安全管理

适用于：Exchange Server 2013

清洁管理 管理角色组是组成 Microsoft Exchange Server 2013 中基于角色的访问控制 (RBAC) 权限模型的多个内置角色组之一。 角色组会分配给一个或多个管理角色，这些管理角色拥有执行一组给定任务所需的权限。 角色组的成员会获得访问角色组所分配的管理角色的权限。 有关角色组的详细信息，请参阅了解管理角色组。

属于清洁管理角色组成员的用户可以配置 Exchange 2013 的防病毒和反垃圾邮件功能。 与 Exchange 2013 集成的第三方程序可以将服务帐户添加到此角色组中，这样这些程序就可以访问检索和配置 Exchange 配置所需的 cmdlet。

有关 RBAC 的详细信息，请参阅了解基于角色的访问控制。

角色组成员身份

如果要向此角色组中添加或从中删除成员，请参阅管理角色组成员。

默认情况下，只有 Organization Management 角色组的成员可以向此角色组中添加或从员删除成员。 有关如何添加其他角色组委派的详细信息，请参阅管理角色组中的"添加或删除角色组委派"一节。

可以使用以下命令查看作为此角色组成员的用户或通用安全组 (USG) 的列表。

Get-RoleGroupMember "Hygiene Management"

有关角色组成员的详细信息，请参阅 管理角色组成员 中的"查看角色组用户"部分。

角色组自定义

此角色组默认分配管理角色。 "分配给此角色组的管理角色"一节列出了所包括的角色。 您可以向此该角色组中添加或从中删除角色分配，以满足您组织的需要。

Exchange 2013 附带的角色组旨在匹配更精细的任务。 通过将角色分配到角色组，就可以使该角色组的成员能够执行与该角色相关联的任务。 例如，Journaling 角色可以管理日记代理和日记规则。 有关如何将角色分配给角色组的详细信息，请参阅了解管理角色分配。

分配给此角色组的角色拥有默认管理作用域。 管理作用域确定可以由角色组成员查看或修改的 Exchange 对象。 可以更改与角色和角色组之间的分配相关联的作用域。 例如，如果仅希望角色组的成员能够更改特定组织单位下或特定位置中的收件人，则可能要执行此操作。 有关管理作用域的详细信息，请参阅了解管理角色作用域。

有关如何自定义该角色组的详细信息，请参阅下列主题：

• 管理角色组
• 管理角色组成员

如果要创建角色组并将部分已分配到该角色组的角色分配到新的角色组，请参阅管理角色组中的"创建角色组"一节。

分配给此角色组的管理角色

默认情况下，只有 Organization Management 角色组的成员可以向此角色组中添加或从员删除成员。有关如何添加其他角色组委派的详细信息，请参阅Manage Role Groups中的“添加或删除角色组委派”一节。

• 下表列出了分配给此角色组的所有管理角色，以及每个角色分配的下列属性：
• 常规分配：使角色组成员能够访问由关联管理角色提供的管理角色条目。
• 收件人读取作用域：确定角色组成员允许从 Active Directory 读取的收件人对象。
• 收件人写入范围：确定允许在 Active Directory 中修改角色组的收件人对象成员。
• 配置读取作用域：确定角色组成员允许从 Active Directory 读取的配置和服务器对象。
• 配置写入范围：确定允许在 Active Directory 中修改角色组的组织和服务器对象成员。

配置写入作用域：确定角色组成员允许在 exADNoMk 中修改的组织对象和服务器对象。

• 了解管理角色分配
• 了解管理角色作用域

管理角色	常规分配	委派分配	收件人读取作用域	收件人写入作用域	配置读取作用域	配置写入作用域
ApplicationImpersonation 角色	X		Organization	Organization	None	None
接收连接器角色	X		Organization	Organization	OrganizationConfig	OrganizationConfig
传输代理角色	X		Organization	Organization	OrganizationConfig	OrganizationConfig
传输清洁角色	X		Organization	Organization	OrganizationConfig	OrganizationConfig
仅查看配置角色	X		Organization	None	OrganizationConfig	None
仅查看收件人角色	X		Organization	None	OrganizationConfig	None