разрешения Exchange Server
Microsoft Exchange Server включает в себя большой набор предопределенных разрешений на основе модели разрешений на основе ролей контроль доступа (RBAC), которую можно использовать сразу, чтобы легко предоставлять разрешения администраторам и пользователям. Вы можете использовать функции разрешений в Exchange Server, чтобы быстро запустить новую организацию.
Примечание.
Отключение наследования разрешений для объектов Active Directory (AD) в домене AD, который готов к размещению Exchange, не поддерживается. Удаление разрешений, связанных с Exchange, для объектов AD приведет к прерыванию работы задач и функций Exchange или может привести к неизвестным проблемам.
Разрешения на основе ролей
В Exchange Server разрешения, предоставляемые администраторам и пользователям, основаны на ролях управления. Роль определяет набор задач, которые может выполнять администратор или пользователь. Например, роль Mail Recipients управления определяет задачи, которые кто-то может выполнять в наборе почтовых ящиков, контактов и групп рассылки. Когда роль назначается администратору или пользователю, ему предоставляются разрешения в соответствии с этой ролью.
Существует два типа ролей, а именно административные роли и роли конечных пользователей:
Административные роли. Эти роли содержат разрешения, которые могут быть назначены администраторам или пользователям-специалистам с помощью групп ролей, управляющих частью организации Exchange, например получателями, серверами или базами данных.
Роли конечных пользователей. Эти роли, назначенные с помощью политик назначения ролей, позволяют пользователям управлять аспектами почтовых ящиков и групп рассылки, которыми они владеют. Роли конечных пользователей начинаются с префикса
My.
Когда роли назначаются администраторам и пользователям, они получают разрешения на выполнение задач, предоставляя им доступ к командлетам. Так как Центр администрирования Exchange (EAC) и командная консоль Exchange используют командлеты для управления Exchange, предоставление доступа к командлету дает администратору или пользователю разрешение на выполнение задачи в каждом из интерфейсов управления Exchange.
Группы ролей и политики назначения ролей
Роли предоставляют разрешения на выполнение задач в Exchange Server, но вам нужен простой способ назначения ролей администраторам и пользователям. Exchange Server предоставляет следующие методы, которые помогут вам сделать это:
Группы ролей. Группы ролей позволяют предоставлять разрешения администраторам и специализированным пользователям.
Политики назначения ролей. Политики назначения ролей позволяют предоставлять конечным пользователям разрешения на изменение параметров в принадлежащих им почтовых ящиках или группах рассылки.
Дополнительные сведения о группах ролей и политиках назначения ролей см. в следующих разделах:
Группы ролей
Каждому администратору, управляющего Exchange Server, необходимо назначить по крайней мере одну или несколько ролей. Администраторы могут иметь несколько ролей, так как они могут выполнять функции заданий, охватывающие несколько областей в Exchange. Например, один администратор может управлять как получателями, так и серверами Exchange. В этом случае этому администратору могут быть назначены Mail Recipients роли и Exchange Servers .
Чтобы упростить назначение администратору нескольких ролей, Exchange Server включает группы ролей. Группы ролей — это специальные универсальные группы безопасности (USG), используемые Exchange Server, которые могут содержать пользователей AD, группы безопасности и другие группы ролей. Когда роль назначается группе ролей, разрешения, соответствующие этой роли, предоставляются всем участникам данной группы. Эта функция позволяет назначать несколько ролей нескольким членам группы ролей одновременно. Группы ролей обычно охватывают более широкие области управления, например управление получателями. Они используются только с административными ролями, а не с ролями конечных пользователей.
Примечание.
Можно назначить роль непосредственно пользователю или группе USG, не используя группу ролей. Однако такой способ назначения ролей относится к расширенным процедурам и не затрагивается в данном разделе. Рекомендуется для управления разрешениями использовать группы ролей.
На приведенном ниже рисунке показана взаимосвязь между пользователями, группами ролей и ролями.
Роли, группы ролей и участники групп ролей
Exchange Server включает несколько встроенных групп ролей, каждая из которых предоставляет разрешения для управления определенными областями в Exchange Server. Некоторые группы ролей могут перекрываться с другими. В приведенной ниже таблице перечислены группы ролей с описанием их использования. Если вы хотите просмотреть роли, назначенные каждой группе ролей, щелкните имя группы ролей в столбце "Группа ролей", а затем перейдите в раздел "Роли управления, назначенные этой группе ролей".
Важно!
Если администратор является членом нескольких групп ролей, Exchange Server предоставляет администратору все разрешения, предоставляемые этими группами ролей.
Встроенные группы ролей
| Группа ролей | Описание |
|---|---|
| Управление организацией | Администраторы, являющиеся членами группы ролей Управление организацией, имеют административный доступ ко всей Exchange Server организации и могут выполнять практически любую задачу с любым объектом Exchange Server, за некоторыми исключениями, например рольюDiscovery Management. Важно! Так как группа ролей "Управление организацией" является мощной ролью, в нее должны вступить только пользователи или группы безопасности, которые выполняют административные задачи на уровне организации организации, которые могут повлиять на всю организацию Exchange. |
| View-Only Organization Management | Администраторы, являющиеся участниками группы ролей "Управление организацией" только с правом на просмотр, могут просматривать свойства любого объекта в организации Exchange. |
| Управление получателями | Администраторы, являющиеся членами группы ролей "Управление получателями", имеют административный доступ для создания или изменения Exchange Server получателей в Exchange Server организации. |
| Управление единой системой обмена сообщениями | Администраторы, которые являются членами группы ролей Управление единой системой обмена сообщениями, могут управлять функциями в организации Exchange, например конфигурацией сервера единой системы обмена сообщениями, свойствами почтовых ящиков единой системы обмена сообщениями, приглашениями единой системы обмена сообщениями и конфигурацией автосекретаря единой системы обмена сообщениями. (Примечание. UM недоступна в Exchange 2019.) |
| Служба поддержки | Группа ролей службы поддержки по умолчанию позволяет участникам просматривать и изменять параметры "Outlook в Интернете" (ранее — Outlook Web App) любого пользователя в организации. В число изменяемых параметров пользователя могут входить отображаемое имя, адрес и номер телефона. Эти параметры не включают параметры, недоступные в параметрах "Outlook в Интернете", например изменение размера почтового ящика или настройка базы данных почтовых ящиков, в которой находится почтовый ящик. |
| Управление санацией | Администраторы, являющиеся членами группы ролей "Управление гигиеной", могут настраивать функции антивирусной программы и защиты от нежелательной почты Exchange Server. Сторонние программы, которые интегрируются с Exchange Server, могут добавлять учетные записи служб в эту группу ролей, чтобы предоставить этим программам доступ к командлетам, необходимым для получения и настройки конфигурации Exchange. |
| Управление записями | Пользователи, являющиеся членами группы ролей Управление записями, могут настраивать функции соответствия, такие как теги политики хранения, классификации сообщений и правила потока обработки почты (также известные как правила транспорта). |
| Discovery Management | Администраторы или пользователи, являющиеся членами группы ролей "Управление обнаружением", могут выполнять поиск данных в почтовых ящиках в организации Exchange, которые соответствуют определенным критериям, а также могут настроить удержание почтовых ящиков по юридическим причинам. |
| Управление общими папками | Администраторы, которые являются участниками группы ролей "Управление общедоступными папками", могут управлять общедоступными папками на серверах Exchange Server. |
| Управление сервером | Администраторы, которые являются участниками группы ролей управления сервером, могут выполнять настройку серверной конфигурации транспорта, единой системы обмена сообщениями, клиентского доступа и компонентов почтовых ящиков, таких как копии базы данных, сертификаты, транспортные запросы и соединители отправки, виртуальные каталоги, а также протоколы клиентского доступа. (Примечание. UM недоступна в Exchange 2019.) |
| Делегированная установка | Администраторы, состоящие в группе ролей "Делегированная установка", могут развертывать серверы Exchange Server, подготовленные участником группы ролей "Управление организацией". |
| Управление соответствием требованиям | Пользователи, являющиеся участниками группы управления соответствием требованиям, могут настраивать параметры соответствия требованиям Exchange и управлять ими согласно политике организации. |
Если вы работаете в небольшой организации с несколькими администраторами, вы можете использовать только группу ролей "Управление организацией" и ни одну из других групп ролей. Если вы работаете в более крупной организации, у вас могут быть администраторы, которые выполняют определенные задачи администрирования Exchange, такие как управление получателями или сервером. В таких случаях можно добавить одного администратора в группу ролей "Управление получателями", а другого администратора в группу ролей "Управление сервером". Затем эти администраторы могут управлять своими конкретными областями Exchange Server но не будут иметь разрешений на управление областями, за которые они не отвечают.
Если вы не можете найти подходящую группу ролей, создайте свою и добавьте в нее роли. Дополнительные сведения см. в разделе Работа с группами ролей далее в этом разделе.
Политики назначения ролей
Exchange Server предоставляет политики назначения ролей, чтобы вы могли управлять параметрами, которые пользователи могут настраивать в почтовых ящиках и группах рассылки, которыми они владеют. Эти параметры включают отображаемое имя, контактную информацию, настройки голосовой почты и членство в группах рассылки.
Ваша Exchange Server организация может иметь несколько политик назначения ролей, которые предоставляют различные уровни разрешений для разных типов пользователей в организации. Некоторым пользователям может быть разрешено изменять свой адрес или создавать группы рассылки, а другим — нет. Все зависит от политики назначения ролей, связанной с почтовым ящиком. Политики назначения ролей добавляются непосредственно к почтовым ящикам, и с каждым почтовым ящиком может быть связана только одна политика.
Одна из политик назначения ролей в организации помечается как используемая по умолчанию. Политика назначения ролей по умолчанию связывается с новыми почтовыми ящиками, которым во время создания явным образом не была назначена определенная политика. Политика назначения ролей по умолчанию должна содержать разрешения, применяемые к большинству почтовых ящиков пользователя.
Разрешения добавляются в политики назначения ролей с использованием ролей конечных пользователей. Роли конечных пользователей начинаются с My и предоставляют пользователям разрешения на управление только своими почтовыми ящиками или группами рассылки. Они не могут использоваться для управления любыми другими почтовыми ящиками. Политикам назначения ролей могут быть назначены только роли конечных пользователей.
Когда роль конечного пользователя назначается политике назначения ролей, все почтовые ящики, связанные с этой политикой, получают разрешения, предусмотренные данной ролью. Таким образом, вы можете добавлять или удалять разрешения для наборов пользователей без необходимости настраивать отдельные почтовые ящики. На следующем рисунке показано, что:
Роли конечных пользователей назначаются политикам назначения ролей. Политикам назначения ролей могут соответствовать одни и те же роли конечных пользователей.
Политики назначения ролей связываются с почтовыми ящиками. С каждым почтовым ящиком может быть связана только одна политика назначения ролей.
После связывания почтового ящика с политикой назначения ролей роли конечных пользователей применяются к этому почтовому ящику. Разрешения, предусмотренные ролями, предоставляются пользователю этого почтового ящика.
Роли, политики назначения ролей и почтовые ящики
Политика назначения ролей по умолчанию включена в состав Exchange Server. Как и предполагает название, это политика назначения ролей по умолчанию. Если вы хотите изменить разрешения, предоставляемые этой политикой назначения ролей, или хотите создать политики назначения ролей, см. статью Работа с политиками назначения ролей далее в этом разделе.
Работа с группами ролей
Для управления разрешениями с помощью групп ролей в Exchange Server рекомендуется использовать Центр администрирования Exchange (EAC). Используя Центр администрирования Exchange для управления группами ролей, можно добавлять и удалять роли и участников, создавать группы ролей и копировать их с помощью нескольких щелчков кнопкой мыши. Для выполнения этих задач в Центре администрирования Exchange предусмотрены простые диалоговые окна (например, Создание группы ролей), показанные на рисунке ниже.
Диалоговое окно создания группы ролей в Центре администрирования Exchange
Если ни одна из групп ролей, входящих в состав Exchange Server, не имеет необходимых разрешений, вы можете использовать EAC для создания группы ролей и добавления ролей с нужными разрешениями. Для создания новой группы ролей выполните следующие действия.
Выберите имя.
Выберите роли, которые нужно добавить.
Добавление участников.
Сохраните его.
Создав группу ролей, ею можно управлять аналогично любой другой группе ролей.
Вы можете создать новую группу ролей на основе существующей. Копирование существующей группы ролей позволяет внести в нее изменения, не затрагивая исходную группу. В ходе копирования группы ролей можно добавить новое имя и описание, добавить или удалить роли из новой группы и добавить новых участников. Для создания или копирования группы ролей используется то же диалоговое окно, что показано на предыдущем рисунке.
Существующие группы ролей можно также изменять. Можно добавлять и удалять роли из существующих групп ролей, а также одновременно добавлять и удалять из них участников при помощи диалогового окна Центра администрирования Exchange, аналогичного показанному на предыдущем рисунке. Добавляя и удаляя роли из группы ролей, пользователь включает и выключает административные функции для участников этой группы.
Примечание.
Хотя вы можете определить, какие роли назначаются встроенным группам ролей, рекомендуется скопировать встроенные группы ролей, изменить копию группы ролей, а затем добавить участников в копию группы ролей.
Работа с политиками назначения ролей
Чтобы управлять разрешениями, предоставляемыми конечным пользователям для управления собственным почтовым ящиком в Exchange Server, рекомендуется использовать EAC. Используя Центр администрирования Exchange для управления разрешениями конечных пользователей, можно добавлять и удалять роли, а также создавать политики назначения ролей с помощью нескольких щелчков кнопкой мыши. Для выполнения этих задач в Центре администрирования Exchange предусмотрены простые диалоговые окна, такие как диалоговое окно Политика назначения ролей, показанное на рисунке ниже.
Диалоговое окно политики назначения ролей в Центре администрирования Exchange
Exchange Server включает политику назначения ролей с именем Политика назначения ролей по умолчанию. Эта политика позволяет пользователям, почтовые ящики которых связаны с ней, выполнять следующие задачи.
Вступать в группы рассылки, которые позволяют участникам управлять своим членством, или выходить из групп рассылки.
Просматривать и изменять основные параметры собственного почтового ящика, такие как правила папки "Входящие", поведение средства проверки орфографии, параметры нежелательной почты и устройства Microsoft ActiveSync.
Изменять свою контактную информацию, такую как рабочий адрес и номер телефона, номер мобильного телефона или пейджера.
Создавать, изменять и просматривать параметры текстовых сообщений.
Просматривать и изменять параметры голосовой почты.
Просматривать и изменять свои программы в marketplace.
Создавать групповые почтовые ящики и подключать их к спискам Microsoft SharePoint.
Чтобы добавить или удалить разрешения из политики назначения ролей по умолчанию или какой-либо другой политики назначения ролей, можно использовать Центр администрирования Exchange. Открыв политику назначения ролей в EAC, установите флажок рядом с ролями, которые нужно назначить ей, или снимите флажок рядом с ролями, которые нужно удалить. Изменения, внесенные в политику назначения ролей, применяются к каждому связанному с ней почтовому ящику.
Чтобы назначить разные разрешения разным типам пользователей организации, создайте политики назначения ролей. Укажите новое имя для политики, а затем выберите нужные роли. Создав политику назначения ролей, вы можете связать ее с почтовыми ящиками при помощи Центра администрирования Exchange.
Если вы хотите определить, какая политика назначения ролей используется по умолчанию, необходимо использовать командную консоль Exchange. После изменения все создаваемые почтовые ящики будут связываться с новой политикой назначения ролей по умолчанию, если таковая не была явно указана. Политика назначения ролей, связанная с существующими почтовыми ящиками, не изменяется при выборе новой политики назначения ролей по умолчанию.
Примечания.
Если установить флажок для роли с дочерними ролями, будут также установлены флажки для дочерних ролей. Если снять флажок для роли с дочерними ролями, флажки для дочерних ролей также будут сняты.
Подробные сведения о создании политики назначения ролей, а также о внесении изменений в существующие политики назначения ролей см. в следующих разделах: