Roles de administración integrados

  • Artículo

Se aplica a: Exchange Server 2013

Microsoft Exchange Server 2013 incluye muchas funciones de administración de forma predeterminada. Las siguientes funciones se asignan a los grupos de funciones de administración o directivas de asignación de funciones de administración en diversas combinaciones que conceden permisos para administrar y usar las características proporcionadas en Exchange 2013. Para obtener más información acerca de los roles, consulte Descripción de los roles de administración.

Rol Permisos de Active Directory

Rol Listas de direcciones

Rol ApplicationImpersonation

Rol ArchiveApplication

Rol Registros de auditoría

Rol Agentes de extensión de cmdlet

Rol Prevención de pérdida de datos

Rol Grupos de disponibilidad de base de datos

Rol Copias de base de datos

Rol Bases de datos

Rol Recuperación ante desastres

Rol de grupos de distribución

Rol Suscripciones perimetrales

Rol Directivas de dirección de correo electrónico

Rol Conectores de Exchange

Rol Certificados del servidor de Exchange

Rol Servidores de Exchange

Rol Directorios virtuales de Exchange

Rol Uso compartido federado

Rol Administración de derechos de información

Rol Registro en diario

Rol Retención legal

Rol LegalHoldApplication

Rol Carpetas públicas habilitadas para correo

Rol Creación de destinatarios de correo

Rol Destinatarios de correo

Rol Sugerencias para correo electrónico

Rol Importar/Exportar buzón

Rol Búsqueda entre buzones

Rol MailboxSearchApplication

Rol Seguimiento de mensajes

Rol de migración

Rol Supervisión

Rol Mover buzones

Rol Mis aplicaciones personalizadas

Rol My Marketplace Apps

Función MyAddressInformation

Rol MyBaseOptions

Rol MyContactInformation

Rol MyDiagnostics

Función MyDisplayName

Rol MyDistributionGroupMembership

Rol MyDistributionGroups

Función MyMobileInformation

Función minombre

Función MyPersonalInformation

Rol MyProfileInformation

Rol MyRetentionPolicies

Rol MyTeamMailboxes

Rol MyTextMessaging

Rol MyVoiceMail

Rol OfficeExtensionApplication

Rol Aplicaciones personalizadas de la organización

Rol de aplicaciones del mercado de la organización

Rol Acceso de clientes de la organización

Rol Configuración de la organización

Rol Configuración de transporte de la organización

Rol Protocolos POP3 e IMAP4

Rol Carpetas públicas

Rol Conectores de recepción

Rol Directivas de destinatarios

Rol Dominios remotos y aceptados

Rol Restablecer contraseña

Rol de administración de retenciónt

Rol Administración de roles

Rol Pertenencia y Creación de grupos de seguridad

Rol Conectores de envío

Rol Diagnósticos de soporte

Rol Buzones de equipo

Rol TeamMailboxLifecycleApplication

Rol Agentes de transporte

Rol Higiene de transporte

Rol Colas de transporte

Rol Reglas de transporte

Rol Buzones de mensajería unificada

Rol Mensajes de mensajería unificada

Rol Mensajería unificada

Rol Administración de roles sin ámbito

Rol Opciones de usuario

Rol UserApplication

Rol Registros de auditoría con permiso de vista

Rol Configuración con permiso de vista

Rol Destinatarios con permiso de vista

Estos roles de administración son uno de varios roles integrados en el modelo de permisos de Access Control basado en roles (RBAC) de Microsoft Exchange Server 2013. Los roles de administración, que se asignan a uno o más grupos de roles de administración, directivas de asignación de roles de administración, usuarios o grupos de seguridad universal, actúan como la agrupación lógica de cmdlets o scripts que se combinan para proporcionar acceso a fin de ver o modificar la configuración de los componentes de Exchange 2013, como bases de datos de buzones, reglas de transporte y destinatarios. Si un cmdlet o un script y sus parámetros (que, en conjunto, se denominan entrada de rol de administración), se incluyen en un rol, el cmdlet o el script y sus parámetros pueden ser ejecutados por aquellos a los que se les asignó el rol. Para obtener más información acerca de los roles de administración y las entradas de roles de administración, consulte Descripción de los roles de administración.

Para obtener más información acerca de los roles de administración, los grupos de roles de administración y otros componentes RBAC, consulte Descripción del control de acceso basado en funciones.

Asignaciones de roles de administración

Para que estos roles concedan permisos, debe asignarse a un asignador de roles, que puede ser un grupo de roles, un usuario o un grupo de seguridad universal (USG). Esta asignación se realiza mediante asignaciones de roles de administración. Las asignaciones de roles vinculan los roles y los usuarios a los que se les asignan los roles. Si se le asigna más de un rol a un usuario, este recibe la combinación de todos los permisos concedidos por todos los roles asignados.

Además de vincular usuarios a los que se les asignan roles, las asignaciones de roles pueden aplicar ámbitos de administración integrados o personalizados. Los ámbitos de administración controlan qué destinatarios, servidores y objetos de base de datos pueden modificarse por parte de los asignadores de roles. Si estos roles se asignan a un asignador de roles, pero un ámbito de administración solo permite al usuario asignador de roles administrar determinados objetos en función de un ámbito definido, el usuario asignador de roles solo puede usar los permisos concedidos por estos roles en esos objetos específicos. Los permisos proporcionados por estos roles no se pueden aplicar a objetos fuera del ámbito definido en la asignación de roles. Este rol centrado en el usuario tiene ámbitos implícitos que no se pueden modificar. Por lo tanto, no debe agregar ámbitos personalizados a asignaciones de roles que asignen este rol a directivas de asignación de roles, a grupos de roles, a grupos de seguridad universales o a usuarios.

Estos roles se asignan a uno o varios grupos de roles de forma predeterminada. Para obtener más información, consulte la sección "Asignaciones de roles de administración predeterminadas" más adelante en este tema.

Si desea ver una lista de grupos de roles, usuarios o USG asignados a estos roles, use el siguiente comando.

Get-ManagementRoleAssignment -Role "<role name>"

Regular and delegating role assignments

Estos roles se pueden asignar a los asignados de roles mediante asignaciones de roles regulares o de delegación. Las asignaciones de roles normales otorgan los permisos proporcionados por el rol al usuario al que se asigna un rol. Las asignaciones de roles otorgan al usuario al que se asigna un rol la capacidad de asignar roles a otros usuarios. Para obtener más información acerca de las asignaciones de roles normales y de delegación, consulte Descripción de las asignaciones de roles de administraciónDescripción de las asignaciones de funciones de administración.

Agregar o quitar asignaciones de roles

Puede cambiar qué roles se asignan a estos roles. Al cambiar a qué asignador de roles se le asignan estos roles, se cambia a quién se le conceden sus permisos. Puede asignar estos roles a otros grupos de roles integrados, o bien puede crear grupos de roles y asignarles estos roles. También puede asignar estos roles a usuarios o USG. Sin embargo, recomendamos que limite la asignación de roles a los usuarios y grupos de seguridad universal, ya que este tipo de asignaciones puede aumentar significativamente la complejidad del modelo de permisos.

Para asignar estos roles a los asignados de roles, el rol debe asignarse a un grupo de roles del que sea miembro, directamente a usted o a un USG del que sea miembro, mediante una asignación de roles de delegación. Para obtener más información sobre asignaciones de roles de delegación, consulte la sección "Asignaciones de roles normales y de delegación".

También puede quitar estos roles de grupos de roles integrados, grupos de roles que cree, usuarios y USG. Sin embargo, siempre debe haber al menos una asignación de roles de delegación entre estos roles y un grupo de roles o USG. No es posible eliminar la última asignación de roles de delegación. Esta limitación ayuda a evitar que se bloquee su propio acceso al sistema.

Importante

Debe haber al menos una asignación de roles de delegación entre estos roles y un grupo de roles o USG. No puede quitar la última asignación de roles de delegación asociada a estos roles si la última asignación es a un usuario.

Para obtener más información sobre cómo agregar o quitar asignaciones entre estos roles y grupos de roles, usuarios y USG, vea los temas siguientes:

Modificación de ámbitos de administración en las asignaciones de roles

También puede cambiar los ámbitos de administración en las asignaciones de roles existentes entre estos roles y los asignadores de roles. Al cambiar los ámbitos de las asignaciones de roles, puede controlar qué objetos se pueden administrar mediante los permisos proporcionados por estos roles. Hay varias opciones disponibles al cambiar el ámbito en una asignación de roles. Puede hacer uno de los pasos siguientes:

Habilitación y deshabilitación de asignaciones de roles

Al habilitar o deshabilitar una asignación de roles, puede controlar si una asignación de roles debe tener vigencia. Si una asignación de roles está deshabilitada, los permisos otorgados por el rol asociado no se aplican al usuario al que se asigna el rol. Esto es útil si quiere quitar temporalmente los permisos sin eliminar una asignación de roles. Para obtener más información, consulte Cambiar una asignación de rolModificar una asignación de roles.

Personalización de roles de administración

Estos roles se han configurado para proporcionar a un asignador de roles todos los cmdlets y parámetros necesarios para administrar las características y componentes enumerados al principio de este tema. También se han proporcionado otros roles para habilitar la administración de otras características. Al agregar y quitar roles de los grupos de roles, es posible crear un modelo de permisos personalizado sin necesidad de personalizar roles de administración individuales. Para obtener una lista completa de los roles, consulte Roles de administración integrados. Para obtener más información acerca de la creación de grupos de roles, consulte Administrar grupos de roles.

Si decide que necesita crear una versión personalizada de estos roles, debe crear un rol como elemento secundario de estos roles y personalizar el nuevo rol.

Advertencia

La siguiente información permite administrar los permisos de manera avanzada. La personalización de los roles de administración puede aumentar significativamente la complejidad de su modelo de permisos. Si reemplaza un rol de administración integrado por un rol personalizado configurado incorrectamente, es posible que ciertas características detengan su funcionamiento.

La siguiente información permite administrar los permisos de manera avanzada. La personalización de los roles de administración puede aumentar significativamente la complejidad de su modelo de permisos. Si reemplaza un rol de administración integrado por un rol personalizado configurado incorrectamente, es posible que ciertas características detengan su funcionamiento.

  1. Cree una copia de un rol. Para obtener más información, consulte Crear un rol.

  2. Cambiar o quitar las entradas de rol en el nuevo rol mediante los cmdlets Set-ManagementRoleEntry y Remove-ManagementRoleEntry. No es posible agregar otras entradas de rol al nuevo rol porque solamente puede contener las entradas de rol en el rol integrado principal. Para obtener más información al respecto, consulte los temas siguientes:

  3. Si desea reemplazar el rol integrado por este nuevo rol personalizado, quite todas las asignaciones de roles asociadas con el rol integrado. Para obtener más información al respecto, consulte los temas siguientes:

  4. Añadir el nuevo rol personalizado a los encargados del rol requerido. Para obtener más información al respecto, consulte los temas siguientes: