Общие сведения об исключительных областях
Область применения: Exchange Server 2013 г.
Монопольные области — это особый тип явных областей управления, которые могут быть сопоставлены с назначениями ролей управления. Монопольные области предназначены для тех ситуаций, когда имеется группа очень ценных объектов, таких как почтовые ящики руководителей, и необходимо очень точно управлять возможностями доступа к этим объектам.
Назначение роли с монопольной областью называется назначением монопольной роли.
При создании монопольной области изменять объекты, соответствующие этой области, смогут только те пользователи, которым была назначена монопольная область или эквивалентная монопольная область. Пользователи ролей, не получивших назначения монопольной области или эквивалентной области, не смогут изменять объекты, соответствующие этой области, даже если их собственные роли содержат области, которые включали бы такие объекты. Монопольные области имеют приоритет над другими стандартными областями, которые не являются монопольными. Это поведение аналогично записи управления доступом "Запретить" в функциях списка управления доступом Active Directory.
Эквивалентная монопольная область означает другую монопольную область, которой соответствуют некоторые из объектов, входящую в первую монопольную область. Области не должны иметь полностью совпадающий набор объектов. Однако области могут изменить некоторые или все соответствующие им объекты.
Создание монопольных областей
Монопольные области могут быть созданы так же, как и любые другие явные области. Можно указать предварительно заданную относительную область; фильтр получателей, баз данных или серверов; либо список баз данных или серверов. В отличие от стандартных областей, которые не вступают в силу до сопоставления этой области назначению роли управления, запрещение для монопольной области вступает в силу незамедлительно. Это означает, что как только монопольная область будет создана, содержащиеся в этой области объекты тут же станут недоступными тем пользователям, для которых не создано назначение соответствующей роли.
После создания назначения доступ к монопольной области будет предоставлен тем пользователям, которые входят в роль и область управления. Если другая эквивалентная монопольная область соответствует тем же объектам, назначение роли, связанное с этой монопольной областью, будет предоставлять доступ к этим объектам.
Дополнительные сведения о фильтрах областей управления см. в разделе Общие сведения о фильтрах области ролей управления.
Важно!
При изменении любых компонентов ролей управления, включая монопольные области, следует учитывать время репликации Active Directory.
Если объекты содержатся в нескольких монопольных областях, доступ к объектам будет предоставляться любой из этих монопольных областей. Дополнительные сведения см. в подразделе Exclusive and regular scope interaction далее в этом разделе.
Монопольные области управляют только областями записи получателей или конфигураций, относящихся к назначению ролей. Также будет применяться неявная область чтения получателей или конфигураций, относящаяся к роли, назначенной пользователю или группе. Это означает, что будут выполняться следующие условия.
- Пользователи и группы, для которых была назначена роль, продолжают видеть объекты, которые соответствуют неявной области чтения этой роли.
- Пользователи и группы, для которых были назначены другие роли, могут видеть объекты, содержащиеся в монопольной области, если области чтения, относящиеся к другим ролям, содержат эти же объекты. Однако объекты могут быть изменены только теми, кому была назначена роль, связанная с монопольной областью.
Монопольные области могут использоваться только вместе с административными ролями или ролями специалистов и не могут использоваться с пользовательскими ролями. Дополнительные сведения о ролях см. в разделе Общие сведения о ролях управления.
Взаимодействие исключительной и стандартной областей
На рисунке в конце этого раздела показано, как монопольные области взаимодействуют друг с другом и со стандартными областями. На этом рисунке все пользователи имеют следующие атрибуты.
User | Город | Название | Отдел |
---|---|---|---|
Терри | Ванкувер | Бухгалтер | Учет |
Дэвид | Ванкувер | Писатель | Маркетинг |
Уолтер | Ванкувер | Manager | Маркетинг |
Глеб | Ванкувер | Директор | Доска |
Кристин | Ванкувер | Президент | Доска |
Максим | Ванкувер | Cfo | Руководители |
Мартин | Ванкувер | Cio | Руководители |
Ким | Ванкувер | Вице-президент по операциям | Руководители |
Дженнифер | Ванкувер | Вице-президент по технологиям | Руководители |
Следующие три назначения ролей управления управляют пользователями, приведенными в предыдущей таблице. Каждое назначение имеет соответствующую область, некоторые из которых являются монопольными.
Назначение ролей | Область фильтра | Монопольная или стандартная |
---|---|---|
Администраторы получателей | Город = Ванкувер | Regular |
Администраторы VIP | Должность = исполнительный директор или финансовый директор, или директор по информационным технологиям, или президент | Эксклюзивные |
Администраторы руководителей | Отдел = руководители | Эксклюзивные |
Назначение роли "Администраторы получателей" имеет область, которая соответствует всем пользователям, так как каждый пользователь находится в Ванкувере. Отсутствие монопольных областей будет означать то, что пользователи с назначением роли "Администраторы получателей" смогут управлять всеми пользователями. Однако в организации созданы две монопольных области: Администраторы VIP и администраторы руководителей. Эти монопольные области ограничивают круг администраторов, которые могут управлять пользователями, находящихся в соответствующих областях. Назначение роли "Администраторы VIP" содержит фильтр области, который соответствует любому пользователю, должность которого указана как "Исполнительный директор", "Финансовый директор", "Директор по информационным технологиям" или "Президент". Назначение роли "Администраторы руководителей" содержит фильтр области, который соответствует любому пользователю, который состоит в отделе "Руководители".
При оценке стандартных и монопольных областей делаются следующие выводы:
Назначение роли "Администраторы получателей" позволяет управлять пользователями Terry, David и Walter. Это назначение роли не позволяет управлять другими пользователями, потому что другие пользователи соответствуют фильтрам монопольных областей, относящихся к назначению ролей "Администраторы VIP" и "Администраторы руководителей".
Назначение роли "Администраторы VIP" позволяет управлять пользователями Bob, Christine, Fred и Martin. Это связано с тем, что фильтр монопольной области, связанный с этим назначением роли, соответствует атрибутам этих объектов. Это назначение роли не позволяет управлять пользователями Kim и Jennifer, так как их атрибуты не соответствуют этой монопольной области.
Назначение роли "Администраторы руководителей" позволяет управлять пользователями Kim, Jennifer, Fred и Martin. Это связано с тем, что фильтр монопольной области, связанный с этим назначением роли, соответствует атрибутам этих объектов. Это назначение роли не позволяет управлять пользователями Bob и Christine, так как их атрибуты не соответствуют этой монопольной области.
Обратите внимание, что Fred и Martin доступны обеим монопольным областям. Это происходит потому, что атрибуты этих пользователей соответствуют фильтрам обеих монопольных областей.
Дополнительные сведения об областях управления см. в разделе Общие сведения об областях ролей управления.