Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2010-09-20
Microsoft Exchange Server 2010 включает множество предопределенных разрешений, основанных на модели разрешений управления доступом на основе ролей (RBAC). Поэтому разрешения можно сразу предоставить администраторам и пользователям. Функции разрешений в Exchange 2010 позволяют быстро ввести в действие новую организацию.
Модель RBAC используется, чтобы управлять разрешениями для следующих ролей сервера: сервер почтовых ящиков, транспортный сервер-концентратор, сервер единой системы обмена сообщениями и сервер клиентского доступа. Сведения о разрешениях для роли пограничного транспортного сервера см. в подразделе Разрешения пограничного транспорта ниже в данном разделе.
Примечание. |
---|
Некоторые возможности и принципы управления доступом на основе ролей не затрагиваются в этом разделе, поскольку относятся к расширенным функциям. Если функция, рассматриваемая в этом разделе, не отвечает вашим потребностям и требуется дальнейшая настройка модели разрешений, см. раздел Общие сведения об управлении доступом на основе ролей. |
Необходимы сведения о задачах управления, связанных с разрешениями? См. раздел Управление разрешениями.
Разрешения на основе ролей
В Exchange 2010 разрешения, которые предоставляются
администраторам и пользователям, основаны на ролях управления. Роль
определяет набор задач, которые может выполнять администратор или
пользователь. Например, роль управления под названием Mail
Recipients
определяет задачи, которые можно выполнять над
совокупностью почтовых ящиков, контактов и групп рассылки. Когда
роль назначается администратору или пользователю, ему
предоставляются разрешения в соответствии с этой ролью.
Существует два типа ролей — административные роли и роли конечных пользователей.
- Административные роли Эти роли
предусматривают разрешения, которые можно назначить администраторам
или опытным пользователям при помощи групп ролей, управляющих
частью организации Exchange, например получателями, серверами или
базами данных.
- Роли конечных пользователей Эти роли,
назначаемые при помощи политик назначения ролей, позволяют
пользователям управлять их собственными почтовыми ящиками и
группами рассылки. Роли конечных пользователей начинаются с
префикса
My
.
Роли дают разрешения администраторам и пользователям на выполнение задач, предоставляя доступ к командлетам лицам с назначенными ролями. Поскольку консоль управления Exchange, панель управления Exchange и командная консоль Exchange используют командлеты для управления Exchange, предоставление доступа к командлету дает администратору или пользователю разрешение на выполнение задачи в каждом из интерфейсов управления Exchange.
Exchange 2010 включает около 60 ролей, которые можно использовать для выдачи разрешений. Список ролей, содержащихся в Exchange 2010, см. в разделе Встроенные роли управления.
Группы ролей и политики назначения ролей
Роли предоставляют разрешения на выполнение задач в Exchange 2010, однако требуется легкий способ их назначения администраторам и пользователям. Для этого в Exchange 2010 предусмотрены следующие возможности.
- Группы ролей Группы ролей позволяют предоставлять
разрешения группам администраторов и специалистам.
- Политики назначения ролей Политики
назначения ролей позволяют предоставлять разрешения конечным
пользователям, позволяющие менять параметры их собственных почтовых
ящиков и групп рассылки.
Дополнительные сведения о группах ролей и политиках назначения ролей см. в следующих разделах:
Группы ролей
Каждому администратору, управляющему Exchange 2010,
должна быть назначена хотя бы одна роль. Администраторы могут иметь
несколько ролей, поскольку они могут выполнять функции,
охватывающие несколько областей в Exchange. Например, один
администратор может управлять и получателями, и серверами Exchange.
В этом случае администратору могут быть назначены обе роли —
Mail Recipients
и Exchange Servers
.
Чтобы упростить назначение администратору нескольких ролей, Exchange 2010 содержит группы ролей. Группы ролей — это особые универсальные группы безопасности (USG), используемые в Exchange 2010, которые могут включать пользователей Служба каталогов Active Directory, группы USG и другие группы ролей. Когда роль назначается группе ролей, разрешения, соответствующие этой роли, предоставляются всем участникам данной группы. Это позволяет назначить множество ролей сразу нескольким участникам группы ролей. Группы ролей обычно охватывают более широкие области управления, например управление получателями. Они используются только вместе с административными ролями, но не с ролями конечных пользователей.
Примечание. |
---|
Можно назначить роль непосредственно пользователю или группе USG, не используя группу ролей. Однако такой способ назначения ролей относится к расширенным процедурам и не затрагивается в данном разделе. Рекомендуется для управления разрешениями использовать группы ролей. |
На приведенном ниже рисунке показана взаимосвязь между пользователями, группами ролей и ролями.
Exchange 2010 содержит несколько встроенных групп ролей, каждая из которых предоставляет разрешения на управление определенными областями в Exchange 2010. Некоторые группы ролей могут перекрываться с другими. В приведенной ниже таблице перечислены группы ролей с описанием их использования. Чтобы просмотреть роли, назначенные каждой группе ролей, щелкните имя группы ролей в таблице и откройте раздел «Роли управления, назначенные этой группе ролей».
Встроенные группы ролей
Группа ролей | Описание | ||
---|---|---|---|
Администраторы, являющиеся участниками группы ролей Управление
организацией, имеют административный доступ ко всей организации
Microsoft Exchange 2010 и могут выполнять практически
любые задачи с любым объектом Exchange 2010 за некоторыми
исключениями, такими как роль
|
|||
Администраторы, являющиеся участниками группы ролей Управление организацией только с правом на просмотр, могут просматривать свойства любого объекта в организации Exchange. |
|||
Администраторы, являющиеся участниками группы ролей Управление получателями, имеют административный доступ для создания или изменения получателей Exchange 2010 в организации Exchange 2010. |
|||
Администраторы, которые являются членами группы ролей управления единой системой обмена сообщениями, могут управлять компонентами в организации Exchange, например конфигурацией сервера единой системы обмена сообщениями, свойствами почтовых ящиков единой системы обмена сообщениями, приглашениями единой системы обмена сообщениями и конфигурацией автосекретаря единой системы обмена сообщениями. |
|||
Участники группы ролей службы поддержки по умолчанию могут просматривать и изменять параметры Microsoft Office Outlook Web App для любого пользователя организации. Эти параметры могут включать отображаемое имя, адрес и номер телефона пользователя. Сюда не входят параметры, недоступные для настройки в Outlook Web App, такие как размер почтового ящика или параметры базы данных почтовых ящиков, в которой находится почтовый ящик. |
|||
Администраторы, являющиеся членами группы ролей «Управление санацией», могут настраивать функции защиты от нежелательной почты и вирусов в Exchange 2010. Сторонние программы, интегрированные с Exchange 2010, могут добавлять в эту группу ролей учетные записи служб, чтобы предоставить этим программам доступ к командлетам, необходимым для извлечения и настройки конфигурации Exchange. |
|||
Пользователи, которые являются участниками группы ролей Управление записями, могут настраивать такие функции обеспечения соответствия требованиям, как теги политики хранения, классификации сообщений и правила транспорта. |
|||
Администраторы или пользователи, являющиеся членами группы ролей Управление обнаружением, могут выполнять поиск данных по определенным критериям в почтовых ящиках организации Exchange, а также настраивать юридическое удержание для почтовых ящиков. Дополнительные сведения см. в разделах Поиск по нескольким почтовым ящикам и Общие сведения о хранении юридической информации. |
|||
Администраторы, являющиеся членами группы ролей управления общими папками, могут управлять общими папками и базами данных на серверах Exchange 2010. |
|||
Администраторы, которые являются участниками группы ролей управления сервером, могут выполнять настройку серверной конфигурации транспорта, единой системы обмена сообщениями, клиентского доступа и компонентов почтовых ящиков, таких как копии базы данных, сертификаты, транспортные запросы и соединители отправки, виртуальные каталоги, а также протоколы клиентского доступа. |
|||
Администраторы, состоящие в группе ролей «Делегированная установка», могут развертывать серверы Exchange 2010, ранее подготовленные участником группы ролей Управление организацией. Дополнительные сведения о делегированной установке см. в разделе Подготовка сервера Exchange Server 2010 и делегирование установки. |
В небольшой организации с малым количеством администраторов может потребоваться добавить администраторов только в группу ролей Управление организацией, а другие группы ролей могут никогда не понадобиться. В более крупной организации могут работать администраторы, выполняющие особые задачи в Exchange, такие как управление получателями или серверами. В таких случаях можно добавить одного администратора в группу ролей Управление получателями, а другого — в группу ролей управления сервером. Эти администраторы смогут управлять своими областями в Exchange 2010, но не будут иметь разрешений на управление областями, не входящими в их зону ответственности.
Если встроенные группы ролей в Exchange 2010 не соответствуют должностным обязанностям администраторов, можно создать новые группы ролей и добавить в них роли. Дополнительные сведения см. в подразделе Работа с группами ролей далее в этом разделе.
Политики назначения ролей
Exchange 2010 содержит политики назначения ролей, позволяющие контролировать параметры, которые могут настраивать пользователи для своих собственных почтовых ящиков и групп рассылки. Эти параметры включают отображаемое имя, контактную информацию, настройки голосовой почты и членство в группах рассылки.
Организация Exchange 2010 может иметь несколько политик назначения ролей, предусматривающих разные уровни разрешений для разных типов пользователей. Некоторым пользователям может быть разрешено изменять свой адрес или создавать группы рассылки, а другим — нет, в зависимости от политики назначения ролей, связанной с их почтовыми ящиками. Политики назначения ролей добавляются непосредственно к почтовым ящикам, и с каждым почтовым ящиком может быть связана только одна политика.
Одна из политик назначения ролей в организации помечается как используемая по умолчанию. Политика назначения ролей по умолчанию связывается с новыми почтовыми ящиками, которым во время создания явным образом не была назначена определенная политика. Политика назначения ролей по умолчанию должна содержать разрешения, применяемые к большинству почтовых ящиков пользователя.
Разрешения добавляются в политики назначения ролей с
использованием ролей конечных пользователей. Роли конечных
пользователей начинаются с префикса My
и предоставляют
пользователям разрешения на управление их собственными почтовыми
ящиками и группами рассылки. Они не могут использоваться для
управления любыми другими почтовыми ящиками. Политикам назначения
ролей могут быть назначены только роли конечных пользователей.
Когда роль конечного пользователя назначается политике назначения ролей, все почтовые ящики, связанные с этой политикой, получают разрешения, предусмотренные данной ролью. Это позволяет добавлять и удалять разрешения для групп пользователей без необходимости настройки отдельных почтовых ящиков. На приведенном ниже рисунке показано следующее.
- Роли конечных пользователей назначаются политикам назначения
ролей. Политикам назначения ролей могут соответствовать одни и те
же роли конечных пользователей.
- Политики назначения ролей связываются с почтовыми ящиками. С
каждым почтовым ящиком может быть связана только одна политика
назначения ролей.
- После связывания почтового ящика с политикой назначения ролей
роли конечных пользователей применяются к этому почтовому ящику.
Разрешения, предусмотренные ролями, предоставляются пользователю
этого почтового ящика.
Политика назначения ролей по умолчанию входит в Exchange 2010. Как следует из названия, это политика используется по умолчанию. Сведения о том, как изменить разрешения, предусмотренные этой политикой назначения ролей, и как создавать политики назначения ролей, см. в подразделе Работа с политиками назначения ролей ниже в данном разделе.
Работа с группами ролей
Для управления разрешениями с использованием групп ролей в Exchange 2010 с пакетом обновления 1 (SP1) рекомендуется применять панель управления Exchange. При использовании панели управления Exchange для управления группами ролей можно добавлять и удалять роли и участников, создавать группы ролей и копировать их при помощи нескольких щелчков кнопкой мыши. Для выполнения этих задач панель управления Exchange предусматривает простые диалоговые окна, такие как Создание группы ролей, показанные на рисунке ниже.
Как было упомянуто ранее в данном разделе, Exchange 2010 содержит несколько групп ролей, разделяющих разрешения на определенные административные области. Если эти группы ролей предоставляют разрешения, которые необходимы администраторам для управления организацией Exchange 2010, то нужно только добавить администраторов в качестве участников соответствующих групп ролей. После этого администраторы смогут управлять функциями, которые относятся к данной группе ролей. Чтобы добавить или удалить участников из группы ролей, откройте группу ролей на панели управления Exchange и затем добавьте или удалите участников из списка членов. Список встроенных групп ролей см. в разделе Встроенные группы ролей.
Важно! |
---|
Если администратор входит в несколько групп ролей, Exchange 2010 предоставляет ему все разрешения, предусмотренные группами ролей, участником которых он является. |
Если ни одна из групп ролей, входящих в Exchange 2010, не содержит необходимых разрешений, можно при помощи панели управления Exchange создать новую группу ролей и добавить в нее роли с нужными разрешениями. Для создания новой группы ролей выполните следующие действия.
- Выберите имя для группы ролей.
- Выберите роли, которые необходимо добавить в группу ролей.
- Добавьте участников в группу ролей.
- Сохраните группу ролей.
Создав группу ролей, ею можно управлять аналогично любой другой группе ролей.
Если существующая группа ролей имеет лишь некоторые из необходимых разрешений, можно скопировать ее и внести изменения, чтобы создать новую группу ролей. Можно скопировать существующую группу ролей и внести в нее изменения, не затрагивая исходную группу. В ходе копирования группы ролей можно добавить новое имя и описание, добавить или удалить роли из новой группы и добавить новых участников. Для создания или копирования группы ролей используется то же диалоговое окно, что показано на предыдущем рисунке.
Существующие группы ролей можно также изменять. Можно добавлять и удалять роли из существующих групп ролей, а также одновременно добавлять и удалять из них участников при помощи диалогового окна панели управления Exchange, аналогичного показанному на предыдущем рисунке. Добавляя и удаляя роли из группы ролей, пользователь включает и выключает административные функции для участников этой группы. Список ролей, которые можно добавить в группу ролей, см. в разделе Встроенные роли управления.
Примечание. |
---|
Хотя можно изменять состав ролей, назначаемых встроенным группам ролей, рекомендуется скопировать встроенную группу, изменить копию и затем добавить в нее участников. |
Подробные сведения о создании и копировании групп ролей, а также о внесении изменений в существующие группы и состав участников см. в следующих разделах:
- Добавление
участников в группу роли
- Удаление
участников из группы ролей
- Создание
группы ролей
- Копирование
группы ролей
- Удаление
группы ролей
- Добавление
роли в группу ролей
- Удаление
роли из группы ролей
Работа с политиками назначения ролей
Для управления разрешениями, предоставляемыми конечным пользователям на управление их собственными почтовыми ящиками в Exchange 2010 SP1, рекомендуется использовать панель управления Exchange. При использовании панели управления Exchange для управления разрешениями конечных пользователей можно добавлять и удалять роли, а также создавать политики назначения ролей при помощи нескольких щелчков кнопкой мыши. Для выполнения этих задач панель управления Exchange предусматривает простые диалоговые окна, такие как Политика назначения ролей, показанные на рисунке ниже. Чтобы применить политику назначения ролей к почтовому ящику, можно использовать консоль управления или панель управления Exchange.
Exchange 2010 содержит политику назначения ролей по умолчанию. Эта политика позволяет пользователям, почтовые ящики которых связаны с ней, выполнять следующие задачи.
- Вступать в группы рассылки, которые позволяют участникам
управлять своим членством, или выходить из групп рассылки.
- Просматривать и изменять основные параметры собственного
почтового ящика, такие как правила папки «Входящие», поведение
средства проверки орфографии, параметры нежелательной почты и
устройства Microsoft ActiveSync.
- Изменять свою контактную информацию, такую как адрес и номер
телефона.
- Создавать, изменять и просматривать параметры текстовых
сообщений.
- Просматривать и изменять параметры голосовой почты.
Чтобы добавить или удалить разрешения из политики назначения ролей по умолчанию или какой-либо другой политики назначения ролей, можно использовать панель управления Exchange. Соответствующее диалоговое окно аналогично показанному на предыдущем рисунке. Открыв политику назначения ролей на панели управления Exchange, установите флажки рядом с ролями, которые нужно назначить этой политике, и снимите флажки рядом с ролями, которые необходимо удалить. Изменения, внесенные в политику назначения ролей, применяются к каждому связанному с ней почтовому ящику.
Чтобы назначить разные разрешения конечных пользователей разным типам пользователей организации, можно создать новые политики назначения ролей. Диалоговое окно для создания политики назначения ролей аналогично показанному на предыдущем рисунке. Можно указать новое имя для политики назначения ролей и затем выбрать роли, которые нужно назначить этой политике. Создав политику назначения ролей, можно связать ее с почтовыми ящиками при помощи консоли управления или панели управления Exchange.
Чтобы переопределить политику назначения ролей по умолчанию, необходимо использовать командную консоль. При переопределении политики назначения ролей по умолчанию все создаваемые почтовые ящики будут связываться с новой политикой назначения ролей по умолчанию, если таковая не была явно указана. Политика назначения ролей, связанная с существующими почтовыми ящиками, не изменяется при выборе новой политики назначения ролей по умолчанию.
Примечание. |
---|
Если установить флажок для роли, у которой есть дочерние роли, флажки для этих дочерних ролей также устанавливаются. Если снять флажок для роли, у которой есть дочерние роли, флажки для этих дочерних ролей также снимаются. |
Подробные сведения о создании политики назначения ролей, а также о внесении изменений в существующие политики назначения ролей см. в следующих разделах:
- Добавление
политики назначения
- Удаление
политики назначения
- Добавление
роли к политике назначения
- Удаление
роли из политики назначения
- Изменение
политики назначения для почтового ящика
- Изменение
политики назначения по умолчанию
Разрешения пограничного транспорта
Роль пограничного транспортного сервера развертывается в демилитаризованной зоне организации, которую также называют пограничной сетью или промежуточной подсетью. Пограничный транспортный сервер может быть развернут как изолированный сервер или как член домена Служба каталогов Active Directory в демилитаризованной зоне.
На пограничных транспортных серверах управление доступом на основе ролей не используется для управления разрешениями. Локальная группа администраторов используется для контроля доступа к настройке функций Exchange на локальном сервере. Если используется несколько пограничных транспортных серверов, необходимо добавить пользователя, который будет управлять этими серверами, в локальную группу администраторов на каждом сервере.
Дополнительные сведения о разрешениях на пограничных транспортных серверах см. в разделе Настройка разрешений администратора для роли сервера граничного транспорта.
Дополнительные сведения
Общие сведения об управлении доступом на основе ролей
Общие сведения о разделенных разрешениях
Общие сведения о сосуществовании разрешений в Exchange 2007
Общие сведения о совместимости разрешений с Exchange 2003
Общие сведения о разрешениях при использовании нескольких лесов