Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2011-01-25
Роли управления являются частью модели разрешений управления доступом на основе ролей (RBAC), используемой в Microsoft Exchange Server 2010. Роли работают как логическая группировка командлетов, которые объединены для предоставления доступа для просмотра и изменения конфигурации компонентов Exchange 2010, например почтовых ящиков, правил транспорта и получателей. Роли управления далее могут быть объединены в более крупные группировки, называемые группами ролей управления и политиками назначения ролей управления, что позволяет управлять функциональными областями и конфигурацией получателя. Группы ролей и политики назначения ролей назначают разрешения для администраторов и конечных пользователей соответственно. Дополнительные сведения о группах ролей управления и политиках назначения ролей управления см. в разделе Общие сведения об управлении доступом на основе ролей.
Примечание. |
---|
В данном разделе рассматриваются расширенные возможности управления доступом на основе ролей (RBAC). Сведения об управлении базовыми разрешениями Exchange 2010, такими как использование панели управления Exchange для добавления и удаления участников групп ролей, создания и изменения групп ролей, а также создания и изменения политик назначения ролей, см. в разделе Общие сведения о разрешениях. |
Содержание
Роли управления верхнего уровня с незаданной областью
Записи роли верхнего уровня с незаданной областью
Области ролей управления и назначения ролей управления являются важными компонентами для работы ролей управления. Дополнительные сведения об этих компонентах см. в следующих разделах.
- Общие
сведения об областях применения ролей управления
- Общие
сведения о назначениях ролей управления
Необходимы сведения о задачах управления, связанных с ролями управления? См. раздел Управление разрешениями.
Встроенные роли управления
Сервер Exchange 2010 предоставляет множество встроенных ролей управления, которые можно использовать для администрирования организации. Каждая роль включает в себя командлеты и параметры, необходимые пользователям для управления определенными компонентами Exchange. Ниже приведены примеры некоторых встроенных ролей управления:
- Получатели почты Позволяет
администраторам управлять почтовыми ящиками, контактами и почтовыми
пользователями.
- Правила транспорта Позволяет
администраторам или специалистам, назначенным на роль, управлять
функцией правил транспорта.
- Группы рассылки Позволяет
администраторам или специалистам, назначенным на роль, управлять
группами рассылки и их участниками.
- MyPersonalInformation Позволяет
конечным пользователям изменять свой номер домашнего телефона и
адрес веб-сайта.
Полный список ролей управления, включенных в Exchange 2010, см. в разделе Встроенные роли управления.
Из встроенных ролей Exchange 2010 можно составить любую комбинацию для создания модели разрешений данного предприятия. Например, чтобы члены группы ролей могли управлять получателями и общими папками, необходимо назначить для этой группы ролей роль получателей почты и роль общих папок. В большинстве случаев роли назначаются для групп ролей или политик назначения ролей. Также, чтобы детально управлять разрешениями, можно назначить роли управления непосредственно пользователям. Чтобы упростить модель разрешений, рекомендуется использовать группы ролей и политики назначения ролей вместо непосредственного назначения роли пользователю.
Примечание. |
---|
Роли управления конечного пользователя могут быть назначены только политикам назначения ролей. |
Изменение встроенных ролей управления невозможно. Однако можно создать роли управления на основе встроенных ролей управления, а затем назначить эти новые роли группам ролей или политикам назначения ролей. Затем можно изменить новые роли управления в соответствии с предпочтениями. Это дополнительная задача, которую требуется выполнять крайне редко.
Дополнительные сведения о создании настраиваемых ролей на основе встроенных ролей Exchange см. ниже в подразделе Настраиваемые роли управления.
Чтобы они вступили в силу, необходимо назначить роли управления. В большинстве случаев роли управления назначаются для групп ролей и политик назначения ролей. В определенных ситуациях можно также назначить роли непосредственно для пользователей, хотя это дополнительная задача, которую требуется выполнять крайне редко.
Дополнительные сведения о назначении ролей управления см. в следующих разделах:
- Добавление
роли в группу ролей
- Добавление
роли к политике назначения
- Добавление
роли для пользователя или универсальной группы безопасности
Дополнительные сведения о назначениях ролей управления см. в разделе Общие сведения о назначениях ролей управления.
Роли управления верхнего уровня с незаданной областью
Роли управления верхнего уровня с незаданной областью представляют собой специальный тип роли управления, который позволяет предоставить пользователям доступ к настраиваемым сценариям и командлетам, не относящимся к Exchange, с помощью системы управления доступом на основе ролей (RBAC). Обычные роли управления предоставляют доступ только к командлетам Exchange. Чтобы предоставить доступ к командлетам, не относящимся к Exchange и запущенным на сервере Exchange, или опубликовать сценарий, который может быть выполнен данными пользователями, необходимо добавить их к роли с незаданной областью. Они называются ролями верхнего уровня, так как при первом создании роли с незаданной областью без образования от родительской роли у нее отсутствует родительский объект и она является равноправной по отношению ко встроенным ролям управления, включенным в Exchange 2010. Чтобы указать на необходимость создания записи роли верхнего уровня с незаданной областью, используйте параметр UnscopedTopLevel с командлетом New-ManagementRole.
Роли с незаданной областью получили такое название в связи с тем что, в отличие от обычных ролей управления, они не могут быть ограничены определенной целью. Роли с незаданной областью всегда действуют в масштабах всей организации. Это значит, что сотрудник, которому назначена роль с незаданной областью, может изменять любой объект в организации Exchange 2010. По этой причине необходимо обеспечить доступ к сценариям и командлетам с помощью роли с незаданной областью и тщательно проверить их, что позволит быть осведомленным об изменяемых объектах, а также правильно назначить роли с незаданной областью.
Роли с незаданной областью можно назначать для уполномоченных ролей, например групп ролей, ролей управления, пользователей и универсальных групп безопасности. Их нельзя назначать для политик назначения ролей управления.
Хотя добавление командлетов Exchange в качестве записи роли управления к роли с незаданной областью невозможно, их можно включать в сценарии, добавленные в качестве записей роли. Это позволяет создать настраиваемые сценарии, выполняющие задачи Exchange, которые далее можно назначить пользователям. Этот сценарий полезен, когда пользователю необходимо выполнить высокопривилегированную задачу, находящуюся за пределами его или ее административного уровня, и когда создание новой роли управления или группы ролей будет проблематичным. Можно создать сценарий, который выполняет эту конкретную функцию, добавить его в роль с незаданной областью, а затем назначить эту роль пользователю. Далее пользователь может выполнять только данную конкретную функцию, предоставленную сценарием.
Записи роли, добавляемые в роль с незаданной областью, также должны быть обозначены в качестве записи роли верхнего уровня с незаданной областью. Дополнительные сведения о записях роли верхнего уровня с незаданной областью см. в подразделе Записи роли верхнего уровня с незаданной областью далее в этом разделе.
По умолчанию группа ролей Управление организацией не имеет разрешений для создания или управления группами ролей с незаданной областью. Это препятствует случайному созданию или изменению групп ролей с незаданной областью. Группа ролей Управление организацией может передавать роль управления ролями с незаданной областью самой себе или другим уполномоченным ролей. Дополнительные сведения о создании роли управления верхнего уровня с незаданной областью см. в разделе Создание роли с незаданной областью.
Настраиваемые роли управления
Если встроенные роли управления не отвечают потребностям пользователей, можно создать настраиваемые роли управления на основе встроенных ролей Exchange. При создании настраиваемой роли управления новая дочерняя роль наследует все записи роли управления от родительской роли. Далее можно выбрать, какие записи роли управления необходимо сохранить в настраиваемой роли управления, и удалить все ненужные записи.
Настраиваемые роли становятся дочерними относительно роли, использовавшейся для создания новой роли. Записи роли управления можно использовать только в новой дочерней роли, которая существует в родительской роли. Дополнительные сведения см. в следующих подразделах этого раздела^
Создание настраиваемых ролей управления предполагает выполнение множества шагов и является дополнительной задачей, которую требуется выполнять крайне редко. Перед созданием настраиваемой роли управления убедитесь, что ни одна из существующих встроенных ролей управления не предоставляет необходимых разрешений. Дополнительные сведения о встроенных ролях управления или о создании настраиваемых ролей управления см. в следующих разделах:
Дополнительные сведения о создании роли управления см. в разделе Создание роли.
Иерархия ролей управления
В родительской и дочерней иерархиях имеются роли управления. В верхней части иерархии расположены встроенные роли управления, предоставляемые в Exchange 2010 по умолчанию. При создании роли создается копия родительской роли. Новая роль представляет собой дочерний объект той роли, на основе которой была сделана копия. Далее можно настроить новую роль в соответствии с потребностями администраторов или пользователей, которым ее необходимо назначить.
Настраиваемые роли можно использовать для создания новых ролей. При создании новой роли из существующей настраиваемой роли последняя остается дочерним объектом относительно своей родительской роли, но при этом становится родительским объектом для новой роли. При каждом копировании роли новая дочерняя роль может содержать только те записи ролей, которые существуют в непосредственной родительской роли.
Каждой роли управления присваивается тип роли, который нельзя изменить. Тип роли определяет основной контекст ее использования. Тип роли копируется из родительской роли при создании дочерней роли.
Иерархия ролей управления
На приведенном выше рисунке показана иерархическая
связь нескольких ролей управления. Роли получателей почты и службы
поддержки — это встроенные роли. Все дочерние роли, образованные от
этих ролей, наследуют тип роли от каждой встроенной роли. Например,
все дочерние роли, образованные прямым или косвенным образом от
роли получателей почты, наследуют тип роли
MailRecipients
.
Настраиваемая роль администраторов получателей в Сиэтле является дочерним объектом по отношению к встроенной роли получателей почты, но также является родительским объектом для настраиваемой роли администраторов получателей продаж в Сиэтле и настраиваемой роли администраторов получателей юристов в Сиэтле. Настраиваемая роль администраторов получателей в Сиэтле содержит только подмножество командлетов, доступных в роли получателей почты. Дочерние роли настраиваемой роли администраторов получателей в Сиэтле могут содержать только те командлеты, которые существуют в этой роли. Например, если командлет существует в роли получателей почты, но отсутствует в настраиваемой роли администраторов получателей в Сиэтле, то этот командлет невозможно добавить в настраиваемую роль администраторов получателей продаж.
Все настраиваемые роли соответствуют одному шаблону, подобно описанным выше ролям. Дополнительные сведения об управлении доступом к командлетам в ролях управления см. ниже в разделе Записи ролей управления.
Записи ролей управления
Каждая роль управления , настраиваемая роль Exchange или роль с незаданной областью, должна иметь не менее одной записи роли управления. Запись состоит из отдельного командлета и его параметров, сценария или специального разрешения, которое необходимо сделать доступным. Если командлет или сценарий не отображается в качестве записи в роли управления, то этот командлет или сценарий через эту роль недоступен. Подобным образом, если параметр отсутствует в записи, то этот параметр или сценарий через эту роль недоступен.
Сервер Exchange 2010 позволяет управлять записями ролей на основе встроенных ролей управления верхнего уровня Exchange и записями ролей на основе ролей управления верхнего уровня с незаданной областью. Роли, основанные на встроенных ролях верхнего уровня Exchange, могут содержать только записи ролей, представляющие собой командлеты Exchange 2010. Чтобы добавить настраиваемые сценарии или командлеты, не относящиеся к Exchange, и разрешить пользователям работать с ними, необходимо добавить их в качестве записей ролей с незаданной областью в роль верхнего уровня с незаданной областью. Дополнительные сведения о записях ролей с незаданной областью см. ниже в разделе Записи роли верхнего уровня с незаданной областью.
Все записи роли, независимо от того, является ли запись роли основанной на командлете Exchange или записью роли с незаданной областью, следуют одним и тем же принципам, описанным в следующих разделах.
Дополнительные сведения об управлении записями ролей см. в разделе Роли управления и записи ролей.
Связь родительской и дочерней ролей управления
Как упоминалось ранее, для добавления записи в дочернюю роль запись роли управления, включающая в себя командлет и его параметры, должна существовать в непосредственной родительской роли. Например, если родительская роль не имеет записи для командлета New-Mailbox, то для дочерней роли этот командлет не может быть назначен. Кроме того, если командлет Set-Mailbox имеется в родительской роли, но параметр Database был удален из записи, то параметр Database командлета Set-Mailbox не может быть добавлен в запись дочерней роли.
Так как добавление записей ролей управления в дочерние роли невозможно, если эти записи не отображаются в родительских ролях, и так как роль основывается на определенном типе роли, то необходимо тщательно выбирать родительскую роль для копирования перед созданием настраиваемой роли.
Имена записи роли управления
Имена записей роли управления представляют собой
комбинацию роли управления, с которой они связаны, а также имени
командлета или сценария. Имя роли и командлет или сценарий
разделены между собой символом обратной косой черты (\). Например,
именем записи роли для командлета Set-Mailbox в роли
получателей почты является Mail
Recipients\Set-Mailbox
. Если в имени записи роли имеются
пробелы, заключите название целиком в кавычки (").
В имени записи роли можно использовать подстановочный знак (*) для получения всех записей роли, которые соответствуют вводимым данным. Подстановочный знак можно поставить с любой стороны символа обратной косой черты. В следующей таблице приведено несколько способов использования подстановочного знака в имени записи роли.
Имя записи роли управления с подстановочными знаками
Пример | Описание |
---|---|
|
Возвращает список всех записей роли для всех ролей. |
|
Возвращает список всех записей роли, которые содержат командлет Set-Mailbox. |
|
Возвращает список всех записей роли в роли получателей почты. |
|
Возвращает список всех записей роли в роли получателей почты, содержащих командлеты, оканчивающиеся на Mailbox. |
|
Возвращает список всех записей роли, которые содержат строку Group в имени командлета, для всех ролей, начинающихся с My. |
Записи роли верхнего уровня с незаданной областью
Записи роли верхнего уровня с незаданной областью используются вместе с ролями управления верхнего уровня с незаданной областью для создания ролей на основе пользовательских сценариев или командлетов, не относящихся к Exchange. Каждая запись роли с незаданной областью связана с отдельным пользовательским сценарием или командлетом, не относящимся к Exchange. Чтобы указать на необходимость создания записи роли с незаданной областью в роли с незаданной областью, укажите параметр UnscopedTopLevel в командлете Add-ManagementRoleEntry.
При добавлении записи роли с незаданной областью необходимо указать все параметры, которые могут использоваться вместе со сценарием или командлетом, не относящимся к Exchange. Exchange выполнит попытку проверить параметры, указанные при добавлении записи роли. Пользователям, назначенным для роли с незаданной областью, будут доступны только параметры, добавленные к записи роли при ее создании. При добавлении параметров в сценарий или командлет, не относящийся к Exchange, или при переименовании параметра необходимо обновить запись роли вручную. Exchange не выполняет проверку наличия изменений в существующих параметрах записи роли с незаданной областью. При использовании параметра записи роли, измененного в сценарии, команда не будет выполнена.
Сценарии, добавляемые к записи роли с незаданной областью, должны находиться в каталоге сценариев Exchange 2010 на каждом сервере, администраторы и пользователи которого выполняют подключение с помощью консоли управления Exchange. При попытке добавить запись роли с незаданной областью на основе сценария, отсутствующего в каталоге сценариев Exchange 2010 на сервере, который используется для добавления записи роли, произойдет ошибка. По умолчанию папкой установки каталога сценариев Exchange 2010 является C:\Program Files\Microsoft\Exchange Server\V14\Scripts.
Командлеты, не относящиеся к Exchange, добавляемые в запись роли с незаданной областью, должны быть установлены на каждом сервере Exchange 2010, администраторы и пользователи которого выполняют подключение с помощью командной консоли, если им необходимо использовать эти командлеты. При попытке добавить запись роли с незаданной областью на основе командлета, не относящегося к Exchange, который не установлен на сервере Exchange 2010, используемом для добавления записи роли, произойдет ошибка. При добавлении командлета, не относящегося к Exchange, необходимо указать имя оснастки Windows PowerShell, которая содержит командлет, не относящийся к Exchange.
Дополнительные сведения о добавлении записи роли управления с незаданной областью см. в разделе Добавление новой записи роли в роль.
Типы ролей управления
Типы ролей управления представляют собой основу для всех ролей управления. Типы определяют неявные области, определенные во всех ролях управления указанного типа роли, а также служат для логической группировки соответствующих ролей. Все роли управления, образованные от родительской встроенной роли управления, относятся к одному типу роли. Эти отношения представлены на рисунке «Иерархия ролей управления» выше в этом разделе. Типы ролей управления также представляют собой максимальный набор командлетов и их параметров, который можно добавить в роль, связанную с типом роли.
Типы ролей управления делятся на следующие категории.
- Администратор или специалист Роли,
связанные с типом ролей администратора или специалиста, имеют более
широкую область влияния в организации Exchange. Роли этого типа
позволяют выполнять такие задачи, как управление сервером или
получателями, настройка организации, администрирование в
соответствии с требованиями, аудит и другие.
- Ориентированные на пользователя Роли,
связанные с типом ролей, ориентированных на пользователя, имеют
область влияния, привязанную к одному пользователю. Роли этого типа
позволяют выполнять такие задачи, как настройка профиля
пользователя и самоуправление, управление пользовательскими
группами рассылки и другие.
Имена ролей, связанных с типами ролей, ориентированных на пользователя, и имена типов ролей, ориентированных на пользователя, начинаются с My.
- Специальность Роли, связанные с типом
ролей специальности, позволяют выполнять задачи, не относящиеся к
типам административных или ориентированных на пользователя ролей.
Роли этого типа позволяют выполнять такие задачи, как олицетворение
приложения и использование сценариев и командлетов, не относящихся
к Exchange.
В следующей таблице перечислены все административные типы ролей управления в Exchange 2010, а также указано, применяется ли конфигурация, допускаемая данным типом роли, для всей организации Exchange или только для отдельного сервера. Дополнительные сведения о каждой роли управления, связанной с этими типами ролей, в том числе описание каждой роли, пользователей, получающих преимущество от назначения этой роли, а также другие сведения см. в разделе Встроенные роли управления.
Типы административных ролей
Тип роли управления | Встроенная роль управления | Описание | Организация или сервер | ||
---|---|---|---|---|---|
|
Этот тип роли связан с ролями, которые позволяют администраторам настраивать разрешения Служба каталогов Active Directory в организации. Некоторые функции, которые используют разрешения Служба каталогов Active Directory или список управления доступом (ACL), включают в себя транспортные соединители отправки и получения, а также разрешения для почтовых ящиков «Отправить как» и «Отправить от имени».
|
Организация |
|||
|
Этот тип ролей связан с ролями, которые позволяют администраторам управлять списками адресов, глобальными списками адресов, а также автономными списками адресов в организации. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют приложениям олицетворять пользователей в организации для выполнения задач от имени этих пользователей. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам управлять конфигурацией ведения журнала аудита администратора в организации. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам управлять агентами расширения командлета в организации. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам управлять группами обеспечения доступности баз данных (DAG) в организации. Администраторы, которым эта роль назначена напрямую или косвенно, являются администраторами наивысшего уровня, ответственными за обслуживание конфигурации высокой доступности в организации. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам управлять копиями базы данных на отдельных серверах. |
Сервер |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам создавать, управлять, подключать и отключать базы данных общих папок и почтовых ящиков на отдельных серверах. |
Сервер |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам восстанавливать почтовые ящики и группы обеспечения доступности баз данных в организации. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам создавать и управлять группами рассылки и участниками групп рассылки в организации. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам управлять пограничной синхронизацией и конфигурацией подписки между пограничными транспортными серверами и транспортными серверами-концентраторами в организации. |
Организация |
|||
|
Этот тип ролей связан с ролями, которые позволяют администраторам управлять политиками адресов электронной почты в организации. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам управлять соединителями, не являющимися соединителями получения и отправки в организации. К этим соединителям относятся соединители групп маршрутизации и соединители агента доставки. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам создавать, импортировать, экспортировать и управлять сертификатам сервера Exchange на отдельных серверах. |
Сервер |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам управлять настройкой сервера Exchange на отдельных серверах. |
Сервер |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам управлять Microsoft Office Outlook Web App, Microsoft ActiveSync, автономной адресной книгой, службой автообнаружения, Windows PowerShell и виртуальными каталогами веб-интерфейса администрирования на отдельных серверах. |
Сервер |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам управлять межлесным и межорганизационным общим доступом в организации. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам управлять функциями управления правами на доступ к данным Exchange в организации. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам управлять конфигурацией ведения журнала в организации. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам настраивать хранение данных в почтовых ящиках организации для судебного удержания. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам импортировать и экспортировать содержимое почтовых ящиков, а также удалять нежелательное содержимое из почтовых ящиков. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам выполнять поиск в содержимом одного или нескольких почтовых ящиков организации. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам включать или отключать поддержку почты для отдельных общих папок в организации. Этот тип роли позволяет управлять только свойствами электронной
почты общих папок. Она не позволяет управлять свойствами общих
папок, не связанных с электронной почтой. Чтобы управлять
свойствами общих папок, не относящимися к электронной почте,
необходимо иметь назначение роли, связанной с типом ролей
|
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам
создавать почтовые ящики, пользователей почты, почтовые контакты,
группы рассылки и динамические группы рассылки в организации. Роли,
связанные с этим типом ролей, можно объединить с ролями, связанными
с типом ролей Этот тип роли не позволяет включать поддержку почты для общих
папок. Чтобы включить поддержку почты для общих папок, необходимо
иметь назначение роли, связанной с типом ролей
Если в организации используется модель разделения разрешений,
при которой создание и управление получателями выполняется
различными группами, необходимо назначить роль
|
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам
управлять существующими почтовыми ящиками, пользователями почты,
почтовыми контактами, группами рассылки и динамическими группами
рассылки в организации. Роли, связанные с этим типом ролей, не
позволяют создавать этих получателей. Однако их можно объединить с
ролями, связанными с типом ролей
Этот тип роли не позволяет управлять общими папками или группами
рассылки с включенной поддержкой почты. Для управления общими
папками с включенной поддержкой почты, необходимо иметь назначение
роли, связанной с типом ролей
Если в организации используется модель разделения разрешений,
при которой создание и управление получателями выполняется
различными группами, необходимо назначить роль
|
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам управлять подсказками в организации. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам отслеживать сообщения в организации. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам переносить почтовые ящики и их содержимое, как с сервера, так и на сервер. |
Сервер |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам контролировать службы и доступность компонентов Microsoft Exchange в организации. Помимо администраторов, роли, связанные с этим типом роли, могут использоваться вместе с учетной записью службы, используемой приложениями отслеживания, для сбора данных о состоянии серверов Exchange. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам перемещать почтовые ящики между серверами одной организации и между серверами локальной и другой организаций. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам управлять параметрами сервера клиентского доступа в организации. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам управлять параметрами организации в организации. Конфигурация организации, которой можно управлять с помощью этого типа роли, включает в себя параметры, некоторые из которых приведены ниже.
Этот тип роли не содержит разрешения, включенные в типы ролей
|
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам управлять параметрами транспорта организации, такими как системные сообщения, конфигурация сайта, а также другими параметрами транспорта в организации. Эта роль не позволяет создавать или управлять соединителями получения и отправки, очередями, санацией, агентами, удаленными и обслуживаемыми доменами или правилами транспорта. Для создания или управления каждой из функций транспорта необходимо назначение ролей, связанных со следующими типами ролей:
|
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам управлять конфигурацией POP3 и IMAP4, например параметрами проверки подлинности и подключения, на отдельных серверах. |
Сервер |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам запускать и останавливать репликацию общих папок в организации. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам управлять общими папками в организации. Этот тип роли не позволяет управлять включением функции
поддержки электронной почты для общих папок или репликацией общих
папок. Чтобы включить или отключить функцию поддержки электронной
почты для общей папки, необходимо назначение роли, связанной с
типом роли |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам управлять конфигурацией соединителя получения транспорта, например ограничениями размера на отдельном сервере. |
Сервер |
|||
|
Эта роль связана с ролями, которые позволяют администраторам управлять политиками получателей, например политиками подготовки, в организации. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам управлять удаленными и обслуживаемыми доменами в организации. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам управлять политиками хранения в организации. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам управлять группами ролей управления, политиками назначения ролей, ролями управления, записями ролей, назначениями и областями в организации. Пользователи, которым назначены роли, связанные с этим типом роли, могут переопределять группу ролей, управляемую свойством, настраивать любую группу ролей, а также добавлять или удалять участников в определенной группе ролей. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам создавать универсальные группы безопасности и управлять ими, а также их членством в организации. Если в организации используется модель разделения разрешений, при которой создание универсальных групп безопасности и управление ими осуществляется группой, отличной от группы, управляющей серверами Exchange, этой группе необходимо назначить роли, связанные с этим типом роли. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам управлять соединителями отправки транспорта в организации. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам проводить расширенную диагностику под руководством службы технической поддержки Майкрософт в организации.
|
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам управлять агентами транспорта в организации. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам управлять функциями защиты от нежелательной почты и вирусов в организации. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам управлять очередями транспорта на отдельном сервере. |
Сервер |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам управлять правилами транспорта в организации. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам управлять конфигурацией единой системы обмена сообщениями почтовых ящиков и других получателей в организации. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам создавать пользовательские голосовые приглашения единой системы обмена сообщениями в организации, а также управлять ими. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам управлять серверами единой системы обмена сообщениями в организации. Эта роль не позволяет управлять конфигурацией почтового ящика
единой системы обмена сообщениями или запросами этой системы. Чтобы
управлять конфигурацией почтового ящика единой системы обмена
сообщениями, необходимо использовать роли, связанные с типом роли
|
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам создавать роли управления верхнего уровня с незаданной областью в организации, а также управлять ими. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам просматривать параметры Outlook Web App пользователя в организации. Роли, связанные с этим типом роли, можно использовать для оказания пользователю помощи при диагностике неполадок конфигурации. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам выполнять поиск в журнале аудита администратора в организации. |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам просматривать все параметры конфигурации, не относящейся к получателю Exchange, в организации. Примерами конфигураций, доступных для просмотра, являются конфигурации сервера, транспорта, базы данных и всей организации. Роли, связанные с этим типом роли, можно объединить с ролями,
связанными с типом роли |
Организация |
|||
|
Этот тип роли связан с ролями, которые позволяют администраторам просматривать конфигурацию получателей, например, почтовые ящики, пользователей почты, почтовые контакты, группы рассылки и динамические группы рассылки. Роли, связанные с этим типом роли, можно объединить с ролями,
связанными с типом роли |
Организация |
В приведенной ниже таблице перечислены все типы ролей управления, ориентированные на пользователя, и связанные с ними роли управления в Exchange 2010.
Типы ролей, ориентированных на пользователя
Тип роли управления | Встроенные роли, ориентированные на пользователя | Описание |
---|---|---|
|
Этот тип роли связан с ролями, которые позволяют отдельным пользователям просматривать и изменять базовую конфигурацию почтового ящика и связанных параметров. |
|
|
Этот тип роли связан с ролями, которые позволяют отдельным пользователям изменять контактную информацию. Эта информация включает в себя адреса и телефонные номера. |
|
|
Этот тип роли связан с ролями, которые позволяют отдельным пользователям просматривать и изменять членство в группах рассылки в организации в том случае, если эти группы рассылки допускают управление членством в группах. |
|
|
Этот тип роли связан с ролями, которые позволяют отдельным пользователям создавать, изменять и просматривать группы рассылки, а также изменять, просматривать, удалять и добавлять участников в принадлежащие им группы рассылки. |
|
|
Этот тип роли связан с ролями, которые позволяют отдельным пользователям изменять имя. |
|
|
Этот тип роли связан с ролями, которые позволяют отдельным пользователям просматривать теги хранения, а также просматривать и изменять параметры тегов хранения и параметры по умолчанию. |
|
|
Этот тип роли связан с ролями, которые позволяют отдельным пользователям создавать, просматривать и изменять параметры текстовых сообщений. |
|
|
Этот тип роли связан с ролями, которые позволяют отдельным пользователям просматривать и изменять параметры голосовых сообщений. |