Общие сведения о ролях управления
Область применения: Exchange Server 2013 г.
Роли управления являются частью модели разрешений на основе ролей контроль доступа (RBAC), используемой в Microsoft Exchange Server 2013 г. Роли выступают в качестве логической группировки командлетов, объединенных для предоставления доступа к просмотру или изменению конфигурации компонентов Exchange 2013, таких как почтовые ящики, правила транспорта и получатели. Роли управления могут быть далее объединены в большие группировки, названные группами и политиками назначения, которые позволяют вести управление многими компонентами и конфигурацией получателей. Группы ролей и политики назначения ролей назначают разрешения для администраторов и конечных пользователей соответственно. Дополнительные сведения о группах ролей управления и политиках назначения ролей управления см. в разделе Understanding Role Based Access Control.
Примечание
В данном разделе рассматриваются расширенные возможности управления доступом на основе ролей (RBAC). Если вы хотите управлять базовыми разрешениями Exchange 2013, например с помощью Центра администрирования Exchange (EAC) для добавления и удаления участников групп ролей, создания и изменения групп ролей или создания и изменения политик назначения ролей, см. раздел Разрешения.
Области ролей управления и назначения ролей управления являются важными компонентами для работы ролей управления. Дополнительные сведения об этих компонентах см. в следующих разделах.
Ищете задачи управления, связанные с ролями управления? См . раздел Разрешения.
Сервер Exchange 2013 предоставляет множество встроенных ролей управления, которые можно использовать для администрирования организации. Каждая роль включает в себя командлеты и параметры, необходимые пользователям для управления определенными компонентами Exchange. Ниже приведены примеры некоторых встроенных ролей управления:
- Получатели почты. Позволяет администраторам управлять почтовыми ящиками, контактами и пользователями почты.
- Правила транспорта. Позволяет администраторам или пользователям-специалистам, которым назначена роль для управления функцией правил транспорта.
- Группы рассылки. Позволяет администраторам или пользователям-специалистам, которым назначена роль для управления группами рассылки и членами группы рассылки.
- MyPersonalInformation: позволяет конечным пользователям изменять собственный номер домашнего телефона и адрес веб-сайта.
Полный список ролей управления, включенных в Exchange 2013, см. в разделе Встроенные роли управления.
Из встроенных ролей Exchange 2013 можно составить любую комбинацию для создания модели разрешений данного предприятия. Например, чтобы члены группы ролей могли управлять получателями и общими папками, необходимо назначить для этой группы ролей роль получателей почты и роль общих папок. В большинстве случаев роли назначаются для групп ролей или политик назначения ролей. Также, чтобы детально управлять разрешениями, можно назначить роли управления непосредственно пользователям. Чтобы упростить модель разрешений, рекомендуется использовать группы ролей и политики назначения ролей вместо непосредственного назначения роли пользователю.
Примечание
Роли управления конечного пользователя могут быть назначены только политикам назначения ролей.
Изменение встроенных ролей управления невозможно. Однако можно создать роли управления на основе встроенных ролей управления, а затем назначить эти новые роли группам ролей или политикам назначения ролей. Затем можно изменить новые роли управления в соответствии с предпочтениями. Это дополнительная задача, которую требуется выполнять крайне редко.
Дополнительные сведения о создании настраиваемых ролей на основе встроенных ролей Exchange см. в разделе Настраиваемые роли управления далее в этом разделе.
Чтобы они вступили в силу, необходимо назначить роли управления. В большинстве случаев роли управления назначаются для групп ролей и политик назначения ролей. В определенных ситуациях можно также назначить роли непосредственно для пользователей, хотя это дополнительная задача, которую требуется выполнять крайне редко.
Дополнительные сведения о назначении ролей управления см. в следующих разделах:
- Управление группами ролей
- Управление политиками назначения ролей
- Добавление роли для пользователя или универсальной группы безопасности
Дополнительные сведения о назначениях ролей управления см. в разделе Общие сведения о назначениях ролей управления.
Роли управления верхнего уровня с незаданной областью представляют собой специальный тип роли управления, который позволяет предоставить пользователям доступ к настраиваемым сценариям и командлетам, не относящимся к Exchange, с помощью системы управления доступом на основе ролей (RBAC). Обычные роли управления предоставляют доступ только к командлетам Exchange. Чтобы предоставить доступ к командлетам, не относящимся к Exchange и запущенным на сервере Exchange, или опубликовать сценарий, который может быть выполнен данными пользователями, необходимо добавить их к роли с незаданной областью. Они называются ролями верхнего уровня, так как при первом создании роли с незаданной областью без образования от родительской роли у нее отсутствует родительский объект и она является равноправной по отношению ко встроенным ролям управления, включенным в Exchange 2013. Чтобы указать, что вы хотите создать незапланированную запись роли верхнего уровня, необходимо использовать параметр UnscopedTopLevel с командлетом New-ManagementRole .
Роли с незаданной областью получили такое название в связи с тем что, в отличие от обычных ролей управления, они не могут быть ограничены определенной целью. Роли с незаданной областью всегда действуют в масштабах всей организации. Это значит, что сотрудник, которому назначена роль с незаданной областью, может изменять любой объект в организации Exchange 2013. По этой причине необходимо обеспечить доступ к сценариям и командлетам с помощью роли с незаданной областью и тщательно проверить их, что позволит быть осведомленным об изменяемых объектах, а также правильно назначить роли с незаданной областью.
Роли с незаданной областью можно назначать для уполномоченных ролей, например групп ролей, ролей управления, пользователей и универсальных групп безопасности. Их нельзя назначать для политик назначения ролей управления.
Хотя добавление командлетов Exchange в качестве записи роли управления к роли с незаданной областью невозможно, их можно включать в сценарии, добавленные в качестве записей роли. Это позволяет создать настраиваемые сценарии, выполняющие задачи Exchange, которые далее можно назначить пользователям. Этот сценарий полезен, когда пользователю необходимо выполнить высокопривилегированную задачу, находящуюся за пределами его или ее административного уровня, и когда создание новой роли управления или группы ролей будет проблематичным. Можно создать сценарий, который выполняет эту конкретную функцию, добавить его в роль с незаданной областью, а затем назначить эту роль пользователю. Далее пользователь может выполнять только данную конкретную функцию, предоставленную сценарием.
Записи роли, добавляемые в роль с незаданной областью, также должны быть обозначены в качестве записи роли верхнего уровня с незаданной областью. Дополнительные сведения о записях роли верхнего уровня с незаданной областью см. в подразделе Unscoped Top-Level Role Entries далее в этом разделе.
Группа ролей "Управление организацией" по умолчанию не имеет разрешений на создание групп ролей без параметров или управление ими. Это препятствует случайному созданию или изменению групп ролей с незаданной областью. Группа ролей "Управление организацией" может делегировать роль управления "Управление ролями без ролей" себе и другим назначенным ролям. Дополнительные сведения о том, как создать неуправляемую роль управления верхнего уровня, см. в разделе Создание неуправляемой роли.
Если встроенные роли управления не отвечают потребностям пользователей, можно создать настраиваемые роли управления на основе встроенных ролей Exchange. При создании настраиваемой роли управления новая дочерняя роль наследует все записи роли управления от родительской роли. Далее можно выбрать, какие записи роли управления необходимо сохранить в настраиваемой роли управления, и удалить все ненужные записи.
Настраиваемые роли становятся дочерними относительно роли, использовавшейся для создания новой роли. Записи роли управления можно использовать только в новой дочерней роли, которая существует в родительской роли. Дополнительные сведения см. в следующих подразделах этого раздела^
- Management Role Hierarchy
- Management Role Entries
Создание настраиваемых ролей управления предполагает выполнение множества шагов и является дополнительной задачей, которую требуется выполнять крайне редко. Перед созданием настраиваемой роли управления убедитесь, что ни одна из существующих встроенных ролей управления не предоставляет необходимых разрешений. Дополнительные сведения о встроенных ролях управления или о создании настраиваемых ролей управления см. в следующих разделах:
Дополнительные сведения о создании роли управления см. в разделе Создание роли.
В родительской и дочерней иерархиях имеются роли управления. В верхней части иерархии расположены встроенные роли управления, предоставляемые в Exchange 2013 по умолчанию. При создании роли создается копия родительской роли. Новая роль представляет собой дочерний объект той роли, на основе которой была сделана копия. Далее можно настроить новую роль в соответствии с потребностями администраторов или пользователей, которым ее необходимо назначить.
Настраиваемые роли можно использовать для создания новых ролей. При создании новой роли из существующей настраиваемой роли последняя остается дочерним объектом относительно своей родительской роли, но при этом становится родительским объектом для новой роли. При каждом копировании роли новая дочерняя роль может содержать только те записи ролей, которые существуют в непосредственной родительской роли.
Каждой роли управления присваивается тип роли, который нельзя изменить. Тип роли определяет основной контекст ее использования. Тип роли копируется из родительской роли при создании дочерней роли.
.gif "Иерархическая схема роли управления RBAC")
На приведенном выше рисунке показана иерархическая связь нескольких ролей управления. Роли получателей почты и службы поддержки это встроенные роли. Все дочерние роли, образованные от этих ролей, наследуют тип роли от каждой встроенной роли. Например, все дочерние роли, прямо или косвенно производные от роли Получатели почты, MailRecipients наследуют тип роли .
Настраиваемая роль администраторов получателей в Сиэтле является дочерним объектом по отношению к встроенной роли получателей почты, но также является родительским объектом для настраиваемой роли администраторов получателей продаж в Сиэтле и настраиваемой роли администраторов получателей юристов в Сиэтле. Настраиваемая роль администраторов получателей в Сиэтле содержит только подмножество командлетов, доступных в роли получателей почты. Дочерние роли настраиваемой роли администраторов получателей в Сиэтле могут содержать только те командлеты, которые существуют в этой роли. Например, если командлет существует в роли получателей почты, но отсутствует в настраиваемой роли администраторов получателей в Сиэтле, то этот командлет невозможно добавить в настраиваемую роль администраторов получателей продаж.
Все настраиваемые роли соответствуют одному шаблону, подобно описанным выше ролям. Дополнительные сведения об управлении доступом к командлетам в ролях управления см. ниже в разделе Management Role Entries.
Каждая роль управления, настраиваемая роль Exchange или роль с незаданной областью, должна иметь не менее одной записи роли управления. Запись состоит из отдельного командлета и его параметров, сценария или специального разрешения, которое необходимо сделать доступным. Если командлет или сценарий не отображается в качестве записи в роли управления, то этот командлет или сценарий через эту роль недоступен. Подобным образом, если параметр отсутствует в записи, то этот параметр или сценарий через эту роль недоступен.
Exchange 2013 позволяет управлять записями ролей на основе встроенных ролей верхнего уровня управления Exchange и записей ролей на основе несеченных ролей управления верхнего уровня. Роли, основанные на встроенных ролях верхнего уровня Exchange, могут содержать только записи ролей, которые являются командлетами Exchange 2013. Чтобы добавить пользовательские скрипты или командлеты, отличные от Exchange, чтобы пользователи могли их использовать, необходимо добавить их в качестве незапланированных записей ролей в неотеченную роль верхнего уровня. Дополнительные сведения о записях ролей с незаданной областью см. ниже в разделе Unscoped Top-Level Role Entries.
Все записи роли, независимо от того, является ли запись роли основанной на командлете Exchange или записью роли с незаданной областью, следуют одним и тем же принципам, описанным в следующих разделах.
Дополнительные сведения об управлении записями ролей см. в разделе Записи роли и роли управления.
Как упоминалось ранее, для добавления записи в дочернюю роль запись роли управления, включающая в себя командлет и его параметры, должна существовать в непосредственной родительской роли. Например, если родительская роль не имеет записи для командлета New-Mailbox, то для дочерней роли этот командлет не может быть назначен. Кроме того, если Set-Mailbox находится в родительской роли, но параметр Database удален из записи, параметр Database в командлете Set-Mailbox нельзя добавить в запись дочерней роли.
Так как добавление записей ролей управления в дочерние роли невозможно, если эти записи не отображаются в родительских ролях, и так как роль основывается на определенном типе роли, то необходимо тщательно выбирать родительскую роль для копирования перед созданием настраиваемой роли.
Имена записей роли управления представляют собой комбинацию роли управления, с которой они связаны, а также имени командлета или сценария. Имя роли и командлет или сценарий разделены между собой символом обратной косой черты (\). Например, имя записи роли для командлета Set-Mailbox в роли Получатели почты — Mail Recipients\Set-Mailbox. Если в имени записи роли имеются пробелы, заключите название целиком в кавычки (").
В имени записи роли можно использовать подстановочный знак (*) для получения всех записей роли, которые соответствуют вводимым данным. Подстановочный знак можно поставить с любой стороны символа обратной косой черты. В следующей таблице приведено несколько способов использования подстановочного знака в имени записи роли.
| Пример | Описание |
|---|---|
*\* |
Возвращает список всех записей роли для всех ролей. |
*\Set-Mailbox |
Возвращает список всех записей роли, которые содержат командлет Set-Mailbox. |
Mail Recipients\* |
Возвращает список всех записей роли в роли получателей почты. |
Mail Recipients\*Mailbox |
Возвращает список всех записей роли в роли получателей почты, содержащих командлеты, оканчивающиеся на Mailbox. |
My*\*Group* |
Возвращает список всех записей роли, которые содержат строку Group в имени командлета, для всех ролей, начинающихся с My. |
Записи роли верхнего уровня с незаданной областью используются вместе с ролями управления верхнего уровня с незаданной областью для создания ролей на основе пользовательских сценариев или командлетов, не относящихся к Exchange. Каждая запись роли с незаданной областью связана с отдельным пользовательским сценарием или командлетом, не относящимся к Exchange. Чтобы указать, что вы хотите создать запись роли без параметров для роли без параметров, необходимо указать параметр UnscopedTopLevel в командлете Add-ManagementRoleEntry .
При добавлении записи роли с незаданной областью необходимо указать все параметры, которые могут использоваться вместе со сценарием или командлетом, не относящимся к Exchange. Exchange выполнит попытку проверить параметры, указанные при добавлении записи роли. Пользователям, назначенным для роли с незаданной областью, будут доступны только параметры, добавленные к записи роли при ее создании. При добавлении параметров в сценарий или командлет, не относящийся к Exchange, или при переименовании параметра необходимо обновить запись роли вручную. Exchange не выполняет проверку наличия изменений в существующих параметрах записи роли с незаданной областью. При использовании параметра записи роли, измененного в сценарии, команда не будет выполнена.
Сценарии, добавляемые к записи роли с незаданной областью, должны находиться в каталоге сценариев Exchange 2013 на каждом сервере, администраторы и пользователи которого выполняют подключение с помощью консоли управления Exchange. При попытке добавить запись роли с незаданной областью на основе сценария, отсутствующего в каталоге сценариев Exchange 2013 на сервере, который используется для добавления записи роли, произойдет ошибка. Расположением установки по умолчанию каталога сценариев Exchange 2013 является C:\Program Files\Microsoft\Exchange Server\V15\RemoteScripts или %ExchangeInstallPath%RemoteScripts.
Командлеты, не относящиеся к Exchange, добавляемые в запись роли с незаданной областью, должны быть установлены на каждом сервере Exchange 2013, администраторы и пользователи которого выполняют подключение с помощью командной консоли, если им необходимо использовать эти командлеты. При попытке добавить запись роли с незаданной областью на основе командлета, не относящегося к Exchange, который не установлен на сервере Exchange 2013, используемом для добавления записи роли, произойдет ошибка. При добавлении командлета, не относящегося к Exchange, необходимо указать имя оснастки Windows PowerShell, которая содержит командлет, не относящийся к Exchange.
Дополнительные сведения о добавлении записи роли управления с незаданной областью см. в разделе Добавьте запись роли в роли.
Типы ролей управления представляют собой основу для всех ролей управления. Типы определяют неявные области, определенные во всех ролях управления указанного типа роли, а также служат для логической группировки соответствующих ролей. Все роли управления, образованные от родительской встроенной роли управления, относятся к одному типу роли. Эти отношения представлены на рисунке "Иерархия ролей управления" выше в этом разделе. Типы ролей управления также представляют собой максимальный набор командлетов и их параметров, который можно добавить в роль, связанную с типом роли.
Типы ролей управления делятся на следующие категории.
Администратор или специалист. Роли, связанные с типами административных или специализированных ролей, имеют более широкую область влияния на организацию Exchange. Роли этого типа позволяют выполнять такие задачи, как управление сервером или получателями, настройка организации, администрирование в соответствии с требованиями, аудит и другие.
Ориентированные на пользователей роли. Роли, связанные с типом роли, ориентированного на пользователя, имеют область влияния, тесно связанную с отдельным пользователем. Роли этого типа позволяют выполнять такие задачи, как настройка профиля пользователя и самоуправление, управление пользовательскими группами рассылки и другие.
Имена ролей, связанных с типами ролей, ориентированных на пользователя, и имена типов ролей, ориентированных на пользователя, начинаются с My.
Специализация. Роли, связанные с типами специализированных ролей, позволяют выполнять задачи, которые не являются административными или ориентированными на пользователя типами ролей. Роли этого типа позволяют выполнять такие задачи, как олицетворение приложения и использование сценариев и командлетов, не относящихся к Exchange.
В следующей таблице перечислены все типы административных ролей управления в Exchange 2013 и указано, применяется ли конфигурация, разрешенная типом роли, во всей организации Exchange или только к отдельному серверу. Дополнительные сведения о каждой из ролей управления, связанных с этими типами ролей, включая описание каждой роли, которые могут извлечь выгоду из назначения роли, и другие сведения см. в разделе Встроенные роли управления.
| Тип роли управления | Встроенная роль управления | Описание | Организация или сервер |
|---|---|---|---|
ActiveDirectoryPermissions |
Роль разрешений Active Directory | Этот тип роли связан с ролями, которые позволяют администраторам настраивать разрешения Active Directory в организации. Некоторые функции, которые используют разрешения Active Directory или список управления доступом (ACL), включают в себя транспортные соединители отправки и получения, а также разрешения для почтовых ящиков "Отправить как" и "Отправить от имени". Примечание. Разрешения, заданные непосредственно для объектов Active Directory, могут не применяться с помощью RBAC. |
Организация |
AddressLists |
Роль списков адресов | Этот тип ролей связан с ролями, которые позволяют администраторам управлять списками адресов, глобальными списками адресов, а также автономными списками адресов в организации. | Организация |
ApplicationImpersonation |
Роль ApplicationImpersonation | Этот тип роли связан с ролями, которые позволяют приложениям олицетворять пользователей в организации для выполнения задач от имени этих пользователей. | Организация |
ArchiveApplication |
Роль ArchiveApplication | Этот тип ролей связан с ролями, которые позволяют приложениям партнеров архивировать элементы в пользовательских почтовых ящиках в организации. | Организация |
AuditLogs |
Роль журналов аудита | Этот тип роли связан с ролями, которые позволяют администраторам управлять конфигурацией ведения журнала аудита администратора в организации. | Организация |
CmdletExtensionAgents |
Роль агентов расширения командлетов | Этот тип роли связан с ролями, которые позволяют администраторам управлять агентами расширения командлета в организации. | Организация |
DataLossPrevention |
Роль предотвращения потери данных | Этот тип ролей связан с ролями, которые создают и контролируют политики предотвращения потери данных (DLP) и правила в их пределах в организации. | Организация |
DatabaseAvailabilityGroups |
Роль групп обеспечения доступности баз данных | Этот тип роли связан с ролями, которые позволяют администраторам управлять группами обеспечения доступности баз данных (DAG) в организации. Администраторы, которым эта роль назначена напрямую или косвенно, являются администраторами наивысшего уровня, ответственными за обслуживание конфигурации высокой доступности в организации. | Организация |
DatabaseCopies |
Роль копий баз данных | Этот тип роли связан с ролями, которые позволяют администраторам управлять копиями базы данных на отдельных серверах. | Сервер |
Databases |
Роль баз данных | Этот тип ролей связан с ролями, которые позволяют администраторам создавать, контролировать, подключать и отключать базы данных почтовых ящиков на индивидуальных серверах. | Сервер |
DisasterRecovery |
Роль аварийного восстановления | Этот тип ролей связан с ролями, которые позволяют администраторам восстанавливать почтовые ящики и базы данных почтовых ящиков, создавать базы данных почтовых ящиков, а также выполнять переключения ЦОД для групп обеспечения доступности баз данных в организации. | Организация |
DistributionGroups |
Роль групп рассылки | Этот тип роли связан с ролями, которые позволяют администраторам создавать и управлять группами рассылки и участниками групп рассылки в организации. | Организация |
EdgeSubscriptions |
Роль пограничных подписок | Этот тип роли связан с ролями, которые позволяют администраторам управлять синхронизацией пограничных серверов и конфигурацией подписки между этими серверами Exchange 2010 и серверами почтовых ящиков Exchange 2013 в организации. | Организация |
EmailAddressPolicies |
Роль политик адресов электронной почты | Этот тип ролей связан с ролями, которые позволяют администраторам управлять политиками адресов электронной почты в организации. | Организация |
ExchangeConnectors |
Роль соединителей Exchange | Этот тип ролей связан с ролями, которые позволяют администраторам создавать, изменять, просматривать и удалять соединители агентов доставки. | Организация |
ExchangeServerCertificates |
Роль сертификатов сервера Exchange Server | Этот тип роли связан с ролями, которые позволяют администраторам создавать, импортировать, экспортировать и управлять сертификатам сервера Exchange на отдельных серверах. | Сервер |
ExchangeServers |
Роль серверов Exchange | Этот тип роли связан с ролями, которые позволяют администраторам управлять настройкой сервера Exchange на отдельных серверах. | Сервер |
ExchangeVirtualDirectories |
Роль виртуальных каталогов Exchange | Этот тип роли связан с ролями, которые позволяют администраторам управлять Outlook Web App, Microsoft ActiveSync, автономной адресной книгой (OAB), автообнаружением, Windows PowerShell и виртуальными каталогами Центра администрирования Exchange на отдельных серверах. | Сервер |
FederatedSharing |
Роль федеративного общего доступа | Этот тип роли связан с ролями, которые позволяют администраторам управлять межлесным и межорганизационным общим доступом в организации. | Организация |
InformationRightsManagement |
Роль управления правами на доступ к данным | Этот тип роли связан с ролями, которые позволяют администраторам управлять функциями управления правами на доступ к данным Exchange в организации. | Организация |
Journaling |
Роль ведения журнала | Этот тип роли связан с ролями, которые позволяют администраторам управлять конфигурацией ведения журнала в организации. | Организация |
LegalHold |
Роль хранения для судебного разбирательства | Этот тип роли связан с ролями, которые позволяют администраторам настраивать хранение данных в почтовых ящиках организации для судебного удержания. | Организация |
MailboxImportExport |
Роль импорта и экспорта почтового ящика | Этот тип роли связан с ролями, которые позволяют администраторам импортировать и экспортировать содержимое почтовых ящиков, а также удалять нежелательное содержимое из почтовых ящиков. | Организация |
MailboxSearch |
Роль поиска в почтовом ящике | Этот тип роли связан с ролями, которые позволяют администраторам выполнять поиск в содержимом одного или нескольких почтовых ящиков организации. | Организация |
MailboxSearchApplication |
Роль MailboxSearchApplication | Этот тип ролей связан с ролями, которые позволяют партнерским приложениям задавать и просматривать состояние удержания по юридическим причинам для почтового ящика в организации. | Организация |
MailEnabledPublicFolders |
Роль общедоступных папок с включенной поддержкой почты | Этот тип роли связан с ролями, которые позволяют администраторам включать или отключать поддержку почты для отдельных общих папок в организации. Этот тип ролей позволяет управлять только свойствами общедоступных папок, относящимися к электронной почте. Он не позволяет управлять свойствами общедоступных папок, которые не являются свойствами почты. Чтобы управлять свойствами общедоступных папок, которые не являются свойствами электронной почты, необходимо назначить роль, связанную с типом PublicFolders роли. |
Организация |
MailRecipientCreation |
Роль создания получателя электронной почты | Этот тип роли связан с ролями, которые позволяют администраторам создавать почтовые ящики, пользователей почты, почтовые контакты, группы рассылки и динамические группы рассылки в организации. Роли, связанные с этим типом роли, можно объединить с ролями, связанными с типом MailRecipients роли, чтобы обеспечить создание получателей и управление ими. Этот тип роли не позволяет включать поддержку почты для общих папок. Чтобы включить отправку почты в общедоступные папки, вам должна быть назначена роль, связанная с типом MailEnabledPublicFolders роли. Если в вашей организации используется модель разделенных разрешений, в которой создание получателей выполняется группой, отличной от группы, выполняющей управление получателями, назначьте MailRecipientCreation роль группе, которая выполняет создание получателей, а MailRecipients роль — группе, которая выполняет управление получателями. |
Организация |
MailRecipients |
Роль получателей почты | Этот тип роли связан с ролями, которые позволяют администраторам управлять существующими почтовыми ящиками, почтовыми пользователями, почтовыми контактами, группами рассылки и динамическими группами рассылки в организации. Роли, связанные с этим типом роли, не могут создавать этих получателей, но их можно объединять с ролями, связанными с типом MailRecipientCreation роли, чтобы обеспечить создание получателей и управление ими. Этот тип роли не позволяет управлять общими папками или группами рассылки с включенной поддержкой почты. Для управления общедоступными папками с поддержкой почты необходимо назначить роль, связанную с типом MailEnabledPublicFolders роли. Для управления группами рассылки необходимо назначить роль, связанную с типом DistributionGroups роли. Если в вашей организации используется модель разделенных разрешений, в которой создание получателей выполняется группой, отличной от группы, выполняющей управление получателями, назначьте MailRecipientCreation роль группе, которая выполняет создание получателей, а MailRecipients роль — группе, которая выполняет управление получателями. |
Организация |
MailTips |
Роль советов по использованию электронной почты | Этот тип роли связан с ролями, которые позволяют администраторам управлять подсказками в организации. | Организация |
MessageTracking |
Роль отслеживания сообщений | Этот тип роли связан с ролями, которые позволяют администраторам отслеживать сообщения в организации. | Организация |
Migration |
Роль переноса | Этот тип роли связан с ролями, которые позволяют администраторам переносить почтовые ящики и их содержимое, как с сервера, так и на сервер. | Сервер |
Monitoring |
Роль мониторинга | Этот тип роли связан с ролями, которые позволяют администраторам контролировать службы и доступность компонентов Microsoft Exchange в организации. Помимо администраторов, роли, связанные с этим типом роли, могут использоваться вместе с учетной записью службы, используемой приложениями отслеживания, для сбора данных о состоянии серверов Exchange. | Организация |
MoveMailboxes |
Роль перемещения почтовых ящиков | Этот тип роли связан с ролями, которые позволяют администраторам перемещать почтовые ящики между серверами одной организации и между серверами локальной и другой организаций. | Организация |
OfficeExtensionApplication |
Роль OfficeExtensionApplication | Этот тип ролей связан с ролями, которые позволяют приложениям-расширениям Microsoft Office получить доступ к пользовательским почтовым ящикам в организации. | Организация |
OrgCustomApps |
Роль "Настраиваемые приложения Org" | Этот тип ролей связан с ролями, которые позволяют администраторам просматривать и изменять настраиваемые приложения своей организации. | Организация |
OrgMarketplaceApps |
Роль "Приложения Org Marketplace" | Этот тип ролей связан с ролями, которые позволяют администраторам просматривать и изменять приложения своей организации в магазине. | Организация |
OrganizationClientAccess |
Роль клиентского доступа организации | Этот тип роли связан с ролями, которые позволяют администраторам управлять параметрами сервера клиентского доступа в организации. | Организация |
OrganizationConfiguration |
Роль конфигурации организации | Этот тип роли связан с ролями, которые позволяют администраторам управлять параметрами организации в организации. Конфигурация организации, которой можно управлять с помощью этого типа роли, включает в себя параметры, некоторые из которых приведены ниже.
Этот тип роли не включает разрешения, включенные в |
Организация |
OrganizationTransportSettings |
Роль параметров транспорта организации | Этот тип ролей связан с ролями, которые позволяют администраторам управлять транспортными параметрами во всей организации, такими как системные сообщения, конфигурация Active Directory и другие транспортные параметры масштаба всей организации. Эта роль не позволяет создавать или управлять соединителями получения и отправки, очередями, санацией, агентами, удаленными и обслуживаемыми доменами или правилами транспорта. Для создания или управления каждой из функций транспорта необходимо назначение ролей, связанных со следующими типами ролей:
|
Организация |
POP3AndIMAP4Protocols |
Роль протоколов POP3 и IMAP4 | Этот тип роли связан с ролями, которые позволяют администраторам управлять конфигурацией POP3 и IMAP4, например параметрами проверки подлинности и подключения, на отдельных серверах. | Сервер |
PublicFolders |
Роль общедоступных папок | Этот тип роли связан с ролями, которые позволяют администраторам управлять общими папками в организации. Этот тип ролей не позволяет вам управлять включением поддержки почты для общедоступных папок. Чтобы включить или отключить общедоступную папку, необходимо назначить роль, связанную с типом MailEnabledPublicFolders роли. |
Организация |
ReceiveConnectors |
Роль соединителей получения | Этот тип роли связан с ролями, которые позволяют администраторам управлять конфигурацией соединителя получения транспорта, например ограничениями размера на отдельном сервере. | Сервер |
RecipientPolicies |
Роль политик получателя | Этот тип ролей связан с ролями, которые позволяют администраторам управлять политиками получателей, такими как политики мобильных устройств и подготовки, в организации. | Организация |
RemoteAndAcceptedDomains |
Роль удаленных и обслуживаемых доменов | Этот тип роли связан с ролями, которые позволяют администраторам управлять удаленными и обслуживаемыми доменами в организации. | Организация |
ResetPassword |
Роль сброса пароля | Этот тип роли связан с ролями, которые позволяют пользователям сбрасывать собственные пароли, а администраторам сбрасывать пароли пользователей в организации. | Организация |
RetentionManagement |
Роль управления хранением | Этот тип роли связан с ролями, которые позволяют администраторам управлять политиками хранения в организации. | Организация |
RoleManagement |
Роль управления ролями | Этот тип роли связан с ролями, которые позволяют администраторам управлять группами ролей управления, политиками назначения ролей, ролями управления, записями ролей, назначениями и областями в организации. Пользователи, которым назначены роли, связанные с этим типом роли, могут переопределять role group managed by свойством, настраивать любую группу ролей, а также добавлять или удалять участников в определенной группе ролей. |
Организация |
SecurityGroupCreationAndMembership |
Роль создания и членства в группе безопасности | Этот тип роли связан с ролями, которые позволяют администраторам создавать универсальные группы безопасности и управлять ими, а также их членством в организации. Если в организации используется модель разделения разрешений, при которой создание универсальных групп безопасности и управление ими осуществляется группой, отличной от группы, управляющей серверами Exchange, этой группе необходимо назначить роли, связанные с этим типом роли. |
Организация |
SendConnectors |
Роль соединителей отправки | Этот тип роли связан с ролями, которые позволяют администраторам управлять соединителями отправки транспорта в организации. | Организация |
SupportDiagnostics |
Роль поддержки диагностики | Этот тип роли связан с ролями, которые позволяют администраторам проводить расширенную диагностику под руководством службы технической поддержки Майкрософт в организации. Примечание. Роли, связанные с этим типом роли, предоставляют разрешения командлетам и сценариям, которые должны использоваться только под руководством службы поддержки и поддержки майкрософт. |
Организация |
TeamMailboxes |
Роль почтовых ящиков рабочей группы | Этот тип ролей связан с ролями, которые позволяют администраторам определить одну или несколько политик подготовки почтовых ящиков сайта и управлять почтовыми ящиками сайтов в организации. Назначенные роли администраторов, связанные с этим типом ролей, могут управлять почтовыми ящиками сайта, которыми они не владеют. | Организация |
TeamMailboxLifecycleApplication |
Роль TeamMailboxLifecycleApplication | Этот тип ролей связан с ролями, которые позволяют партнерским приложениям изменять состояния жизненного цикла почтовых ящиков сайтов в организации. | Организация |
TransportAgents |
Роль агентов транспорта | Этот тип роли связан с ролями, которые позволяют администраторам управлять агентами транспорта в организации. | Организация |
TransportHygiene |
Роль санации транспорта | Этот тип ролей связан с ролями, которые позволяют администраторам управлять функциями борьбы с нежелательной почтой и вредоносным ПО в организации. | Организация |
TransportQueues |
Роль очередей транспорта | Этот тип роли связан с ролями, которые позволяют администраторам управлять очередями транспорта на отдельном сервере. | Сервер |
TransportRules |
Роль правил транспорта | Этот тип роли связан с ролями, которые позволяют администраторам управлять правилами транспорта в организации. | Организация |
UMMailboxes |
Роль почтовых ящиков единой системы обмена сообщениями | Этот тип роли связан с ролями, которые позволяют администраторам управлять конфигурацией единой системы обмена сообщениями почтовых ящиков и других получателей в организации. | Организация |
UMPrompts |
Роль запросов единой системы обмена сообщениями | Этот тип роли связан с ролями, которые позволяют администраторам создавать пользовательские голосовые приглашения единой системы обмена сообщениями в организации, а также управлять ими. | Организация |
UnifiedMessaging |
Роль единой системы обмена сообщениями | Этот тип ролей связан с ролями, которые позволяют администраторам управлять службами единой системы обмена сообщениями в организации. Эта роль не позволяет управлять конфигурацией почтового ящика единой системы обмена сообщениями или запросами этой системы. Чтобы управлять конфигурацией почтового ящика для единой системы обмена сообщениями, используйте роли, связанные с типом UMMailboxes роли. Для управления запросами единой системы обмена сообщениями используйте роли, связанные с типом UMPrompts роли. |
Организация |
UnScopedRoleManagement |
Роль управления с незаданной областью | Этот тип роли связан с ролями, которые позволяют администраторам создавать роли управления верхнего уровня с незаданной областью в организации, а также управлять ими. | Организация |
UserOptions |
Роль параметров пользователя | Этот тип роли связан с ролями, которые позволяют администраторам просматривать параметры Outlook Web App пользователя в организации. Роли, связанные с этим типом роли, можно использовать для оказания пользователю помощи при диагностике неполадок конфигурации. | Организация |
UserApplication |
Роль UserApplication | Этот тип ролей связан с ролями, которые позволяют партнерским приложениям действовать от имени конечных пользователей в организации. | Организация |
ViewOnlyAuditLogs |
Роль только для просмотра журналов аудита | Этот тип роли связан с ролями, которые позволяют администраторам выполнять поиск в журнале аудита администратора в организации. | Организация |
ViewOnlyConfiguration |
Роль конфигурации с правами только на просмотр | Этот тип роли связан с ролями, которые позволяют администраторам просматривать все параметры конфигурации, не относящейся к получателю Exchange, в организации. Примерами конфигураций, доступных для просмотра, являются конфигурации сервера, транспорта, базы данных и всей организации. Роли, связанные с этим типом роли, можно объединить с ролями, связанными с ViewOnlyRecipients типом роли, чтобы создать роль, которая может просматривать каждый объект в организации. |
Организация |
ViewOnlyRecipients |
Роль получателей с правами только на просмотр | Этот тип роли связан с ролями, которые позволяют администраторам просматривать конфигурацию получателей, например, почтовые ящики, пользователей почты, почтовые контакты, группы рассылки и динамические группы рассылки. Роли, связанные с этим типом роли, можно объединить с ролями, связанными с ViewOnlyConfiguration типом роли, чтобы создать роль, которая может просматривать каждый объект в организации. |
Организация |
WorkloadManagement |
Роль WorkloadManagement | Этот тип ролей связан с ролями, которые позволяют администраторам контролировать политики управления рабочими нагрузками в организации. Администраторы могут настраивать определения работоспособности ресурсов, классификации рабочих нагрузок, а также включать и выключать управление рабочими нагрузками. | Организация |
В приведенной ниже таблице перечислены все типы ролей управления, ориентированные на пользователя, и связанные с ними роли управления в Exchange 2013.
| Тип роли управления | Встроенные роли, ориентированные на пользователя | Описание |
|---|---|---|
MyBaseOptions |
Роль MyBaseOptions | Этот тип роли связан с ролями, которые позволяют отдельным пользователям просматривать и изменять базовую конфигурацию почтового ящика и связанных параметров. |
MyContactInformation |
Роль MyAddressInformation Роль MyContactInformation Роль MyMobileInformation MyPersonalInformation роли |
Этот тип роли связан с ролями, которые позволяют отдельным пользователям изменять контактную информацию. Эта информация включает в себя адреса и телефонные номера. |
MyCustomApps |
Роль "Мои настраиваемые приложения" | Этот тип ролей связан с ролями, которые позволяют индивидуальным пользователям просматривать и изменять свои настраиваемые приложения. |
MyDiagnostics |
Роль MyDiagnostics | Этот тип роли связан с ролями, позволяющими отдельным пользователям выполнять базовую диагностику на их почтовом ящике, например, получать сведения о диагностике календаря. |
MyDistributionGroupMembership |
Роль MyDistributionGroupMembership | Этот тип роли связан с ролями, которые позволяют отдельным пользователям просматривать и изменять членство в группах рассылки в организации в том случае, если эти группы рассылки допускают управление членством в группах. |
MyDistributionGroups |
Роль MyDistributionGroups | Этот тип роли связан с ролями, которые позволяют отдельным пользователям создавать, изменять и просматривать группы рассылки, а также изменять, просматривать, удалять и добавлять участников в принадлежащие им группы рассылки. |
MyProfileInformation |
Роль MyDisplayName Роль MyName Роль MyProfileInformation |
Этот тип роли связан с ролями, которые позволяют отдельным пользователям изменять имя. |
MyMarketplaceApps |
Роль My Marketplace Apps | Этот тип ролей связан с ролями, которые позволяют индивидуальным пользователям просматривать и изменить свои приложения в магазине. |
MyRetentionPolicies |
Роль MyRetentionPolicies | Этот тип роли связан с ролями, которые позволяют отдельным пользователям просматривать теги хранения, а также просматривать и изменять параметры тегов хранения и параметры по умолчанию. |
MyTeamMailboxes |
Роль MyTeamMailboxes | Этот тип ролей связан с ролями, которые позволяют индивидуальным пользователям создавать почтовые ящики сайтов и соединять их с сайтами Microsoft SharePoint. |
MyTextMessaging |
Роль MyTextMessaging | Этот тип роли связан с ролями, которые позволяют отдельным пользователям создавать, просматривать и изменять параметры текстовых сообщений. |
MyVoiceMail |
Роль MyVoiceMail | Этот тип роли связан с ролями, которые позволяют отдельным пользователям просматривать и изменять параметры голосовых сообщений. |