Общие сведения об областях применения ролей управления
Применимо к: Exchange Server 2010
Последнее изменение раздела: 2009-10-14
Области ролей управления позволяют задавать определенную область влияния роли управления при создании назначения роли управления. При применении области уполномоченный роли, которому назначается роль, может изменять только те объекты, которые находятся в пределах данной области. В качестве уполномоченного роли может выступать группа ролей управления, роль управления, политика назначения ролей управления, пользователь или универсальная группа безопасности. Дополнительные сведения о ролях управления см. в разделе Общие сведения об управлении доступом на основе ролей.
Каждая роль управления, встроенная или настраиваемая, имеет области управления. Области управления делятся на следующие.
- Обычные Обычная область не является монопольной. Она определяет область Active Directory, объекты которой могут просматривать или изменять пользователи с назначенной ролью управления. Другими словами, роль управления определяет объекты, которые могут создавать или изменять пользователи, а область роли управления определяет пространство, в котором пользователи могут создавать или изменять эти объекты. Обычные области могут быть явными или неявными и будут рассматриваться подробнее далее в этом разделе.
- Монопольные Монопольная область действует практически так же, как и обычная область. Основное различие состоит в том, что с ее помощью можно запретить доступ пользователей к объектам, находящимся в пределах монопольной области, если им не назначена роль, сопоставленная с данной монопольной областью. Все монопольные области являются явными и рассматриваются далее в этом разделе.
Дополнительные сведения о монопольных областях см. в разделе Общие сведения об исключительных областях.
Области могут наследоваться из роли управления, указанной в качестве предварительно определенной относительной области для назначения роли управления, или создаваться с помощью пользовательских фильтров и добавляться в назначение роли управления. Области, наследуемые из ролей управления, называются неявными областями, а предварительно определенные и настраиваемые — явными областями. В следующих подразделах описываются все типы областей.
- Неявные области
- Явные области
- Предварительно определенные относительные области
- Настраиваемые области
Каждая роль может иметь следующие типы областей.
- Область чтения получателей Неявная область чтения получателей определяет объекты получателей, которые пользователь с назначенной ролью управления может читать из Active Directory.
- Область записи получателей Неявная область записи получателей определяет объекты получателей, которые пользователь с назначенной ролью управления может изменять в Active Directory.
- Область чтения конфигурации Неявная область чтения конфигурации определяет объекты конфигурации, которые пользователь с назначенной ролью управления может читать из Active Directory.
- Область записи конфигурации Область записи конфигурации определяет объекты сервера и организации, которые пользователь с назначенной ролью управления может изменять в Active Directory.
К объектам получателей относятся почтовые ящики, группы рассылки, пользователи с включенной поддержкой почты и другие объекты. К объектам конфигурации относятся серверы под управлением Microsoft Exchange Server 2010. Каждый тип области может быть явной или неявной областью.
Неявные области
Неявные области — это области по умолчанию, которые применяются к типу роли управления. Поскольку неявные области сопоставлены с типом роли управления, все родительские и дочерние роли управления с одним типом роли также имеют неявные области. Неявные области применяются как к встроенным ролям управления, так и к настраиваемым. Дополнительные сведения о ролях управления и типах ролей управления см. в разделе Общие сведения о ролях управления.
В следующих таблицах приведены все неявные области, которые могут определяться в ролях управления.
Неявные области, определенные в ролях управления
| Неявные области | Описание |
|---|---|
|
Если область Если область Эта область используется только с областями чтения и записи получателей. |
|
Если область Если область Эта область используется только с областями чтения получателей. |
|
Если область Если область Эта область используется только с областями чтения и записи получателей. |
|
Если область Если область Эта область используется только с областями чтения и записи получателей. |
|
Если область Если область Эта область используется только с областями чтения и записи конфигурации. |
|
Если в области присутствует область |
Если уполномоченному роли назначена роль с незаданными предварительно определенными или настраиваемыми областями, то для управления объектами получателей или организации, которые пользователь может просматривать или изменять, используются неявные области, определенные в роли.
В следующей таблице приведены все встроенные роли управления и их неявные области.
Неявные области встроенных ролей управления
| Роль управления | Область чтения получателей | Область записи получателей | Область чтения конфигурации | Область записи конфигурации |
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Неявная область записи роли всегда равна или меньше неявной области чтения. Это означает, что роль не может изменять объекты, не входящие в область.
Изменить неявные области, определенные в ролях управления, невозможно. Однако неявные область записи и область конфигурации в роли управления можно переопределить. Если в назначении роли используется предварительно определенная относительная область или настраиваемая область, неявная область записи или область конфигурации в роли переопределяются, и приоритет имеет новая область. Неявная область чтения в роли применяется постоянно и ее невозможно переопределить. Дополнительные сведения о предварительно определенных или настраиваемых явных областях см. в соответствующих подразделах далее в этом разделе.
Явные области
Явные области — это области, которые пользователь устанавливает самостоятельно для управления объектами, которые может изменять роль управления. Если неявные области определяются в роли управления, то явные области определяются в назначении роли управления. Это позволяет применять неявные области равномерно для всех ролей управления, пока они не будут переопределены явной областью. Дополнительные сведения о назначениях ролей управления см. в разделе Общие сведения о назначениях ролей управления.
Явные области переопределяют неявные области записи и конфигурации в роли управления. Однако они не переопределяют неявную область чтения в роли управления. Неявная область чтения продолжает определять, какие объекты может просматривать роль управления.
Явные области полезны, когда неявная область записи роли управления не отвечает потребностям предприятия. В добавленную явную область можно включать любые объекты с условием, чтобы они не выходили за границу действия неявной области чтения. Для создания или изменения объектов с помощью командлетов, входящих в роль управления, командлеты должны иметь возможность считывать данные об объектах или контейнерах с объектами. Например, если неявная область чтения в роли управления имеет значение Self, добавить явную область записи Organization невозможно, так как явная область записи выходит за пределы неявной области чтения.
В следующих подразделах описываются предварительно определенные относительные области и настраиваемые области.
Предварительно определенные относительные области
Сервер Exchange 2010 предоставляет несколько предварительно определенных относительных областей записи, которые можно использовать для изменения области роли управления. Предварительно определенные относительные области — это простой способ удовлетворения потребностей предприятия без необходимости создавать настраиваемые области вручную. Относительными областями они называются потому, что они соотносятся с уполномоченным роли, которому присвоено сопоставленное назначение роли. Например, предварительно определенная относительная область Self ограничивает область записи только текущим пользователем. Предварительно определенная относительная область MyDistributionGroups ограничивает область записи только группой рассылки, принадлежащей текущему пользователю. Предварительно определенные относительные области могут использоваться только для определения области объектов получателей. Предварительно определенные относительные области нельзя использовать для определения области объектов конфигурации. В следующей таблице приведены предварительно определенные относительные области, которые можно использовать.
Предварительно определенные относительные области
| Неявные области | Описание |
|---|---|
|
Если область Если область Эта область используется только с областями чтения и записи получателей. |
|
Если область Если область Эта область используется только с областями чтения и записи получателей. |
|
Если область Если область Эта область используется только с областями чтения и записи получателей. |
Предварительно определенные относительные области применяются при создании нового назначения роли управления. Во время создания назначения роли с помощью командлета New-ManagementRoleAssignment предварительно определенную относительную область можно задать, используя параметр RecipientRelativeWriteScope. После создания назначения роли новая предварительно определенная роль переопределяет неявную область записи роли управления.
Дополнительные сведения о добавлении назначения роли управления с предварительно определенной относительной областью см. в разделе Добавление роли для пользователя или универсальной группы безопасности.
Настраиваемые области
Настраиваемые области используются, когда ни неявная область записи, ни предварительно определенные относительные области не отвечают требованиям предприятия. Настраиваемые области позволяют определить на более детальном уровне область, к которой будет применяться роль управления. Например, она может применяться к определенному подразделению, определенному типу получателей или к тому и другому.
Настраиваемые области, так же как и предварительно определенные относительные области, переопределяют неявные области записи и конфигурации организации, определенные для ролей управления. При этом неявная область чтения ролей управления продолжает применяться, и полученная настраиваемая область не должна выходить за границы неявной области чтения.
Самой простой настраиваемой областью является область подразделения, созданная с помощью параметра RecipientOrganizationalUnitScope командлета New-ManagementRoleAssignment . Область подразделения, указанная при назначении роли, позволяет пользователю, которому назначена эта роль, изменять только объекты получателей, находящихся в этом подразделении.
Дополнительные сведения о добавлении назначения роли управления с областью подразделения см. в разделе Добавление роли для пользователя или универсальной группы безопасности.
Более сложные и детальные настраиваемые области создаются с помощью командлета New-ManagementScope. Командлет New-ManagementScope позволяет создавать фильтруемые области получателей и конфигурации. В фильтруемых областях получателей фильтры используются, чтобы указать определенных получателей на основе типа получателей или других свойств, таких как отдел, менеджер, местоположение и другие. В фильтруемых областях конфигурации фильтры используются, чтобы указать определенные серверы на основе фильтруемых свойств, заданных на серверах, таких как сайт или роль сервера Active Directory.
При создании фильтруемой области получателей или конфигурации возвращаются только объекты получателей или серверов, которые соответствуют своим фильтруемым областям. Когда для применения этих областей к назначению роли используется командлет New-ManagementRoleAssignment или Set-ManagementRoleAssignment, уполномоченный роли может изменять только те объекты, которые соответствуют фильтрам. После создания настраиваемой области изменить тип области невозможно. Область получателей всегда будет областью получателей, а область конфигурации всегда будет областью конфигурации.
По умолчанию настраиваемая область предоставляет уполномоченному роли доступ к набору объектов, которые соответствуют заданным фильтрам. Однако они не закрывают доступ другим уполномоченным роли, которым не назначена эта же или эквивалентная область. Любая настраиваемая область может иметь доступ к тем же объектам, если фильтры этих областей соответствуют этим же объектам. Однако такое поведение может быть неприемлемым для некоторых объектов, например для высокопоставленного персонала, такого как руководство компании. Для этих объектов можно определить монопольные области. В монопольных областях фильтры применяются так же, как и в обычных областях. Однако в отличие от обычных областей, монопольные области запрещают доступ к объектам, включенным в область, всем пользователям, которые не входят в эту же или равнозначную монопольную область. Дополнительные сведения о монопольных областях см. в разделе Общие сведения об исключительных областях.
Дополнительные сведения
Общие сведения о фильтрах областей ролей управления
Создание регулярной или монопольной области