內建管理角色
適用於:Exchange Server 2013
Microsoft Exchange Server 2013 預設包含許多管理角色。 下列角色會以各種組合指派給管理角色群組或管理角色指派原則,以授與管理及使用 Exchange 2013 所提供功能的許可權。 如需角色的詳細資訊,請 參閱瞭解管理角色。
MyDistributionGroupMembership 角色
TeamMailboxLifecycleApplication 角色
這些管理角色是 2013 年 Microsoft Exchange Server 中角色型存取控制 (RBAC) 許可權模型中的數個內建角色之一。 指派給一或多個管理角色群組、管理角色指派原則、使用者或萬用資訊安全群組 (USG) 的管理角色,會作為 Cmdlet 或指令碼的邏輯群組,合併後可提供檢視或修改 Exchange 2013 元件 (例如信箱資料庫、傳輸規則和收件者) 組態的存取權。 如果 Cmdlet 或指令碼及其參數 (合稱管理角色項目) 包含在角色中,則該 Cmdlet 或指令碼及其參數可以由指派的角色執行。 如需管理角色和管理角色專案的詳細資訊,請參閱 瞭解管理角色。
如需管理角色、管理角色群組和其他 RBAC 元件的詳細資訊,請參閱了解角色型存取控制。
管理角色指派
若要讓這些角色授與許可權,必須將許可權指派給角色指派者,該角色指派者可以是角色群組、使用者或通用安全性群組, (USG) 。 這項指派是運用管理角色指派完成。 角色指派會連結角色受託人與角色。 如果指派多個角色給一個角色受託人,則會授與角色受託人所指派全部角色授與的所有權限組合。
除了連結角色受託人與角色之外,角色指派還可以套用自訂或內建管理範圍。 管理範圍可控制角色指派者可以修改哪些收件者、伺服器和資料庫物件。 如果將這些角色指派給角色指派者,但管理範圍只允許角色被指派者根據定義的範圍管理特定物件,則角色指派者只能使用這些角色在這些特定物件上授與的許可權。 這些角色所提供的許可權無法套用至角色指派上定義之範圍以外的物件。 這個以使用者為主的角色有隱含的範圍,不能修改。因此,您不應將自訂的範圍新增至將此角色指派給角色指派原則、角色群組、USG 或使用者的角色指派。
根據預設,這些角色會指派給一或多個角色群組。 如需相關資訊,請參閱本主題稍後的<預設管理角色指派>一節。
如果您想要檢視指派給這些角色的角色群組、使用者或 USG 清單,請使用下列命令。
Get-ManagementRoleAssignment -Role "<role name>"
Regular and delegating role assignments
您可以使用一般或委派角色指派,將這些角色指派給角色指派者。 一般角色指派會將角色提供的權限授與角色受託人。 委派角色指派則會授與角色受託人,將角色指派給其他角色受託人的能力。 如需一般和委派角色指派的詳細資訊,請參閱了解管理角色指派。
新增或移除角色指派
您可以變更指派給這些角色的角色指派者。 藉由變更指派這些角色的角色指派者,您可以變更獲授與其許可權的人員。 您可以將這些角色指派給其他內建角色群組,也可以建立角色群組並將這些角色指派給他們。 您也可以將這些角色指派給使用者或 USG。 不過,建議您在將角色指派給使用者和 USG 時有所限制,因爲這類指派可能大幅增加權限模型的複雜度。
若要將這些角色指派給角色指派者,必須使用委派角色指派,將角色指派給您所屬的角色群組、直接指派給您,或指派給您所屬的 USG。 如需委派角色指派的詳細資訊,請參閱<一般和委派角色指派>一節。
您也可以從內建角色群組、您建立的角色群組、使用者和 USG 中移除這些角色。 不過,這些角色與角色群組或 USG 之間必須至少有一個委派角色指派。 您無法刪除最後一個委派角色指派。 這項限制有助於防止您將自己鎖在系統外。
重要事項
這些角色與角色群組或 USG 之間必須至少有一個委派角色指派。 如果最後一個指派給使用者,您就無法移除與這些角色相關聯的最後一個委派角色指派。
如需如何在這些角色與角色群組、使用者和 USG 之間新增或移除指派的詳細資訊,請參閱下列主題:
變更角色指派的管理範圍
您也可以在這些角色與角色指派者之間變更現有角色指派的管理範圍。 藉由變更角色指派的範圍,您可以使用這些角色所提供的許可權來控制可以管理哪些物件。 變更角色指派的範圍時,有幾種選擇。 您可執行下列其中一項動作:
使用 Set-ManagementRoleAssignment Cmdlet 新增新的自訂範圍。 如需相關資訊,請參閱下列主題:
使用 Set-ManagementRoleAssignment Cmdlet 新增或變更組織單位範圍。 如需詳細資訊,請參閱 變更角色指派。
使用 Set-ManagementRoleAssignment Cmdlet 新增或變更預先定義的範圍。 如需詳細資訊,請參閱 變更角色指派。
使用 Set-ManagementScope Cmdlet 變更與角色指派相關聯之自訂範圍內的收件者、伺服器或資料庫範圍。 如需詳細資訊,請參閱 角色範圍變更。
啟用或停用角色指派
透過啟用或停用角色指派,即可控制該角色指派是否應生效。 如果停用角色指派,則相關聯角色授與的權限不會套用至角色受託人。 如此可方便您暫時移除權限,而不刪除角色指派。 如需詳細資訊,請參閱變更角色指派。
管理角色自訂
這些角色已設定為為角色指派者提供所有必要的 Cmdlet 和參數,以管理本主題開頭所列的功能和元件。 另外也已提供其他角色,以便管理其他功能。 透過在角色群組中新增和移除角色,您就可以建立自訂的權限模型,而不需要自訂個別管理角色。 如需完整的角色清單,請參閱 內建管理角色。 如需自訂角色群組的詳細資訊,請參閱 管理角色群組。
如果您決定需要建立這些角色的自訂版本,則必須建立角色作為這些角色的子系,並自訂新角色。
警告
以下資訊可讓您執行進階的權限管理。 自訂管理角色可能會大幅增加權限模型的複雜度。 如果您以設定不正確的自訂角色取代內建管理角色,可能導致某些功能停止運作。
以下資訊可讓您執行進階的權限管理。自訂管理角色可能會大幅增加權限模型的複雜度。如果您以設定不正確的自訂角色取代內建管理角色,可能導致某些功能停止運作。
建立角色的複本。 如需詳細資訊,請參閱建立角色。
使用 Set-ManagementRoleEntry 和 Remove-ManagementRoleEntry Cmdlet 變更或移除新角色上的角色項目。 您無法新增其他角色項目至新角色,因爲新角色只能包含內建上層角色上的角色項目。 如需相關資訊,請參閱下列主題:
如果您要以此自訂的新角色取代內建角色,請移除與內建角色相關聯的任何角色指派。 如需相關資訊,請參閱下列主題:
管理角色群組 中的「新增角色至角色群組或移除其中的角色」一節
將自訂的新角色新增至所需的角色受託人。 如需相關資訊,請參閱下列主題: