Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2011-03-19
Управление организацией
Администраторы, являющиеся участниками группы ролей Управление организацией, имеют административный доступ ко всей организации Microsoft Exchange Server 2010 и могут выполнять практически любые задачи с любым объектом Exchange 2010 за некоторыми исключениями. По умолчанию члены этой группы ролей не могут выполнять поиск в почтовых ящиках и управлять ролями управления верхнего уровня с незаданной областью. Дополнительные сведения см. в подразделе «Назначения делегирования ролей» данного раздела.
 Важно! |
|---|
| Группа ролей Управление организацией является многофункциональной ролью, и поэтому членами этой группы могут быть только пользователи или универсальные группы безопасности, выполняющие административные задачи на уровне организации, которые могут влиять на всю организацию Exchange. |
Эта группа ролей эквивалентна роли администратора организации Exchange в Exchange Server 2007.
Дополнительные сведения об управлении доступом на основе ролей см. в разделе Общие сведения об управлении доступом на основе ролей.
Членство в группе ролей
По умолчанию учетная запись, используемая для установки Exchange 2010 в организации, добавляется в качестве участника группы ролей Управление организацией. Затем пользователь под этой учетной записью может при необходимости добавлять других участников в эту группу ролей.
Чтобы добавить участников в эту группу ролей или удалить их из нее, см. следующие разделы:
По умолчанию только участники группы ролей управления организацией могут добавлять и удалять участников из этой группы ролей. Дополнительные сведения о добавлении участников в группу ролей см. в разделе Добавление или удаление делегата группы ролей.
Следующую команду можно использовать для просмотра списка пользователей или универсальных групп безопасности, которые являются участниками этой группы ролей.
 Скопировать код |
|
|---|---|
Get-RoleGroupMember "Organization Management" |
|
Дополнительные сведения об участниках группы ролей см. в разделе Просмотр участников группы ролей.
Настройка группы ролей
Этой группе ролей назначены роли управления по умолчанию. Роли перечислены в разделе «Роли управления, назначенные этой группе ролей». В соответствии с требованиями организации назначения ролей можно добавлять в группы ролей или удалять из групп.
Группы ролей, предусмотренные в Exchange 2010, предназначены для решения определенных задач. Путем назначения ролей группе ролей участники группы могут выполнять задачи, связанные с ролью. Например, роль «Ведение журнала» позволяет управлять агентом ведения журнала и правилами ведения журнала. Дополнительные сведения о назначении ролей группам ролей см. в разделе Общие сведения о назначениях ролей управления.
Ролям, назначенным этой группе ролей, предоставлены области управления по умолчанию. Области управления определяют объекты Exchange, которые участники группы ролей могут просматривать и изменять. Области, связанные с назначениями между ролями и группами ролей, можно изменять. Например, это может понадобиться, чтобы позволить участникам группы ролей изменять получателей определенного подразделения или в определенном местоположении. Дополнительные сведения об областях управления см. в разделе Общие сведения об областях применения ролей управления.
Дополнительные сведения о настройке этой группы ролей см. в следующих разделах.
- Добавление
роли в группу ролей
- Удаление
роли из группы ролей
- Добавление
участников в группу роли
- Удаление
участников из группы ролей
- Изменение
области назначений ролей в группе ролей
Чтобы создать группу ролей и назначить некоторые роли, назначенные этой группе ролей, новой группе ролей см. раздел Создание группы ролей.
Ниже перечислены некоторые способы настройки этой роли.
- Владелец разрешений Если разрешения в
организации контролируются определенной группой, отличной от
администраторов Exchange, можно создать группу ролей и
переместить назначения стандартных ролей и ролей делегирования для
роли управления ролями в новую группу ролей. Это действие
используется для запрета участникам группы ролей Управление
организацией управлять любыми разрешениями RBAC.
- Разделение разрешений Active
Directory Если создание участников
безопасности в организации, например учетных записей пользователей,
контролируется определенной группой, отличной от
администраторов Exchange, можно создать группу ролей и
переместить назначения стандартных ролей и ролей делегирования для
роли создания получателя почты и роли создания и членства в группе
безопасности в новую группу ролей. Это действие используется для
запрета участникам группы ролей Управление организацией создавать
объекты Служба каталогов Active Directory. Они могут, тем не менее,
продолжать включать поддержку почты для новых объектов Служба
каталогов Active Directory. Дополнительные сведения о разрешениях с
разделением см. в разделе Общие сведения о
разделенных разрешениях.
Ограничения настройки
Любую роль можно добавить или удалить из этой группы ролей со следующими ограничениями.
- У каждой роли должно быть как минимум одно назначение роли
делегирования группе ролей или универсальной группе безопасности,
прежде чем назначение роли делегирования может быть удалено из этой
группы ролей.
- У роли управления ролями должно быть как минимум одно
назначение стандартной роли группе ролей или универсальной группе
безопасности, прежде чем назначение стандартной роли может быть
удалено из этой группы ролей.
Эти ограничения предназначены для предотвращения случайной блокировки пользователем самого себя. Предусматривая наличие как минимум одного назначения роли делегирования между каждой ролью и одной или несколькими группами ролей или универсальными группами безопасности, можно всегда иметь возможность назначать роли уполномоченным этой роли. Предусматривая наличие как минимум одного назначения стандартной роли между ролью управления ролями и одной или несколькими группами ролей или универсальными группами безопасности, можно всегда иметь возможность настраивать группы ролей и назначения ролей.
| Важно! |
|---|
| Для этих ограничений требуется, чтобы группы ролей или универсальные группы безопасности являлись объектами назначения стандартных ролей и ролей делегирования. Нельзя удалить назначение роли делегирования или стандартное назначение для роли управления ролями, если последнее назначение выполнялось для пользователя. |
Назначение только роли
делегирования
Некоторые назначения ролей между группой ролей Управление организацией и ролями управления, таких как поиск в почтовых ящиках или управление ролью с незаданной областью, делегируют только назначения роли. Эти роли предоставляют доступ к конфиденциальным или личным сведениям, таким как содержимое почтовых ящиков, или возможность создания многофункциональных ролей управления с незаданной областью.
Назначение только ролей делегирования позволяет участникам группы ролей Управление организацией только назначать связанные роли другим группам ролей, политикам назначения ролей управления, пользователям или универсальным группам безопасности. По умолчанию участники группы ролей Управление организацией не получают каких-либо разрешений, которые предоставляются данной ролью. Это помогает предотвратить случайное раскрытие личных сведений или несанкционированное получение прав.
Но при этом участники группы ролей Управление организацией могут назначать себе любую роль, что дает им возможность выполнять любые задачи. Например, участник группы ролей Управление организацией может назначить роль поиска в почтовых ящиках группе ролей Управление организацией. После назначения этой роли участники группы ролей Управление организацией могут выполнять задачи, которые поддерживаются ролью поиска в почтовых ящиках.
Дополнительные сведения о назначениях ролей делегирования см. в разделе Общие сведения о назначениях ролей управления.
Дополнительные разрешения
Разрешения, предоставляемые участникам группы ролей Управление организацией, в основном определяются ролями управления, назначенными этой группе ролей. Однако не все задачи, которые необходимо выполнить, охватываются ролями управления. Некоторые задачи выполняются за пределами средств управления Exchange, которые не позволяют применить модель разрешений RBAC. Для таких задач разрешения предоставляются путем добавления группы ролей Управление организацией в списки управления доступом (ACL) определенных объектов Служба каталогов Active Directory.
Для следующих задач разрешения были получены с помощью списков управления доступом объектов Служба каталогов Active Directory, а не с помощью назначения роли управления группе ролей Управление организацией.
- Запуск DomainPrep и ForestPrep с помощью Setup.exe
- Развертывание дополнительных серверов в организации
- Подготовка серверов с помощью делегированной установки
- Создание, управление и удаление общих папок верхнего уровня
- Управление разрешениями в общих папках верхнего уровня
Дополнительные сведения обо всех разрешениях, назначаемых группе ролей Управление организацией с помощью списков управления доступом, см. в разделе Справочник по разрешениям развертывания Exchange 2010.
Роли управления, назначенные этой
группе ролей
В следующей таблице перечислены все роли управления, назначенные этой группе ролей, и следующие атрибуты каждого назначения роли:
- Обычное назначение Предоставляет доступ
участникам группы ролей к записям ролей управления, предоставляемым
связанной ролью управления.
- Делегированное назначение Предоставляет
участникам группы ролей возможность назначать определенную роль
другим группам ролей, политикам назначения ролей, пользователям или
универсальным группам безопасности.
- Область чтения получателей Определяет
объекты получателей, которые участники группы ролей могут читать из
Служба каталогов Active Directory.
- Область записи получателей Определяет
объекты получателей, которые участники группы ролей могут изменять
в Служба каталогов Active Directory.
- Область чтения конфигурации Определяет
объекты сервера и конфигурации, которые участники группы ролей
могут читать из Служба каталогов Active Directory.
- Область записи конфигурации Определяет
объекты сервера и организации, которые участники группы ролей могут
изменять в Служба каталогов Active Directory.
Дополнительные сведения о назначениях ролей и областях управления см. в следующих разделах:
- Общие
сведения о назначениях ролей управления
- Общие
сведения об областях применения ролей управления
Роли управления, назначенные этой группе ролей
| Роль управления | Стандартное назначение | Делегирование назначения | Область чтения получателей | Область записи получателей | Область чтения конфигурации | Область записи конфигурации |
|---|---|---|---|---|---|---|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
X |
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
X |
|
|
|
|