溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
Role Based Access Control (RBAC) ,是用于 Microsoft Exchange Server 2013 的權限模型。
角色分為兩種類型:
管理角色:可以管理 Exchange 組織的用戶或組。
最終用戶角色:可以管理其自己的郵箱及其擁有的通訊組的用戶。
角色組,使用角色組可以向管理角色授予權限。
角色分配策略,為角色提供不同級別的權限。
作用域,是對角色分配產生影響的作用域。
若想更形象的理解Exchange各組件之間的關系,可以參考下圖。
角色組包含了:Exchange角色(定義權限)和AD成員(AD內的通用組或者AD內的用戶)
應用與成員的角色,定義了角色組的管理范圍,管理員只可以管理此范圍內的Exchange資源(包括用戶、Exchange數據庫、Exchange服務器、Exchange功能等)
內置的角色組已經定義了管理功能和范圍,基礎的權限管理需求可以通過將AD對象添加到組中來實現權限劃分。
| 管理角色 | 描述 | ||
|---|---|---|---|
| Organization Management | 組織管理 角色組成員的管理員具有對整個 Exchange 2013 組織的管理訪問權限,并且幾乎可以對任意 Exchange 2013 對象執行任何任務,某些情況除外,例如 Discovery Management 角色。
| ||
| View-Only Organization Management | 屬于 僅查看組織管理 角色組成員的管理員可以查看 Exchange 組織中任何對象的屬性。 | ||
| Recipient Management | 屬于 收件人管理 角色組成員的管理員擁有在 Exchange 2013 組織中創建或修改 Exchange 2013 收件人的管理訪問權限。 | ||
| UM Management | 如果管理員是“UM 管理”角色組中的成員,則他可以管理 Exchange 組織中的功能,例如統一消息 (UM) 服務配置、郵箱上的 UM 屬性、UM 提示和 UM 自動助理配置。 | ||
| Discovery Management | 默認情況下,幫助中心角色組允許成員查看和修改組織中任何用戶的 Microsoft Office Outlook Web App 選項。這些選項可能包括修改用戶的顯示名稱、地址、電話號碼。它們不包括 Outlook Web App 選項中不可用的選項,例如,修改郵箱大小或配置郵箱所在的郵箱數據庫。 | ||
| Records Management | 作為清潔管理角色組成員的管理員可以配置 Exchange 2013 的防病毒和反垃圾郵件功能。與 Exchange 2013 集成的第三方程序可以將服務帳戶添加到此角色組中,這樣這些程序就可以訪問檢索和配置 Exchange 配置所需的 cmdlet。 | ||
| Server Management | 屬于 記錄管理 角色組成員的用戶可以配置遵從×××(如保留策略標記、郵件分類和傳輸規則)。 | ||
| Help Desk | 作為 發現管理 角色組成員的管理員或用戶可以在 Exchange 組織中的郵箱中搜索滿足特定條件的數據,還可以在郵箱上配置合法保留。 | ||
| Hygiene Management | 屬于公用文件夾管理角色組成員的管理員可以管理運行 Exchange 2013 的服務器上的公用文件夾。 | ||
| Compliance Management | 屬于“服務器管理”角色組成員的管理員可以配置諸如數據庫副本、證書、傳輸隊列和發送連接器、虛擬目錄和客戶端訪問協議這樣的傳輸、統一消息、客戶端訪問和郵箱功能的特定于服務器的配置。 | ||
| Public Folder Management | 作為“委派安裝”角色組成員的管理員可以部署正在運行 Exchange 2013 且以前由 組織管理 角色組成員設置的服務器。 | ||
| Delegated Setup | 屬于合規管理角色組的用戶可根據其組織策略配置和管理 Exchange 合規性設置。 |
Exchange內置的管理角色已經關聯了相應的角色管理策略,每種管理角色都包含一定的管理功能。
| 內置管理角色 | 描述 | 組織/服務器 | ||
|---|---|---|---|---|
| Active Directory Permissions | 與此角色類型相關聯的角色使管理員能夠配置組織中的 Active Directory 權限。使用 Active Directory 權限或訪問控制列表 (ACL) 的部分功能包括傳輸“接收”和“發送”連接器以及郵箱的“代理發送”和“代表發送”權限。
| 組織 | ||
| Address Lists | 與此角色類型相關聯的角色類型使管理員能夠管理組織中的地址列表、全局地址列表 (GAL) 和脫機地址列表。 | 組織 | ||
| Application Impersonation | 與此角色類型相關聯的角色類型使應用程序能夠模擬組織中的用戶來代表用戶執行任務。 | 組織 | ||
| Archive Application | 與此角色類型相關聯的角色使合作伙伴應用程序能夠將項目存檔到組織的用戶郵箱中。 | 組織 | ||
| Audit Logs | 與此角色類型相關聯的角色使管理員能夠管理組織中的管理員審核日志記錄配置。 | 組織 | ||
| Cmdlet Extension Agents | 與此角色類型相關聯的角色使管理員能夠管理組織中的 cmdlet 擴展代理。 | 組織 | ||
| DataLoss Prevention | 與此角色類型相關聯的角色可以在組織中創建和管理數據丟失預防 (DLP) 策略以及這些策略內的規則。 | 組織 | ||
| Database Availability Groups | 與此角色類型相關聯的角色使管理員能夠管理組織中的數據庫可用性組 (DAG)。直接或間接被分配此角色的管理員是負責組織中高可用性配置的最高級別管理員。 | 組織 | ||
| Database Copies | 與此角色類型相關聯的角色使管理員能夠在單臺服務器上管理數據庫副本。 | 服務器 | ||
| Databases | 與此角色類型相關聯的角色使管理員能夠在各個服務器上創建、管理、裝載和卸除郵箱數據庫。 | 服務器 | ||
| Disaster Recovery | 與此角色類型相關聯的角色使管理員能夠在組織中還原郵箱和郵箱數據庫、創建郵箱數據庫以及執行數據庫可用性組的數據中心來回切換。 | 組織 | ||
| Distribution Groups | 與此角色類型相關聯的角色使管理員能夠在組織中創建和管理通訊組和通訊組成員。 | 組織 | ||
| Edge Subscriptions | 與此角色類型相關聯的角色使管理員能夠管理組織中 Exchange 2010 邊緣傳輸服務器與 Exchange 2013 郵箱服務器之間的邊緣同步和訂閱配置。 | 組織 | ||
| Email Address Policies | 與此角色類型相關聯的角色使管理員能夠管理組織中的電子郵件地址策略。 | 組織 | ||
| Exchange Connectors | 與此角色類型相關聯的角色使管理員能夠創建、修改、查看并刪除路由組連接器和傳遞代理連接器。 | 組織 | ||
| Exchange Server Certificates | 與此角色類型相關聯的角色使管理員能夠在單臺服務器上創建、導入、導出和管理 Exchange 服務器證書。 | 服務器 | ||
| Exchange Servers | 與此角色類型相關聯的角色使管理員能夠在單臺服務器上管理 Exchange 服務器配置。 | 服務器 | ||
| Exchange Virtual Directories | 與此角色類型相關聯的角色使管理員能夠在各個服務器上管理 Outlook Web App、Microsoft ActiveSync、脫機通訊簿 (OAB)、自動發現、Windows PowerShell 和 Exchange 管理中心虛擬目錄。 | 服務器 | ||
| Federated Sharing | 與此角色類型相關聯的角色使管理員能夠管理組織中的跨林和跨組織共享。 | 組織 | ||
| Information Rights Management | 與此角色類型相關聯的角色使管理員能夠管理組織中 Exchange 的信息權限管理 (IRM) 功能。 | 組織 | ||
| Journaling | 與此角色類型相關聯的角色使管理員能夠管理組織中的日記配置。 | 組織 | ||
| Legal Hold | 與此角色類型相關聯的角色使管理員能夠配置郵箱中的數據是否應保留用于組織的訴訟目的。 | 組織 | ||
| Mailbox Import Export | 與此角色類型相關聯的角色使管理員能夠導入和導出郵箱內容,以及清除郵箱中不需要的內容。 | 組織 | ||
| Mailbox Search | 與此角色類型相關聯的角色使管理員能夠在組織中搜索一個或多個郵箱的內容。 | 組織 | ||
| Mailbox Search Application | 與此角色類型相關聯的角色使合作伙伴應用程序能夠在組織中設置和查看郵箱的合法保留狀態。 | 組織 | ||
| Mail Enabled Public Folders | 與此角色類型相關聯的角色使管理員能夠將組織中的各個公用文件夾配置為是啟用還是禁用郵件功能。 使用此角色類型只能管理公用文件夾的電子郵件屬性。它不允許您管理不屬于電子郵件屬性的公用文件夾屬性。要管理不屬于電子郵件屬性的公用文件夾屬性,需要分配與 Public Folders 角色類型相關聯的角色。 | 組織 | ||
| Mail Recipient Creation | 與此角色類型相關聯的角色使管理員能夠在組織中創建郵箱、郵件用戶、郵件聯系人、通訊組和動態通訊組。可以將與此角色類型相關聯的角色與 Mail Recipients 類型結合使用,以便能夠創建和管理收件人。 此角色類型不允許針對公用文件夾啟用郵件功能。若要針對公用文件夾啟用郵件功能,必須獲得與 Mail Enabled Public Folders 角色類型相關聯的角色。 如果在貴組織維護的拆分權限模型中,創建收件人的組不同于管理收件人的組,請將 Mail Recipient Creation 角色分配給創建收件人的組,并將 Mail Recipients 角色分配給管理收件人的組。 | 組織 | ||
| Mail Recipients | 與此角色類型相關聯的角色使管理員能夠管理組織中現有郵箱、郵件用戶和郵件聯系人、通訊組和動態通訊組。與此角色類型相關聯的角色無法創建這些收件人,但可以將此角色同那些與 Mail Recipient Creation 角色類型相關聯的角色結合使用,以創建和管理收件人。 無法使用此類角色管理啟用了郵件功能的公用文件夾或通訊組。若要管理已啟用郵件功能的公用文件夾,必須獲得與 Mail Enabled Public Folders 角色類型相關聯的角色。若要管理通訊組,必須獲得與 Distribution Groups 角色類型相關聯的角色。 如果在貴組織維護的拆分權限模型中,創建收件人的組不同于管理收件人的組,請將 Mail Recipient Creation 角色分配給創建收件人的組,并將 Mail Recipients 角色分配給管理收件人的組。 | 組織 | ||
| MailTips | 與此角色類型相關聯的角色使管理員能夠管理組織中的郵件提示。 | 組織 | ||
| Message Tracking | 與此角色類型相關聯的角色使管理員能夠跟蹤組織中的郵件。 | 組織 | ||
| Migration | 與此角色類型相關聯的角色使管理員能夠將郵箱和郵箱內容遷入或遷出服務器。 | 服務器 | ||
| Monitoring | 與此角色類型相關聯的角色使管理員能夠監視組織中的 Microsoft Exchange 服務和組件可用性。除了管理員,與此角色類型相關聯的角色還可以與監視應用程序所使用的服務帳戶結合使用來收集有關 Exchange 服務器狀態的信息。 | 組織 | ||
| Move Mailboxes | 與此角色類型相關聯的角色使管理員能夠在組織中的服務器之間以及本地組織和其他組織之間的服務器之間移動郵箱。 | 組織 | ||
| Office Extension Application | 與此角色類型相關聯的角色使 Microsoft Office 擴展應用程序能夠訪問組織中的用戶郵箱。 | 組織 | ||
| Org Custom Apps | 與此角色類型相關聯的角色使管理員能夠在組織中查看和修改其組織的自定義應用。 | 組織 | ||
| Org Marketplace Apps | 與此角色類型相關聯的角色使管理員能夠在組織中查看和修改其組織的商城應用。 | 組織 | ||
| Organization Client Access | 與此角色類型相關聯的角色使管理員能夠管理組織中的客戶端訪問服務器設置。 | 組織 | ||
| Organization Configuration | 與此角色類型相關聯的角色使管理員能夠管理組織中組織范圍的設置。可以通過該角色類型控制的組織配置包括(但不限于)以下配置: 是否為組織啟用或禁用郵件提示。 托管文件夾主頁的 URL。 Microsoft Exchange 收件人 SMTP 地址和備選電子郵件地址。 資源郵箱屬性架構配置。 Exchange 管理中心和 Outlook Web App 的幫助 URL。 此角色類型不包括 Organization Client Access 或 Organization Transport Settings 角色類型中所包含的權限。 | 組織 | ||
| Organization Transport Settings | 與此角色類型相關聯的角色使管理員能夠管理組織范圍的傳輸設置,如組織中的系統消息、Active Directory 站點配置和其他組織范圍內的傳輸設置。 使用此角色無法創建或管理傳輸接收或發送連接器、隊列、安全機制、代理、遠程和接受域或規則。若要創建或管理每個傳輸功能,必須獲得與以下角色類型相關聯的角色: 接收連接器:Receive Connectors 發送連接器:Send Connectors 傳輸隊列:Transport Queues 傳輸安全機制:Transport Hygiene 傳輸代理:Transport Agents 遠程域和接受域:Remote And Accepted Domains 傳輸規則:Transport Rules | 組織 | ||
| POP3AndIMAP4Protocols | 與此角色類型相關聯的角色使管理員能夠在單臺服務器上管理 POP3 和 IMAP4 配置,如身份驗證和連接設置。 | 服務器 | ||
| Public Folders | 與此角色類型相關聯的角色使管理員能夠管理組織中的公用文件夾。 此角色類型不允許管理公用文件夾是否已啟用郵件。若要針對公用文件夾啟用或禁用郵件功能,必須獲得與 Mail Enabled Public Folders 角色類型相關聯的角色。 | 組織 | ||
| Receive Connectors | 與此角色類型相關聯的角色使管理員能夠管理傳輸接收連接器配置,如對單臺服務器的大小限制。 | 服務器 | ||
| Recipient Policies | 與此角色類型相關聯的角色使管理員能夠管理組織中的收件人策略,如設置和移動設備策略。 | 組織 | ||
| Remote And Accepted Domains | 與此角色類型相關聯的角色使管理員能夠管理組織中的遠程域和接受域。 | 組織 | ||
| Reset Password | 與此角色類型相關聯的角色使組織中的用戶能夠重置各自的密碼,使管理員能夠重置用戶的密碼。 | 組織 | ||
| Retention Management | 與此角色類型相關聯的角色使管理員能夠管理組織中的保留策略。 | 組織 | ||
| Role Management | 與此角色類型相關聯的角色使管理員能夠管理組織中的管理角色組、角色分配策略、管理角色、角色條目、角色分配和作用域。 獲得與此角色類型相關聯角色的用戶可以覆蓋 role group managed by、配置任何角色組,并可在任何角色組中添加或刪除成員。 | 組織 | ||
| Security Group Creation And Membership | 與此角色類型相關聯的角色使管理員能夠創建和管理組織中的 USG 及其成員身份。 如果在貴組織維護的拆分權限模型中,創建和管理 USG 的組不同于管理 Exchange 服務器的組,請將與此角色類型相關聯的角色分配給該組。 | 組織 | ||
| Send Connectors | 與此角色類型相關聯的角色使管理員能夠管理組織中的傳輸發送連接器。 | 組織 | ||
| Support Diagnostics | 與此角色類型相關聯的角色使管理員能夠在 Microsoft 支持服務人員的指導下在組織中執行高級診斷。
| 組織 | ||
| Team Mailboxes | 與此角色類型相關聯的角色使管理員能夠在組織中定義一個或多個站點郵箱設置策略和管理站點郵箱。分配了與此角色類型相關聯的角色的管理員可以管理不屬于自己的站點郵箱。 | 組織 | ||
| Team Mailbox Lifecycle Application | 與此角色類型相關聯的角色使合作伙伴應用程序能夠更新組織中的站點郵箱生命周期狀態。 | 組織 | ||
| Transport Agents | 與此角色類型相關聯的角色使管理員能夠管理組織中的傳輸代理。 | 組織 | ||
| Transport Hygiene | 與此角色類型相關聯的角色使管理員能夠管理組織中的反垃圾郵件和防惡意軟件功能。 | 組織 | ||
| Transport Queues | 與此角色類型相關聯的角色使管理員能夠管理單臺服務器上的傳輸隊列。 | 服務器 | ||
| Transport Rules | 與此角色類型相關聯的角色使管理員能夠管理組織中的傳輸規則。 | 組織 | ||
| UM Mailboxes | 與此角色類型相關聯的角色使管理員能夠管理組織中郵箱和其他收件人的統一消息 (UM) 配置。 | 組織 | ||
| UM Prompts | 與此角色類型相關聯的角色使管理員能夠在組織中創建和管理自定義的 UM 語音提示。 | 組織 | ||
| Unified Messaging | 與此角色類型相關聯的角色使管理員能夠管理組織中的統一消息服務。 使用此角色無法管理 UM 專用郵箱配置或 UM 提示語。若要管理特定于 UM 的郵箱配置,請使用與 UM Mailboxes 角色類型相關聯的角色。若要管理 UM 提示語,請使用與 UM Prompts 角色類型相關聯的角色。 | 組織 | ||
| Un Scoped Role Management | 與此角色類型相關聯的角色使管理員能夠在組織中創建和管理未區分范圍的頂級管理角色。 | 組織 | ||
| User Options | 與此角色類型相關聯的角色使管理員能夠查看組織中用戶的 Outlook Web App 選項。可以使用與此角色類型相關聯的角色來幫助用戶診斷其配置問題。 | 組織 | ||
| User Application | 與此角色類型相關聯的角色使合作伙伴應用程序能夠在組織中代表最終用戶操作。 | 組織 | ||
| View Only Audit Logs | 與此角色類型相關聯的角色使管理員能夠搜索組織中的管理員審核日志。 | 組織 | ||
| View Only Configuration | 與此角色類型相關聯的角色使管理員能夠查看組織中所有的非收件人 Exchange 配置設置。可查看的配置示例為服務器配置、傳輸配置、數據庫配置和整個組織配置。 可以將與此角色類型相關聯的角色同那些與 View Only Recipients 角色類型相關聯的角色結合使用,以創建可以查看組織中每個對象的角色。 | 組織 | ||
| View Only Recipients | 與此角色類型相關聯的角色使管理員能夠查看收件人的配置,如郵箱、郵件用戶、郵件聯系人、通訊組和動態通訊組。 可以將與此角色類型相關聯的角色同那些與 View Only Configuration 角色類型相關聯的角色結合使用,以創建可以查看組織中每個對象的角色。 | 組織 | ||
| Workload Management | 與此角色類型相關聯的角色使管理員能夠管理組織中的工作負荷管理策略。管理員可配置資源健康定義、工作負載分類并啟用或禁用工作負載管理。 | 組織 |
OU 作用域
OU 作用域是最簡單的自定義作用域,使用 New-ManagementRoleAssignment cmdlet 的 RecipientOrganizationalUnitScope 參數來創建。通過在分配角色時指定 OU 作用域,分配了該角色的角色受理人僅可以修改此 OU 內的收件人對象。
收件人篩選作用域
收件人篩選作用域按收件人類型或其他收件人屬性(如部門、管理員、位置等),使用篩選器將特定的收件人作為目標。
配置作用域
配置作用域按服務器列表或可以在服務器上定義的可篩選屬性(如 Active Directory 站點或服務器角色),使用篩選器或列表將特定的服務器作為目標。配置作用域還可以按數據庫列表或可篩選數據庫屬性,使用數據庫作用域將特定的數據庫作為目標。
有關更多地詳細內容可以參考微軟官方幫助文檔:
http://technet.microsoft.com/en-us /library/dd335146(v=exchg.150).aspx
Exchange 2013的權限管理,就是將“AD用戶“ > ”Exchange管理組“ > ”Exchange管理角色“ > ”Exchange管理作用域”進行關聯的過程。
基本思路如下:
示例:希望,用戶A可以管理“MY”OU下所有用戶的 “Exchange郵箱”
創建組:首先創建一個Exchange自定義管理組“MY Manager“
分配權限:為管理組分配郵箱管理權限
關聯作用域:將管理組的作用域定義為“MY”OU
添加用戶:向管理組添加用戶A
管理權限分配,可以通過Exchange管理控制界面(EAC)或者Exchange Powershell命令行工具來實現。
可以為每個Exchange自定義管理組分配多個Exchange管理角色,以實現企業郵件管理員的權限劃分。
在 Exchange 管理中心 (EAC) 中,導航到“權限”>“管理員角色”,然后單擊“添加” 。
在“新建角色組”窗口中,提供新角色組的名稱。
您可以現在選擇要分配給角色組的角色以及要添加到角色組的成員,也可以另選時間執行此操作。
選擇要應用于新角色組的寫入作用域。
單擊“保存”創建角色組。
可以通過New-RoleGroup命令來進行角色組創建。
示例:
New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients", "Mail Enabled Public Folders" -Members Kim, Martin – RecipientOrganizationalUnitScope contoso.com/Engineering/User
本示例將創建一個自定義角色組Limited Recipient Management(創建組)。將向該角色組分配 Mail Recipients 和 Mail Enabled Public Folders 角色(分配權限),并會將用戶 Kim 和 Martin 添加為成員(分配用戶),并配置作用域限制為 contoso.com/Engineering/Users OU(關聯作用域),Kim 和 Martin 可以為Users OU中的任何用戶管理任何收件人和重置密碼。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
