Делегированная установка

Область применения: Exchange Server 2013 г.

Группа ролей управления Делегированная установка — это одна из нескольких встроенных групп ролей, составляющих модель разрешений на основе ролей контроль доступа (RBAC) в Microsoft Exchange Server 2013 г. Группы ролей назначаются одной или нескольким ролям управления, которые содержат разрешения, необходимые для выполнения определенного набора задач. Члены группы ролей получают доступ к ролям управления, назначенным группе. Дополнительные сведения о группах ролей см. в разделе Общие сведения о группах ролей управления.

Администраторы, состоящие в группе ролей "Делегированная установка", могут развертывать серверы Exchange 2013, подготовленные членом группы ролей Управление организацией.

Серверы Exchange 2013 могут развертывать только члены группы ролей "Делегированная установка". После развертывания члены данной группы не могут управлять сервером. Чтобы управлять сервером после развертывания, пользователь должен быть членом группы ролей Управление сервером.

Дополнительные сведения об управлении доступом на основе ролей (RBAC) см. в разделе Общие сведения об управлении доступом на основе ролей.

Членство в группе ролей

Чтобы добавить участников в эту группу ролей или удалить их из нее, см. раздел Управление участниками группы ролей.

По умолчанию только участники группы ролей управления организацией могут добавлять и удалять участников из этой группы ролей. Дополнительные сведения о добавлении дополнительных делегатов групп ролей см. в разделе "Добавление или удаление делегата группы ролей" статьи Управление группами ролей.

Следующую команду можно использовать для просмотра списка пользователей или универсальных групп безопасности, которые являются участниками этой группы ролей.

Get-RoleGroupMember "Delegated Setup"

Дополнительные сведения об участниках группы ролей см. в разделе Просмотр членов группы ролей в статье Управление участниками группы ролей.

Настройка группы ролей

Этой группе ролей назначены роли управления по умолчанию. Роли перечислены в разделе "Роли управления, назначенные этой группе ролей". В соответствии с требованиями организации назначения ролей можно добавлять в группы ролей или удалять из групп.

Группы ролей, предоставляемые в Exchange 2013, предназначены для соответствия более детализированным задачам. Путем назначения ролей группе ролей участники группы могут выполнять задачи, связанные с ролью. Например, роль «Ведение журнала» позволяет управлять агентом ведения журнала и правилами ведения журнала. Дополнительные сведения о назначении ролей группам ролей см. в статье Общие сведения о назначениях ролей управления.

Ролям, назначенным этой группе ролей, предоставлены области управления по умолчанию. Области управления определяют объекты Exchange, которые участники группы ролей могут просматривать и изменять. Области, связанные с назначениями между ролями и группами ролей, можно изменять. Например, это может понадобиться, чтобы позволить участникам группы ролей изменять получателей определенного подразделения или в определенном местоположении. Дополнительные сведения об областях управления см. в разделе Общие сведения об областях ролей управления.

Дополнительные сведения о настройке этой группы ролей см. в следующих разделах.

Чтобы создать группу ролей и назначить некоторые роли, назначенные этой группе ролей, новой группе ролей, см. тему "Создание группы ролей" в разделе Управление группами ролей.

Дополнительные разрешения

Разрешения, назначенные членам группы ролей "Делегированная установка", в основном определяются ролями управления, назначенными группе ролей. Однако не все задачи, которые необходимо выполнить, охватываются ролями управления. Это связано с тем, что за пределами средств управления Exchange выполняются задачи, которые не позволяют применить модель разрешений RBAC. Для этих задач разрешения предоставляются путем добавления группы ролей "Делегированная установка" в списки управления доступом конкретных объектов Active Directory.

Следующей задаче разрешения предоставлены с помощью списков управления доступом для объектов Active Directory, а не с помощью ролей управления, назначенных группе ролей "Делегированная установка":

  • Развертывание серверов, ранее подготовленных членом группы ролей Управление организацией.

Роли управления, назначенные этой группе ролей

По умолчанию только участники группы ролей управления организацией могут добавлять и удалять участников из этой группы ролей. Дополнительные сведения о том, как добавлять представителей группы ролей, см. в подразделе "Добавление или удаление представителя группы ролей" в разделе Manage Role Groups.

  • В таблице ниже перечислены все роли управления, назначенные этой группе ролей и следующим атрибутам каждого назначения роли:
  • Обычное назначение. Предоставляет участникам группы ролей доступ к записям ролей управления, предоставляемым связанной ролью управления.
  • Область чтения получателей. Определяет объекты получателей, которые участники группы ролей могут читать из Active Directory.
  • Область записи получателя. Определяет, какие объекты-получатели члены группы ролей могут изменяться в Active Directory.
  • Область чтения конфигурации. Определяет объекты сервера и конфигурации, которые участники группы ролей могут читать из Active Directory.
  • Область записи конфигурации. Определяет, какие объекты организации и сервера члены группы ролей могут изменять в Active Directory.

Область записи конфигурации. Определяет объекты сервера и организации, которые участники группы ролей могут изменять в exADNoMk.

Роль управления Стандартное назначение Делегирование назначения Область чтения получателей Область записи получателей Область чтения конфигурации Область записи конфигурации
Роль конфигурации с правами только на просмотр X Organization None OrganizationConfig None