了解管理角色分配

 

适用于： Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题： 2010-12-16

*“管理角色分配”是 Microsoft Exchange Server 2010 中基于角色的访问控制 (RBAC) 权限模型的一部分，是管理角色和角色受理人之间的链接。“角色受理人”*是一个角色组、角色分配策略、用户或通用安全组 (USG)。角色必须分配到角色受理人才能生效。有关 RBAC 的详细信息，请参阅了解基于角色的访问控制。

注意：
本主题重点讲述高级 RBAC 功能UNRESOLVED_TOKEN_VAL()UNRESOLVED_TOKEN_VAL()。了解权限如果要管理基本的 Exchange 2010 权限（例如，使用 Exchange 控制面板 (ECP) 向角色组中添加成员或从角色组中删除成员，创建和修改角色组，或创建和修改角色分配策略），请参阅了解权限。

本主题将讨论针对角色组和角色分配策略的角色分配以及针对用户和 USG 的直接角色分配。本主题不讨论针对用户的角色组或角色分配策略的分配。有关角色组和角色分配策略（建议使用这些策略向用户分配权限）的详细信息，请参阅以下主题：

• 了解管理角色组

• 了解管理角色分配策略

可以创建以下类型的角色分配，这些分配将在本主题的后面部分中详细说明：

• 常规和委派角色分配

• 独占角色分配

管理角色分配

更改角色分配时，所做的更改将可能在角色组和角色分配策略之间。通过在这些角色受理人上添加、删除或修改角色分配，您可以对提供给管理员和用户的权限进行控制，实际上即打开和关闭相关功能的管理功能。

您可能还希望直接向用户或 USG 分配角色。这是一个更高级的任务，使您能够在粒度级别上定义提供给用户的权限。尽管此操作提供了灵活性，但也增加了权限模型的复杂性。例如，如果用户更改作业，则可能需要手动将分配给该用户的角色重新分配给另一个用户。这就是我们建议使用角色组和角色分配策略来为用户提供权限的原因。可以将角色分配到角色组或角色分配策略，然后仅添加或删除角色组的成员，或根据需要更改角色分配策略。

可以添加、删除和启用角色分配，在现有角色分配上修改管理作用域，以及将角色分配移到其他角色受理人。对于每个角色受理人，将角色分配到角色组、角色分配策略、用户和 USG 的过程在很大程度上是相同的。仅有的例外如下所示：

• 只能对角色分配策略分配最终用户管理角色。

• 不能对角色分配策略分配委派角色分配。

• 创建到角色分配策略的角色分配时，无法指定管理作用域。

有关管理角色分配的详细信息，请参阅下列主题：

• 角色组：

  • 向角色组添加角色

  • 从角色组中删除角色

  • 更改角色分配

  • 更改角色组中角色分配的作用域

  • 委派角色分配

• 角色分配策略：

  • 向分配策略添加角色

  • 从分配策略中删除角色

  • 更改角色分配

• 用户和 USG：

  • 向用户或 USG 添加角色

  • 从用户或 USG 中删除角色

  • 更改角色分配

  • 更改角色作用域

  • 委派角色分配

常规和委派角色分配

常规角色分配使角色受理人能够访问管理角色条目（关联的管理角色使这些条目可用）。如果将多个管理角色分配到某个角色受理人，则会聚合并应用来自每个管理角色的管理角色条目。这就意味着如果对角色受理人分配传输规则和日记角色，则这些角色将组合在一起，而且将为该角色受理人提供所有关联的管理角色条目。如果角色受理人是一个角色组或角色分配策略，则将为分配到角色组或角色分配策略的用户提供由角色提供的权限。有关管理角色和角色条目的详细信息，请参阅了解管理角色。

委派角色分配不会提供对管理功能的访问权限。委派角色分配使角色受理人能够将指定角色分配到其他角色受理人。如果角色受理人是一个角色组，则该角色组的任何成员均可将角色分配到另一个角色受理人。默认情况下，只有“组织管理”角色组能够将角色分配到其他角色受理人。默认情况下，只有安装了 Exchange 2010 的用户是“组织管理”角色组的成员。但是，您可以根据需要将其他用户添加到此角色组，或创建其他角色组，并对这些组分配委派角色分配。

注意：
委派角色分配使角色受理人能够将管理角色委派到其他角色受理人。这使得用户不能委派角色组。有关角色组委派的详细信息，请参阅了解管理角色组。

如果希望用户能够管理某个功能，并对其他用户分配提供使用该功能权限的角色，则进行如下分配：

1. 每个管理角色（该角色授予对需要管理的功能的访问权限）的常规角色分配。

2. 每个管理角色（允许将该角色分配到其他角色受理人）的委派角色分配。

角色受理人的常规和委派角色分配不必相同。例如，如果某个用户是使用常规角色分配对其分配了传输规则角色的角色组的成员，则该用户能够管理传输规则功能。但是，由于未对该用户分配传输规则角色的委派角色分配，因此它无法将此角色分配到其他用户。如果该用户是使用委派角色分配对其分配了日记管理角色的角色组的成员，则该用户所在的角色组没有日记角色的常规角色分配。但是，由于该用户拥有委派角色分配，因此它可以将角色分配到其他角色受理人。

管理作用域

创建常规或委派管理角色分配时，可以选择创建具有管理作用域的分配，以限制用户可以操纵的对象。可以创建收件人作用域或配置作用域。通过收件人作用域可控制可以操作邮箱、邮件用户和通讯组等的人员。通过配置作用域可控制可以操作服务器和数据库的人员。

通过收件人和配置作用域可对组织中服务器、数据库或收件人对象的管理进行分段。例如，可以向某个角色分配添加收件人作用域，从而使温哥华的管理员只能管理同一个办公室中的收件人。可以向另一个角色分配添加服务器配置作用域，从而使悉尼的管理员只能管理其 Active Directory 站点中的服务器。

作用域允许将权限分配到用户组，并使您可以指示这些管理员可执行其管理的位置。这样，您便能够创建映射到地理或组织边界的权限模型。

可以创建具有预定义作用域的分配，或者可以将自定义作用域添加到分配。可通过使用分配自身所具有的可用选项来应用预定义作用域（如限制用户仅可访问其邮箱或通讯组）。另外，也可以创建自定义收件人或配置作用域，然后将该作用域添加到角色分配。自定义作用域为您在作用域包含哪些对象方面提供了更高粒度。

不能在同一个分配上指定预定义作用域和自定义作用域。也不能在同一个分配上混合使用独占作用域和常规作用域。

每个角色分配只能有一个收件人作用域和一个配置作用域。如果要将多个收件人作用域（或多个配置作用域）应用于同一个管理角色的角色受理人，则必须创建多个角色分配。

未使用自定义或预定义作用域时，角色分配限制为在角色本身上定义的收件人和配置作用域。这些作用域称为隐式作用域。没有预定义或自定义作用域的任何角色分配都会从与之关联的角色继承隐式作用域。

有关作用域的详细信息，请参阅了解管理角色作用域。

独占角色分配

将独占作用域与角色分配关联时，将创建独占角色分配。独占作用域与常规作用域的工作原理类似，使角色受理人能够管理与独占作用域匹配的收件人。但是，与常规作用域不同的是，所有其他角色受理人不能管理收件人，即使收件人与应用于其角色分配的作用域匹配也不例外。当要将可以管理收件人的对象限制为几个管理员时，此操作会非常有用。只有这些特定管理员才可以管理收件人，所有其他管理员均无管理权限。

为举例说明，请考虑以下情况：

• John 是 contoso 的主管。他的邮箱与名为“VIP 用户”的独占作用域匹配，该作用域与“仅限 VIP”独占分配相关联。

• John 的邮箱也包括在名为“Redmond 用户”的常规作用域中，该作用域与“Redmond 管理”常规分配相关联。

• Bill 是与“仅限 VIP”独占分配相关联的管理员。

• Chris 是与“Redmond 管理”常规分配相关联的管理员。

因为 John 的邮箱与“VIP 用户”独占作用域匹配，所以只有 Bill 才可以管理他的邮箱。即使 John 的邮箱也与“Redmond 用户”常规作用域匹配，Chris 也不与“仅限 VIP”独占分配相关联。因此，Exchange 不允许 Chris 管理 John 的邮箱。要使 Chris 管理 John 的邮箱，需要对 Chris 分配拥有与 John 邮箱匹配的独占作用域的独占分配。

有关详细信息，请参阅了解管理角色作用域。

 © 2010 Microsoft Corporation。保留所有权利。