了解管理角色範圍
適用於:Exchange Server 2013
管理角色範圍 可讓您在建立管理角色指派時,定義管理角色影響或影響的特定範圍。 當您套用範圍時,被指派該角色的角色受託人只能修改該範圍內包含的物件。 角色受託人可以是管理角色群組、管理角色、管理角色指派原則、使用者,或萬用安全性群組 (USG)。 如需管理角色的詳細資訊,請參閱瞭解角色型存取控制。
注意事項
本主題著重于進階 RBAC 功能。 如果您想要管理基本的 Exchange 2013 許可權,例如使用 Exchange 系統管理中心 (EAC) 在角色群組中新增和移除成員、建立和修改角色群組,或建立和修改角色指派原則,請參閱 許可權。
每個管理角色,無論是內建角色或自訂角色,都有管理範圍。 管理範圍可以是下列其中一項:
一般: 一般範圍 不是獨佔範圍。 它會決定在 Active Directory 中,指派管理角色的使用者可在何處檢視或修改物件。 一般而言,管理角色會指示您可建立或修改的物件,而管理角色範圍則指示您可在何處建立或修改。 一般範圍可以是隱含或明確的範圍,本主題稍後會討論這兩個範圍。
獨占: 獨佔範圍 的行為與一般範圍幾乎相同。 主要差異在於,如果使用者未獲指派與獨佔範圍相關聯的角色,則可讓您拒絕使用者存取包含在獨佔範圍內的物件。 所有獨佔範圍都是明確的範圍,本主題稍後會討論這些範圍。
如需獨佔範圍的相關資訊,請參閱 了解獨佔範圍。
範圍可以從管理角色繼承、指定為管理角色指派上預先定義的相對範圍,或是使用自訂篩選器建立,並新增到管理角色指派。 繼承自管理角色的範圍稱為 隱含範圍 ,而預先定義的範圍和自訂範圍則稱為 明確範圍。 下列各節描述每種範圍類型:
- Implicit Scopes
- Explicit Scopes
- Predefined Relative Scopes
- Custom Scopes
- Recipient Filter Scopes
- Configuration Scopes
每個角色都可以有下列類型的範圍:
- 收件者讀取範圍:隱含收件者讀取範圍會決定使用者指派管理角色的哪些收件者物件可以從 Active Directory 讀取。
- 收件者寫入範圍:隱含收件者寫入範圍會決定使用者指派管理角色的使用者允許在 Active Directory 中修改哪些收件者物件。
- 設定讀取範圍:隱含設定讀取範圍會決定使用者指派管理角色的哪些設定物件可以從 Active Directory 讀取。
- 組態寫入範圍:隱含設定寫入範圍會決定使用者指派管理角色的使用者允許在 Active Directory 中修改的組織、資料庫和伺服器物件。
收件者物件包括信箱、通訊群組、啟用郵件的使用者和其他物件。 設定物件包括執行 Microsoft Exchange Server 2013 的伺服器,以及位於執行 Exchange 之伺服器上的資料庫。 每個範圍類型都可以是隱含範圍或明確範圍。
隱含範圍
隱含範圍是套用在管理角色類型上的預設範圍。 因為隱含範圍與管理角色類型相關聯,所以具有相同角色類型的所有父代和子管理角色也有相同的隱含範圍。 隱含範圍同時適用于內建管理角色和自訂管理角色。 如需管理角色和管理角色類型的詳細資訊,請參閱 瞭解管理角色。
下表列出所有可在管理角色上定義的隱含範圍。
在管理角色上定義的隱含範圍
| 隱含範圍 | 描述 |
|---|---|
Organization |
如果 Organization 角色的收件者寫入範圍中存在,角色可以在整個 Exchange 組織中建立或修改收件者物件。 如果 Organization 角色的收件者讀取範圍中存在,角色可以檢視 Exchange 組織中的任何收件者物件。 此範圍僅與收件者讀取和寫入範圍配合使用。 |
MyGAL |
如果 MyGAL 角色的收件者寫入範圍中存在,角色可以檢視目前使用者全域通訊清單中任何收件者的內容, (GAL) 。 如果 MyGAL 角色的收件者讀取範圍中存在,角色可以檢視目前 GAL 內任何收件者的屬性。 此範圍僅與收件者讀取範圍配合使用。 |
Self |
如果 Self 角色的收件者寫入範圍中存在,則角色只能修改目前使用者信箱的屬性。 如果 Self 角色的收件者讀取範圍中存在,則角色只能檢視目前使用者信箱的屬性。 此範圍僅與收件者讀取和寫入範圍配合使用。 |
MyDistributionGroups |
如果 MyDistributionGroups 角色的收件者寫入範圍中存在,角色可以建立或修改目前使用者所擁有的通訊群組清單物件。 如果 MyDistributionGroups 角色的收件者讀取範圍中存在,角色可以檢視目前使用者所擁有的通訊群組清單物件。 此範圍僅與收件者讀取和寫入範圍配合使用。 |
OrganizationConfig |
如果 OrganizationConfig 角色的設定寫入範圍中存在,角色可以在整個 Exchange 組織中建立或修改任何伺服器或資料庫設定物件。 如果 OrganizationConfig 角色的設定讀取範圍中存在,角色可以檢視 Exchange 組織中的任何伺服器或資料庫設定物件。 此範圍僅與組態讀取和寫入範圍配合使用。 |
None |
如果 None 在範圍內,該範圍就無法供角色使用。 例如,在收件者寫入範圍中具有 None 的角色無法修改 Exchange 組織中的收件者物件。 |
如果已將角色指派給角色受託人,而且未指定任何預先定義或自訂的範圍,則會使用在該角色上定義的隱含範圍來控制使用者能夠檢視或修改的收件者或組織物件。
角色的隱含寫入範圍一律等於或小於隱含讀取範圍。 這表示角色永遠無法修改範圍看不到的物件。
您無法變更在管理角色上定義的隱含範圍。 不過,您可以覆寫管理角色上的隱含寫入範圍和設定範圍。 在角色指派上使用預先定義的相對範圍或自訂範圍時,會覆寫角色的隱含寫入範圍,並優先使用新範圍。 角色的隱含讀取範圍無法覆寫且一律適用。 如需詳細資訊,請參閱預先定義的相對範圍和自訂範圍。
展開下表以查看所有內建管理角色及其隱含範圍的清單。 如需每個內建角色的詳細資訊,請參閱 內建管理角色。
內建管理角色隱含範圍
| 管理角色 | 收件者讀取範圍 | 收件者寫入範圍 | 組態讀取範圍 | 組態寫入範圍 |
|---|---|---|---|---|
Active Directory Permissions |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Address Lists |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
ApplicationImpersonation |
Organization |
Organization |
None |
None |
ArchiveApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Audit Logs |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Cmdlet Extension Agents |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Data Loss Prevention |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Database Availability Groups |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Database Copies |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Databases |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Disaster Recovery |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Distribution Groups |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Edge Subscriptions |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
E-Mail Address Policies |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Connectors |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Server Certificates |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Servers |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Virtual Directories |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Federated Sharing |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Information Rights Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Journaling |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Legal Hold |
Organization |
Organization |
OrganizationConfig |
None |
LegalHoldApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Enabled Public Folders |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Recipient Creation |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Recipients |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Tips |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mailbox Import Export |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mailbox Search |
Organization |
Organization |
None |
None |
MailboxSearchApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Message Tracking |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Migration |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Monitoring |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Move Mailboxes |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
OfficeExtensionApplication |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
My Custom Apps |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
My Marketplace Apps |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyAddressInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyBaseOptions |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyContactInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyDiagnostics |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyDisplayName |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyDistributionGroupMembership |
MyGAL |
MyGAL |
None |
None |
MyDistributionGroups |
MyGAL |
MyDistributionGroups |
OrganizationConfig |
None |
MyMobileInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyName |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyPersonalInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyProfileInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyRetentionPolicies |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyTeamMailboxes |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
MyTextMessaging |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyVoiceMail |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
Organization Client Access |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Organization Configuration |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Organization Transport Settings |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
POP3 And IMAP4 Protocols |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Public Folders |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Receive Connectors |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Recipient Policies |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Remote and Accepted Domains |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Reset Password |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Retention Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Role Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Security Group Creation and Membership |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Send Connectors |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Support Diagnostics |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
TeamMailboxLifecycleApplication |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
Transport Agents |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Transport Hygiene |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Transport Queues |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Transport Rules |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UM Mailboxes |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UM Prompts |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Unified Messaging |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UnScoped Role Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UserApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
User Options |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
View-Only Audit Logs |
Organization |
None |
OrganizationConfig |
None |
View-Only Configuration |
Organization |
None |
OrganizationConfig |
None |
View-Only Recipients |
Organization |
None |
OrganizationConfig |
None |
WorkloadManagement |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
明確範圍
明確範圍是您設給自己的範圍,以控制管理角色可修改哪些物件。 儘管隱含範圍是在管理角色上定義的,但明確範圍則是在管理角色指派上定義的。 這可讓隱含範圍一致地套用到所有管理角色,除非您選擇使用覆寫的明確範圍。 如需管理角色指派的詳細資訊,請參閱了解管理角色指派。
明確範圍會覆寫管理角色的隱含寫入和設定範圍。 它們不會覆寫管理角色的隱含讀取範圍。 隱含讀取範圍會繼續定義管理角色可以讀取的物件。
當管理角色的隱含寫入範圍不符合您企業的需求時,明確範圍會很有用。 只要新範圍未超過隱含讀取範圍的界限,您就可以新增明確範圍來包含幾乎任何您想要的專案。 屬於管理角色一部分的 Cmdlet 必須能夠讀取包含物件的物件或容器的相關資訊,Cmdlet 才能建立或修改物件。 例如,如果管理角色上的隱含讀取範圍設定為 Self ,您就無法新增 的明確寫入範圍 Organization ,因為明確寫入範圍超過隱含讀取範圍的界限。
如需詳細資訊,請參閱下列各節:
Predefined Relative Scopes
Custom Scopes
預先定義的相對範圍
Exchange 2013 提供數個預先定義的相對寫入範圍,可用來修改管理角色的範圍。 預先定義的相對範圍可讓您輕鬆地更貼近業務需求,而不需要手動建立自訂範圍。 它們稱為相對範圍,因為它們相對於指派相關聯角色指派的角色指派者。 例如,預先定義的 Self 相對範圍會將寫入範圍限制為僅限目前的使用者。 MyDistributionGroups預先定義的相對範圍會將寫入範圍限制為目前使用者僅擁有的通訊群組。 預先定義的相對範圍只能用於界定收件者物件的範圍。 預先定義的相對範圍無法用於界定設定物件的範圍。 下表列出您可以使用的預先定義相對範圍。
預先定義的相對範圍
| 隱含範圍 | 描述 |
|---|---|
Organization |
如果 Organization 角色的收件者寫入範圍中存在,角色可以在整個 Exchange 組織中建立或修改收件者物件。 如果 Organization 角色的收件者讀取範圍中存在,角色可以檢視 Exchange 組織中的任何收件者物件。 此範圍僅與收件者讀取和寫入範圍配合使用。 |
Self |
如果 Self 角色的收件者寫入範圍中存在,則角色只能修改目前使用者信箱的屬性。 如果 Self 角色的收件者讀取範圍中存在,則角色只能檢視目前使用者信箱的屬性。 此範圍僅與收件者讀取和寫入範圍配合使用。 |
MyDistributionGroups |
如果 MyDistributionGroups 角色的收件者寫入範圍中存在,角色可以建立或修改目前使用者所擁有的通訊群組清單物件。 如果 MyDistributionGroups 角色的收件者讀取範圍中存在,角色可以檢視目前使用者所擁有的通訊群組清單物件。 此範圍僅與收件者讀取和寫入範圍配合使用。 |
當您建立新的管理角色指派時,會套用預先定義的相對範圍。 在建立角色指派期間,您可以使用 New-ManagementRoleAssignment Cmdlet,使用 RecipientRelativeWriteScope 參數來指定預先定義的相對範圍。 建立新的角色指派時,新預先定義的角色會覆寫管理角色的隱含寫入範圍。 當您使用預先定義的相對範圍建立角色指派時,無法指定自訂收件者範圍。 不過,您可以視需要指定自訂群組態範圍。
如需有關如何新增含預先定義相對範圍的管理角色指派,請參閱將角色新增至使用者或 USG。
自訂範圍
當隱含寫入範圍或預先定義的相對範圍都不符合您企業的需求時,就需要自訂範圍。 自訂範圍可讓您更精細的定義會套用至您管理角色的範圍。 例如,您可能想要以特定組織單位為目標, (OU) 、特定類型的收件者或兩者。 或者,您可能只想要讓一組系統管理員能夠管理一組特定的信箱資料庫。
如同預先定義的相對範圍,自訂範圍會覆寫管理角色上定義的隱含寫入和組織設定範圍。 管理角色上的隱含讀取範圍會繼續套用,而產生的自訂範圍不得超過隱含讀取範圍的界限。 您可以建立下列三種類型的自訂範圍:
OU 範圍:使用New-ManagementRoleAssignment Cmdlet 上的RecipientOrganizationalUnitScope參數建立 OU 範圍,這是最簡單的自訂範圍。 藉由在指派角色時指定 OU 範圍,指派角色的角色指派者只能修改該 OU 內的收件者物件。 如需如何使用 OU 範圍新增管理角色指派的詳細資訊,請參閱 將角色新增至使用者或 USG。
收件者篩選範圍:收件者篩選範圍會使用篩選準則,根據收件者類型或其他收件者屬性,例如部門、管理員、位置等,以特定收件者為目標。 如需詳細資訊,請參閱收件者篩選範圍一節。
設定範圍:設定範圍會使用篩選或清單,根據伺服器清單或可在伺服器上定義的可篩選屬性,例如 Active Directory 月臺或伺服器角色,以特定伺服器為目標。 設定範圍也可以使用資料庫範圍,根據資料庫清單或可篩選的資料庫屬性,以特定資料庫為目標。 如需詳細資訊,請參閱組態範圍一節。
您可以使用 New-ManagementScope Cmdlet 來建立簡單、廣泛或複雜且細微的收件者和設定自訂範圍。 當您建立收件者或設定範圍時,只會傳回符合其各自範圍的收件者、伺服器或資料庫物件。 使用 New-ManagementRoleAssignment 或 Set-ManagementRoleAssignment Cmdlet 將這些範圍套用至角色指派時,只有受指派角色的角色指派者可以修改符合範圍的物件。 建立自訂範圍之後,您就無法變更範圍類型。 收件者範圍一律是收件者範圍,而組態範圍一律是設定範圍。
根據預設,自訂範圍可讓角色指派者存取一組符合您定義範圍的物件。 不過,他們並不會主動排除其他未獲指派相同或對等範圍之角色指派者的存取權。 如果這些範圍上的清單或篩選符合相同的物件,則任何自訂範圍都可以存取相同的物件。 可能有不需要此行為的物件,例如主管的情況。 針對這些物件,您可以定義獨佔範圍。 獨佔範圍使用篩選或清單的方式與一般範圍相同,但不同于一般範圍,拒絕存取範圍中包含的物件給不屬於相同或對等專屬範圍的任何人。 如需獨佔範圍的相關資訊,請參閱 了解獨佔範圍。
收件者篩選範圍
收件者篩選範圍可讓您根據您在篩選語句中指定的值,評估收件者物件上的一或多個屬性,以控制哪些收件者物件角色指派者可以管理。 收件者範圍中包含的收件者包括信箱、擁有郵件功能的使用者、通訊群組和郵件連絡人。 只有符合您指定之篩選準則的收件者,才能由指派該角色指派的角色指派者來管理。 篩選語句的範例是 { Name -Eq "David" },其中 Name 是正在評估之收件者物件上的屬性, 而 David 是您想要根據屬性評估的值。 -Eq比較運算子表示儲存在 屬性中的值必須等於指定的值,篩選準則才能為 true。 如果篩選準則為 true,則該收件者會包含在範圍中。
收件者篩選範圍的建立方式是指定要與New-ManagementScope Cmdlet 上的RecipientRestrictionFilter參數搭配使用的收件者篩選。 根據預設, New-ManagementScope Cmdlet 會建立一般範圍。 如果您想要建立獨佔範圍,請包含 Exclusive 參數以及 RecipientRestrictionFilter 參數。
當您建立收件者限制篩選時,Exchange 預設會評估您針對組織中每個收件者物件提供的篩選準則。 如果您想要限制範圍評估的收件者,可以使用 RecipientRoot 參數以及 RecipientRestrictionFilter 參數。 RecipientRoot參數接受 OU。 當您使用 RecipientRoot 參數時,Exchange 只會根據您提供的篩選來評估指定 OU 中包含的收件者。
當您將收件者篩選範圍新增至角色指派時,如果您要建立新的角色指派,請在New-ManagementRoleAssignment上的CustomRecipientWriteScope參數中指定收件者範圍的名稱;如果您要更新現有的角色指派,請指定Set-ManagementRoleAssignment Cmdlet 中的收件者範圍名稱。 每個角色指派都可以有一個收件者範圍,包括預先定義的相對範圍。 您可以將一個設定範圍新增至您新增收件者範圍的相同角色指派。
如需篩選器語法的詳細資訊,以及收件者上可篩選收件者屬性的完整清單,請參閱了解管理角色範圍篩選器。
設定範圍
以下是 Exchange 2013 中提供的兩種組態範圍類型:
伺服器範圍:伺服器範圍有兩種類型:伺服器篩選範圍和伺服器清單範圍。 如果伺服器物件包含在伺服器範圍中,則可以管理伺服器組態,包括接收連接器、傳輸佇列、伺服器憑證、虛擬目錄等等。
伺服器篩選範圍:伺服器篩選範圍可讓您根據您在篩選語句中指定的值,評估伺服器物件上的一或多個屬性,以控制哪些伺服器物件角色指派者可以管理。 若要建立伺服器篩選範圍,請在New-ManagementScope Cmdlet 上使用ServerRestrictionFilter參數。
伺服器清單範圍:伺服器清單範圍可讓您藉由定義角色指派者可以存取的伺服器清單,來控制哪些伺服器物件角色指派者可以管理。 若要建立伺服器清單範圍,請使用New-ManagementScope Cmdlet 上的ServerList參數。
資料庫範圍:資料庫範圍有兩種類型:資料庫篩選準則範圍和資料庫清單範圍。 如果資料庫物件包含在資料庫範圍中,可以管理的資料庫組態包括資料庫配額限制、資料庫維護、公用資料夾複寫、是否掛接資料庫等等。 除了資料庫設定之外,資料庫範圍也可用來控制可以建立收件者的資料庫。 如果您的組織中有 Exchange 2010 SP1 之前的伺服器,請參閱本主題稍後的資料庫範圍和舊版 Exchange 一節。
資料庫篩選範圍:資料庫篩選範圍可讓您根據您在篩選語句中指定的值,評估資料庫物件上的一或多個屬性,以控制哪些資料庫物件角色指派者可以管理。 若要建立資料庫篩選範圍,請在New-ManagementScope Cmdlet 上使用DatabaseRestrictionFilter參數。
資料庫清單範圍:資料庫清單範圍可讓您藉由定義角色指派者可以存取的資料庫清單,來控制角色指派者可以管理的資料庫物件。 若要建立資料庫清單範圍,請使用New-ManagementScope Cmdlet 上的DatabaseList參數。
如需篩選器語法的詳細資訊,以及可篩選伺服器及資料庫屬性的完整清單,請參閱了解管理角色範圍篩選器。
您可以藉由指定您想要包含在其各自範圍中的每個伺服器和資料庫來定義伺服器和資料庫清單。 您可以在個別的範圍中指定多部伺服器或資料庫,方法是以逗號分隔伺服器和資料庫名稱。
當您將伺服器或資料庫組態範圍新增至角色指派時,如果您要建立新的角色指派,請在New-ManagementRoleAssignment Cmdlet 上的CustomConfigWriteScope參數中指定伺服器或資料庫設定範圍的名稱,如果您要更新現有的角色指派,請指定Set-ManagementRoleAssignment Cmdlet。 每個角色指派只能有一個設定範圍。
除了控制哪些資料庫角色受指派者可以管理之外,資料庫範圍也可讓您控制哪些資料庫角色指派者可以建立信箱。 這與控制角色指派者可以管理的收件者不同。 如果角色指派者有權建立新的信箱、啟用現有使用者的信箱,或移動信箱,您可以使用資料庫範圍來控制信箱建立所在的資料庫,或信箱移至哪個資料庫,進一步精簡其許可權。 使用New-ManagementRoleAssignment或Set-ManagementRoleAssignment Cmdlet 上CustomRecipientWriteScope參數中指定的收件者範圍,即可控制角色指派者可以管理的收件者。 使用相同 Cmdlet 上 CustomConfigurationWriteScope 參數中指定的資料庫範圍來控制信箱可以建立或移至哪些資料庫。
注意事項
您可以使用資料庫範圍來控制自動信箱散發。
Exchange 功能可能需要管理伺服器範圍、資料庫範圍或兩者。 如果功能需要同時管理伺服器和資料庫範圍,則必須建立兩個角色指派,並將其指派給應具有管理功能存取權的角色指派者。 一個角色指派應該與伺服器範圍相關聯,而一個角色指派應該與資料庫範圍相關聯。
某些 Cmdlet 可能會使用不立即明顯的組態範圍。 下表包含 Cmdlet 清單,以及可用來控制其使用量的組態範圍。 針對收件者功能區域中包含的 Cmdlet,組態範圍可讓您控制可以建立哪些資料庫收件者。 他們無法控制可以管理哪些收件者。 [ 必要範圍] 資料行可以包含下列專案:
資料庫:若要執行 Cmdlet,必須將角色指派給包含要管理之資料庫的資料庫範圍,或角色的隱含設定寫入範圍必須包含要管理的資料庫。
伺服器:若要執行 Cmdlet,必須將角色指派給包含要管理之伺服器的伺服器範圍,或角色的隱含設定寫入範圍必須包含要管理的伺服器。
伺服器或資料庫:若要執行 Cmdlet,角色指派者必須獲指派角色指派,其中資料庫範圍包含受管理的資料庫,或伺服器範圍包含資料庫所在的伺服器。 或者,角色的隱含組態寫入範圍必須包含要管理的資料庫,或包含資料庫所在的伺服器,而且角色指派不能有自訂寫入範圍。
伺服器和資料庫:若要執行此 Cmdlet,角色指派者必須獲指派兩個角色指派。 第一個角色指派必須包含包含要管理之資料庫的資料庫範圍。 第二個角色指派必須包含伺服器範圍,其中包含資料庫所在的伺服器。 角色指派可以定義自訂設定範圍,或者角色指派可以從角色繼承隱含設定寫入範圍。 若要從角色繼承隱含寫入範圍,角色指派不能有自訂寫入範圍。
功能範圍以及適用的資料庫與伺服器範圍
| 功能範圍 | 指令程式 | 所需的範圍 |
|---|---|---|
| 資料庫 | Dismount-Database | Database |
| 資料庫 | Mount-Database | Database |
| 資料庫 | Move-DatabasePath | 伺服器和資料庫 |
| 資料庫 | Remove-MailboxDatabase | 伺服器或資料庫 |
| 資料庫 | Set-MailboxDatabase | Database |
| 高可用性 | Add-DatabaseAvailabilityGroupServer | 伺服器 |
| 高可用性 | Add-MailboxDatabaseCopy | 伺服器 |
| 高可用性 | Move-ActiveMailboxDatabase | 伺服器 |
| 高可用性 | Remove-DatabaseAvailabilityGroupServer | 伺服器 |
| 高可用性 | Remove-MailboxDatabaseCopy | 伺服器或資料庫 |
| 高可用性 | Resume-MailboxDatabaseCopy | 伺服器或資料庫 |
| 高可用性 | Set-MailboxDatabaseCopy | 伺服器或資料庫 |
| 高可用性 | Suspend-MailboxDatabaseCopy | 伺服器或資料庫 |
| 高可用性 | Update-MailboxDatabaseCopy | 伺服器或資料庫 |
| 收件者 | Connect-Mailbox | Database |
| 收件者 | Enable-Mailbox | Database |
| 收件者 | New-Mailbox | Database |
| 收件者 | New-MoveRequest | Database |
| 疑難排解 | Test-MapiConnectivity | Database |
資料庫範圍和舊版 Exchange
資料庫範圍最初是在 Microsoft Exchange 2010 Service Pack 1 (SP1) 中引進,並在 Exchange 2013 中繼續受到支援。 Exchange 2010 SP1 之前的 Exchange 版本僅支援收件者範圍和伺服器組態範圍。 當您在 Exchange 2010 SP1 或更新版本的伺服器上建立新的資料庫範圍時,您會收到下列警告:
WARNING: Database management scopes will only be applied when a user connects to a server running Exchange 2010 SP1 or later. Servers running a version of Exchange prior to Exchange 2010 SP1 won't apply any roles from a role assignment linked to a database scope. Database management scopes also won't be visible to the Get-ManagementScope cmdlet when it's run from a pre-Exchange 2010 SP1 server.
當您建立資料庫範圍時,它只會套用至連線到執行 Exchange 2010 SP1 或更新版本之伺服器的使用者。 連線到 Exchange 2010 SP1 前伺服器的使用者,將不會有任何與套用至它們之資料庫範圍相關聯的角色指派。 這表示當使用者連線到 Exchange 2010 SP1 前伺服器時,這些角色指派所提供的任何許可權都不會授與使用者。 無法從 Exchange 2010 SP1 前伺服器建立、移除、修改或檢視資料庫範圍。
資料庫範圍可以包含 Exchange 組織中的任何資料庫。 這包括 Exchange Server 2007、Exchange 2010 和 Exchange 2013 伺服器。 這可讓您控制使用者可以管理的資料庫,不論 Exchange 版本為何。 如同其他資料庫範圍,與包含 Exchange 2007 和 Exchange 2010 資料庫的資料庫範圍相關聯的角色指派,只有在使用者連線到 Exchange 2010 SP1 或更新版本的伺服器時,才會套用至使用者。
連線到 Exchange 2010 SP1 前伺服器的使用者可以檢視和修改與資料庫範圍相關聯的角色指派。 這包括將現有角色指派上的組態範圍變更為伺服器範圍,如果它目前與資料庫範圍相關聯。 不過,如果角色指派上的設定範圍變更為伺服器範圍,且使用者稍後想要將它變更回資料庫範圍,或如果使用者想要將設定範圍變更為另一個資料庫範圍,則使用者必須在連線到 Exchange 2010 SP1 或更新版本的伺服器時進行變更。 如果使用者連線到 Exchange 2010 SP1 前伺服器,則只能在變更角色指派上的設定範圍時指定伺服器範圍。