Exchange.

Эта область используется только с областями чтения и записи получателей.
MyGAL Если MyGAL присутствует в области записи получателя роли, роль может просматривать свойства любого получателя в глобальном списке адресов текущего пользователя.

Если MyGAL он присутствует в области чтения получателя роли, роль может просматривать свойства любого получателя в текущем глобальном списке адресов.

Эта область используется только с областями чтения получателей.
Self Если Self присутствует в области записи получателя роли, роль может изменять только свойства почтового ящика текущего пользователя.

Если Self присутствует в области чтения получателя роли, роль может просматривать только свойства почтового ящика текущего пользователя.

Эта область используется только с областями чтения и записи получателей.
MyDistributionGroups Если MyDistributionGroups присутствует в области записи получателя роли, роль может создавать или изменять объекты списка рассылки, принадлежащие текущему пользователю.

Если MyDistributionGroups присутствует в области чтения получателя роли, роль может просматривать объекты списка рассылки, принадлежащие текущему пользователю.

Эта область используется только с областями чтения и записи получателей.
OrganizationConfig Если OrganizationConfig он присутствует в области записи конфигурации роли, роль может создать или изменить любой объект конфигурации сервера или базы данных в организации Exchange.

Если OrganizationConfig присутствует в области чтения конфигурации роли, роль может просматривать любой объект конфигурации сервера или базы данных в организации Exchange.

Эта область используется только с областями чтения и записи конфигурации.
None Если None находится в области, эта область недоступна для роли. Например, роль, которая имеется None в области записи получателя, не может изменять объекты получателей в организации Exchange.

Если уполномоченному роли назначена роль с незаданными предварительно определенными или настраиваемыми областями, то для управления объектами получателей или организации, которые пользователь может просматривать или изменять, используются неявные области, определенные в роли.

Неявная область записи роли всегда равна или меньше неявной области чтения. Это означает, что роль не может изменять объекты, не входящие в область.

Изменить неявные области, определенные в ролях управления, невозможно. Однако неявные область записи и область конфигурации в роли управления можно переопределить. Если в назначении роли используется предварительно определенная относительная область или настраиваемая область, неявная область записи в роли переопределяется, и приоритет имеет новая область. Неявная область чтения в роли применяется постоянно и ее невозможно переопределить. Дополнительные сведения см. в разделах Predefined Relative Scopes и Custom Scopes.

В следующей таблице приведен список встроенных ролей управления и их неявных областей. Дополнительные сведения о каждой встроенной роли см. в разделе Встроенные роли управления.

Неявные области встроенных ролей управления

Роль управления Область чтения получателей Область записи получателей Область чтения конфигурации Область записи конфигурации
Active Directory Permissions Organization Organization OrganizationConfig OrganizationConfig
Address Lists Organization Organization OrganizationConfig OrganizationConfig
ApplicationImpersonation Organization Organization None None
ArchiveApplication Organization Organization OrganizationConfig OrganizationConfig
Audit Logs Organization Organization OrganizationConfig OrganizationConfig
Cmdlet Extension Agents Organization Organization OrganizationConfig OrganizationConfig
Data Loss Prevention Organization Organization OrganizationConfig OrganizationConfig
Database Availability Groups Organization Organization OrganizationConfig OrganizationConfig
Database Copies Organization Organization OrganizationConfig OrganizationConfig
Databases Organization Organization OrganizationConfig OrganizationConfig
Disaster Recovery Organization Organization OrganizationConfig OrganizationConfig
Distribution Groups Organization Organization OrganizationConfig OrganizationConfig
Edge Subscriptions Organization Organization OrganizationConfig OrganizationConfig
E-Mail Address Policies Organization Organization OrganizationConfig OrganizationConfig
Exchange Connectors Organization Organization OrganizationConfig OrganizationConfig
Exchange Server Certificates Organization Organization OrganizationConfig OrganizationConfig
Exchange Servers Organization Organization OrganizationConfig OrganizationConfig
Exchange Virtual Directories Organization Organization OrganizationConfig OrganizationConfig
Federated Sharing Organization Organization OrganizationConfig OrganizationConfig
Information Rights Management Organization Organization OrganizationConfig OrganizationConfig
Journaling Organization Organization OrganizationConfig OrganizationConfig
Legal Hold Organization Organization OrganizationConfig None
LegalHoldApplication Organization Organization OrganizationConfig OrganizationConfig
Mail Enabled Public Folders Organization Organization OrganizationConfig OrganizationConfig
Mail Recipient Creation Organization Organization OrganizationConfig OrganizationConfig
Mail Recipients Organization Organization OrganizationConfig OrganizationConfig
Mail Tips Organization Organization OrganizationConfig OrganizationConfig
Mailbox Import Export Organization Organization OrganizationConfig OrganizationConfig
Mailbox Search Organization Organization None None
MailboxSearchApplication Organization Organization OrganizationConfig OrganizationConfig
Message Tracking Organization Organization OrganizationConfig OrganizationConfig
Migration Organization Organization OrganizationConfig OrganizationConfig
Monitoring Organization Organization OrganizationConfig OrganizationConfig
Move Mailboxes Organization Organization OrganizationConfig OrganizationConfig
OfficeExtensionApplication Self Self OrganizationConfig OrganizationConfig
My Custom Apps Self Self OrganizationConfig OrganizationConfig
My Marketplace Apps Self Self OrganizationConfig OrganizationConfig
MyAddressInformation Self Self OrganizationConfig OrganizationConfig
MyBaseOptions Self Self OrganizationConfig OrganizationConfig
MyContactInformation Self Self OrganizationConfig OrganizationConfig
MyDiagnostics Self Self OrganizationConfig OrganizationConfig
MyDisplayName Self Self OrganizationConfig OrganizationConfig
MyDistributionGroupMembership MyGAL MyGAL None None
MyDistributionGroups MyGAL MyDistributionGroups OrganizationConfig None
MyMobileInformation Self Self OrganizationConfig OrganizationConfig
MyName Self Self OrganizationConfig OrganizationConfig
MyPersonalInformation Self Self OrganizationConfig OrganizationConfig
MyProfileInformation Self Self OrganizationConfig OrganizationConfig
MyRetentionPolicies Self Self OrganizationConfig OrganizationConfig
MyTeamMailboxes Organization Organization OrganizationConfig OrganizationConfig
MyTextMessaging Self Self OrganizationConfig OrganizationConfig
MyVoiceMail Self Self OrganizationConfig OrganizationConfig
Organization Client Access Organization Organization OrganizationConfig OrganizationConfig
Organization Configuration Organization Organization OrganizationConfig OrganizationConfig
Organization Transport Settings Organization Organization OrganizationConfig OrganizationConfig
POP3 And IMAP4 Protocols Organization Organization OrganizationConfig OrganizationConfig
Public Folders Organization Organization OrganizationConfig OrganizationConfig
Receive Connectors Organization Organization OrganizationConfig OrganizationConfig
Recipient Policies Organization Organization OrganizationConfig OrganizationConfig
Remote and Accepted Domains Organization Organization OrganizationConfig OrganizationConfig
Reset Password Organization Organization OrganizationConfig OrganizationConfig
Retention Management Organization Organization OrganizationConfig OrganizationConfig
Role Management Organization Organization OrganizationConfig OrganizationConfig
Security Group Creation and Membership Organization Organization OrganizationConfig OrganizationConfig
Send Connectors Organization Organization OrganizationConfig OrganizationConfig
Support Diagnostics Organization Organization OrganizationConfig OrganizationConfig
TeamMailboxLifecycleApplication Self Self OrganizationConfig OrganizationConfig
Transport Agents Organization Organization OrganizationConfig OrganizationConfig
Transport Hygiene Organization Organization OrganizationConfig OrganizationConfig
Transport Queues Organization Organization OrganizationConfig OrganizationConfig
Transport Rules Organization Organization OrganizationConfig OrganizationConfig
UM Mailboxes Organization Organization OrganizationConfig OrganizationConfig
UM Prompts Organization Organization OrganizationConfig OrganizationConfig
Unified Messaging Organization Organization OrganizationConfig OrganizationConfig
UnScoped Role Management Organization Organization OrganizationConfig OrganizationConfig
UserApplication Organization Organization OrganizationConfig OrganizationConfig
User Options Organization Organization OrganizationConfig OrganizationConfig
View-Only Audit Logs Organization None OrganizationConfig None
View-Only Configuration Organization None OrganizationConfig None
View-Only Recipients Organization None OrganizationConfig None
WorkloadManagement Organization Organization OrganizationConfig OrganizationConfig

Явные области

Явные области — это области, которые пользователь устанавливает самостоятельно для управления объектами, которые может изменять роль управления. Несмотря на то что неявные области определяются в роли управления, явные области определяются в назначении роли управления. Это позволяет применять неявные области равномерно для всех ролей управления, пока они не будут переопределены явной областью. Дополнительные сведения о назначениях ролей управления см. в разделе Общие сведения о назначениях ролей управления.

Явные области переопределяют неявные области записи и конфигурации в роли управления. Однако они не переопределяют неявную область чтения в роли управления. Неявная область чтения продолжает определять, какие объекты может просматривать роль управления.

Явные области полезны, когда неявная область записи роли управления не отвечает потребностям предприятия. В добавленную явную область можно включать любые объекты с условием, чтобы они не выходили за границу действия неявной области чтения. Для создания или изменения объектов с помощью командлетов, входящих в роль управления, командлеты должны иметь возможность считывать данные об объектах или контейнерах с объектами. Например, если для неявной области чтения для роли управления задано значение Self, нельзя добавить явную область Organization записи, так как область явной записи превышает границы области неявного чтения.

Дополнительные сведения см. в следующих разделах.

  • Predefined Relative Scopes

  • Custom Scopes

Предварительно определенные относительные области

Сервер Exchange 2013 предоставляет несколько предварительно определенных относительных областей записи, которые можно использовать для изменения области роли управления. Предварительно определенные относительные области — это простой способ удовлетворения потребностей предприятия без необходимости создавать настраиваемые области вручную. Относительными областями они называются потому, что они соотносятся с уполномоченным роли, которому присвоено сопоставленное назначение роли. Например, Self предопределенная относительная область ограничивает область записи только текущим пользователем. Предопределенная относительная MyDistributionGroups область ограничивает область записи только группой рассылки, принадлежащей текущему пользователю. Предварительно определенные относительные области могут использоваться только для определения области объектов получателей. Предварительно определенные относительные области нельзя использовать для определения области объектов конфигурации. В следующей таблице приведены предварительно определенные относительные области, которые можно использовать.

Предварительно определенные относительные области

Неявные области Описание
Organization Если Organization он присутствует в области записи получателя роли, роль может создавать или изменять объекты получателей в организации Exchange.

Если Organization он присутствует в области чтения получателя роли, роли могут просматривать любой объект получателя в организации Exchange.

Эта область используется только с областями чтения и записи получателей.
Self Если Self присутствует в области записи получателя роли, роль может изменять только свойства почтового ящика текущего пользователя.

Если Self присутствует в области чтения получателя роли, роль может просматривать только свойства почтового ящика текущего пользователя.

Эта область используется только с областями чтения и записи получателей.
MyDistributionGroups Если MyDistributionGroups присутствует в области записи получателя роли, роль может создавать или изменять объекты списка рассылки, принадлежащие текущему пользователю.

Если MyDistributionGroups присутствует в области чтения получателя роли, роль может просматривать объекты списка рассылки, принадлежащие текущему пользователю.

Эта область используется только с областями чтения и записи получателей.

Предварительно определенные относительные области применяются при создании нового назначения роли управления. Во время создания назначения роли с помощью командлета New-ManagementRoleAssignment можно указать предопределенную относительную область с помощью параметра RecipientRelativeWriteScope . После создания назначения роли новая предварительно определенная роль переопределяет неявную область записи роли управления. Настраиваемую область получателей невозможно указать при создании назначения роли с предварительно определенной относительной областью. Тем не менее, при необходимости можно указать настраиваемую область конфигурации.

Дополнительные сведения о добавлении назначения роли управления с предварительно определенной относительной областью см. в разделе Добавление роли для пользователя или универсальной группы безопасности.

Настраиваемые области

Настраиваемые области используются, когда ни неявная область записи, ни предварительно определенные относительные области не отвечают требованиям предприятия. Настраиваемые области позволяют определить на более детальном уровне область, к которой будет применяться роль управления. Например, она может применяться к определенному подразделению, определенному типу получателей или к тому и другому. Или можно разрешить группе администраторов управлять определенным набором баз данных почтовых ящиков.

Настраиваемые области, так же как и предварительно определенные относительные области, переопределяют неявные области записи и конфигурации организации, определенные для ролей управления. При этом неявная область чтения ролей управления продолжает применяться, и полученная настраиваемая область не должна выходить за границы неявной области чтения. Можно создать настраиваемые области трех типов.

  • Область подразделения. Область подразделения, которая является простейшей настраиваемой областью, создается с помощью параметра RecipientOrganizationalUnitScope командлета New-ManagementRoleAssignment . Область подразделения, указанная при назначении роли, позволяет пользователю, которому назначена эта роль, изменять только объекты получателей, находящихся в этом подразделении. Дополнительные сведения о добавлении назначения роли управления с областью подразделения см. в разделе Добавление роли пользователю или usG.

  • Область фильтра получателей. Области фильтра получателей используют фильтры для конкретных получателей на основе типа получателя или других свойств получателя, таких как отдел, руководитель, расположение и многое другое. Дополнительные сведения см. в разделе Recipient Filter Scopes.

  • Область конфигурации. Области конфигурации используют фильтры или списки для конкретных серверов на основе списков серверов или фильтруемых свойств, которые могут быть определены на серверах, таких как сайт Active Directory или роль сервера. Области конфигурации также могут использовать области баз данных для задания определенных баз данных на основе списков баз данных или фильтруемых свойств баз данных. Дополнительные сведения см. в разделе Configuration Scopes.

Простые, более сложные и детальные настраиваемые области получателей и конфигурации создаются с помощью командлета New-ManagementScope. При создании области получателей или конфигурации возвращаются только объекты получателей, серверов или баз данных, которые соответствуют своим областям. Когда для применения этих областей к назначению роли используется командлет New-ManagementRoleAssignment или Set-ManagementRoleAssignment, уполномоченный роли может изменять только те объекты, которые соответствуют этим областям. После создания настраиваемой области изменить тип области невозможно. Область получателей всегда будет областью получателей, а область конфигурации всегда будет областью конфигурации.

По умолчанию пользовательская область позволяет назначаемой роли получить доступ к набору объектов, которые соответствуют заданным областям. Однако они не исключают доступ к другим назначенным ролям, которым также не назначена та же или эквивалентная область. Любая пользовательская область может получить доступ к тем же объектам, если списки или фильтры в этих областях соответствуют тем же объектам. Могут быть объекты, для которых это поведение не требуется, например в случае руководителей. Для этих объектов можно определить монопольные области. Монопольные области используют фильтры или списки так же, как и обычные области, но, в отличие от обычных областей, запрещают доступ к объектам, включенным в область, всем, кто не входит в ту же или эквивалентную монопольную область. Дополнительные сведения о монопольных областях см. в разделе Общие сведения об исключительных областях.

Области фильтра получателей

Области фильтра получателей позволяют контролировать, какими объектами получателей могут управлять уполномоченные ролей, путем оценки одного или нескольких свойств объекта получателя по значению, указанному в инструкции фильтра. К получателям, входящим в состав областей получателей, относятся почтовые ящики, пользователи с включенной поддержкой почты, группы рассылки и почтовые контакты. Уполномоченные ролей, которым назначено это назначение роли, могут управлять только теми получателями, которые соответствуют указанному фильтру. Примером инструкции фильтра является { Name -Eq "David" }свойство Name объекта получателя, который вычисляется, а David — это значение, которое требуется вычислить по свойству. Оператор сравнения -Eq указывает, что значение, хранящееся в свойстве, должно быть равно значению, указанному в фильтре, чтобы считаться значением True. Если фильтр имеет значение True, получатель включается в состав области.

Области фильтра получателей создаются путем указания фильтра получателей для использования с параметром RecipientRestrictionFilter в командлете New-ManagementScope . По умолчанию с помощью командлета New-ManagementScope создаются обычные области. Если вы хотите создать монопольную область, добавьте переключатель Exclusive вместе с параметром RecipientRestrictionFilter .

При создании фильтра ограничений получателей система Exchange по умолчанию оценивает указанный фильтр по каждому объекту получателя в организации. Если вы хотите ограничить получателей, оцениваемых областью, можно использовать параметр RecipientRoot вместе с параметром RecipientRestrictionFilter . Параметр RecipientRoot принимает подразделение. При использовании параметра RecipientRoot Exchange оценивает только получателей, включенных в указанное подразделение, по указанному фильтру.

При добавлении области фильтра получателей к назначению ролей укажите имя области получателя в параметре CustomRecipientWriteScope в командлете New-ManagementRoleAssignment , если вы создаете новое назначение ролей, или командлете Set-ManagementRoleAssignment при обновлении существующего назначения ролей. Каждое назначение роли может иметь одну область получателей, включая предварительно определенные относительные области. В то же назначение роли, в которое была добавлена область получателей, можно добавить одну область конфигурации.

Дополнительные сведения о синтаксисе фильтра и полный список фильтруемых свойств получателей см. в разделе Общие сведения о фильтрах области ролей управления.

Области конфигурации

В системе Exchange 2013 представлено два типа областей конфигурации.

  • Области сервера. Существует два типа областей сервера: области фильтра сервера и области списка серверов. Управление конфигурацией сервера, включая соединители приема, очереди транспорта, сертификаты сервера, виртуальные каталоги и т. д., может выполняться в случае, если в область сервера входит объект сервера.

    • Области фильтра сервера. Области фильтра сервера позволяют управлять тем, какими объектами сервера могут управлять назначенные роли, оценивая одно или несколько свойств объекта сервера по значению, заданному в инструкции filter. Чтобы создать область фильтра сервера, используйте параметр ServerRestrictionFilter в командлете New-ManagementScope .

    • Области списка серверов. Области списка серверов позволяют управлять объектами сервера, которыми могут управлять назначенные роли, определяя список серверов, к которым может получить доступ назначенный участник роли. Чтобы создать область списка серверов, используйте параметр ServerList в командлете New-ManagementScope .

  • Области базы данных. Существует два типа областей баз данных: области фильтра базы данных и области списка баз данных. Если объект базы данных включен в область баз данных, это позволяет управлять следующими элементами конфигурации базы данных: квотами базы данных, обслуживанием базы данных, репликацией общих папок, подключением базы данных и т. д. Кроме конфигурации базы данных для контроля создаваемых получателей баз данных можно использовать области баз данных. Если в вашей организации есть серверы с пакетом обновления 1 (SP1) до Exchange 2010, см. раздел Области баз данных и предыдущие версии Exchange далее в этом разделе.

    • Области фильтра базы данных. Области фильтра базы данных позволяют управлять тем, какими объектами базы данных могут управлять назначенные роли, оценивая одно или несколько свойств объекта базы данных по значению, заданному в инструкции фильтра. Чтобы создать область фильтра базы данных, используйте параметр DatabaseRestrictionFilter в командлете New-ManagementScope .

    • Области списка баз данных. Области списка баз данных позволяют управлять тем, какими объектами базы данных могут управлять назначенные роли, определяя список баз данных, к которым может получить доступ назначенный получатель роли. Чтобы создать область списка баз данных, используйте параметр DatabaseList в командлете New-ManagementScope .

Дополнительные сведения о синтаксисе фильтра и полный список фильтруемых свойств серверов и баз данных см. в разделе Общие сведения о фильтрах области ролей управления.

Списки серверов и баз данных можно задать путем указания всех серверов и баз данных, которые необходимо включить в их соответствующие области. Чтобы указать в областях несколько серверов или баз данных, необходимо разделить их имена запятой.

При добавлении области конфигурации сервера или базы данных в назначение роли укажите имя области конфигурации сервера или базы данных в параметре CustomConfigWriteScope в командлете New-ManagementRoleAssignment , если вы создаете новое назначение роли, или командлете Set-ManagementRoleAssignment при обновлении существующего назначения ролей. Каждое назначение роли может иметь только одну область конфигурации.

Области баз данных позволяют контролировать не только, какими базами данных могут управлять уполномоченные роли, но и в каких базах данных уполномоченные роли могут создавать почтовые ящики. Эта функция отличается от функции управления получателями, которыми может управлять уполномоченный роли. Если уполномоченный роли имеет разрешения создавать почтовые ящики, включать поддержку почты для существующих пользователей или перемещать почтовые ящики, эти разрешения можно уточнить с помощью областей баз данных, чтобы контролировать, в какой базе данных создается почтовый ящик или в какую базу данных он перемещается. Управление получателями, которыми может управлять назначенный получатель, выполняется с помощью области получателя, указанной в параметре CustomRecipientWriteScope командлета New-ManagementRoleAssignment или Set-ManagementRoleAssignment . Управление базами данных, в которых можно создать или переместить почтовый ящик, управляется с помощью области базы данных, указанной в параметре CustomConfigurationWriteScope в одних и том же командлетах.

Примечание.

Автоматическим распределением почтовых ящиков можно управлять с помощью областей баз данных.

Для функций Exchange может требоваться управление областями серверов, областями баз данных или обоими типами областей. Если для функции требуется управление обеими областями серверов и баз данных, необходимо создать два назначения роли и назначить их уполномоченному роли, который должен иметь права доступа к этой функции для управления. Одно назначение роли должно быть связано с областью серверов, а другое — с областью баз данных.

Некоторые командлеты могут использовать области конфигурации, которые не являются очевидными. В следующей таблице приведен список командлетов и областей конфигурации, с помощью которых можно управлять их использованием. При использовании командлетов, включенных в функциональную область получателей, области конфигурации позволяют контролировать базами данных, в которых можно создавать получателей. Они не определяют, какими получателями можно управлять. Столбец Требуемые области может содержать следующие данные.

  • База данных. Для выполнения командлета назначаемому участнику роли должно быть назначено назначение роли с областью базы данных, включающей управляемую базу данных, или область неявной записи конфигурации роли должна включать базу данных, которой требуется управлять.

  • Сервер. Для выполнения командлета назначаемому участнику роли должно быть назначено назначение роли с областью сервера, включающей управляемый сервер, или область неявной записи конфигурации роли должна включать управляемый сервер.

  • Сервер или база данных. Чтобы выполнить командлет, назначенному участнику роли должно быть назначено назначение роли, в котором область базы данных включает в себя управляемую базу данных или область сервера включает сервер, на котором находится база данных. Или, неявная область записи конфигурации роли должна содержать управляемую базу данных или сервер, на котором расположена база данных, а уполномоченный роли не должен иметь настраиваемую область записи.

  • Сервер и база данных. Для выполнения этого командлета назначаемому ролю необходимо назначить два назначения ролей. Первое назначение роли должно включать в себя область баз данных, содержащую базу данных для управления. Второе назначение роли должно включать в себя область серверов, содержащую сервер, на котором размещена база данных. Назначения роли могут иметь заданные настраиваемые области конфигурации, или они могут наследовать неявные области записи конфигурации из роли. Чтобы наследовать неявную область записи из роли, назначение роли не должно иметь настраиваемую область записи.

Функциональные области и применяемые области баз данных и серверов

Функциональная область Командлет Требуемые области
Databases Dismount-Database Database
Базы данных Mount-Database Database
Базы данных Move-DatabasePath Сервер и база данных
Базы данных Remove-MailboxDatabase Сервер или база данных
Базы данных Set-MailboxDatabase Database
Высокая доступность Add-DatabaseAvailabilityGroupServer Сервер
Высокая доступность Add-MailboxDatabaseCopy Сервер
Высокая доступность Move-ActiveMailboxDatabase Сервер
Высокая доступность Remove-DatabaseAvailabilityGroupServer Сервер
Высокая доступность Remove-MailboxDatabaseCopy Сервер или база данных
Высокая доступность Resume-MailboxDatabaseCopy Сервер или база данных
Высокая доступность Set-MailboxDatabaseCopy Сервер или база данных
Высокая доступность Suspend-MailboxDatabaseCopy Сервер или база данных
Высокая доступность Update-MailboxDatabaseCopy Сервер или база данных
Получатели Connect-Mailbox Database
Получатели Enable-Mailbox Database
Получатели New-Mailbox Database
Получатели New-MoveRequest Database
Устранение неполадок Test-MapiConnectivity База данных

Области баз данных и предыдущие версии Exchange

Области баз данных впервые появились в Microsoft Exchange 2010 с пакетом обновления 1 (SP1) и по-прежнему поддерживаются в Exchange 2013. Версии Exchange до Exchange 2010 с пакетом обновления 1 (SP1) поддерживают только области получателей и области конфигурации сервера. При создании новой области базы данных на сервере Exchange 2010 с пакетом обновления 1 (SP1) или более поздней версии вы получите следующее предупреждение:

WARNING: Database management scopes will only be applied when a user connects to a server running Exchange 2010 SP1 or later. Servers running a version of Exchange prior to Exchange 2010 SP1 won't apply any roles from a role assignment linked to a database scope. Database management scopes also won't be visible to the Get-ManagementScope cmdlet when it's run from a pre-Exchange 2010 SP1 server.

При создании области баз данных она применяется только к пользователям, подключающимся к серверам с Exchange 2010 с пакетом обновления 1 (SP1) или более поздней версии. Пользователям, подключающимся к серверам версий, предшествующих Exchange 2010 с пакетом обновления 1 (SP1), не будут назначены роли, связанные с областями баз данных. Это значит, что пользователи, подключающиеся к серверам версий, предшествующих Exchange 2010 с пакетом обновления 1 (SP1), не получат разрешения, предоставляемые вместе с этими назначениями ролей. На серверах версий, предшествующих Exchange 2010 с пакетом обновления 1 (SP1), невозможно создавать, удалять, изменять или просматривать области баз данных.

Область баз данных может содержать любую базу данных в организации Exchange. К ним относятся серверы Exchange Server 2007, Exchange 2010 и Exchange 2013. Это позволяет определять, какими базами данных, независимо от версии Exchange, могут управлять пользователи. Как и в случае с другими областями баз данных, назначения ролей, связанные с областями баз данных, которые содержат базы данных Exchange 2007 и Exchange 2010, применяются только к пользователям, подключающимся к серверу Exchange 2010 с пакетом обновления 1 (SP1) или более поздней версии.

Пользователи, подключающиеся к серверам версий, предшествующих Exchange 2010 с пакетом обновления 1 (SP1), могут просматривать и изменять назначения ролей, связанные с областями баз данных. Также пользователи могут изменять область конфигурации на область серверов в существующем назначении роли, если оно в данный момент связано с областью баз данных. Но если область конфигурации в назначении роли меняется на область сервера и пользователь в дальнейшем хочет изменить ее снова на область баз данных или если пользователь хочет изменить область конфигурации на другую область баз данных, пользователь должен внести изменения во время подключения к серверу Exchange 2010 с пакетом обновления 1 (SP1) или более поздней версией. Если пользователи подключены к серверу версии, предшествующей Exchange 2010 с пакетом обновления 1 (SP1), то при изменении области конфигурации в назначении роли они могут указывать только области серверов.