Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2010-06-25
Монопольные области — это особый тип явных областей управления, которые могут быть сопоставлены с назначениями ролей управления. Монопольные области предназначены для тех ситуаций, когда имеется группа очень ценных объектов, таких как почтовые ящики руководителей, и необходимо очень точно управлять возможностями доступа к этим объектам.
Назначение роли с монопольной областью называется назначением монопольной роли.
При создании монопольной области изменять объекты, соответствующие этой области, смогут только те пользователи, которым была назначена монопольная область или эквивалентная монопольная область. Пользователи ролей, не получивших назначения монопольной области или эквивалентной области, не смогут изменять объекты, соответствующие этой области, даже если их собственные роли содержат области, которые включали бы такие объекты. Монопольные области имеют приоритет над другими стандартными областями, которые не являются монопольными. Это поведение аналогично записи управления доступом «Запретить» в функциях списка управления доступом Служба каталогов Active Directory.
Эквивалентная монопольная область означает другую монопольную область, которой соответствуют некоторые из объектов, входящую в первую монопольную область. Области не должны иметь полностью совпадающий набор объектов. Однако области могут изменить некоторые или все соответствующие им объекты.
Создание монопольных областей
Монопольные области могут быть созданы так же, как и любые другие явные области. Можно указать предварительно заданную относительную область; фильтр получателей, баз данных или серверов; либо список баз данных или серверов. В отличие от стандартных областей, которые не вступают в силу до сопоставления этой области назначению роли управления, запрещение для монопольной области вступает в силу незамедлительно. Это означает, что как только монопольная область будет создана, содержащиеся в этой области объекты тут же станут недоступными тем пользователям, для которых не создано назначение соответствующей роли.
После создания назначения доступ к монопольной области будет предоставлен тем пользователям, которые входят в роль и область управления. Если другая эквивалентная монопольная область соответствует тем же объектам, назначение роли, связанное с этой монопольной областью, будет предоставлять доступ к этим объектам.
Дополнительные сведения о фильтрах областей управления см. в разделе Общие сведения о фильтрах областей ролей управления.
Важно! |
---|
При изменении любых компонентов ролей управления, включая монопольные области, следует учитывать время репликации Служба каталогов Active Directory. |
Если объекты содержатся в нескольких монопольных областях, доступ к объектам будет предоставляться любой из этих монопольных областей. Дополнительные сведения см. в подразделе Взаимодействие монопольных и стандартных областей далее в этом разделе.
Монопольные области управляют только областями записи получателей или конфигураций, относящихся к назначению ролей. Также будет применяться неявная область чтения получателей или конфигураций, относящаяся к роли, назначенной пользователю или группе. Это означает, что будут выполняться следующие условия.
- Пользователи и группы, для которых была назначена роль,
продолжают видеть объекты, которые соответствуют неявной области
чтения этой роли.
- Пользователи и группы, для которых были назначены другие роли,
могут видеть объекты, содержащиеся в монопольной области, если
области чтения, относящиеся к другим ролям, содержат эти же
объекты. Однако объекты могут быть изменены только теми, кому была
назначена роль, связанная с монопольной областью.
Монопольные области могут использоваться только вместе с административными ролями или ролями специалистов и не могут использоваться с пользовательскими ролями. Дополнительные сведения о ролях см. в разделе Общие сведения о ролях управления.
Взаимодействие монопольных и стандартных областей
На рисунке в конце этого раздела показано, как монопольные области взаимодействуют друг с другом и со стандартными областями. На этом рисунке все пользователи имеют следующие атрибуты.
Пользователь | Город | Должность | Отдел |
---|---|---|---|
Terry |
Ванкувер |
Бухгалтер |
Бухгалтерия |
David |
Ванкувер |
Писатель |
Маркетинг |
Walter |
Ванкувер |
Руководитель |
Маркетинг |
Bob |
Ванкувер |
Исполнительный директор |
Совет |
Christine |
Ванкувер |
Президент |
Совет |
Fred |
Ванкувер |
Финансовый директор |
Руководители организации |
Martin |
Ванкувер |
Директор по информационным технологиям |
Руководители организации |
Kim |
Ванкувер |
Вице-президент по операциям |
Руководители организации |
Jennifer |
Ванкувер |
Вице-президент по технологиям |
Руководители организации |
Следующие три назначения ролей управления управляют пользователями, приведенными в предыдущей таблице. Каждое назначение имеет соответствующую область, некоторые из которых являются монопольными.
Назначение ролей | Область фильтра | Монопольная или стандартная |
---|---|---|
Администраторы получателей |
Город = Ванкувер |
Стандартная |
Администраторы VIP |
Должность = исполнительный директор или финансовый директор, или директор по информационным технологиям, или президент |
Монопольный |
Администраторы руководителей |
Отдел = руководители |
Монопольный |
Назначение роли «Администраторы получателей» имеет область, которая соответствует всем пользователям, так как каждый пользователь находится в Ванкувере. Отсутствие монопольных областей будет означать то, что пользователи с назначением роли «Администраторы получателей» смогут управлять всеми пользователями. Однако в организации созданы две монопольных области: Администраторы VIP и администраторы руководителей. Эти монопольные области ограничивают круг администраторов, которые могут управлять пользователями, находящихся в соответствующих областях. Назначение роли «Администраторы VIP» содержит фильтр области, который соответствует любому пользователю, должность которого указана как «Исполнительный директор», «Финансовый директор», «Директор по информационным технологиям» или «Президент». Назначение роли «Администраторы руководителей» содержит фильтр области, который соответствует любому пользователю, который состоит в отделе «Руководители».
При оценке стандартных и монопольных областей делаются следующие выводы:
- Назначение роли «Администраторы получателей» позволяет
управлять пользователями Terry, David и Walter. Это назначение роли
не позволяет управлять другими пользователями, потому что другие
пользователи соответствуют фильтрам монопольных областей,
относящихся к назначению ролей «Администраторы VIP» и
«Администраторы руководителей».
- Назначение роли «Администраторы VIP» позволяет управлять
пользователями Bob, Christine, Fred и Martin. Это связано с тем,
что фильтр монопольной области, связанный с этим назначением роли,
соответствует атрибутам этих объектов. Это назначение роли не
позволяет управлять пользователями Kim и Jennifer, так как их
атрибуты не соответствуют этой монопольной области.
- Назначение роли «Администраторы руководителей» позволяет
управлять пользователями Kim, Jennifer, Fred и Martin. Это связано
с тем, что фильтр монопольной области, связанный с этим назначением
роли, соответствует атрибутам этих объектов. Это назначение роли не
позволяет управлять пользователями Bob и Christine, так как их
атрибуты не соответствуют этой монопольной области.
Обратите внимание, что Fred и Martin доступны обеим монопольным областям. Это происходит потому, что атрибуты этих пользователей соответствуют фильтрам обеих монопольных областей.
Дополнительные сведения об областях управления см. в разделе Общие сведения об областях применения ролей управления.