Настройка разрешений для общих папок
Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Последнее изменение раздела: 2009-03-17
Полномочия общей папки можно настраивать как для администраторов Microsoft Exchange Server 2007, так и для пользователей клиентских программ, таких как Microsoft Office Outlook 2007. Полномочия общей папки состоят из различных прав на доступ, указывающих уровень контроля, который пользователь или администратор имеет над общей папкой или иерархией общих папок.
В состав данного раздела входят следующие сведения о полномочиях общих папок:
Права доступа и заранее определенные роли (состоящие из определенных прав доступа), которые можно настроить для пользователей. Права доступа, которые можно настроить для администраторов.
.gif "note")
Примечание.В Exchange 2007 с пакетом обновления 1 (SP1) можно создать роль администратора общей папки. Дополнительные сведения о роли администратора общей папки приведены в пункте «Права доступа администраторов» ниже в этом разделе. Ссылки на задачи управления, которые можно выполнить для пользователей и администраторов.
| Примечание. |
|---|
| При создании новой общей папки в существующей иерархии общих папок эта папка наследует полномочия родительской папки. |
Права доступа и роли пользователей
В Exchange 2007 необходимо использовать командную консоль Exchange, чтобы настраивать полномочия для пользователей, использующих клиентские программы, такие как Outlook, для доступа к общим папкам. Как при выборе прав доступа вручную, так и при использовании заранее определенных ролей, содержащих конкретные права доступа, для выполнения задач используется командлет Add-PublicFolderClientPermissions.
.gif "important") Важно! |
|---|
| Чтобы гарантировать возможность пользователей отправлять сообщения электронной почты поддерживающей почту общей папке, общая папка должна как минимум давать анонимным учетным записям право CreateItems. |
Ниже приведен список прав доступа пользователей (за которым следует таблица, показывающая заранее определенные роли полномочий):
ReadItems Пользователь имеет право читать элементы, находящиеся в указанной общей папке.
CreateItems Пользователь имеет право создавать элементы внутри указанной общей папки и отправлять сообщения электронной почты общей папке, если она поддерживает почту.
EditOwnedItems Пользователь имеет право изменять принадлежащие ему элементы в указанной общей папке.
DeleteOwnedItems Пользователь имеет право удалять принадлежащие ему элементы в указанной общей папке.
EditAllItems Пользователь имеет право изменять все элементы в указанной общей папке.
DeleteAllItems Пользователь имеет право удалять все элементы в указанной общей папке.
CreateSubfolders Пользователь имеет право создавать в указанной общей папке вложенные папки.
FolderOwner Пользователь является владельцем указанной общей папки. Пользователь имеет право просматривать и перемещать общую папку, создавать подпапки и устанавливать полномочия для папки. Пользователь не может читать, изменять, удалять и создавать элементы.
FolderContact Пользователь выступает в роли контакта для указанной общей папки.
FolderVisible Пользователь может просматривать указанную общую папку, но не может читать или изменять находящиеся в ней элементы.
В приведенной ниже таблице перечислены заранее определенные роли клиентского доступа к общим папкам и права доступа, включенные в каждую роль. Заголовки в таблице отражают права доступа, перечисленные выше в этом документе.
| Примечание. |
|---|
| Право доступа FolderOwner и роль Owner ("Владелец") имеют различные полномочия, как показано в приведенной ниже таблице. |
Роль |
CreateItems |
ReadItems |
CreateSubfolders |
FolderOwner |
Контакт папки |
FolderVisible |
EditOwnItems |
EditAllItems |
DeleteOwnItems |
DeleteAllItems |
None (нет) |
|
|
|
|
|
X |
|
|
|
|
Владелец |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
PublishingEditor |
X |
X |
X |
|
|
X |
X |
X |
X |
X |
Editor |
X |
X |
|
|
|
X |
X |
X |
X |
X |
PublishingAuthor |
X |
X |
X |
|
|
X |
X |
|
X |
X |
Author |
X |
X |
|
|
|
X |
X |
|
X |
|
Non-EditingAuthor |
X |
X |
|
|
|
X |
|
|
|
|
Reviewer |
|
X |
|
|
|
X |
|
|
|
|
Contributor |
X |
|
|
|
|
X |
|
|
|
|
| Примечание. |
|---|
| Пользователи клиентских приложений могут использовать Outlook для управления полномочиями на клиентский доступ к общим папкам. Дополнительные сведения об управлении полномочиями общих папок из Outlook 2007 приведены в статье Создание общей папки и установка общего доступа к ней (на английском языке). Дополнительные сведения об управлении полномочиями общих папок из Outlook 2003 приведены в статье Разрешения папок Outlook (на английском языке). |
Права доступа администратора
В окончательной первоначальной версии Exchange 2007 для предоставления пользователю административных прав по отношению к общей папке можно использовать только командлет Add-ExchangeAdministrator.
В Exchange 2007 с пакетом обновления 1 (SP1) имеются два метода предоставления пользователю административных прав по отношению к общей папке.
Для добавления пользователя к роли администратора общей папки используется командлет Add-ExchangeAdministrator или мастер добавления администратора Exchange.
Для предоставления или отзыва конкретных прав по отношению к общим папкам используется командлет Add-PublicFolderAdministratorPermission.
В приведенной ниже таблице показана разница между правами, предоставляемыми ролью администратора общих папок, и правами, предоставляемыми с помощью командлета Add-PublicFolderAdministratorPermission.
Роль администратора общих папок Exchange |
Add-PublicFolderAdministrativePermission |
Пользователь может создавать общие папки верхнего уровня |
Пользователь не может создавать общие папки верхнего уровня |
Пользователю предоставляется AllExtendedRights (полный набор прав) по отношению к общим папкам. |
Пользователю могут быть предоставлены или у него могут быть отозваны конкретные права по отношению к общим папкам. |
Пользователь может администрировать любую общую папку верхнего уровня, дочернюю общую папку или системную общую папку в дереве общих папок. Кроме того, командлет Remove-PublicfolderAdministratorPermission не позволяет отозвать права доступа этого пользователя. |
Пользователю может быть предоставлено право администрировать конкретные общие папки верхнего уровня и дочерние общие папки. Однако права доступа пользователя можно отозвать с помощью командлета Remove-PublicfolderAdministratorPermission. |
По умолчанию при создании общей папки верхнего уровня пользователи, имеющие полномочия, предоставленные конкретными ролями администраторов Exchange и группами безопасности Microsoft Windows, автоматически становятся администраторами этой общей папки благодаря унаследованным правам группы. В приведенном ниже списке показано, какие роли и группы автоматически получают административные права по отношению к новой общей папке верхнего уровня, включая конкретные права доступа, предоставленные каждой из них:
Роли администратора Exchange:
- Администратор общих папок Exchange (предоставляется AllExtendedRights - полный набор прав)
Примечание.Эта роль доступна только в Exchange 2007 с пакетом обновления 1. Администратор сервера Exchange (предоставляется AllExtendedRights)
Администратор организации Exchange (предоставляется AllExtendedRights)
Администратор Exchange с правами на просмотр (предоставляется право ViewInformationStore)
Группы безопасности Windows:
Администраторы предприятия (предоставляется AllExtendedRights)
Администраторы (предоставляется AllExtendedRights)
Администраторы домена (предоставляется AllExtendedRights)
В приведенном ниже списке описан стандартный набор административных прав доступа, который может быть установлен на общей папке.
None Администратор не имеет прав на изменение атрибутов общих папок.
ModifyPublicFolderACL Администратор имеет право на изменение прав доступа клиентов к указанной папке.
ModifyPublicFolderAdminACL Администратор имеет право на изменение прав администратора на указанную общую папку.
ModifyPublicFolderDeletedItemRetention Администратор имеет право на изменение атрибутов сохранения удаленных элементов общей папки (RetainDeletedItemsFor, UseDatabaseRetentionDefaults).
ModifyPublicFolderExpiry Администратор имеет право на изменение атрибутов срока действия общей папки (AgeLimit, UseDatabaseAgeDefaults).
ModifyPublicFolderQuotas Администратор имеет право на изменение атрибутов квоты общей папки (MaxItemSize, PostQuota, PostWarningQuota, UseDatabaseQuotaDefaults)
ModifyPublicFolderReplicaList Администратор имеет право на изменение атрибута списка реплик для указанной общей папки (Replicas).
AdministerInformationStore Администратор имеет право на изменение всех остальных свойств общей папки, не указанных выше.
ViewInformationStore Администратор имеет право на просмотр свойств общей папки.
AllExtendedRights Администратор имеет право на изменение всех свойств общей папки.
Задачи управления по настройке полномочий общих папок
В этом подразделе перечислены задачи управления, которые можно выполнить для настройки и поддержания полномочий общих папок:
Предоставление пользователям клиента разрешений на доступ к содержимому общей папки
Можно использовать командлет Add-PublicFolderClientPermission или сценарий управления пользователями AddUserToPFRecursive.ps1 для указания разрешений пользователя. Права доступа можно создавать как с использованием заранее определенных ролей полномочий, так и путем создания особых прав доступа.
Удаление или замена разрешений для клиентов для общей папки
Можно использовать командлет Remove-PublicFolderClientPermission или сценарий RemoveUserFromPFRecursive.ps1 для удаления полномочий пользователя-клиента. Права доступа можно удалять с использованием как заранее определенных ролей полномочий, так и путем использования прав доступа.
Сценарии ReplaceUserWithUserOnPFRecursive.ps1 и ReplaceUserPermissionOnPFRecursive.ps1 можно использовать для замены клиентских полномочий по отношению к общей папке. Дополнительные сведения о сценариях управления общими папками см. в разделе Сценарии для управления общими папками в среде управления Exchange.
Просмотр параметров разрешений для клиентов для общих папок
Командлет Get-PublicFolderClientPermission можно использовать для просмотра клиентских прав доступа, связанных с общей папкой.
Предоставление полномочия «Отправить как» для общих папок с поддержкой почты
Разрешение "Отправить от имени" можно использовать для настройки общей папки, поддерживающей почту, так чтобы и другие пользователи, помимо ее владельца, могли бы использовать эту папку для отправки сообщений.
Разрешение "Отправить от имени" не предоставляется до тех пор, пока не произойдет репликация. Время проведения репликации зависит от настройки Microsoft Exchange и сети.
Добавление административных разрешений пользователям для доступа к общим папкам
Предоставить пользователю административные права на доступ к общей папке или иерархии общих папок можно с помощью командлета Add-PublicFolderAdministratorPermission, командлета Add-ExchangeAdministrator или мастера добавления администратора Exchange.
Удаление административных разрешений для общих папок
Отозвать у пользователя административные права на доступ к общей папке или иерархии общих папок можно с помощью командлета Add-PublicFolderAdministratorPermission, командлета Add-ExchangeAdministrator или мастера добавления администратора Exchange.
Просмотр параметров административных разрешений для общих папок
Можно использовать командлет Get-PublicFolderAdministratorPermission, командлет Get-ExchangeAdministrator или узел Конфигурация организации для просмотра административных прав, связанных с общей папкой или иерархией общих папок.
Дополнительные сведения
Дополнительные сведения об общих папках см. в разделе Работа с общими папками.
Дополнительные сведения об управлении общими папками см. в разделе Управление общими папками.