管理员角色组
适用于: Office 365 for enterprises, Live@edu
上一次修改主题: 2011-11-23
可以利用角色组轻松分配管理权限。若要为用户分配权限以执行特定的管理任务,可以将用户添加为这些管理任务的角色组的成员。例如,如果您雇用了一名新员工来充当技术支持人员,则只需将此新员工添加到“技术支持”角色组即可准备好开展工作了。
角色组的工作方式和默认情况下可用的角色组如下:
- 角色组的结构
- 内置的角色组
角色组的结构
管理员角色组**是一个分配了管理权限的通用安全组。这些管理权限由“内置管理角色”指定,内置管理角色是“基于角色的访问控制 (RBAC)”权限模型的组成部分。管理角色也称为 RBAC 角色,或简称为角色,用于定义用户的权限及其可执行的任务。
角色组的组成部分有哪些?
角色组成员 与通讯组(或公用组)一样,管理员角色组也包含成员。为该角色组分配的角色适用于添加到角色组的每个成员。这将为每个用户授予由分配给该角色组的角色所允许的所有权限。
查看角色组的成员:
在 Exchange 控制面板中
- 选择“管理我的组织”>“角色和审核”>“管理员角色”。
- 选择一个角色组,详细信息窗格将显示该角色组的成员。
在 Windows PowerShell 中,运行以下命令:
Get-RoleGroupMember "<name of role group>"
角色组 为角色组分配的角色。为角色组分配的所有角色的组合定义角色组成员在其组织中可以管理的所有事项。
查看组织的角色组:
在 Exchange 控制面板中
选择“管理我的组织”>“角色和审核”>“管理员角色”。在 Windows PowerShell 中,运行以下命令:
Get-RoleGroup
角色分配 “角色分配”**将管理角色与角色组关联起来。为角色组分配某角色将会授予角色组成员使用在该角色中定义的 Windows PowerShell cmdlet 和参数的权限。角色分配还使用“管理作用域”**控制可以使用分配的范围。
因为一个角色可以分配给不同的角色组,所以角色分配标识特定的分配,并且该分配的名称在您的组织中是唯一的。例如,可以将“用户选项”角色分配给“组织管理”组和“技术支持”角色组,但分配的名称是不同的且会唯一标识对每个组的分配:User Options-Help Desk 和 User Options-Organization Management。
查看为特定角色组分配的角色:
在 Exchange 控制面板中
- 选择“管理我的组织”>“角色和审核”>“管理员角色”。
- 选择一个角色组,详细信息窗格将显示为该角色组分配的角色。
注意 不是为角色组分配的所有角色都适用于所有基于云的组织或可供所有基于云的组织使用。
在 Windows PowerShell 中,运行以下命令:
Get-ManagementRoleAssignment -RoleAssignee "<name of role group>"
若要查看组织中的所有角色分配,请运行以下命令:
Get-ManagementRoleAssignment
角色写入作用域 写入作用域**定义了分配给角色组的角色的管理边界。换句话说,写入作用域定义了角色组的成员可在其中进行更改的位置。而对于允许用户修改对象的内置管理员角色,默认写入作用域为整个组织。
您还可以基于收件人筛选器创建自定义写入作用域。例如“部门为‘财务’的所有用户”。如果创建一个新角色组,并使用自定义写入作用域分配“用户选项”角色,则该角色组的成员只能在那些“部门为‘财务’”的邮箱的“选项”页上查看和更改帐户设置。可使用 New-ManagementScope cmdlet 创建自定义写入作用域。
查看为特定角色组分配的每个角色的写入作用域**:
在 Exchange 控制面板中
- 选择“管理我的组织”>“角色和审核”>“管理员角色”。
- 选择一个角色组,单击“详细信息”以查看所有已分配角色的写入作用域。
注意 如果以下任意条件为真,则您将无法在 Exchange 控制面板中查看写入作用域:
• 向角色组分配最终用户角色。
• 向角色组分配使用不同于其他角色的写入作用域的角色。
• 向角色组分配使用独占写入作用域的角色。独占写入作用域**将隔离特定的邮箱,以便只有指定的管理员才能管理这些邮箱。有关详细信息,请参阅创建独占写入作用域。
在 Windows PowerShell 中,运行以下命令:
Get-ManagementRoleAssignment -RoleAssignee "<name of role group>" | Format-List Role,RecipientWriteScope
角色 RBAC 角色是一组管理角色条目的容器。角色定义了可由为其分配了角色的角色组的成员所执行的特定任务。
查看组织中的管理员角色:
在 Exchange 控制面板中
- 选择“管理我的组织”>“角色和审核”>“管理员角色”。
- 单击“新建”或选择一个现有角色组,然后单击“详细信息”。
- 在“角色组”页中的“角色”部分,单击“添加”。请注意,我们将不会修改分配给角色组的角色。我们只是希望查看管理员角色列表。
- 在“选择角色”页中,可以查看角色的名称和说明。
- 完成后,在“选择角色”页中单击“取消”,再在“角色组”页中单击“取消”。
在 Windows PowerShell 中,运行以下命令:
Get-ManagementRole | Where {$_.IsEndUserRole -eq $false}
角色条目 角色条目是管理角色中的单个条目。角色条目提供对 cmdlet、脚本和其他特殊权限的访问,利用这些权限,用户可以执行特定的任务。角色条目通常是一个 cmdlet 和一些参数,在为角色组分配角色后该角色组成员可以运行这些参数。
查看与角色关联的 cmdlet 和参数,且不截断结果:
在 Windows PowerShell 中,运行以下命令:
Get-ManagementRoleEntry "<name of the role>\*" | ConvertTo-Html > "<file name>.html"
在 Web 浏览器中打开生成的 HTML 文件。相应信息位于 Name 列和 Parameters 列中。
返回页首
内置的角色组
默认情况下,以下内置的角色组可用。请记住,不是为角色组分配的所有角色都适用于基于云的组织或可供基于云的组织使用。
角色组 | 管理任务成员可以执行 |
---|---|
发现管理 |
利用“多邮箱搜索”可以在整个组织的邮箱中搜索包含特定关键字的电子邮件和其他邮件类型。 |
技术支持 |
重置用户密码和管理用户基于云的帐户的“选项”页上的设置。若要帮助解决用户问题,成员还可以查看(而非修改)组织中的所有邮箱、通讯组和外部联系人。 注意 在 用于企业的 Office 365 中,您无法在 Exchange 控制面板或 Windows PowerShell 中重置密码。若要允许用户在 Microsoft Online Services Portal 中重置密码,您必须为 Microsoft Online Services Portal 中的用户分配 Office 365 密码管理员角色。 |
组织管理 |
管理基于云的组织的各个方面。默认情况下,向基于云的电子邮件服务初始注册过程中指定的帐户是此角色组的成员。 重要说明 这是一个非常强大的角色组。只有执行可能影响整个组织的组织级别管理任务的用户才应当是此角色组的成员。 |
收件人管理 |
创建并管理邮箱、通讯组和外部联系人。成员还可以导入新用户,跟踪用户发送和接收的邮件,并管理组织的 Exchange ActiveSync 设置。 |
记录管理 |
创建并管理组织范围内的规则(也称为传输规则)。成员还可以跟踪用户发送和接收的邮件。 |
UM 管理 |
管理统一消息 (UM) 服务器配置、邮箱的 UM 属性、UM 提示和 UM 自动助理配置。 注意 此角色组在 Live@edu 组织中不可用。 |
仅查看组织管理 |
查看(而非修改)组织中的所有邮箱、通讯组和外部联系人。成员还可以查看角色分配策略的设置、传输规则和组织范围内的设置。 |
返回页首