Общие сведения о назначениях ролей управления

Применимо к: Exchange Server 2010

Последнее изменение раздела: 2009-10-14

Назначение роли управления, которое является в Microsoft Exchange Server 2010 частью модели разрешений управления доступом на основе ролей (RBAC) — это связь между ролью управления и уполномоченным роли. Уполномоченный роли — это группа ролей, политика назначения ролей, пользователь или универсальная группа безопасности. Чтобы применить роль, необходимо назначить ее уполномоченному роли. Дополнительные сведения об управлении доступом на основе ролей см. в разделе Общие сведения об управлении доступом на основе ролей.

Этот раздел содержит сведения о назначении ролей группам ролей, о политиках назначения ролей, а также о прямом назначении ролей пользователям и универсальным группам безопасности. В этом разделе не рассматривается назначение групп ролей или политик назначения ролей пользователям. Дополнительные сведения о группах ролей и политиках назначения ролей, о рекомендуемых способах назначения разрешений пользователям см. в следующих разделах.

• Общие сведения о группах ролей управления
• Общие сведения о политиках назначения роли управления

Можно создавать следующие типы назначений ролей, которые будут подробно рассмотрены далее в этом разделе.

• Назначения обычных ролей и ролей делегирования
• Назначения исключительных ролей

Управление назначениями ролей

При изменении назначений ролей вносимые изменения могут быть распределены между группами ролей и политиками назначения ролей. При добавлении, удалении или изменении назначений ролей для этих уполномоченных ролей можно управлять разрешениями, назначаемыми администраторам и пользователям, включая и отключая управление связанными функциями.

Также можно назначить роли непосредственно пользователям или универсальным группам безопасности. Это более сложная задача, позволяющая на настраиваемом уровне определить разрешения, назначаемые пользователям. При этом обеспечивается гибкость, но сложность модели разрешений также возрастает. Например, если пользователь изменяет задания, может потребоваться вручную повторно определить роли, назначенные этому пользователю, другому пользователю. Поэтому для назначения ролей пользователям рекомендуется использовать группы ролей и политики назначения ролей. Можно назначить роли группе ролей или политике назначения ролей, а затем добавить или удалить участников группы ролей или изменить политики назначения ролей при необходимости.

Можно добавлять, удалять и включать назначения ролей, изменять область управления существующего назначения роли и перемещать назначения ролей на других уполномоченных ролей. Процесс назначения ролей группам ролей, политикам назначения ролей, пользователям и универсальным группам безопасности практически идентичен для каждого уполномоченного роли. Единственными исключениями являются следующие правила.

• Политики назначения ролей могут быть назначены только ролям управления конечного пользователя.
• Невозможно назначить политики назначения ролей назначениям ролей делегирования.
• Невозможно указать область управления при создании назначения роли для политик назначения ролей.

Дополнительные сведения об управлении назначениями ролей см. в следующих разделах.

• Группы ролей:
  • Добавление роли в группу ролей
  • Удаление роли из группы ролей
  • Изменение назначения роли
  • Изменение области назначений ролей в группе ролей
  • Назначения роли делегата
• Политики назначения ролей:
  • Добавление роли к политике назначения
  • Удаление роли из политики назначения
  • Изменение назначения роли
• Пользователи и универсальные группы безопасности:
  • Добавление роли для пользователя или универсальной группы безопасности
  • Удаление роли пользователя или универсальной группы безопасности
  • Изменение назначения роли
  • Изменение области роли
  • Назначения роли делегата

Назначения обычных ролей и ролей делегирования

Благодаря назначению обычных ролей уполномоченный роли может получить доступ к записям роли управления, предоставляемым связанной ролью управления. Если уполномоченному роли назначается несколько ролей управления, происходит объединение и применение записей ролей управления из каждой роли управления. Это значит, что при назначении уполномоченному роли правил транспорта и ролей ведения журнала роли объединяются, а уполномоченному роли назначаются все связанные записи роли управления. Если уполномоченный роли является группой ролей или политикой назначения ролей, разрешения, предоставляемые ролями, задаются пользователям, назначенным группе ролей или политике назначения ролей. Дополнительные сведения о ролях управления и записях ролей см. в разделе Общие сведения о ролях управления.

Назначения ролей делегирования не обеспечивают доступ к управлению функциями. Назначения ролей делегирования позволяют уполномоченному роли назначать определенную роль другим уполномоченным роли. Если уполномоченный роли является группой ролей, любой участник группы ролей может назначить роль другому уполномоченному роли. По умолчанию только группа ролей управления организацией позволяет назначать роли другим уполномоченным роли. По умолчанию только пользователь, установивший Exchange 2010, является участником группы ролей управления организацией. Тем не менее, при необходимости в эту группу ролей можно добавить других пользователей. Также можно создать другие группы ролей и задать им назначения ролей делегирования.

Примечание.
Назначения ролей делегирования позволяют уполномоченным роли делегировать роли управления другим уполномоченным роли. Но при этом пользователи не могут делегировать группы ролей. Дополнительные сведения о делегировании групп ролей см. в разделе Общие сведения о группах ролей управления.

Чтобы пользователь мог управлять функцией и назначать роль, которая предоставляет разрешения на использование этой функции, другим пользователям, необходимо выполнить следующие назначения.

1. Назначение обычной роли для каждой роли управления, предоставляющей доступ к функциям, которыми необходимо управлять.
2. Назначение роли делегирования для каждой роли управления, которую разрешено назначать другим уполномоченным роли.

Назначения обычных ролей и ролей делегирования для уполномоченного роли могут различаться. Например, пользователь является участником группы ролей, которой назначена роль правил транспорта с помощью назначения обычной роли. Это позволяет пользователю управлять функцией правил транспорта. Тем не менее, пользователю не задается назначение роли делегирования для роли правил транспорта, поэтому пользователь не может назначить эту роль другим пользователям. Например, пользователь является участником группы ролей, которой назначена роль управления ведением журнала с помощью назначения роли делегирования. Группа ролей, участником которой является пользователь, не имеет назначения обычной роли для роли ведения журнала, но так как она имеет назначение роли делегирования, пользователь может назначить эту роль другим уполномоченным роли.

Области управления

При создании назначений обычных ролей или ролей управления делегированием можно создать назначение с областью управления, чтобы ограничить объекты, которыми пользователь может управлять. Это значит, что можно сегментировать управление сервером или объекты получателей в организации. Например, администраторы в Ванкувере могут управлять получателями только из того же офиса, или администраторы в Сиднее могут управлять серверами только на своем сайте Active Directory. Благодаря областям разрешения можно назначать группам пользователей с дополнительной детализацией, позволяющей определить для администраторов область выполнения администрирования. Это позволяет создать модель разрешений, сопоставимую с географическими и организационными границами.

Можно создать назначение с предварительно определенной областью, а также добавить настраиваемую область этому назначению. Предварительно определенные области, например области, ограничивающие пользователя возможностью использования только собственных почтового ящика или групп рассылки, можно применить с помощью параметров, доступных в самом назначении. Также можно создать настраиваемую область и затем добавить ее назначению роли. Если настраиваемая область указана, при определении объектов, включаемых в область, будет доступен более высокий уровень детализации. Невозможно указывать предварительно определенные и настраиваемые области в одном назначении. Также в одном назначении невозможно одновременно определять исключительные и обычные области. Назначения ролей с обычной и с предварительно определенной областью не будут ограничены неявными областями назначенной роли. Дополнительные сведения об областях см. в разделе Общие сведения об областях применения ролей управления.

Назначения исключительных ролей

Назначения исключительных ролей создаются при связывании исключительной области с назначением роли. Исключительные области используются так же, как и обычные области, и позволяют уполномоченным роли управлять получателями, которые соответствуют исключительной области. Тем не менее, в отличие от обычных областей всем другим уполномоченным роли запрещено управлять получателем, даже если получатель соответствует областям, применяемым к назначениям ролей. Это может быть полезно, если необходимо ограничить управление получателем несколькими администраторами. Только указанные администраторы могут управлять получателем, а всем другим администраторам доступ будет запрещен.

Рассмотрим следующий пример.

• Юрий является руководителем в компании Contoso. Его почтовый ящик соответствует исключительной области с именем «Пользователи VIP» и связана с исключительным назначением, ограниченным пользователями VIP.
• Почтовый ящик Юрия также включен в обычную область с именем «Пользователи Redmond» и связана со стандартным назначением администрирования Redmond.
• Борис является администратором, связанным с исключительным назначением, ограниченным пользователями VIP.
• Кирилл является администратором, связанным со стандартным назначением администрирования Redmond.

Так как почтовый ящик Юрия соответствует исключительной области «Пользователи VIP», только Борис может управлять его почтовым ящиком. Несмотря на то что почтовый ящик Юрия также соответствует обычной области «Пользователи Redmond», Кирилл не связан с исключительным назначением, ограниченным пользователями VIP. Поэтому в Exchange Кириллу запрещено управлять почтовым ящиком Юрия. Чтобы разрешить Кириллу управлять почтовым ящиком Юрия, ему необходимо задать исключительное назначение, имеющее исключительную область, которая соответствует почтовому ящику Юрия.

Дополнительные сведения см. в разделе Общие сведения об областях применения ролей управления.