内置管理角色
适用于:Exchange Server 2013
默认情况下,Microsoft Exchange Server 2013 包括许多管理角色。 以下角色以各种组合形式被分配到管理角色组或管理角色分配策略,可授予其权限以管理和使用由 Exchange 2013 提供的功能。 有关角色的详细信息,请参阅了解管理角色。
MyDistributionGroupMembership 角色
TeamMailboxLifecycleApplication 角色
这些管理角色是 2013 Microsoft Exchange Server 访问控制 (RBAC) 权限模型中的多个内置角色之一。 管理角色分配到一个或多个管理角色组、管理角色分配策略、用户或通用安全组 (USG),充当 cmdlet 或脚本的逻辑分组,这些 cmdlet 或脚本的组合可用于查看或修改 Exchange 2013 组件的配置,如邮箱数据库、传输规则和收件人。 如果 cmdlet 或脚本及其参数(统称为管理角色条目)包含在某个角色上,则该 cmdlet 或脚本及其参数可由该角色的分配人运行。 有关管理角色和管理角色条目的详细信息,请参阅了解管理角色。
有关管理角色、管理角色组和其他 RBAC 组件的详细信息,请参阅了解基于角色的访问控制。
管理角色分配
若要授予这些角色的权限,必须将其分配给角色分配人,该角色可以是角色组、用户或通用安全组, (USG) 。 此分配通过使用管理角色分配完成。 角色分配将角色受理人和角色链接在一起。 如果一个角色受理人分配了多个角色,则该角色受理人将获得所有已分配角色所授予的所有权限组合。
除了将角色受理人链接到角色之外,角色分配还可以应用自定义或内置管理作用域。 管理范围控制哪些收件人、服务器和数据库对象可由角色分配人修改。 如果这些角色分配给角色受托人,但管理范围仅允许角色被代理人基于定义的范围管理某些对象,则角色被分配者只能使用这些角色对这些特定对象授予的权限。 这些角色提供的权限不能应用于角色分配上定义的范围之外的对象。 此以用户为中心的角色具有无法修改的隐式作用域。因此,不应向将此角色分配给角色分配策略、角色组、USG 或用户的角色分配中添加自定义作用域。
默认情况下,这些角色分配给一个或多个角色组。 有关详细信息,请参阅本主题后面的"默认管理角色分配"一节。
如果要查看分配给这些角色的角色组、用户或 USG 的列表,请使用以下命令。
Get-ManagementRoleAssignment -Role "<role name>"
Regular and delegating role assignments
可以使用常规角色分配或委派角色分配将这些角色分配给角色分配人。 常规角色分配会将此角色提供的权限授予角色受理人。 委派角色分配会授予角色受理人,将此角色分配给其他角色受理人的权限。 有关常规角色分配和委派角色分配的详细信息,请参阅了解管理角色分配。
添加或删除角色分配
可以更改为哪些角色分配了这些角色的受让人。 通过更改为这些角色分配的角色被分配者,可以更改向其授予权限的人员。 可以将这些角色分配给其他内置角色组,也可以创建角色组并向其分配这些角色。 还可以将这些角色分配给用户或 USG。 但是,建议您限制对用户和 USG 的角色分配,因为这些分配可能大大增加权限模型的复杂性。
若要将这些角色分配给角色被代理人,必须使用委派角色分配将角色分配给你所属的角色组、直接分配给你或你所属的 USG。 有关委派角色分配的详细信息,请参阅"常规和委派角色分配"一节。
还可以从内置角色组、创建的角色组、用户和 USG 中删除这些角色。 但是,这些角色与角色组或 USG 之间必须始终至少有一个委派角色分配。 不能删除最后一个委派角色分配。 此限制有助于避免您将自己锁定在系统之外。
重要
这些角色与角色组或 USG 之间必须至少有一个委派角色分配。 如果最后一个分配是给用户,则无法删除与这些角色关联的最后一个委派角色分配。
有关如何在这些角色和角色组、用户和 USG 之间添加或删除分配的详细信息,请参阅以下主题:
更改角色分配的管理作用域
还可以更改这些角色和角色被分配者之间现有角色分配的管理范围。 通过更改角色分配的范围,可以控制可以使用这些角色提供的权限管理哪些对象。 有多种方法可以更改角色分配上的作用域。 可以执行下列操作之一:
使用 Set-ManagementRoleAssignment cmdlet 添加新的自定义作用域。 有关详细信息,请参阅下列主题:
使用 Set-ManagementRoleAssignment cmdlet 添加或更改组织单位作用域。 有关详细信息,请参阅 更改角色分配。
使用 Set-ManagementRoleAssignment cmdlet 添加或更改预定义作用域。 有关详细信息,请参阅 更改角色分配。
使用 Set-ManagementScope cmdlet 可以更改与角色分配相关的自定义作用域上的收件人、服务器或数据库作用域。 有关详细信息,请参阅 更改角色范围。
启用或禁用角色分配
通过启用或禁用角色分配,您可以控制角色分配是否生效。 如果您禁用角色分配,则相关角色所授予的权限不会应用于角色受理人。 这在需要暂时删除权限而不删除角色分配时会很方便。 有关详细信息,请参阅更改角色分配。
管理角色自定义
这些角色已配置为向角色受托人提供所有必要的 cmdlet 和参数,以管理本主题开头列出的功能和组件。 也提供了其他角色以便能够管理其他功能。 通过对角色组添加和删除角色,无需自定义各个管理角色即可创建自定义权限模型。 有关角色的完整列表,请参阅内置管理角色。 有关自定义角色组的详细信息,请参阅管理角色组。
如果你决定需要创建这些角色的自定义版本,则必须创建一个角色作为这些角色的子角色,并自定义新角色。
警告
通过以下信息可以执行高级权限管理。 自定义管理角色可能大大增加权限模型的复杂性。 如果用未正确配置的自定义角色替换内置管理角色,则可能导致某些功能无法正常运行。
通过以下信息可以执行高级权限管理。自定义管理角色可能大大增加权限模型的复杂性。如果用未正确配置的自定义角色替换内置管理角色,则可能导致某些功能无法正常运行。
创建角色的副本。 有关详细信息,请参阅创建角色。
使用 Set-ManagementRoleEntry cmdlet 和 Remove-ManagementRoleEntry cmdlet 更改或删除新角色的角色条目。 无法将其他角色条目添加到新角色中,因为新角色仅包含父级内置角色的角色条目。 有关详细信息,请参阅下列主题:
如果要用这一新的自定义角色替换内置角色,请删除与内置角色相关联的任何角色分配。 有关详细信息,请参阅下列主题:
管理角色组 中的"在角色组中添加或删除角色"部分
将新的自定义角色添加到所需的角色受理人。 有关详细信息,请参阅下列主题: