Роли управления являются частью модели разрешений на основе ролей контроль доступа (RBAC), используемой в Microsoft Exchange Server 2013 г. Роли выступают в качестве логической группировки командлетов, объединенных для предоставления доступа к просмотру или изменению конфигурации компонентов Exchange 2013, таких как почтовые ящики, правила транспорта и получатели. Роли управления могут быть далее объединены в большие группировки, названные группами и политиками назначения, которые позволяют вести управление многими компонентами и конфигурацией получателей. Группы ролей и политики назначения ролей назначают разрешения для администраторов и конечных пользователей соответственно. Дополнительные сведения о группах ролей управления и политиках назначения ролей управления см. в разделе Understanding Role Based Access Control.
Примечание
В данном разделе рассматриваются расширенные возможности управления доступом на основе ролей (RBAC). Если вы хотите управлять базовыми разрешениями Exchange 2013, например с помощью Центра администрирования Exchange (EAC) для добавления и удаления участников групп ролей, создания и изменения групп ролей или создания и изменения политик назначения ролей, см. раздел Разрешения.
Области ролей управления и назначения ролей управления являются важными компонентами для работы ролей управления. Дополнительные сведения об этих компонентах см. в следующих разделах.
Ищете задачи управления, связанные с ролями управления? См . раздел Разрешения.
Встроенные роли управления
Сервер Exchange 2013 предоставляет множество встроенных ролей управления, которые можно использовать для администрирования организации. Каждая роль включает в себя командлеты и параметры, необходимые пользователям для управления определенными компонентами Exchange. Ниже приведены примеры некоторых встроенных ролей управления:
Получатели почты. Позволяет администраторам управлять почтовыми ящиками, контактами и пользователями почты.
Правила транспорта. Позволяет администраторам или пользователям-специалистам, которым назначена роль для управления функцией правил транспорта.
Группы рассылки. Позволяет администраторам или пользователям-специалистам, которым назначена роль для управления группами рассылки и членами группы рассылки.
MyPersonalInformation: позволяет конечным пользователям изменять собственный номер домашнего телефона и адрес веб-сайта.
Из встроенных ролей Exchange 2013 можно составить любую комбинацию для создания модели разрешений данного предприятия. Например, чтобы члены группы ролей могли управлять получателями и общими папками, необходимо назначить для этой группы ролей роль получателей почты и роль общих папок. В большинстве случаев роли назначаются для групп ролей или политик назначения ролей. Также, чтобы детально управлять разрешениями, можно назначить роли управления непосредственно пользователям. Чтобы упростить модель разрешений, рекомендуется использовать группы ролей и политики назначения ролей вместо непосредственного назначения роли пользователю.
Примечание
Роли управления конечного пользователя могут быть назначены только политикам назначения ролей.
Изменение встроенных ролей управления невозможно. Однако можно создать роли управления на основе встроенных ролей управления, а затем назначить эти новые роли группам ролей или политикам назначения ролей. Затем можно изменить новые роли управления в соответствии с предпочтениями. Это дополнительная задача, которую требуется выполнять крайне редко.
Дополнительные сведения о создании настраиваемых ролей на основе встроенных ролей Exchange см. в разделе Настраиваемые роли управления далее в этом разделе.
Чтобы они вступили в силу, необходимо назначить роли управления. В большинстве случаев роли управления назначаются для групп ролей и политик назначения ролей. В определенных ситуациях можно также назначить роли непосредственно для пользователей, хотя это дополнительная задача, которую требуется выполнять крайне редко.
Дополнительные сведения о назначении ролей управления см. в следующих разделах:
Высокоуровневые роли управления с незаданной областью
Роли управления верхнего уровня с незаданной областью представляют собой специальный тип роли управления, который позволяет предоставить пользователям доступ к настраиваемым сценариям и командлетам, не относящимся к Exchange, с помощью системы управления доступом на основе ролей (RBAC). Обычные роли управления предоставляют доступ только к командлетам Exchange. Чтобы предоставить доступ к командлетам, не относящимся к Exchange и запущенным на сервере Exchange, или опубликовать сценарий, который может быть выполнен данными пользователями, необходимо добавить их к роли с незаданной областью. Они называются ролями верхнего уровня, так как при первом создании роли с незаданной областью без образования от родительской роли у нее отсутствует родительский объект и она является равноправной по отношению ко встроенным ролям управления, включенным в Exchange 2013. Чтобы указать, что вы хотите создать незапланированную запись роли верхнего уровня, необходимо использовать параметр UnscopedTopLevel с командлетом New-ManagementRole .
Роли с незаданной областью получили такое название в связи с тем что, в отличие от обычных ролей управления, они не могут быть ограничены определенной целью. Роли с незаданной областью всегда действуют в масштабах всей организации. Это значит, что сотрудник, которому назначена роль с незаданной областью, может изменять любой объект в организации Exchange 2013. По этой причине необходимо обеспечить доступ к сценариям и командлетам с помощью роли с незаданной областью и тщательно проверить их, что позволит быть осведомленным об изменяемых объектах, а также правильно назначить роли с незаданной областью.
Роли с незаданной областью можно назначать для уполномоченных ролей, например групп ролей, ролей управления, пользователей и универсальных групп безопасности. Их нельзя назначать для политик назначения ролей управления.
Хотя добавление командлетов Exchange в качестве записи роли управления к роли с незаданной областью невозможно, их можно включать в сценарии, добавленные в качестве записей роли. Это позволяет создать настраиваемые сценарии, выполняющие задачи Exchange, которые далее можно назначить пользователям. Этот сценарий полезен, когда пользователю необходимо выполнить высокопривилегированную задачу, находящуюся за пределами его или ее административного уровня, и когда создание новой роли управления или группы ролей будет проблематичным. Можно создать сценарий, который выполняет эту конкретную функцию, добавить его в роль с незаданной областью, а затем назначить эту роль пользователю. Далее пользователь может выполнять только данную конкретную функцию, предоставленную сценарием.
Записи роли, добавляемые в роль с незаданной областью, также должны быть обозначены в качестве записи роли верхнего уровня с незаданной областью. Дополнительные сведения о записях роли верхнего уровня с незаданной областью см. в подразделе Unscoped Top-Level Role Entries далее в этом разделе.
Группа ролей "Управление организацией" по умолчанию не имеет разрешений на создание групп ролей без параметров или управление ими. Это препятствует случайному созданию или изменению групп ролей с незаданной областью. Группа ролей "Управление организацией" может делегировать роль управления "Управление ролями без ролей" себе и другим назначенным ролям. Дополнительные сведения о том, как создать неуправляемую роль управления верхнего уровня, см. в разделе Создание неуправляемой роли.
Пользовательские роли управления
Если встроенные роли управления не отвечают потребностям пользователей, можно создать настраиваемые роли управления на основе встроенных ролей Exchange. При создании настраиваемой роли управления новая дочерняя роль наследует все записи роли управления от родительской роли. Далее можно выбрать, какие записи роли управления необходимо сохранить в настраиваемой роли управления, и удалить все ненужные записи.
Настраиваемые роли становятся дочерними относительно роли, использовавшейся для создания новой роли. Записи роли управления можно использовать только в новой дочерней роли, которая существует в родительской роли. Дополнительные сведения см. в следующих подразделах этого раздела^
Management Role Hierarchy
Management Role Entries
Создание настраиваемых ролей управления предполагает выполнение множества шагов и является дополнительной задачей, которую требуется выполнять крайне редко. Перед созданием настраиваемой роли управления убедитесь, что ни одна из существующих встроенных ролей управления не предоставляет необходимых разрешений. Дополнительные сведения о встроенных ролях управления или о создании настраиваемых ролей управления см. в следующих разделах:
Дополнительные сведения о создании роли управления см. в разделе Создание роли.
Иерархия ролей управления
В родительской и дочерней иерархиях имеются роли управления. В верхней части иерархии расположены встроенные роли управления, предоставляемые в Exchange 2013 по умолчанию. При создании роли создается копия родительской роли. Новая роль представляет собой дочерний объект той роли, на основе которой была сделана копия. Далее можно настроить новую роль в соответствии с потребностями администраторов или пользователей, которым ее необходимо назначить.
Настраиваемые роли можно использовать для создания новых ролей. При создании новой роли из существующей настраиваемой роли последняя остается дочерним объектом относительно своей родительской роли, но при этом становится родительским объектом для новой роли. При каждом копировании роли новая дочерняя роль может содержать только те записи ролей, которые существуют в непосредственной родительской роли.
Каждой роли управления присваивается тип роли, который нельзя изменить. Тип роли определяет основной контекст ее использования. Тип роли копируется из родительской роли при создании дочерней роли.
На приведенном выше рисунке показана иерархическая связь нескольких ролей управления. Роли получателей почты и службы поддержки это встроенные роли. Все дочерние роли, образованные от этих ролей, наследуют тип роли от каждой встроенной роли. Например, все дочерние роли, прямо или косвенно производные от роли Получатели почты, MailRecipients наследуют тип роли .
Настраиваемая роль администраторов получателей в Сиэтле является дочерним объектом по отношению к встроенной роли получателей почты, но также является родительским объектом для настраиваемой роли администраторов получателей продаж в Сиэтле и настраиваемой роли администраторов получателей юристов в Сиэтле. Настраиваемая роль администраторов получателей в Сиэтле содержит только подмножество командлетов, доступных в роли получателей почты. Дочерние роли настраиваемой роли администраторов получателей в Сиэтле могут содержать только те командлеты, которые существуют в этой роли. Например, если командлет существует в роли получателей почты, но отсутствует в настраиваемой роли администраторов получателей в Сиэтле, то этот командлет невозможно добавить в настраиваемую роль администраторов получателей продаж.
Все настраиваемые роли соответствуют одному шаблону, подобно описанным выше ролям. Дополнительные сведения об управлении доступом к командлетам в ролях управления см. ниже в разделе Management Role Entries.
Записи ролей управления
Каждая роль управления, настраиваемая роль Exchange или роль с незаданной областью, должна иметь не менее одной записи роли управления. Запись состоит из отдельного командлета и его параметров, сценария или специального разрешения, которое необходимо сделать доступным. Если командлет или сценарий не отображается в качестве записи в роли управления, то этот командлет или сценарий через эту роль недоступен. Подобным образом, если параметр отсутствует в записи, то этот параметр или сценарий через эту роль недоступен.
Exchange 2013 позволяет управлять записями ролей на основе встроенных ролей верхнего уровня управления Exchange и записей ролей на основе несеченных ролей управления верхнего уровня. Роли, основанные на встроенных ролях верхнего уровня Exchange, могут содержать только записи ролей, которые являются командлетами Exchange 2013. Чтобы добавить пользовательские скрипты или командлеты, отличные от Exchange, чтобы пользователи могли их использовать, необходимо добавить их в качестве незапланированных записей ролей в неотеченную роль верхнего уровня. Дополнительные сведения о записях ролей с незаданной областью см. ниже в разделе Unscoped Top-Level Role Entries.
Все записи роли, независимо от того, является ли запись роли основанной на командлете Exchange или записью роли с незаданной областью, следуют одним и тем же принципам, описанным в следующих разделах.
Родительские и дочерние отношения ролей управления
Как упоминалось ранее, для добавления записи в дочернюю роль запись роли управления, включающая в себя командлет и его параметры, должна существовать в непосредственной родительской роли. Например, если родительская роль не имеет записи для командлета New-Mailbox, то для дочерней роли этот командлет не может быть назначен. Кроме того, если Set-Mailbox находится в родительской роли, но параметр Database удален из записи, параметр Database в командлете Set-Mailbox нельзя добавить в запись дочерней роли.
Так как добавление записей ролей управления в дочерние роли невозможно, если эти записи не отображаются в родительских ролях, и так как роль основывается на определенном типе роли, то необходимо тщательно выбирать родительскую роль для копирования перед созданием настраиваемой роли.
Имена записей ролей управления
Имена записей роли управления представляют собой комбинацию роли управления, с которой они связаны, а также имени командлета или сценария. Имя роли и командлет или сценарий разделены между собой символом обратной косой черты (\). Например, имя записи роли для командлета Set-Mailbox в роли Получатели почты — Mail Recipients\Set-Mailbox. Если в имени записи роли имеются пробелы, заключите название целиком в кавычки (").
В имени записи роли можно использовать подстановочный знак (*) для получения всех записей роли, которые соответствуют вводимым данным. Подстановочный знак можно поставить с любой стороны символа обратной косой черты. В следующей таблице приведено несколько способов использования подстановочного знака в имени записи роли.
Пример
Описание
*\*
Возвращает список всех записей роли для всех ролей.
*\Set-Mailbox
Возвращает список всех записей роли, которые содержат командлет Set-Mailbox.
Mail Recipients\*
Возвращает список всех записей роли в роли получателей почты.
Mail Recipients\*Mailbox
Возвращает список всех записей роли в роли получателей почты, содержащих командлеты, оканчивающиеся на Mailbox.
My*\*Group*
Возвращает список всех записей роли, которые содержат строку Group в имени командлета, для всех ролей, начинающихся с My.
Записи роли верхнего уровня с незаданной областью
Записи роли верхнего уровня с незаданной областью используются вместе с ролями управления верхнего уровня с незаданной областью для создания ролей на основе пользовательских сценариев или командлетов, не относящихся к Exchange. Каждая запись роли с незаданной областью связана с отдельным пользовательским сценарием или командлетом, не относящимся к Exchange. Чтобы указать, что вы хотите создать запись роли без параметров для роли без параметров, необходимо указать параметр UnscopedTopLevel в командлете Add-ManagementRoleEntry .
При добавлении записи роли с незаданной областью необходимо указать все параметры, которые могут использоваться вместе со сценарием или командлетом, не относящимся к Exchange. Exchange выполнит попытку проверить параметры, указанные при добавлении записи роли. Пользователям, назначенным для роли с незаданной областью, будут доступны только параметры, добавленные к записи роли при ее создании. При добавлении параметров в сценарий или командлет, не относящийся к Exchange, или при переименовании параметра необходимо обновить запись роли вручную. Exchange не выполняет проверку наличия изменений в существующих параметрах записи роли с незаданной областью. При использовании параметра записи роли, измененного в сценарии, команда не будет выполнена.
Сценарии, добавляемые к записи роли с незаданной областью, должны находиться в каталоге сценариев Exchange 2013 на каждом сервере, администраторы и пользователи которого выполняют подключение с помощью консоли управления Exchange. При попытке добавить запись роли с незаданной областью на основе сценария, отсутствующего в каталоге сценариев Exchange 2013 на сервере, который используется для добавления записи роли, произойдет ошибка. Расположением установки по умолчанию каталога сценариев Exchange 2013 является C:\Program Files\Microsoft\Exchange Server\V15\RemoteScripts или %ExchangeInstallPath%RemoteScripts.
Командлеты, не относящиеся к Exchange, добавляемые в запись роли с незаданной областью, должны быть установлены на каждом сервере Exchange 2013, администраторы и пользователи которого выполняют подключение с помощью командной консоли, если им необходимо использовать эти командлеты. При попытке добавить запись роли с незаданной областью на основе командлета, не относящегося к Exchange, который не установлен на сервере Exchange 2013, используемом для добавления записи роли, произойдет ошибка. При добавлении командлета, не относящегося к Exchange, необходимо указать имя оснастки Windows PowerShell, которая содержит командлет, не относящийся к Exchange.
Дополнительные сведения о добавлении записи роли управления с незаданной областью см. в разделе Добавьте запись роли в роли.
Типы ролей управления
Типы ролей управления представляют собой основу для всех ролей управления. Типы определяют неявные области, определенные во всех ролях управления указанного типа роли, а также служат для логической группировки соответствующих ролей. Все роли управления, образованные от родительской встроенной роли управления, относятся к одному типу роли. Эти отношения представлены на рисунке "Иерархия ролей управления" выше в этом разделе. Типы ролей управления также представляют собой максимальный набор командлетов и их параметров, который можно добавить в роль, связанную с типом роли.
Типы ролей управления делятся на следующие категории.
Администратор или специалист. Роли, связанные с типами административных или специализированных ролей, имеют более широкую область влияния на организацию Exchange. Роли этого типа позволяют выполнять такие задачи, как управление сервером или получателями, настройка организации, администрирование в соответствии с требованиями, аудит и другие.
Ориентированные на пользователей роли. Роли, связанные с типом роли, ориентированного на пользователя, имеют область влияния, тесно связанную с отдельным пользователем. Роли этого типа позволяют выполнять такие задачи, как настройка профиля пользователя и самоуправление, управление пользовательскими группами рассылки и другие.
Имена ролей, связанных с типами ролей, ориентированных на пользователя, и имена типов ролей, ориентированных на пользователя, начинаются с My.
Специализация. Роли, связанные с типами специализированных ролей, позволяют выполнять задачи, которые не являются административными или ориентированными на пользователя типами ролей. Роли этого типа позволяют выполнять такие задачи, как олицетворение приложения и использование сценариев и командлетов, не относящихся к Exchange.
В следующей таблице перечислены все типы административных ролей управления в Exchange 2013 и указано, применяется ли конфигурация, разрешенная типом роли, во всей организации Exchange или только к отдельному серверу. Дополнительные сведения о каждой из ролей управления, связанных с этими типами ролей, включая описание каждой роли, которые могут извлечь выгоду из назначения роли, и другие сведения см. в разделе Встроенные роли управления.
Этот тип роли связан с ролями, которые позволяют администраторам настраивать разрешения Active Directory в организации. Некоторые функции, которые используют разрешения Active Directory или список управления доступом (ACL), включают в себя транспортные соединители отправки и получения, а также разрешения для почтовых ящиков "Отправить как" и "Отправить от имени".
Примечание. Разрешения, заданные непосредственно для объектов Active Directory, могут не применяться с помощью RBAC.
Этот тип ролей связан с ролями, которые позволяют администраторам управлять списками адресов, глобальными списками адресов, а также автономными списками адресов в организации.
Этот тип роли связан с ролями, которые позволяют приложениям олицетворять пользователей в организации для выполнения задач от имени этих пользователей.
Этот тип роли связан с ролями, которые позволяют администраторам управлять группами обеспечения доступности баз данных (DAG) в организации. Администраторы, которым эта роль назначена напрямую или косвенно, являются администраторами наивысшего уровня, ответственными за обслуживание конфигурации высокой доступности в организации.
Этот тип ролей связан с ролями, которые позволяют администраторам создавать, контролировать, подключать и отключать базы данных почтовых ящиков на индивидуальных серверах.
Этот тип ролей связан с ролями, которые позволяют администраторам восстанавливать почтовые ящики и базы данных почтовых ящиков, создавать базы данных почтовых ящиков, а также выполнять переключения ЦОД для групп обеспечения доступности баз данных в организации.
Этот тип роли связан с ролями, которые позволяют администраторам управлять синхронизацией пограничных серверов и конфигурацией подписки между этими серверами Exchange 2010 и серверами почтовых ящиков Exchange 2013 в организации.
Этот тип роли связан с ролями, которые позволяют администраторам создавать, импортировать, экспортировать и управлять сертификатам сервера Exchange на отдельных серверах.
Этот тип роли связан с ролями, которые позволяют администраторам управлять Outlook Web App, Microsoft ActiveSync, автономной адресной книгой (OAB), автообнаружением, Windows PowerShell и виртуальными каталогами Центра администрирования Exchange на отдельных серверах.
Этот тип роли связан с ролями, которые позволяют администраторам импортировать и экспортировать содержимое почтовых ящиков, а также удалять нежелательное содержимое из почтовых ящиков.
Этот тип ролей связан с ролями, которые позволяют партнерским приложениям задавать и просматривать состояние удержания по юридическим причинам для почтового ящика в организации.
Этот тип роли связан с ролями, которые позволяют администраторам включать или отключать поддержку почты для отдельных общих папок в организации.
Этот тип ролей позволяет управлять только свойствами общедоступных папок, относящимися к электронной почте. Он не позволяет управлять свойствами общедоступных папок, которые не являются свойствами почты. Чтобы управлять свойствами общедоступных папок, которые не являются свойствами электронной почты, необходимо назначить роль, связанную с типом PublicFolders роли.
Этот тип роли связан с ролями, которые позволяют администраторам создавать почтовые ящики, пользователей почты, почтовые контакты, группы рассылки и динамические группы рассылки в организации. Роли, связанные с этим типом роли, можно объединить с ролями, связанными с типом MailRecipients роли, чтобы обеспечить создание получателей и управление ими.
Этот тип роли не позволяет включать поддержку почты для общих папок. Чтобы включить отправку почты в общедоступные папки, вам должна быть назначена роль, связанная с типом MailEnabledPublicFolders роли.
Если в вашей организации используется модель разделенных разрешений, в которой создание получателей выполняется группой, отличной от группы, выполняющей управление получателями, назначьте MailRecipientCreation роль группе, которая выполняет создание получателей, а MailRecipients роль — группе, которая выполняет управление получателями.
Этот тип роли связан с ролями, которые позволяют администраторам управлять существующими почтовыми ящиками, почтовыми пользователями, почтовыми контактами, группами рассылки и динамическими группами рассылки в организации. Роли, связанные с этим типом роли, не могут создавать этих получателей, но их можно объединять с ролями, связанными с типом MailRecipientCreation роли, чтобы обеспечить создание получателей и управление ими.
Этот тип роли не позволяет управлять общими папками или группами рассылки с включенной поддержкой почты. Для управления общедоступными папками с поддержкой почты необходимо назначить роль, связанную с типом MailEnabledPublicFolders роли. Для управления группами рассылки необходимо назначить роль, связанную с типом DistributionGroups роли.
Если в вашей организации используется модель разделенных разрешений, в которой создание получателей выполняется группой, отличной от группы, выполняющей управление получателями, назначьте MailRecipientCreation роль группе, которая выполняет создание получателей, а MailRecipients роль — группе, которая выполняет управление получателями.
Этот тип роли связан с ролями, которые позволяют администраторам контролировать службы и доступность компонентов Microsoft Exchange в организации. Помимо администраторов, роли, связанные с этим типом роли, могут использоваться вместе с учетной записью службы, используемой приложениями отслеживания, для сбора данных о состоянии серверов Exchange.
Этот тип роли связан с ролями, которые позволяют администраторам перемещать почтовые ящики между серверами одной организации и между серверами локальной и другой организаций.
Этот тип ролей связан с ролями, которые позволяют приложениям-расширениям Microsoft Office получить доступ к пользовательским почтовым ящикам в организации.
Этот тип роли связан с ролями, которые позволяют администраторам управлять параметрами организации в организации. Конфигурация организации, которой можно управлять с помощью этого типа роли, включает в себя параметры, некоторые из которых приведены ниже.
Включение и отключение подсказок в организации.
URL-адрес домашней страницы управляемых папок.
SMTP-адрес и альтернативные адреса электронной почты получателя Microsoft Exchange.
Конфигурация схемы свойства почтового ящика ресурса.
URL-адреса справки для Центра администрирования Exchange и Outlook Web App.
Этот тип роли не включает разрешения, включенные в OrganizationClientAccess типы ролей или OrganizationTransportSettings .
Этот тип ролей связан с ролями, которые позволяют администраторам управлять транспортными параметрами во всей организации, такими как системные сообщения, конфигурация Active Directory и другие транспортные параметры масштаба всей организации.
Эта роль не позволяет создавать или управлять соединителями получения и отправки, очередями, санацией, агентами, удаленными и обслуживаемыми доменами или правилами транспорта. Для создания или управления каждой из функций транспорта необходимо назначение ролей, связанных со следующими типами ролей:
Соединители получения: ReceiveConnectors
Отправка соединителей: SendConnectors
Очереди транспорта: TransportQueues
Транспортная гигиена: TransportHygiene
Агенты транспорта: TransportAgents
Удаленные и обслуживаемые домены: RemoteAndAcceptedDomains
Этот тип роли связан с ролями, которые позволяют администраторам управлять конфигурацией POP3 и IMAP4, например параметрами проверки подлинности и подключения, на отдельных серверах.
Этот тип роли связан с ролями, которые позволяют администраторам управлять общими папками в организации.
Этот тип ролей не позволяет вам управлять включением поддержки почты для общедоступных папок. Чтобы включить или отключить общедоступную папку, необходимо назначить роль, связанную с типом MailEnabledPublicFolders роли.
Этот тип роли связан с ролями, которые позволяют администраторам управлять конфигурацией соединителя получения транспорта, например ограничениями размера на отдельном сервере.
Этот тип ролей связан с ролями, которые позволяют администраторам управлять политиками получателей, такими как политики мобильных устройств и подготовки, в организации.
Этот тип роли связан с ролями, которые позволяют пользователям сбрасывать собственные пароли, а администраторам сбрасывать пароли пользователей в организации.
Этот тип роли связан с ролями, которые позволяют администраторам управлять группами ролей управления, политиками назначения ролей, ролями управления, записями ролей, назначениями и областями в организации.
Пользователи, которым назначены роли, связанные с этим типом роли, могут переопределять role group managed by свойством, настраивать любую группу ролей, а также добавлять или удалять участников в определенной группе ролей.
Этот тип роли связан с ролями, которые позволяют администраторам создавать универсальные группы безопасности и управлять ими, а также их членством в организации.
Если в организации используется модель разделения разрешений, при которой создание универсальных групп безопасности и управление ими осуществляется группой, отличной от группы, управляющей серверами Exchange, этой группе необходимо назначить роли, связанные с этим типом роли.
Этот тип роли связан с ролями, которые позволяют администраторам проводить расширенную диагностику под руководством службы технической поддержки Майкрософт в организации.
Примечание. Роли, связанные с этим типом роли, предоставляют разрешения командлетам и сценариям, которые должны использоваться только под руководством службы поддержки и поддержки майкрософт.
Этот тип ролей связан с ролями, которые позволяют администраторам определить одну или несколько политик подготовки почтовых ящиков сайта и управлять почтовыми ящиками сайтов в организации. Назначенные роли администраторов, связанные с этим типом ролей, могут управлять почтовыми ящиками сайта, которыми они не владеют.
Этот тип роли связан с ролями, которые позволяют администраторам управлять конфигурацией единой системы обмена сообщениями почтовых ящиков и других получателей в организации.
Этот тип роли связан с ролями, которые позволяют администраторам создавать пользовательские голосовые приглашения единой системы обмена сообщениями в организации, а также управлять ими.
Этот тип ролей связан с ролями, которые позволяют администраторам управлять службами единой системы обмена сообщениями в организации.
Эта роль не позволяет управлять конфигурацией почтового ящика единой системы обмена сообщениями или запросами этой системы. Чтобы управлять конфигурацией почтового ящика для единой системы обмена сообщениями, используйте роли, связанные с типом UMMailboxes роли. Для управления запросами единой системы обмена сообщениями используйте роли, связанные с типом UMPrompts роли.
Этот тип роли связан с ролями, которые позволяют администраторам создавать роли управления верхнего уровня с незаданной областью в организации, а также управлять ими.
Этот тип роли связан с ролями, которые позволяют администраторам просматривать параметры Outlook Web App пользователя в организации. Роли, связанные с этим типом роли, можно использовать для оказания пользователю помощи при диагностике неполадок конфигурации.
Этот тип роли связан с ролями, которые позволяют администраторам просматривать все параметры конфигурации, не относящейся к получателю Exchange, в организации. Примерами конфигураций, доступных для просмотра, являются конфигурации сервера, транспорта, базы данных и всей организации.
Роли, связанные с этим типом роли, можно объединить с ролями, связанными с ViewOnlyRecipients типом роли, чтобы создать роль, которая может просматривать каждый объект в организации.
Этот тип роли связан с ролями, которые позволяют администраторам просматривать конфигурацию получателей, например, почтовые ящики, пользователей почты, почтовые контакты, группы рассылки и динамические группы рассылки.
Роли, связанные с этим типом роли, можно объединить с ролями, связанными с ViewOnlyConfiguration типом роли, чтобы создать роль, которая может просматривать каждый объект в организации.
Этот тип ролей связан с ролями, которые позволяют администраторам контролировать политики управления рабочими нагрузками в организации. Администраторы могут настраивать определения работоспособности ресурсов, классификации рабочих нагрузок, а также включать и выключать управление рабочими нагрузками.
Организация
В приведенной ниже таблице перечислены все типы ролей управления, ориентированные на пользователя, и связанные с ними роли управления в Exchange 2013.
Этот тип роли связан с ролями, которые позволяют отдельным пользователям просматривать и изменять базовую конфигурацию почтового ящика и связанных параметров.
Этот тип роли связан с ролями, которые позволяют отдельным пользователям изменять контактную информацию. Эта информация включает в себя адреса и телефонные номера.
Этот тип роли связан с ролями, позволяющими отдельным пользователям выполнять базовую диагностику на их почтовом ящике, например, получать сведения о диагностике календаря.
Этот тип роли связан с ролями, которые позволяют отдельным пользователям просматривать и изменять членство в группах рассылки в организации в том случае, если эти группы рассылки допускают управление членством в группах.
Этот тип роли связан с ролями, которые позволяют отдельным пользователям создавать, изменять и просматривать группы рассылки, а также изменять, просматривать, удалять и добавлять участников в принадлежащие им группы рассылки.
Этот тип роли связан с ролями, которые позволяют отдельным пользователям просматривать теги хранения, а также просматривать и изменять параметры тегов хранения и параметры по умолчанию.
Этот тип ролей связан с ролями, которые позволяют индивидуальным пользователям создавать почтовые ящики сайтов и соединять их с сайтами Microsoft SharePoint.
Этот модуль анализирует использование ролей и групп ролей в модели разрешений Microsoft 365, включая управление ролями, рекомендации по настройке ролей администратора, делегированию ролей и повышению привилегий.
Продемонстрировать навыки для планирования, развертывания, настройки и управления Microsoft Teams, чтобы сосредоточиться на эффективной и эффективной совместной работе и взаимодействии в среде Microsoft 365.
.gif "Иерархическая схема роли управления RBAC")