適用於:
2019 訂閱版本
Microsoft Exchange Server 包含一組根據角色型 存取控制 (RBAC) 許可權模型的一組大型預先定義許可權,您可以立即使用此模型,輕鬆地將許可權授與系統管理員和使用者。 您可以在 Exchange Server 中使用許可權功能,以便讓新的組織快速啟動並執行。
注意事項
不支援在準備裝載 Exchange 的 AD 網域中停用 Active Directory (AD) 物件的許可權繼承。 拿掉 AD 物件的 Exchange 相關許可權會導致 Exchange 工作和函式中斷,或可能導致未知的問題。
角色型權限
在 Exchange Server 中,您授與系統管理員和用戶的許可權是以管理角色為基礎。 角色定義了系統管理員或使用者所能執行的一組工作。 例如,稱為的 Mail Recipients 管理角色會定義某人可以在一組信箱、聯繫人和通訊群組上執行的工作。 將角色指派給系統管理員或使用者後,該名人員便會獲得此角色所提供的權限。
角色有兩種類型,也就是系統管理角色和使用者角色:
系統管理角色:這些角色包含的許可權可以使用管理 Exchange 組織一部分的角色群組指派給系統管理員或專家使用者,例如收件者、伺服器或資料庫。
使用者角色:使用角色指派原則指派的這些角色,可讓使用者管理他們擁有的信箱和通訊群組的各個層面。 使用者角色的開頭為 前置詞
My。
將角色指派給系統管理員和使用者時,會將 Cmdlet 提供給他們執行工作的許可權。 由於 Exchange 系統管理中心 (EAC) ,而 Exchange 管理命令介面會使用 Cmdlet 來管理 Exchange,因此授與 Cmdlet 的存取權可讓系統管理員或使用者有權在每個 Exchange 管理介面中執行工作。
角色群組和指派原則
角色會授與在 Exchange Server 中執行工作的許可權,但您需要簡單的方法來將角色指派給系統管理員和使用者。 Exchange Server 提供下列方法來協助您:
角色群組:角色群組可讓您將許可權授與系統管理員和專家使用者。
角色指派原則:角色指派原則可讓您將許可權授與使用者,以變更他們擁有的信箱或通訊群組上的設定。
如需角色群組和角色指派原則的詳細資訊,請參閱下列各節。
角色群組
管理 Exchange Server 的每個系統管理員都必須至少獲指派一或多個角色。 系統管理員可能會有多個角色,因為他們可能會執行跨 Exchange 中多個區域的工作功能。 例如,一位系統管理員可能會同時管理收件者和 Exchange 伺服器。 在此情況下,系統管理員可能會同時 Mail Recipients 獲指派 和 Exchange Servers 角色。
為了讓您更輕鬆地將多個角色指派給系統管理員,Exchange Server 包含角色群組。 角色群組是特殊通用安全組, (可包含 AD 使用者、USG 和其他角色群組的 Exchange Server 所使用的 USG) 。 將角色指派至角色群組後,此角色群組的所有成員便會獲得由該角色所授與的權限。 此功能可讓您一次將許多角色指派給許多角色群組成員。 角色群組通常包含範圍較大的管理領域,例如收件者管理。 它們只會與系統管理角色搭配使用,而不會與使用者角色搭配使用。
注意事項
您可以直接將角色指派給使用者或USG,而不需要使用角色群組。 不過,這種角色指派方式屬於進階程序,不在本主題討論之列。 建議您使用角色群組來管理權限。
下圖顯示使用者、角色群組和角色之間的關係。
角色、角色群組和角色群組成員
Exchange Server 包含數個內建角色群組,每個角色群組都提供許可權來管理 Exchange Server 中的特定區域。 某些角色群組可能會與其他角色群組重疊。 下表列出每個角色群組,並描述其用法。 如果您想要查看指派給每個角色群組的角色,請按兩下 [角色群組] 資料行中的角色組名,然後移至 [指派給此角色群組的管理角色] 區段。
重要事項
如果系統管理員是多個角色群組的成員,Exchange Server 授與系統管理員這些角色群組提供的所有許可權。
內建角色群組
| 角色群組 | 描述 |
|---|---|
| 組織管理 | 身為組織管理角色群組成員的系統管理員具有整個 Exchange Server 組織的系統管理存取權,而且幾乎可以針對任何 Exchange Server 物件執行任何工作,但角色等Discovery Management例外狀況除外。 重要:因為組織管理角色群組是一個強大的角色,所以只有執行組織層級系統管理工作的使用者或 USG 可能會影響整個 Exchange 組織,所以應該是此角色群組的成員。 |
| View-Only Organization Management | 屬於「僅檢視組織管理」角色群組成員的系統管理員可以檢視 Exchange 組織中任何物件的屬性。 |
| 收件者管理 | 身為收件者管理角色群組成員的系統管理員,具有在 Exchange Server 組織內建立或修改 Exchange Server 收件者的系統管理存取權。 |
| UM 管理 | 屬於 UM 管理 角色群組成員的系統管理員可以管理 Exchange 組織中的功能,例如整合通訊 (UM) 服務組態、信箱上的 UM 內容、UM 提示及 UM 自動語音應答組態。 (注意:Exchange 2019.) 上無法使用 UM |
| 服務台 | 根據預設,技術支援中心角色群組可讓成員檢視和修改 「Outlook 網頁版」 (先前稱為組織中任何使用者的 Outlook Web App) 選項。 這些選項可以包括修改使用者的顯示名稱、地址和電話號碼。 這些選項不包含「Outlook 網頁版」選項中無法使用的選項,例如修改信箱大小或設定信箱所在的信箱資料庫。 |
| 檢疫管理 | 身為[隔離管理] 角色群組成員的系統管理員可以設定 Exchange Server 的防病毒軟體和防垃圾郵件功能。 與 Exchange Server 整合的第三方程式可以將服務帳戶新增至此角色群組,以授與這些程式存取擷取和設定 Exchange 設定所需的 Cmdlet。 |
| 記錄管理 | 身為記錄管理角色群組成員的使用者可以設定合規性功能,例如保留原則標籤、郵件分類和郵件流程規則 (也稱為傳輸規則) 。 |
| 探索管理 | 身為探索管理角色群組成員的系統管理員或使用者,可以針對 Exchange 組織中符合特定準則的數據執行信箱搜尋,也可以在信箱上設定合法保留。 |
| 公用資料夾管理 | 屬於「公用資料夾管理」角色群組成員的系統管理員可以在執行 Exchange 伺服器的伺服器上管理公用資料夾。 |
| 伺服器管理 | 屬於 Server Management 角色群組之成員的系統管理員可以設定伺服器特定的傳輸組態、整合通訊、用戶端存取以及信箱功能,例如資料庫複本、憑證、傳輸佇列及傳送連接器、虛擬目錄以及用戶端存取通訊協定。 (注意:Exchange 2019.) 上無法使用 UM |
| 委派安裝 | 身為「委派安裝」角色群組成員的系統管理員,可部署先前已由「組織管理」角色群組的成員提供的執行 Exchange 伺服器的伺服器。 |
| 規範管理 | 身為合規性管理角色群組成員的使用者,可以根據其組織的原則來設定和管理 Exchange 合規性設定。 |
如果您在只有少數系統管理員的小型組織中工作,您可能只會使用組織管理角色群組,而且沒有其他角色群組。 如果您在較大的組織中工作,您可能會有系統管理員執行管理 Exchange 的特定工作,例如收件者或伺服器管理。 在這些情況下,您可以將一個系統管理員新增至收件者管理角色群組,並將另一個系統管理員新增至伺服器管理角色群組。 這些系統管理員接著可以管理其特定的 Exchange Server 區域,但不會擁有管理其不負責之區域的許可權。
如果您找不到符合系統管理員所需作業的內建角色群組,您可以建立角色群組,並在其中新增角色。 如需詳細資訊,請參閱本主題稍後的使用角色群組。
角色指派原則
Exchange Server 提供角色指派原則,讓您可以控制用戶可以在他們擁有的信箱和通訊群組上設定哪些設定。 這些設定包括使用者的顯示名稱、連絡資訊、語音信箱設定,以及通訊群組成員資格。
您的 Exchange Server 組織可以有多個角色指派原則,為組織中不同類型的使用者提供不同層級的許可權。 有些使用者可以變更其位址或建立通訊群組,有些則無法。 這完全取決於與其信箱相關聯的角色指派原則。 角色指派原則會直接新增至信箱,而且每個信箱一次只能與一個角色指派原則相關聯。
在組織的角色指派原則中,有一個會被標示為預設的原則。 如果在建立新信箱時沒有明確指派特定的角色指派原則,這些新信箱就會與預設的角色指派原則產生關聯。 預設的角色指派原則應該包含多數信箱所應套用的權限。
權限是透過使用者角色新增到角色指派原則。 使用者角色開頭為 ,並授與 My 許可權,讓使用者只管理他們擁有的信箱或通訊群組。 使用者角色不能用來管理其他任何信箱。 此外,只有使用者角色可以指派到角色指派原則。
將使用者角色指派到角色指派原則後,與該角色指派原則相關聯的所有信箱都會取得該角色所授與的權限。 因此,您可以新增或移除使用者集合的許可權,而不需要設定個別信箱。 下圖顯示:
使用者角色會指派至角色指派原則。 角色指派原則可以共用相同的使用者角色。
角色指派原則會與信箱產生關聯。 每個信箱只能與一個角色指派原則相關聯。
在信箱與角色指派原則產生關聯後,使用者角色會套用到該信箱。 信箱使用者會獲得角色所授與的權限。
角色、角色指派原則和信箱
默認角色指派原則隨附於 Exchange Server。 顧名思義,這是預設角色指派原則。 如果您要變更這個角色指派原則所提供的權限,或是想建立角色指派原則,請參閱本主題稍後的使用角色指派原則。
使用角色群組
若要在 Exchange Server 中使用角色群組來管理您的許可權,建議您使用 Exchange 系統管理中心 (EAC) 。 When you use the EAC to manage role groups, you can add and remove roles and members, create role groups, and copy role groups with a few clicks of your mouse. EAC 提供可用來執行這些工作的簡單對話方塊,例如下圖所示的 [新增角色群組] 對話方塊。
EAC 中新增的 [角色群組] 對話方塊
![EAC 中的 [新增角色群組] 對話框。](../exchangeserver/media/itpro_security_rbac_simplifiedeacrolegroup.jpg)
如果 Exchange Server 包含的角色群組沒有您需要的許可權,您可以使用 EAC 來建立角色群組,並新增具有所需許可權的角色。 針對您的新角色群組,您必須:
選擇名稱。
選取您要新增的角色。
新增成員。
省省吧。
建立角色群組之後,您可以比照其他任何角色群組來管理它。
如果現有的角色群組具有您需要的部分權限 (而非所有權限),您可以複製該群組,然後透過變更的方式來建立角色群組。 複製現有的角色群組可讓您對其進行變更,而不會影響原始角色群組。 在複製角色群組的過程中,您可以加入新的名稱和描述、在新的角色群組中新增及移除角色,並新增成員。 建立或複製角色群組時,您會使用上圖中所顯示的同一個對話方塊。
您也可以修改現有的角色群組。 您可以使用與上圖所示對話方塊類似的 EAC 對話方塊,從現有的角色群組新增與移除角色,並同時從該群組新增及移除成員。 透過在角色群組中新增及移除角色,您便可開啟與關閉該角色群組成員的系統管理功能。
注意事項
雖然您可以判斷要將哪些角色指派給內建角色群組,但建議您複製內建角色群組、修改角色群組複本,然後將成員新增至角色群組複本。
使用角色指派原則
若要管理您授與使用者的許可權,讓他們在 Exchange Server 中管理自己的信箱,建議您使用 EAC。 When you use the EAC to manage end-user permissions, you can add roles, remove roles, and create role assignment policies with a few clicks of your mouse. EAC 提供可用來執行這些工作的簡單對話方塊,例如下圖所示的 [角色指派原則] 對話方塊。
EAC 中的 [角色指派原則] 對話方塊
Exchange Server 包含名為預設角色指派原則的角色指派原則。 這個角色指派原則可以讓其相關聯信箱的使用者執行下列動作:
加入或離開可讓成員自行管理成員資格的通訊群組。
在自己的信箱上檢視並修改基本的信箱設定,例如收件匣規則、拼字檢查行為和 Microsoft ActiveSync 裝置。
修改連絡資訊,例如公司地址和電話號碼、行動電話號碼,以及呼叫器號碼。
建立、修改或檢視簡訊設定。
檢視或修改語音信箱設定。
檢視和修改市場應用程式。
建立團隊信箱,並且將這些信箱連接到 Microsoft SharePoint 清單。
如果要從「預設角色指派原則」或其他任何角色指派原則新增或移除權限,您可以使用 EAC。 當您在 EAC 中開啟角色指派原則時,請選取您要指派給它的角色旁邊的複選框,或清除您要移除的角色旁邊的複選框。 您對角色指派原則所做的變更將會套用到與它相關聯的每一個信箱。
如果要指派不同的使用者權限給組織中各種類型的使用者,您可以建立角色指派原則。 您可以為角色指派原則指定新名稱,然後再選取要指派至角色指派原則的角色。 建立角色指派原則後,您可以使用 EAC 讓它與信箱產生關聯。
如果您想要判斷哪個角色指派原則是預設值,您需要使用 Exchange 管理命令介面。 在您變更預設的角色指派原則之後,如果沒有為建立的任何信箱明確指定角色指派原則,這些信箱都會與新的預設角色指派原則產生關聯。 當您選取新的預設角色指派原則時,與現有信箱關聯的角色指派原則將維持不變。
附註:
如果您為具有子角色的角色選取複選框,也會選取子角色的複選框。 如果您清除具有子角色之角色的複選框,也會清除子角色的複選框。
如需如何建立角色指派原則或變更現有角色指派原則的詳細步驟,請參閱下列主題: