了解管理角色分配

适用于:Exchange Server 2013

管理角色分配是 2013 Microsoft Exchange Server中基于角色访问控制 (RBAC) 权限模型的一部分,是管理角色与角色分配人之间的链接。 角色被分配者是角色组、角色分配策略、用户或通用安全组 (USG) 。 角色必须分配到角色受理人才能生效。 有关 RBAC 的详细信息,请参阅了解基于角色的访问控制

注意

本主题重点讲述高级 RBAC 功能。 如果要管理基本的 Exchange 2013 权限(例如,使用 Exchange 管理中心 (EAC) 向角色组中添加成员或从角色组中删除成员,创建和修改角色组,或创建和修改角色分配策略),请参阅权限

本主题讨论如何向角色组分配角色、角色分配策略以及向用户和 USG 直接分配角色。 它不讨论向用户分配角色组或角色分配策略。 有关角色组和角色分配策略的详细信息(这是向用户分配权限的建议方法),请参阅以下主题:

可以创建以下类型的角色分配,这些分配将在本主题的后面部分中详细说明:

  • Regular and delegating role assignments

  • Exclusive role assignments

管理角色分配

更改角色分配时,所做的更改将可能在角色组和角色分配策略之间。 通过在这些角色受理人上添加、删除或修改角色分配,您可以对提供给管理员和用户的权限进行控制,实际上即打开和关闭相关功能的管理功能。

你可能还希望直接向用户或 USG 分配角色。 这是一项更高级的任务,可用于在精细级别定义向用户授予的权限。 尽管这为你提供了灵活性,但它也会增加权限模型的复杂性。 例如,如果用户更改作业,则可能需要手动将分配给该用户的角色重新分配给其他用户。 这就是为什么我们建议使用角色组和角色分配策略向用户授予权限的原因。 可以将角色分配给角色组或角色分配策略,然后只需添加或删除角色组的成员,或者根据需要更改角色分配策略。

可以添加、删除和启用角色分配,修改现有角色分配的管理范围,并将角色分配移到其他角色分配人。 对于每个角色被分配者,向角色组、角色分配策略、用户和 USG 分配角色的过程大致相同。 以下是唯一的例外:

  • 只能对角色分配策略分配最终用户管理角色。

  • 不能对角色分配策略分配委派角色分配。

  • 创建到角色分配策略的角色分配时,无法指定管理作用域。

有关管理角色分配的详细信息,请参阅下列主题:

Regular and delegating role assignments

常规角色分配使角色受理人能够访问管理角色条目(关联的管理角色使这些条目可用)。 如果将多个管理角色分配到某个角色受理人,则会聚合并应用来自每个管理角色的管理角色条目。 这意味着,如果为角色分配者分配了传输规则和日记角色,则角色将组合在一起,并将所有关联的管理角色条目提供给角色分配人。 如果角色被分配者是角色组或角色分配策略,则角色提供的权限将授予分配给角色组或角色分配策略的用户。 有关管理角色和角色条目的详细信息,请参阅 了解管理角色

委派角色分配不会授予对管理功能的访问权限。 通过委派角色分配,角色被分配者能够将指定角色分配给其他角色代理人。 如果角色被分配者是角色组,则角色组的任何成员都可以将该角色分配给另一个角色被分配人。 默认情况下,只有组织管理角色组能够将角色分配给其他角色被分配者。 默认情况下,只有安装了 Exchange 2013 的用户是组织管理角色组的成员。 但是,可以根据需要将其他用户添加到此角色组,或者创建其他角色组并将委派角色分配分配给这些组。

注意

通过委派角色分配,角色被分配者可以将管理角色委托给其他角色分配人。 这不会使用户能够委托角色组。 有关角色组委派的详细信息,请参阅 了解管理角色组

如果希望用户能够管理某个功能,并对其他用户分配提供使用该功能权限的角色,则进行如下分配:

  1. 每个管理角色(该角色授予对需要管理的功能的访问权限)的常规角色分配。

  2. 每个管理角色(允许将该角色分配到其他角色受理人)的委派角色分配。

角色代理人的常规角色分配和委派角色分配不需要相同。 例如,用户是使用常规角色分配分配的传输规则角色的角色组的成员。 这使用户能够管理传输规则功能。 但是,不会为用户分配传输规则角色的委派角色分配,因此用户无法将此角色分配给其他用户。 但是,用户是使用委派角色分配分配的日记管理角色的角色组的成员。 用户所属的角色组没有日记角色的常规角色分配,但由于它具有委派角色分配,因此用户可以将角色分配给其他角色被分配人。

管理作用域

创建常规或委派管理角色分配时,可以选择创建具有管理范围的分配,以限制用户可以操作的对象。 可以创建收件人范围或配置范围。 通过收件人范围,可以控制谁可以操作邮箱、邮件用户、通讯组等。 配置范围使你能够控制谁可以操作服务器和数据库。

通过收件人和配置范围,可以分段管理组织中的服务器、数据库或收件人对象。 例如,可以将收件人范围添加到角色分配中,以便温哥华的管理员只能管理同一办公室中的收件人。 可以将服务器配置范围添加到其他角色分配中,以便悉尼的管理员只能管理其 Active Directory 站点中的服务器。

范围允许将权限分配给用户组,并使你能够定向这些管理员可以执行其管理的位置。 这使你可以创建映射到地理或组织边界的权限模型。

可以使用预定义的范围创建工作分配,也可以向分配添加自定义范围。 可以使用分配本身上提供的选项来应用预定义范围,例如将用户限制为仅其邮箱或通讯组。 或者,可以创建自定义收件人或配置范围,然后将该范围添加到角色分配。 自定义范围可让你更精细地了解作用域中包含的对象。

不能在同一分配上指定预定义范围和自定义范围。 也不能在同一分配上混合使用独占范围和常规范围。

每个角色分配只能有一个收件人范围和一个配置范围。 如果要将多个收件人范围或一个配置范围应用于同一管理角色的角色分配者,则必须创建多个角色分配。

由于没有自定义或预定义范围,角色分配仅限于在角色本身上定义的收件人和配置范围。 这些范围称为隐式作用域。 任何没有预定义或自定义范围的角色分配都会从与其关联的角色继承隐式作用域。

有关作用域的详细信息,请参阅了解管理角色作用域

Exclusive role assignments

将独占作用域与角色分配关联时,将创建独占角色分配。 独占作用域与常规作用域的工作原理类似,使角色受理人能够管理与独占作用域匹配的收件人。 但是,与常规作用域不同的是,所有其他角色受理人不能管理收件人,即使收件人与应用于其角色分配的作用域匹配也不例外。 当你想要将谁可以管理收件人限制为几个管理员时,这很有用。 只有这些特定管理员可以管理收件人,所有其他管理员将被拒绝访问。

例如,考虑以下情况:

  • John 是 Contoso 的一名高管。 他的邮箱与名为 VIP 用户的独占范围匹配,该范围与 VIP 受限的独占分配相关联。

  • John 的邮箱也包括在名为"Redmond 用户"的常规作用域中,该作用域与"Redmond 管理"常规分配相关联。

  • Bill 是与"仅限 VIP"独占分配相关联的管理员。

  • Chris 是与"Redmond 管理"常规分配相关联的管理员。

由于 John 的邮箱与 VIP 用户独占范围匹配,因此只有 Bill 可以管理其邮箱。 尽管 John 的邮箱也与 Redmond 用户常规范围匹配,但 Chris 并不与 VIP 受限排他分配相关联。 因此,Exchange 拒绝 Chris 管理 John 邮箱的能力。 若要让 Chris 管理 John 的邮箱,需要为 Chris 分配具有与 John 邮箱匹配的独占范围。

有关详细信息,请参阅了解独占作用域