瞭解管理角色範圍
適用版本: Exchange Server 2010
上次修改主題的時間: 2009-10-14
管理角色範圍可讓您定義當建立管理角色指派時,管理角色所作用或影響的特定範圍。當您套用範圍時,被指派該角色的角色受託人只能修改該範圍內包含的物件。角色受託人可以是管理角色群組、管理角色、管理角色指派原則、使用者,或萬用安全性群組 (USG)。如需管理角色的相關資訊,請參閱瞭解應用角色的存取控制。
每個管理角色,無論是內建角色或自訂角色,都有管理範圍。管理範圍可以是下列其中一項:
- 一般 非獨佔的一般範圍,它決定了在 Active Directory 中,被指派管理角色的使用者可在何處檢視或修改物件。一般而言,管理角色指出您可建立或修改的物件,而管理角色範圍則指出您可在何處建立或修改。一般範圍可以是隱含或明確範圍,本主題稍後會一一討論。
- 獨佔 獨佔範圍 的行為幾乎與一般範圍無異,主要差異是使用者未被指派與該獨佔範圍相關聯的角色時,它能讓您拒絕這些使用者存取獨佔範圍內包含的物件。所有獨佔範圍皆為明確範圍,本主題稍後會討論。
如需獨佔範圍的相關資訊,請參閱 了解獨佔範圍。
形成範圍的方法有很多種,可繼承自管理角色、在管理角色指派上指定為預先定義的相對範圍,或者使用自訂篩選器建立,然後再新增至管理角色指派。繼承自管理角色的範圍稱做隱含範圍,預先定義與自訂的範圍則稱做明確範圍。在接下來的章節中將分別說明每一種範圍:
每個角色都可以有下列類型的範圍:
- 收件者讀取範圍 隱含的收件者讀取範圍,決定了被指派管理角色的使用者可從 Active Directory 讀取哪些收件者物件。
- 收件者寫入範圍 隱含的收件者寫入範圍,決定了被指派管理角色的使用者可在 Active Directory 中修改哪些收件者物件。
- 組態讀取範圍 隱含的組態讀取範圍,決定了被指派管理角色的使用者可從 Active Directory 讀取哪些組態物件。
- 組態寫入範圍 組態寫入範圍決定了被指派管理角色的使用者可在 Active Directory 中修改哪些組織和伺服器物件。
收件者物件包括信箱、通訊群組、擁有郵件功能的使用者,以及其他物件。組態物件包括執行 Microsoft Exchange Server 2010 的伺服器。每一種範圍都可以是隱含範圍或明確範圍。
隱含範圍
隱含範圍是套用在管理角色類型上的預設範圍,因為隱含範圍與管理角色類型相關聯,所以所有具有相同角色類型的上層和下層管理角色也會有相同的隱含範圍。隱含範圍不只會套用在內建管理角色上,也會套用在自訂管理角色上。如需有關管理角色和管理角色類型的詳細資訊,請參閱了解管理角色。
下表列出所有可在管理角色上定義的隱含範圍。
在管理角色上定義的隱含範圍
Organization
|
如果 Organization 出現在角色的收件者寫入範圍內,則該角色可以建立或修改整個 Exchange 組織內的收件者物件。
如果 Organization 出現在角色的收件者讀取範圍內,則該角色可以檢視整個 Exchange 組織內的任何收件者物件。
此範圍僅與收件者讀取和寫入範圍配合使用。 |
MyGAL
|
如果 MyGAL 出現在角色的收件者寫入範圍內,則該角色可以檢視在目前使用者的全域通訊清單 (GAL) 內任何收件者的內容。
如果 MyGAL 出現在角色的收件者讀取範圍內,則該角色可以檢視在目前 GAL 內任何收件者的內容。
此範圍僅與收件者讀取範圍配合使用。 |
Self
|
如果 Self 出現在角色的收件者寫入範圍內,則該角色只能修改目前使用者信箱的內容。
如果 Self 出現在角色的收件者讀取範圍內,則該角色只能檢視目前使用者信箱的內容。
此範圍僅與收件者讀取和寫入範圍配合使用。 |
MyDistributionGroups
|
如果 MyDistributionGroups 出現在角色的收件者寫入範圍內,則該角色可以建立或修改目前使用者所擁有的通訊清單物件。
如果 MyDistributionGroups 出現在角色的收件者讀取範圍內,則該角色可以檢視目前使用者所擁有的通訊清單物件。
此範圍僅與收件者讀取和寫入範圍配合使用。 |
OrganizationConfig
|
如果 OrganizationConfig 出現在角色的組態寫入範圍內,則該角色可以建立或修改整個 Exchange 組織內的任何伺服器組態物件。
如果 OrganizationConfig 出現在角色的組態讀取範圍內,則該角色可以檢視整個 Exchange 組織內的任何伺服器組態物件。
此範圍僅與組態讀取和寫入範圍配合使用。 |
None
|
如果 None 在某個範圍內,則此範圍無法供該角色使用。例如,在收件者寫入範圍內有 None 的角色,無法修改 Exchange 組織中的收件者物件。 |
如果已將角色指派給角色受託人,而且未指定任何預先定義或自訂的範圍,則會使用在該角色上定義的隱含範圍來控制使用者能夠檢視或修改的收件者或組織物件。
下表列出所有內建的管理角色及其隱含範圍。
內建管理角色隱含範圍
Active Directory Permissions
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Address Lists
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Audit Logs
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Cmdlet Extension Agents
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Database Availability Groups
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Database Copies
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Databases
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Disaster Recovery
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Distribution Groups
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Edge Subscriptions
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
E-Mail Address Policies
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Exchange Connectors
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Exchange Server Certificates
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Exchange Servers
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Exchange Virtual Directories
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Federated Sharing
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Information Rights Management
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Journaling
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Legal Hold
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Mail Enabled Public Folders
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Mail Recipient Creation
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Mail Recipients
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Mail Tips
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Mailbox Search
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Message Tracking
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Migration
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Monitoring
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Move Mailboxes
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
MyBaseOptions
|
Self
|
Self
|
OrganizationConfig
|
OrganizationConfig
|
MyContactInformation
|
Self
|
Self
|
OrganizationConfig
|
OrganizationConfig
|
MyDistributionGroupMembership
|
MyGAL
|
MyGAL
|
None
|
None
|
MyDistributionGroups
|
MyGAL
|
MyDistributionGroups
|
OrganizationConfig
|
None
|
MyMailSubscriptions
|
Self
|
Self
|
OrganizationConfig
|
OrganizationConfig
|
MyProfileInformation
|
Self
|
Self
|
OrganizationConfig
|
OrganizationConfig
|
MyRetentionPolicies
|
Self
|
Self
|
OrganizationConfig
|
OrganizationConfig
|
MyTextMessaging
|
Self
|
Self
|
OrganizationConfig
|
OrganizationConfig
|
MyVoiceMail
|
Self
|
Self
|
OrganizationConfig
|
OrganizationConfig
|
Organization Client Access
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Organization Configuration
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Organization Transport Settings
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
POP3 And IMAP4 Protocols
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Public Folder Replication
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Public Folders
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Receive Connectors
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Recipient Policies
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Remote and Accepted Domains
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Reset Password
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Retention Management
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Role Management
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Security Group Creation and Membership
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Send Connectors
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Support Diagnostics
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Transport Agents
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Transport Hygiene
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Transport Queues
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Transport Rules
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
UM Mailboxes
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
UM Prompts
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
Unified Messaging
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
UnScoped Role Management
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
User Options
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
View-Only Configuration
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
View-Only Recipients
|
Organization
|
Organization
|
OrganizationConfig
|
OrganizationConfig
|
角色的隱含寫入範圍一律等於或小於隱含讀取範圍,這表示角色永遠無法修改該範圍看不到的物件。
您不能變更在管理角色上定義的隱含範圍,但您可以覆寫管理角色上的隱含寫入範圍與組態範圍。當在角色指派上使用預先定義的相對範圍或自訂範圍時,會覆寫角色的隱含寫入範圍或組態範圍,而新範圍會有最高的優先順序。角色的隱含讀取範圍無法覆寫,且一律套用。如需有關預先定義或自訂明確範圍的詳細資訊,請參閱本主題稍後的相關章節。
明確範圍
明確範圍是您設給自己的範圍,以控制管理角色可修改哪些物件。隱含範圍是在管理角色上定義的,明確範圍則是在管理角色指派上定義的,這讓所有的管理角色一致地套用隱含範圍,除非您選擇使用覆寫明確範圍。如需有關管理角色指派的相關資訊,請參閱了解管理角色指派。
明確範圍會覆寫管理角色的隱含寫入與組態範圍,但不會覆寫管理角色的隱含讀取範圍。隱含讀取範圍會持續定義管理角色可讀取哪些物件。
當管理角色的隱含寫入範圍不符合您的企業需求時,明確範圍很有用。只要新的範圍不超過隱含讀取範圍的界限,您可以新增明確範圍以涵蓋幾乎您想要的任何一切。屬於管理角色的指令程式必須能讀取物件或包含物件之容器的相關資訊,讓指令程式能夠建立或修改物件。例如,如果管理角色上的隱含讀取範圍設為 Self
,您便無法新增 Organization
的明確寫入範圍,因為明確寫入範圍超過隱含讀取範圍的界限。
接下來的章節將說明預先定義的相對範圍與自訂範圍。
預先定義的相對範圍
Exchange 2010 提供數個預先定義的相對寫入範圍,您可以使用此範圍來修改管理角色的範圍。預先定義的相對範圍可讓您不必手動建立自訂範圍,就能很輕鬆的更接近企業的需求。這些範圍之所以稱做相對範圍,是因為它們相對於被指派相關聯角色指派的角色受託人。例如,Self
預先定義的相對範圍會將寫入範圍限制為僅限目前使用者。MyDistributionGroups
預先定義的相對範圍會將寫入範圍限制為僅由目前使用者擁有的通訊群組。預先定義的相對範圍只能用於界定收件者物件的範圍。預先定義的相對範圍無法用於界定組態物件的範圍。下表列出您可以使用的預先定義相對範圍。
預先定義的相對範圍
Organization
|
如果 Organization 出現在角色的收件者寫入範圍內,則該角色可以建立或修改整個 Exchange 組織內的收件者物件。
如果 Organization 出現在角色的收件者讀取範圍內,則該角色可以檢視整個 Exchange 組織內的任何收件者物件。
此範圍僅與收件者讀取和寫入範圍配合使用。 |
Self
|
如果 Self 出現在角色的收件者寫入範圍內,則該角色只能修改目前使用者信箱的內容。
如果 Self 出現在角色的收件者讀取範圍內,則該角色只能檢視目前使用者信箱的內容。
此範圍僅與收件者讀取和寫入範圍配合使用。 |
MyDistributionGroups
|
如果 MyDistributionGroups 出現在角色的收件者寫入範圍內,則該角色可以建立或修改目前使用者所擁有的通訊清單物件。
如果 MyDistributionGroups 出現在角色的收件者讀取範圍內,則該角色可以檢視目前使用者所擁有的通訊清單物件。
此範圍僅與收件者讀取和寫入範圍配合使用。 |
當您建立新的管理角色指派時,會套用預先定義的相對範圍。使用 New-ManagementRoleAssignment 指令程式建立角色指派期間,您可以使用 RecipientRelativeWriteScope 參數指定預先定義的相對範圍。建立新的角色指派時,新的預先定義角色會覆寫管理角色的隱含寫入範圍。
如需有關如何新增含預先定義相對範圍的管理角色指派,請參閱將角色新增至使用者或 USG。
自訂範圍
當隱含寫入範圍或預先定義的相對範圍皆未符合您企業的需求,便需要自訂範圍。自訂範圍可讓您更精細的定義會套用管理角色的範圍。例如,您可能要以特定的組織單位 (OU)、特定類型的收件者,或兩者為目標。
如同預先定義的相對範圍,自訂範圍會覆寫在管理角色上定義的隱含寫入與組織組態範圍。管理角色上的隱含讀取範圍會持續套用,而產生的自訂範圍不得超過隱含讀取範圍的界限。
最簡單的自訂範圍是使用 New-ManagementRoleAssignment 指令程式上的 RecipientOrganizationalUnitScope 參數所建立的 OU 範圍。透過在指派角色時指定 OU 範圍,被指派該角色的使用者只能修改該 OU 內的收件者物件。
如需有關如何新增 OU 範圍的管理角色指派的詳細資訊,請參閱將角色新增至使用者或 USG。
使用 New-ManagementScope 指令程式可建立更複雜、更精細的自訂範圍。透過 New-ManagementScope 指令程式,您可以建立篩選收件者與組態的範圍。篩選收件者的範圍會使用篩選器來根據收件者類型,或如部門、管理階層、位置等其他收件者內容,以鎖定特定的收件者。篩選組態的範圍會使用篩選器來根據可在伺服器上定義的可篩選內容,例如 Active Directory 站台或伺服器角色,以鎖定特定的伺服器。
在建立篩選收件者或組態範圍時,只會傳回符合各自篩選範圍的收件者或伺服器物件。當使用 New-ManagementRoleAssignment 或 Set-ManagementRoleAssignment 指令程式將這些範圍套用到角色指派時,被指派該角色的角色受託人只能修改符合篩選器的物件。在建立自訂範圍後,您無法變更範圍類型。收件者範圍永遠是收件者範圍,組態範圍也永遠是組態範圍。
依預設,自訂範圍可讓角色受託人存取一組符合您所定義篩選器的物件。但是,這些物件不會主動排除存取其他也未被指派相同或等同範圍的角色受託人。如果任何自訂範圍上的篩選器符合相同物件,則這些範圍可存取相同的物件。可能會有物件不要這種行為,例如像是高階主管等重要人士。對於這些物件,您可以定義獨佔範圍。獨佔範圍會以與一般範圍相同的方式使用篩選器,但與一般範圍不同的是,獨佔範圍會拒絕任何不屬於相同或等同獨佔範圍的任何人存取該範圍內包含的物件。如需獨佔範圍的相關資訊,請參閱 了解獨佔範圍。
詳細資訊
瞭解管理角色範圍篩選器
建立一般或獨佔範圍
變更角色範圍
變更角色群組中角色指派的範圍
New-ManagementRole
New-ManagementScope
Set-ManagementScope
New-ManagementRoleAssignment
Set-ManagementRoleAssignment