委派安装
**适用于:**Exchange Server 2010
**上一次修改主题:**2009-10-12
委派安装 管理角色组是组成 Microsoft Exchange Server 2010 中基于角色的访问控制 (RBAC) 权限模型的多个内置角色组之一。角色组分配到一个或多个管理角色,这些管理角色包含了执行给定任务集所需的权限。角色组的成员有权访问分配给角色组的管理角色。有关角色组的详细信息,请参阅了解管理角色组。
作为“委派安装”角色组成员的管理员可以部署正在运行 Exchange 2010 且以前由 组织管理 角色组成员设置的服务器。有关委派安装的详细信息,请参阅 设置 Exchange 2010 Server 和委派安装。
“委派安装”角色组的成员只能部署 Exchange 2010 服务器。他们无法管理部署后的服务器。若要管理部署后的服务器,则该用户必须是 服务器管理 角色组的成员。
有关 RBAC 的详细信息,请参阅了解基于角色的访问控制。
角色组成员身份
如果要向此角色组中添加或从中删除成员,请参阅下列主题:
默认情况下,只有 Organization Management 角色组的成员可以向此角色组中添加或从员删除成员。有关如何添加其他角色组委派的详细信息,请参阅添加或删除角色组委派。
可以使用以下命令查看作为此角色组成员的用户或通用安全组 (USG) 的列表。
Get-RoleGroupMember "Delegated Setup"
有关角色组的成员的详细信息,请参阅查看角色组的成员。
角色组自定义
此角色组默认分配管理角色。“分配给此角色组的管理角色”一节列出了所包括的角色。您可以向此该角色组中添加或从中删除角色分配,以满足您组织的需要。
Exchange 2010 附带的角色组旨在匹配更精细的任务。通过将角色分配到角色组,就可以使该角色组的成员能够执行与该角色相关联的任务。例如,Journaling 角色可以管理日记代理和日记规则。有关如何将角色分配给角色组的详细信息,请参阅了解管理角色分配。
分配给此角色组的角色拥有默认管理作用域。管理作用域确定可以由角色组成员查看或修改的 Exchange 对象。可以更改与角色和角色组之间的分配相关联的作用域。例如,如果仅希望角色组的成员能够更改特定组织单位下或特定位置中的收件人,则可能要执行此操作。有关管理作用域的详细信息,请参阅了解管理角色作用域。
有关如何自定义该角色组的详细信息,请参阅下列主题:
如果要创建角色组并将部分已分配到该角色组的角色分配到新的角色组,请参阅创建角色组。
其他权限
授予“委派安装”角色组成员的权限主要由分配给该角色组的管理角色确定。但是,管理角色并未涵盖您需要执行的所有任务。这是因为某些任务发生在 Exchange 管理工具之外,因此 RBAC 权限模型不适用。对于这些任务,可通过将“委派安装”角色组添加到某些 Active Directory 对象的访问控制列表 (ACL) 来提供权限。
以下任务通过 Active Directory 对象上的 ACL 授予权限,而不是通过分配给“委派安装”角色组的管理角色授予:
- 以前由 组织管理 角色组成员设置的服务器部署。
若要查看通过 Active Directory 对象上的 ACL 向“委派安装”角色组授予的所有权限,请参阅 Exchange 2010 部署权限参考。
分配给此角色组的管理角色
下表列出了分配给此角色组的所有管理角色,以及每个角色分配的下列属性:
- 常规分配:使角色组成员能够访问由关联管理角色提供的管理角色条目。
- 委派分配:使角色组成员能够将指定角色分配给其他角色组、角色分配策略、用户或 USG。
- 收件人读取作用域:确定角色组成员允许从 Active Directory 读取的收件人对象。
- 收件人写入作用域:确定角色组成员允许在 Active Directory 中修改的收件人对象。
- 配置读取作用域:确定角色组成员允许从 Active Directory 读取的配置和服务器对象。
- 配置写入作用域:确定角色组成员允许在 Active Directory 中修改的组织对象和服务器对象。
有关角色分配和管理作用域的详细信息,请参阅下列主题:
分配给此角色组的管理角色
| 管理角色 | 常规分配 | 委派分配 | 收件人读取作用域 | 收件人写入作用域 | 配置读取作用域 | 配置写入作用域 |
|---|---|---|---|---|---|---|
X |
|
|
|
|
|