Поделиться через


Общие сведения о назначениях ролей управления

Область применения: Exchange Server 2013 г.

Назначение роли управления, являющееся частью модели разрешений на основе контроль доступа ролей (RBAC) в Microsoft Exchange Server 2013 г., является связующим звеном между ролью управления и назначенным ролями. Уполномоченный роли — это группа ролей, политика назначения ролей, пользователь или универсальная группа безопасности. Чтобы применить роль, необходимо назначить ее уполномоченному роли. Дополнительные сведения об управлении доступом на основе ролей см. в разделе Общие сведения об управлении доступом на основе ролей.

Примечание.

В данном разделе рассматриваются расширенные возможности управления доступом на основе ролей (RBAC). Если вы хотите управлять базовыми разрешениями Exchange 2013, например с помощью Центра администрирования Exchange (EAC) для добавления и удаления участников групп ролей, создания и изменения групп ролей или создания и изменения политик назначения ролей, см. раздел Разрешения.

Этот раздел содержит сведения о назначении ролей группам ролей, о политиках назначения ролей, а также о прямом назначении ролей пользователям и универсальным группам безопасности. В этом разделе не рассматривается назначение групп ролей или политик назначения ролей пользователям. Дополнительные сведения о группах ролей и политиках назначения ролей, о рекомендуемых способах назначения разрешений пользователям см. в следующих разделах.

Можно создавать следующие типы назначений ролей, которые будут подробно рассмотрены далее в этом разделе.

  • Regular and delegating role assignments

  • Exclusive role assignments

Управление назначениями ролей

При изменении назначений ролей вносимые изменения могут быть распределены между группами ролей и политиками назначения ролей. При добавлении, удалении или изменении назначений ролей для этих уполномоченных ролей можно управлять разрешениями, назначаемыми администраторам и пользователям, включая и отключая управление связанными функциями.

Также можно назначить роли непосредственно пользователям или универсальным группам безопасности. Это более сложная задача, позволяющая на настраиваемом уровне определить разрешения, назначаемые пользователям. При этом обеспечивается гибкость, но сложность модели разрешений также возрастает. Например, если пользователь изменяет задания, может потребоваться вручную повторно определить роли, назначенные этому пользователю, другому пользователю. Поэтому для назначения ролей пользователям рекомендуется использовать группы ролей и политики назначения ролей. Можно назначить роли группе ролей или политике назначения ролей, а затем добавить или удалить участников группы ролей или изменить политики назначения ролей при необходимости.

Можно добавлять, удалять и включать назначения ролей, изменять область управления существующего назначения роли и перемещать назначения ролей на других уполномоченных ролей. Процесс назначения ролей группам ролей, политикам назначения ролей, пользователям и универсальным группам безопасности практически идентичен для каждого уполномоченного роли. Единственными исключениями являются следующие правила.

  • Политики назначения ролей могут быть назначены только ролям управления конечного пользователя.

  • Невозможно назначить политики назначения ролей назначениям ролей делегирования.

  • Невозможно указать область управления при создании назначения роли для политик назначения ролей.

Дополнительные сведения об управлении назначениями ролей см. в следующих разделах.

Regular and delegating role assignments

Благодаря назначению обычных ролей уполномоченный роли может получить доступ к записям роли управления, предоставляемым связанной ролью управления. Если уполномоченному роли назначается несколько ролей управления, происходит объединение и применение записей ролей управления из каждой роли управления. Это значит, что при назначении уполномоченному роли правил транспорта и ролей ведения журнала роли объединяются, а уполномоченному роли назначаются все связанные записи роли управления. Если уполномоченный роли является группой ролей или политикой назначения ролей, разрешения, предоставляемые ролями, задаются пользователям, назначенным группе ролей или политике назначения ролей. Дополнительные сведения о ролях управления и записях ролей см. в разделе Общие сведения о ролях управления.

Делегирование назначений ролей не предоставляет доступ к управлению функциями. Делегирование назначений ролей дает назначаемой роли возможность назначать указанную роль другим назначенным ролям. Если назначенная роль является группой ролей, любой член группы ролей может назначить роль другому назначаемому ролю. По умолчанию только группа ролей "Управление организацией" может назначать роли другим назначенным ролям. Только пользователь, установив Exchange 2013, по умолчанию является членом группы ролей Управление организацией. Однако при необходимости в эту группу ролей можно добавить других пользователей или создать другие группы ролей и назначить этим группам делегированные назначения ролей.

Примечание.

Назначения ролей делегирования позволяют уполномоченным роли делегировать роли управления другим уполномоченным роли. Но при этом пользователи не могут делегировать группы ролей. Дополнительные сведения о делегировании групп ролей см. в разделе Общие сведения о группах ролей управления.

Чтобы пользователь мог управлять функцией и назначать роль, которая предоставляет разрешения на использование этой функции, другим пользователям, необходимо выполнить следующие назначения.

  1. Назначение обычной роли для каждой роли управления, предоставляющей доступ к функциям, которыми необходимо управлять.

  2. Назначение роли делегирования для каждой роли управления, которую разрешено назначать другим уполномоченным роли.

Назначения обычных ролей и ролей делегирования для уполномоченного роли могут различаться. Например, пользователь является участником группы ролей, которой назначена роль правил транспорта с помощью назначения обычной роли. Это позволяет пользователю управлять функцией правил транспорта. Тем не менее, пользователю не задается назначение роли делегирования для роли правил транспорта, поэтому пользователь не может назначить эту роль другим пользователям. Например, пользователь является участником группы ролей, которой назначена роль управления ведением журнала с помощью назначения роли делегирования. Группа ролей, участником которой является пользователь, не имеет назначения обычной роли для роли ведения журнала, но так как она имеет назначение роли делегирования, пользователь может назначить эту роль другим уполномоченным роли.

Области управления

При создании назначений обычных ролей или ролей управления делегированием можно создать назначение с областью управления, чтобы ограничить объекты, которыми пользователь может управлять. Можно создать области получателей или области конфигурации. Области получателей позволяют контролировать, кто может управлять почтовыми ящиками, почтовыми пользователями, группами рассылки и т. д. Области конфигурации позволяют контролировать, кто может управлять серверами и базами данных.

С помощью областей получателей и конфигурации можно распределять управление серверами, базами данных и получателями в организации. Например, область получателей можно добавить в назначение роли таким образом, чтобы администраторы в Ванкувере могли управлять только получателями в одном офисе. Область конфигурации сервера можно добавить в другое назначение роли таким образом, чтобы администраторы в Сиднее могли управлять только серверами на своем сайте Active Directory.

Благодаря областям разрешения можно назначать группам пользователей и указывать для администраторов область выполнения администрирования. Это позволяет создать модель разрешений, сопоставимую с географическими и организационными границами.

Можно создать назначение с предварительно определенной областью, а также добавить настраиваемую область этому назначению. Предварительно определенные области, например области, ограничивающие пользователя возможностью использования только собственных почтового ящика или групп рассылки, можно применить с помощью параметров, доступных в самом назначении. Также можно создать настраиваемую область получателей или конфигурации и затем добавить ее в назначение роли. Настраиваемые области обеспечивают большую детализацию объектов, включаемых в область.

Невозможно указывать предварительно определенные и настраиваемые области в одном назначении. Также в одном назначении невозможно одновременно определять исключительные и обычные области.

Каждое назначение роли может иметь только по одной области получателей и конфигурации. Если для одной роли управления получателя роли необходимо назначить несколько областей получателей или конфигурации, следует создать несколько назначений ролей.

Назначения ролей, независимо от наличия настраиваемой или предварительно определенной области, ограничиваются областями получателей или конфигурации, определенными в самой роли. Эти области называются неявными областями. Каждое назначение роли, не имеющее предварительно определенной или настраиваемой области, наследует области из роли, с которой оно связано.

Дополнительные сведения об областях см. в разделе Общие сведения об областях ролей управления.

Exclusive role assignments

Назначения исключительных ролей создаются при связывании исключительной области с назначением роли. Исключительные области используются так же, как и обычные области, и позволяют уполномоченным роли управлять получателями, которые соответствуют исключительной области. Тем не менее, в отличие от обычных областей всем другим уполномоченным роли запрещено управлять получателем, даже если получатель соответствует областям, применяемым к назначениям ролей. Это может быть полезно, если необходимо ограничить управление получателем несколькими администраторами. Только указанные администраторы могут управлять получателем, а всем другим администраторам доступ будет запрещен.

Рассмотрим следующий пример.

  • Юрий является руководителем в компании Contoso. Его почтовый ящик соответствует исключительной области с именем "Пользователи VIP" и связана с исключительным назначением, ограниченным пользователями VIP.

  • Почтовый ящик Юрия также включен в обычную область с именем "Пользователи Redmond" и связана со стандартным назначением администрирования Redmond.

  • Борис является администратором, связанным с исключительным назначением, ограниченным пользователями VIP.

  • Кирилл является администратором, связанным со стандартным назначением администрирования Redmond.

Так как почтовый ящик Юрия соответствует исключительной области "Пользователи VIP", только Борис может управлять его почтовым ящиком. Несмотря на то что почтовый ящик Юрия также соответствует обычной области "Пользователи Redmond", Кирилл не связан с исключительным назначением, ограниченным пользователями VIP. Поэтому в Exchange Кириллу запрещено управлять почтовым ящиком Юрия. Чтобы разрешить Кириллу управлять почтовым ящиком Юрия, ему необходимо задать исключительное назначение, имеющее исключительную область, которая соответствует почтовому ящику Юрия.

Дополнительные сведения см. в разделе Общие сведения об исключительных областях.