Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2010-12-16
Группа ролей управления — это универсальная группа безопасности, используемая в модели разрешений управления доступом на основе ролей (RBAC) в Microsoft Exchange Server 2010. Группа ролей управления упрощает назначение ролей управления для группы пользователей. Для всех участников группы ролей назначается идентичный набор ролей. Для групп ролей назначаются роли специалиста и администратора, определяющие большинство административных задач в Exchange 2010, например управление организацией, управление получателями и другие задачи. Группы ролей упрощают назначение более широкого набора разрешений группе администраторов или специалистов.
Примечание. |
---|
В данном разделе рассматриваются расширенные возможности управления доступом на основе ролей (RBAC). Сведения об управлении базовыми разрешениями Exchange 2010, такими как использование панели управления Exchange для добавления и удаления участников групп ролей, создания и изменения групп ролей, а также создания и изменения политик назначения ролей, см. в разделе Общие сведения о разрешениях. |
Содержание
Рабочий процесс создания группы ролей
Примечание. |
---|
Сведения о назначении пользователям разрешения управлять собственными почтовыми ящиками или группами рассылки см. в разделе Общие сведения о политиках назначения роли управления. |
Уровни группы ролей
Ниже перечислены уровни, составляющие модель группы ролей.
- Владелец роли Владелец роли —
это почтовый ящик, который можно добавить как участника группы
ролей. При добавлении почтового ящика как участника группы ролей
назначения, выполненные в отношении ролей управления и группы
ролей, будут применены к почтовому ящику. Для данного почтового
ящика будут предоставлены разрешения, предусмотренные ролями
управления.
- Группа ролей управления Группа ролей
управления — это особая универсальная группа безопасности,
включающая в себя почтовые ящики, которые являются участниками
группы ролей. В этой группе выполняется добавление и удаление
участников. А также именно ей назначаются роли управления.
Совокупность всех ролей в группе ролей определяет все элементы в
организации Exchange, которыми могут управлять пользователи,
добавленные в группу ролей.
- Назначение роли
управления Назначение роли управления
связывает роль управления с группой ролей. Назначение роли
управления группе ролей позволяет участникам группы ролей
использовать командлеты и параметры, определенные в роли
управления. Области управления в назначениях ролей позволяют
управлять областями, в которых будет использоваться назначение.
Дополнительные сведения см. в разделе Общие сведения о
назначениях ролей управления.
- Область роли управления Область роли
управления — это область влияния назначения роли. При
назначении роли с областью группе ролей область управления
определяет, какими объектами может управлять это назначение. Затем
назначение и его область предоставляются участникам группы ролей,
что ограничивает элементы, которыми могут управлять эти участники.
Область могут составлять серверы или базы данных, подразделения или
фильтры на объектах сервера, базы данных или получателя.
Дополнительные сведения см. в разделе Общие сведения об
областях применения ролей управления.
- Роль управления Роль управления
— это контейнер для группировки записей ролей управления. Роли
позволяют указывать определенные задачи, которые могут выполнять
участники группы ролей, для которых назначена роль. Дополнительные
сведения см. в разделе Общие сведения о ролях
управления.
- Записи роли управления Записи роли
управления — это отдельные записи роли управления, которые
обеспечивают доступ к командлетам, сценариям и другим специальным
разрешениям, позволяющим выполнять определенную задачу. В
большинстве случаев запись роли включает в себя один командлет и
параметры, к которым можно получить доступ с помощью роли
управления, а также группу ролей, которой назначена роль.
На следующем рисунке изображены все вышеперечисленные уровни группы ролей и взаимосвязи этих уровней.
Дополнительные сведения об управлении доступом на основе ролей см. в разделе Общие сведения об управлении доступом на основе ролей.
Управление группой ролей
При создании группы ролей создается универсальная группа безопасности, включающая в себя участников группы ролей, и назначения между группой ролей и указанными ролями управления. Можно также указать область управления применительно к назначениям роли и добавить почтовые ящики в качестве участников новой группы ролей.
После создания группы ролей каждый ее уровень становится независимым объектом. Группа ролей останется центральной точкой, объединяющей все уровни группы, но каждый уровень будет управляться по отдельности. Например, чтобы изменить область управления, примененную к группе ролей при ее создании, необходимо изменить область каждого отдельного назначения роли после создания группы ролей. Управление моделью группы ролей выполняется с помощью командлетов для управления отдельными уровнями модели группы ролей.
В следующей таблице перечислены уровни группы ролей и разделы с описанием процедур, позволяющих управлять каждым уровнем.
Разделы управления группой ролей
Уровень модели группы ролей | Раздел управления | ||
---|---|---|---|
Владелец роли |
|||
Группа ролей |
Изменение внешней связанной универсальной группы безопасности в связанной группе ролей |
||
Роли управления и их назначения |
|||
Записи ролей управления |
Добавление новой записи роли в роль
|
Встроенные группы ролей
Встроенные группы ролей — это роли, входящие в комплект поставки Exchange 2010. Такие группы содержат набор групп ролей, позволяющих предоставлять группам пользователей различные уровни прав администрирования. Во встроенных группах ролей можно добавлять и удалять пользователей. В большинстве групп ролей можно также добавлять и удалять назначения ролей. Единственными исключениями являются следующие правила.
- Невозможно удалить любое назначение роли делегирования из
группы ролей Управление организацией.
- Невозможно удалить роль управления ролью из группы ролей
Управление организацией.
В следующей таблице перечислены все встроенные группы ролей в составе Exchange 2010. Дополнительные сведения о встроенных группах ролей см. в разделе Встроенные группы ролей.
Встроенные группы ролей
Группа ролей | Описание |
---|---|
Администраторы, являющиеся участниками группы ролей Управление организацией, имеют административный доступ ко всей организации Exchange 2010 и могут выполнять практически все задачи с любым объектом Exchange 2010. |
|
Администраторы, являющиеся участниками группы ролей Управление организацией только с правом на просмотр, могут просматривать свойства любого объекта в организации Exchange. |
|
Администраторы, являющиеся участниками группы ролей Управление получателями, имеют административный доступ для создания или изменения получателей Exchange 2010 в организации Exchange 2010. |
|
Администраторы, являющиеся участниками группы ролей управления единой системы обмена сообщениями, могут управлять компонентами единой системы обмена сообщениями в организации Exchange, например конфигурацией сервера единой системы обмена сообщениями, свойствами этой системы для почтовых ящиков, запросами системы и конфигурацией автосекретаря единой системы обмена сообщениями. |
|
Администраторы или пользователи, которые являются участниками группы ролей Управление обнаружением, могут выполнять поиск данных, которые соответствуют определенным критериям, в почтовых ящиках организации Exchange. |
|
Пользователи, которые являются участниками группы ролей Управление записями, могут настраивать такие соответствия требованиям, как теги политики хранения, классификации сообщений, правила транспорта и другие. |
|
Администраторы, являющиеся участниками группы ролей управления сервером, имеют административный доступ к конфигурации сервера Exchange 2010. Они не имеют административного доступа к конфигурации получателя Exchange 2010. |
|
Пользователи, являющиеся участниками группы ролей службы поддержки, могут выполнять ограниченное число задач управления получателями Exchange 2010. |
|
Администраторы, которые являются участниками группы ролей «Управление санацией», могут настраивать эти функции защиты от нежелательной почты и вирусов в Exchange 2010. Сторонние программы, интегрированные с Exchange 2010, могут добавлять в эту группу ролей учетные записи служб, чтобы предоставить этим программам доступ к командлетам, необходимым для извлечения и настройки конфигурации Exchange. |
|
Администраторы, являющиеся участниками группы ролей управления общими папками, могут управлять общими папками и базами данных на серверах Exchange 2010. |
|
Администраторы, являющиеся участниками группы ролей делегированной установки, могут развертывать предварительно подготовленные серверы Exchange 2010. |
Связанные группы ролей
Связанные группы ролей используются в организациях, в которых серверы Exchange 2010 установлены в выделенном лесу ресурсов, а пользователи размещены в других внешних доверенных лесах. Связанные группы ролей позволяют создавать связь между группой ролей в лесу Exchange и универсальной группой безопасности во внешнем лесу. Это полезно, если учетные записи администраторов доменных служб Служба каталогов Active Directory, которым необходимо назначить управление Exchange, не расположены в том же лесу ресурсов, что и Exchange. Связанные группы ролей можно связать только с одной внешней универсальной группой безопасности. Также отсутствует необходимость создавать двустороннее отношение доверия между лесом Exchange и внешним лесом. Лес Exchange должен доверять внешнему лесу, но внешний лес может не доверять лесу Exchange.
Дополнительные сведения о разрешениях в топологиях с несколькими лесами см. в разделе Общие сведения о разрешениях при использовании нескольких лесов.
Связанная группа ролей состоит из двух частей.
- Связанная группа ролей Связанная группа
ролей — это объект-контейнер, связывающий внешнюю универсальную
группу безопасности с назначениями ролей управления группы
ролей.
- Внешняя универсальная группа
безопасности Внешняя универсальная группа
безопасности включает в себя участников, которым необходимо
назначить разрешения, предоставленные связанной группой ролей.
При создании связанной группы ролей необходимо предоставить контроллер домена во внешнем лесу, содержащем пользователей, которым необходимо назначить управление лесом Exchange, а также универсальную группу безопасности, которая содержит этих пользователей как участников, имя внешней универсальной группы безопасности и учетные данные, необходимые для получения доступа к внешнему лесу. Exchange добавляет идентификатор безопасности внешней универсальной группы безопасности в связанную группу ролей. Так как идентификатор безопасности (SID) является единственным идентификатором внешней универсальной группы безопасности, рекомендуется указывать внешний лес в имени группы ролей при наличии нескольких внешних лесов.
Связанная группа ролей не содержит участников. Управление всеми участниками этой группы ролей выполняется с помощью внешней универсальной группы безопасности. Поэтому невозможно использовать командлеты Update-RoleGroupMember, Add-RoleGroupMember или Remove-RoleGroupMember для добавления или удаления участников группы ролей. При добавлении участников во внешнюю универсальную группу безопасности им назначаются разрешения, предоставленные связанной группой ролей.
Невозможно изменить стандартную группу ролей, содержащую собственных участников, на связанную группу ролей и наоборот. Чтобы заменить стандартную группу ролей на связанную группу ролей, необходимо создать новую связанную группу ролей и выполнить репликацию назначений ролей управления, содержащихся в стандартной группе ролей, в связанную группу ролей. Эта схема замены также применяется к встроенным группам ролей, так как они являются стандартными группами ролей. Чтобы выполнять все задачи управления лесом Exchange из внешнего леса, необходимо создать новые связанные группы ролей и добавить роли управления, существующие во встроенных группах ролей, в новые связанные группы ролей. Дополнительные сведения см. в разделе Создание связанных групп ролей, зеркально отображающих встроенные группы ролей.
Дополнительные сведения о развертывании Exchange в лесу ресурсов см. в разделе Развертывание Exchange 2010 в топологии леса ресурсов Exchange.
Делегирование группы ролей
По умолчанию участники группы ролей Управление организацией могут добавлять и удалять участников в группах ролей. Тем не менее, можно разрешить пользователям, которые не являются участниками группы ролей Управление организацией, добавлять и удалять участников групп ролей. В этом случае можно использовать делегирование группы ролей.
Управление делегированием группы ролей выполняется с помощью свойства ManagedBy для каждой группы ролей. Свойство ManagedBy содержит список пользователей, которые могут добавлять и удалять участников определенной группы ролей или изменять конфигурацию группы ролей. Пользователям можно назначать разрешения, предоставляемые группой ролей, только если эти пользователи являются участниками группы ролей.
Если для группы ролей установлено свойство ManagedBy, только те пользователи, которые указаны в этом свойстве как руководители группы ролей, могут изменять группу ролей или членство в группе ролей по умолчанию. Тем не менее, дополнительный параметр командлетов, используемых для изменения групп ролей или членства в группе ролей, позволяет переопределить это ограничение. Параметр BypassSecurityGroupManagerCheck могут использовать пользователи, которые являются участниками роли Управление организацией или для которых прямо или косвенно назначена роль управления ролями. При использовании этого параметра свойство ManagedBy пропускается и пользователь может изменять группу ролей или членство в группе ролей.
Если для группы ролей свойство ManagedBy не установлено, изменять группу ролей или членство в группе ролей могут только те пользователи, которые являются участниками роли Управление организацией или для которых прямо или косвенно назначена роль управления ролями.
Примечание. |
---|
Роли группы ролей можно назначить с помощью назначений ролей делегирования. С помощью назначений ролей делегирования участники группы ролей, для которой назначена роль делегирования, могут назначать эту роль другой группе ролей, политике назначения, пользователю или универсальной группе безопасности. Участники группы ролей могут назначать только роль делегирования и только после того, как будут добавлены в свойство ManagedBy. Дополнительные сведения о назначении ролей делегирования см. в разделе Общие сведения о назначениях ролей управления. |
Дополнительные сведения об управлении делегированием группы ролей см. в разделе Добавление или удаление делегата группы ролей.
Членство в группе ролей
Когда пользователь становится участником группы ролей, роли управления, назначенные этой группе ролей, назначаются этому пользователю. Если пользователь является участником нескольких групп ролей, роли управления каждой группы ролей объединяются и назначаются этому пользователю. Участниками групп ролей могут быть пользователи, универсальные группы безопасности и другие группы ролей.
Только те пользователи, которые являются участниками групп ролей Управление организацией или управления ролями, а также те, которым делегировано разрешение добавлять или удалять пользователей в группах ролей, могут управлять членством в группе ролей.
Дополнительные сведения об управлении членством в группе ролей см. в следующих разделах:
Рабочий процесс создания группы ролей
Как упоминалось ранее, группа ролей включает в себя несколько уровней. Чтобы понять, что происходит при создании группы ролей, см. следующий пример создания новой группы ролей.
Скопировать код | |
---|---|
New-RoleGroup -Name "Seattle Recipient Management" -Roles "Mail Recipients", "Distribution Groups", "Move Mailboxes", "UM Mailboxes" -CustomRecipientWriteScope "Seattle Users", -ManagedBy "Brian", "David", "Katie" -Members "Ray", "Jens", "Maria", "Chris", "Maira", "Carter", "Jesse", "Lukas", "Isabel", "Rick", "Katie" |
При выполнении предыдущей команды происходит следующее.
- Создается новая группа ролей с именем «Управление получателями
в Сиэтле», являющаяся специальной универсальной группой
безопасности.
- В качестве участников группы ролей добавляются почтовые ящики
Ивана, Владимира, Марии, Григория, Елены, Светланы, Ирины, Бориса,
Дарьи, Виталия и Валентины. Эти пользователи получают разрешения,
предоставляемые этой группой ролей.
- Пользователи Виктор и Владимир добавляются в свойство
ManagedBy группы ролей. Эти пользователи могут добавлять и
удалять участников в группе ролей, но им не будут назначены
разрешения, предоставляемые группой ролей, так как они не являются
участниками этой группы. Валентина также добавлена в свойство
ManagedBy группы ролей. Поскольку она добавлена в свойство
ManagedBy и является участником группы ролей, она может
добавлять и удалять участников в группе ролей и получает
разрешения, предоставляемые группой ролей.
- Создаются следующие назначения ролей управления. Назначения
ролей позволяют назначать группе ролей каждую роль управления,
указанную в команде. Область управления «Пользователи в Сиэтле»
добавлена для каждого назначения роли. Имя каждого назначения роли
— это сочетание назначаемой роли управления и имени группы
ролей.
Mail Recipients_Seattle Recipient Management
Distribution Groups_Seattle Recipient Management
Move Mailboxes_Seattle Recipient Management
UM Mailboxes_Seattle Recipient Management
При сравнении результатов этой команды с рисунком уровней группы ролей управления, приведенным выше в этом разделе, можно увидеть, в каких пунктах каждый шаг соответствует уровням группы ролей. Также см. сведения об управлении каждым уровнем группы ролей в разделах управления группой ролей управления, включенных в приведенный выше раздел «Управление группами ролей».