Informazioni sulle autorizzazioni
Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Ultima modifica dell'argomento: 2015-03-09
Microsoft Exchange Server 2010 include un gran numero di autorizzazioni predefinite, basate sul modello di autorizzazioni RBAC (Role Based Access Control, Controllo di accesso basato sui ruoli), utilizzabili immediatamente per concedere facilmente le autorizzazioni agli amministratori e agli utenti. È possibile utilizzare le funzionalità delle autorizzazioni di Exchange 2010 che consentono all'organizzazione di diventare rapidamente operativa.
Il controllo di accesso basato sui ruoli (RBAC) concede le autorizzazioni per gestire i ruoli dei server Cassette postali, Trasporto Hub, Accesso client e Messaggistica unificata. Per ulteriori informazioni sulle autorizzazione relative al ruolo del server Trasporto Edge, vedere Edge Transport Permissions più avanti in questo argomento.
Nota
Alcune funzionalità e nozioni relative al controllo di accesso basato sui ruoli non vengono illustrati nel presente argomento perché rientrano nelle funzionalità avanzate. Se la funzionalità descritta in questo argomento non soddisfa le proprie esigenze e si desidera personalizzare ulteriormente il modello delle autorizzazioni, vedere Informazioni sul controllo di accesso basato sui ruoli.
Per informazioni sulle attività di gestione relative alle autorizzazioni, vedere Gestione delle autorizzazioni.
Autorizzazioni basate sui ruoli
In Exchange 2010, le autorizzazione che vengono concesse agli amministratori e agli utenti sono basate sui ruoli di gestione. Un ruolo definisce l'insieme di attività che un amministratore o un utente sono in grado di eseguire. Ad esempio, il ruolo di gestione denominato Mail Recipients definisce le attività che una persona può eseguire per un insieme di cassette postali, contatti e gruppi di distribuzione. Quando viene assegnato un ruolo a un amministratore o a un utente, alla persona vengono concesse le autorizzazioni fornite dal ruolo.
Esistono due tipi di ruoli, ruoli amministrativi e ruoli dell'utente finale:
Ruoli amministrativi Tali ruoli contengono le autorizzazioni che possono essere assegnate agli amministratori o a utenti esperti che utilizzano i gruppi di ruoli che si occupano della gestione di una parte dell'organizzazione di Exchange, ad esempio destinatari, server o database.
Ruoli dell'utente finale Tali ruoli, assegnati mediante i criteri di assegnazione, consentono agli utenti di gestire vari aspetti della propria cassetta postale e dei gruppi di distribuzione di cui sono proprietari. I ruoli dell'utente finale iniziano con il prefisso
My.
I ruoli concedono le autorizzazioni che consentono l'esecuzione di attività per amministratori e utenti, rendendo disponibili i cmdlet a coloro a cui sono stati assegnati i ruoli. Poiché in Exchange Management Console (EMC), nel Pannello di controllo di Exchange (ECP) e in Exchange Management Shell i cmdlet vengono utilizzati per la gestione di Exchange, la concessione dell'accesso a un cmdlet consente all'amministratore o all'utente di eseguire l'attività in ogni singola interfaccia di gestione di Exchange.
Exchange 2010 include all'incirca 60 ruoli utilizzabili per concedere le autorizzazioni. Per un elenco dei ruoli inclusi in Exchange 2010, vedere Ruoli di gestione incorporati.
Gruppi di ruolo e criteri dell'assegnazione di ruolo
I ruoli concedono le autorizzazioni per eseguire le attività in Exchange 2010, ma è necessario un metodo semplice per assegnarle ad amministratori e utenti. Exchange 2010 fornisce i seguenti metodi per l'assegnazione delle autorizzazioni:
Gruppi di ruolo I gruppi di ruolo consentono di concedere le autorizzazioni agli amministratori e agli utenti esperti.
Criteri dell'assegnazione di ruolo Mediante i criteri dell'assegnazione di ruolo è possibile concedere le autorizzazioni agli utenti finali per modificare le impostazioni delle proprie cassette postali o gruppi di distribuzione di cui sono proprietari.
Per ulteriori informazioni sui gruppi di ruolo e sui criteri dell'assegnazione di ruolo, vedere le seguenti sezioni:
Gruppi di ruoli
A ogni amministratore che si occupa della gestione di Exchange 2010 devono essere assegnati almeno uno o più ruoli. Gli amministratori possono disporre di più ruoli perché eseguono mansioni che si estendono su più aree di Exchange. Ad esempio, un amministratore potrebbe gestire sia i destinatari che i server Exchange. In tal caso, all'amministratore potrebbe essere assegnato sia il ruolo Mail Recipients che il ruolo Exchange Servers.
Per agevolare l'assegnazione di più ruoli a un amministratore, Exchange 2010 include i gruppi di ruoli. I gruppi di ruolo sono gruppi di protezione universale (USG, Universal Security Groups) speciali utilizzati da Exchange 2010 che possono contenere utenti di Active Directory, gruppi di protezione universale e altri gruppi di ruolo. Quando viene assegnato un ruolo a un gruppo di ruolo, le autorizzazioni concesse dal ruolo vengono estese a tutti i membri del gruppo di ruolo. In questo modo è possibile assegnare contemporaneamente molti ruoli a vari membri del gruppo di ruolo. I gruppi di ruolo riguardano in genere aree di gestione più ampie, ad esempio la gestione dei destinatari. Vengono utilizzati solo con i ruoli amministrativi e non con i ruoli dell'utente finale.
Nota
È possibile assegnare un ruolo direttamente a un utente o a un gruppo di protezione universale (USG) senza utilizzare un gruppo di ruolo. Questo metodo di assegnazione di ruolo, tuttavia, è una procedura avanzata che non viene affrontata in questo argomento. Si consiglia di utilizzare i gruppi di ruolo per gestire le autorizzazioni.
Nella figura che segue viene mostrata la relazione tra utenti, gruppi di ruolo e ruoli.
Ruoli, gruppi di ruolo e membri del gruppo di ruolo
.gif "Ruolo, gruppo di ruoli e relazione dei membri")
Exchange 2010 comprende alcuni gruppi di ruolo incorporati che forniscono ciascuno le autorizzazioni per la gestione di aree specifiche in Exchange 2010. Alcuni gruppi di ruolo possono sovrapporsi ad altri. Nella tabella seguente i gruppi di ruolo vengono elencati singolarmente con relativa descrizione dell'utilizzo. Per visualizzare i ruoli assegnati a ciascun gruppo di ruolo, fare clic sul nome del gruppo di ruolo nella tabella e aprire la sezione "Ruoli di gestione assegnati a questo gruppo di ruolo".
Gruppi di ruoli incorporati
| Gruppo di ruoli | Descrizione |
|---|---|
Gli amministratori membri del gruppo di ruolo Gestione organizzazione dispongono dell'accesso amministrativo all'intera organizzazione di°Exchange 2010 e possono eseguire quasi tutte le attività su qualsiasi oggetto di°Exchange 2010, con alcune eccezioni quali Importante Poiché il gruppo di ruolo Gestione organizzazione indica un ruolo potente, solo gli utenti o i gruppi di protezione universale, che eseguono attività amministrative a livello di organizzazione che possono potenzialmente influire sull'intera organizzazione di°Exchange, dovrebbero essere membri di questo gruppo. |
|
Gli amministratori membri del gruppo di ruolo Gestione organizzazione in sola visualizzazione possono visualizzare le proprietà di tutti gli oggetti nell'organizzazione di Exchange. |
|
Gli amministratori membri del gruppo di ruolo Gestione destinatari dispongono dell'accesso amministrativo per creare o modificare i destinatari di Exchange 2010 all'interno dell'organizzazione di Exchange 2010. |
|
Gli amministratori membri del gruppo di ruolo Gestione della messaggistica unificata possono gestire le funzionalità nell'organizzazione di Exchange, ad esempio la configurazione dei server Messaggistica unificata, le proprietà di messaggistica unificata nelle cassette postali, i prompt di messaggistica unificata e la configurazione dell'operatore automatico di messaggistica unificata. |
|
Il gruppo di ruolo Help Desk consente ai membri, per impostazione predefinita, di visualizzare e modificare le opzioni di Microsoft Office Outlook Web App per qualsiasi utente nell'organizzazione. Queste opzioni potrebbero includere la modifica del nome visualizzato, dell'indirizzo e del numero telefonico. Non comprendono le opzioni che non sono disponibili in Outlook Web App, ad esempio la modifica delle dimensioni di una cassetta postale o la configurazione del database delle cassette postali in cui si trova una cassetta postale. |
|
Gli amministratori membri del gruppo di ruolo di gestione di Hygiene possono configurare le funzionalità antivirus e di protezione da posta indesiderata di Exchange 2010. I programmi di terze parti integrati in Exchange 2010 possono aggiungere account di servizio a questo gruppo di ruolo per garantire a tali programmi l'accesso ai cmdlet necessari per recuperare e impostare la configurazione di Exchange. |
|
Gli utenti membri del gruppo di ruolo°Gestione record possono configurare le funzionalità di conformità, come le tag dei criteri di conservazione, le classificazioni dei messaggi e le regole di trasporto. |
|
Gli amministratori o gli utenti membri del gruppo di ruoli Gestione individuazione possono effettuare ricerche delle cassette postali nell'organizzazione di Exchange in base ai dati che soddisfano determinati criteri e configurare conservazioni ai fini giudiziari nelle cassette postali. Per ulteriori informazioni, vedere Ricerca in più cassette postali e Informazioni sulla conservazione in caso di dispute. |
|
Gli amministratori membri del gruppo di ruolo Gestione di cartelle pubbliche possono gestire le cartelle pubbliche e i database sui server Exchange 2010. |
|
Gli amministartori membri del gruppo di ruolo Gestione server possono eseguire la configurazione specifica del server delle funzionalità relative al trasporto, alla messaggistica unificata, all'accesso client e alle cassette postali come, ad esempio, copie del database, certificati, code di trasporto, connettori di invio, directory virtuali e protocolli per l'accesso client. |
|
Gli amministratori membri del gruppo di ruolo Configurazione delegata possono distribuire i server Exchange 2010 precedentemente sottoposti a provisioning da un membro del gruppo di ruolo Gestione organizzazione. Per ulteriori informazioni sulla configurazione delegata, vedere Provisioning di Exchange 2010 e delega dell'installazione. |
Se si lavora in un'organizzazione di piccole dimensioni con pochi amministratori, potrebbe essere necessario aggiungere tali amministratori solo al gruppo di ruolo Gestione organizzazione e probabilmente non sarà necessario in alcun caso utilizzare gli altri gruppi di ruolo. Se l'organizzazione è di grandi dimensioni, si avranno probabilmente amministratori che si occupano di attività specifiche nell'ambito dell'amministrazione di Exchange, ad esempio la gestione dei destinatari o del server. In tali casi, potrebbe essere utile aggiungere un amministratore al gruppo di ruolo Gestione destinatari e un altro amministratore al gruppo di ruolo Gestione server. Questi amministratori sono quindi in grado di gestire aree specifiche di Exchange 2010, ma non disporranno delle autorizzazioni necessarie per gestire aree di cui non sono responsabili.
Se i gruppi di ruolo incorporati in Exchange 2010 non corrispondono alla mansione degli amministratori, è possibile creare gruppi di ruolo e aggiungervi i ruoli desiderati. Per ulteriori informazioni, vedere Work with Role Groups più avanti in questo argomento.
Criteri di assegnazione dei ruoli
Exchange 2010 fornisce i criteri dell'assegnazione di ruolo che consentono di controllare le impostazioni che gli utenti sono autorizzati a configurare nelle proprie cassette postali e nei gruppi di distribuzione di cui sono proprietari. Tali impostazioni includono il nome visualizzato, le informazioni di contatto, le impostazioni del sistema di caselle vocali e l'appartenenza a gruppi di distribuzione.
Nell'organizzazione di Exchange 2010 è possibile disporre di più criteri di assegnazione dei ruoli che forniscono livelli di autorizzazioni diversi per differenti tipi di utenti nelle organizzazioni. Ad alcuni utenti può essere consentito modificare il proprio indirizzo o creare gruppi di distribuzione, diversamente da altri, in base al criterio di assegnazione dei ruoli associato alla propria cassetta postale. I criteri dell'assegnazione di ruolo vengono aggiunti direttamente alle cassette postali e ogni cassetta postale può essere associata solo a un criterio dell'assegnazione di ruolo alla volta.
Tra i criteri dell'assegnazione di ruolo dell'organizzazione, uno è contrassegnato come predefinito. Il criterio dell'assegnazione di ruolo predefinito è associato a nuove cassette postali a cui non è stato assegnato esplicitamente un criterio specifico di assegnazione del ruolo al momento della creazione. Il criterio dell'assegnazione di ruolo predefinito deve contenere le autorizzazioni da applicare alla maggior parte delle cassette postali.
Le autorizzazioni vengono aggiunte ai criteri dell'assegnazione di ruolo utilizzando i ruoli dell'utente finale. I ruoli dell'utente finale iniziano con My e concedono agli utenti le autorizzazioni per gestire solo la propria cassetta postale o i gruppi di distribuzione di cui sono proprietari. Non possono essere utilizzati per gestire altre cassette postali. Solo i ruoli dell'utente finale possono essere assegnati ai criteri dell'assegnazione di ruolo.
Quando a un utente finale viene assegnato un criterio dell'assegnazione di ruolo, tutte le cassette postali associate a quel ruolo ricevono le autorizzazioni concesse dal ruolo. In questo modo è possibile aggiungere o rimuovere le autorizzazioni a gruppi di utenti senza dover configurare le singole cassette postali. Nella figura successiva viene illlustrato quanto segue:
I ruoli dell'utente finale vengono assegnati ai criteri dell'assegnazione di ruolo. I criteri dell'assegnazione di ruolo possono condividere gli stessi ruoli dell'utente finale.
I criteri dell'assegnazione di ruolo sono associati alle cassette postali. Ogni cassetta postale può essere associata a un solo criterio dell'assegnazione di ruolo.
Una volta associata una cassetta postale a un criterio dell'assegnazione di ruolo, i ruoli dell'utente finale vengono applicati alla cassetta postale. Le autorizzazioni concesse dai ruoli vengono concesse all'utente della cassetta postale.
Ruoli, criteri dell'assegnazione di ruolo e cassette postali
.gif "Relazioni tra ruolo, criteri di assegnazione dei ruoli e cassetta postale")
Il criterio dell'assegnazione di ruolo Criterio predefinito di assegnazione dei ruoli è incluso in Exchange 2010. Come suggerisce il nome, si tratta del criterio dell'assegnazione di ruolo predefinito. Per modificare le autorizzazioni fornite da questo criterio dell'assegnazione di ruolo o per creare criteri dell'assegnazione di ruolo, vedere Work with Role Assignment Policies più avanti in questo argomento.
Utilizzo dei gruppi di ruolo
Per gestire le autorizzazioni utilizzando i gruppi di ruolo in Exchange 2010 Service Pack 1 (SP1), si consiglia di utilizzare il Pannello di controllo di Exchange (ECP). Quando si utilizza ECP per gestire i gruppi di ruolo, è possibile aggiungere e rimuovere ruoli e membri, creare gruppi di ruolo e copiare gruppi di ruolo con pochi clic. ECP offre finestre di dialogo semplici, come la finestra di dialogo New Role Group, mostrata nella figura seguente, per eseguire tali attività.
Finestra di dialogo New Role Group in ECP
.gif "Finestra di dialogo Nuovo gruppo di ruoli in ECP")
Come indicato in precedenza in questo argomento, Exchange 2010 include alcuni gruppi di ruolo in grado di separare le autorizzazioni in specifiche aree amministrative. Se questi gruppi di ruolo esistenti forniscono le autorizzazioni necessarie agli amministratori per gestire l'organizzazione di Exchange 2010, è sufficiente aggiungere gli amministratori come membri dei gruppi di ruolo appropriati. Una volta aggiunti a un gruppo di ruolo, gli amministratori saranno in grado di amministrare le funzionalità legate a quel gruppo di ruolo. Per aggiungere o rimuovere membri da un gruppo di ruolo, aprire il gruppo di ruolo nel Pannello di controllo di Exchange (ECP) e aggiungere o rimuovere i membri dall'elenco di appartenenza. Per un elenco dei gruppi di ruoli di gestione incorporati, vedere Gruppi di ruolo incorporati.
Importante
Se un amministratore è membro di più gruppi di ruolo, Exchange 2010 concede all'amministratore tutte le autorizzazioni fornite dai gruppi di ruolo di cui è membro.
Se nessuno dei gruppi di ruolo inclusi in Exchange 2010 dispone delle autorizzazioni necessarie, è possibile utilizzare ECP per creare un gruppo di ruolo e aggiungere i ruoli con le autorizzazioni necessarie. Per il nuovo gruppo di ruolo è necessario procedere come segue:
Scegliere un nome per il gruppo di ruolo.
Selezionare i ruoli che si desidera assegnare al gruppo di ruolo.
Aggiungere i membri al gruppo di ruolo.
Salvare il gruppo di ruolo.
Una volta creato il gruppo di ruolo, è possibile gestirlo come qualsiasi altro gruppo.
Se è presente un gruppo di ruolo che dispone di alcune, ma non di tutte le autorizzazioni necessarie, è possibile copiarlo e modificarlo per creare un gruppo di ruolo. È possibile copiare un gruppo di ruolo esistente e modificarlo, senza coinvolgere il gruppo di ruolo originale. Durante la copia del gruppo di ruolo, è possibile aggiungere un nuovo nome e la descrizione, aggiungere e rimuovere ruoli dal nuovo gruppo di ruolo e aggiungere nuovi membri. Quando si crea o si copia un gruppo di ruolo, viene utilizzata la stessa finestra di dialogo visualizzata nella figura precedente.
È possibile modificare anche gruppi di ruolo esistenti. È possibile aggiungere e rimuovere ruoli da gruppi di ruolo esistenti e aggiungere e rimuovere membri contemporaneamente, utilizzando una finestra di dialogo di ECP simile a quella riportata nella figura precedente. Aggiungendo o rimuovendo ruoli da gruppi di ruolo, vengono attivate e disattivate le funzionalità amministrative dei membri del gruppo di ruolo. Per un elenco dei ruoli che è possibile aggiungere a un gruppo di ruolo, vedere Ruoli di gestione incorporati.
Nota
Sebbene sia possibile scegliere i ruoli da assegnare ai gruppi di ruolo incorporati, è consigliabile copiare i gruppi di ruolo incorporati, modificare la copia del gruppo di ruolo e aggiungere i membri alla copia del gruppo di ruolo.
Per la procedura dettagliata relativa alla creazione o alla copia dei gruppi di ruolo o alla modifica dei ruoli e dei membri del gruppo di ruolo esistente, vedere gli argomenti indicati di seguito:
Utilizzo dei criteri di assegnazione dei ruoli
Per gestire le autorizzazioni concesse agli utenti finali per la gestione della propria cassetta postale in Exchange 2010 SP1, si consiglia di utilizzare il Pannello di controllo di Exchange (ECP). Quando si utilizza ECP per la gestione delle autorizzazioni degli utenti finali, è possibile aggiungere, rimuovere i ruoli e creare criteri di assegnazione dei ruoli con pochi clic. Il Pannello di controllo di Exchange (ECP) offre finestre di dialogo semplici, come la finestra di dialogo Criterio assegnazione ruoli, mostrata nella figura seguente, per eseguire tali attività. Per applicare un criterio di assegnazione del ruolo a una cassetta postale, è possibile utilizzare EMC o ECP.
Finestra di dialogo dei criteri di assegnazione dei ruoli in ECP
.gif "Finestra di dialogo Criteri di assegnazione dei ruoli in ECP")
Exchange 2010 include un criterio di assegnazione del ruolo denominato Criteri di assegnazione ruoli predefiniti. Questo criterio di assegnazione del ruolo consente agli utenti con cassette postali associate al criterio di effettuare le seguenti operazioni:
Unirsi ai gruppi di distribuzione che consentono ai membri di gestire la propria appartenenza o abbandonarli.
Visualizzare e modificare le impostazioni di base della propria cassetta postale, ad esempio le regole di Posta in arrivo, il comportamento ortografico, le impostazioni della posta indesiderata e i dispositivi Microsoft ActiveSync.
Modificare le proprie informazioni di contatto, come indirizzo e numero di telefono.
Creare, modificare o visualizzare le impostazioni dei messaggi di testo.
Visualizzare o modificare le impostazioni di posta vocale.
Per aggiungere o rimuovere le autorizzazioni dal Criterio predefinito di assegnazione dei ruoli o da un qualsiasi altro criterio di assegnazione del ruolo, è possibile utilizzare ECP. La finestra di dialogo utilizzata è simile alla finestra visualizzata nella figura precedente. Quando viene visualizzato il criterio di assegnazione del ruolo in ECP, selezionare la casella di controllo accanto ai ruoli da assegnare o deselezionare la casella di controllo accanto ai ruoli da rimuovere. Le modifiche apportate al criterio di assegnazione del ruolo vengono appalicate a ogni cassetta postale associata.
Per assegnare autorizzazioni dell'utente finale diverse ai vari tipi di utenti dell'organizzazione, è possibile creare criteri di assegnazione dei ruoli. Quando si crea un criterio di assegnazione del ruolo, viene visualizzata una finestra di dialogo simile alla finestra mostrata nella figura precedente. È possibile specificare un nuovo nome per il criterio di assegnazione del ruolo, quindi selezionare i ruoli da assegnare al criterio. Una volta creato un criterio di assegnazione del ruolo, è possibile associarlo alle cassette postali utilizzando EMC o ECP.
Per scegliere un criterio di assegnazione del ruolo predefinito diverso, è necessario utilizzare la Shell. Quando viene cambiato il criterio di assegnazione del ruolo predefinito, le cassette postali che vengono create saranno associate al nuovo criterio di assegnazione del ruolo predefinito, se esplicitamente specificato. Il criterio di assegnazione del ruolo associato alle cassette postali esistenti non viene modificato quando si seleziona un nuovo criterio di assegnazione del ruolo predefinito.
Nota
Se si seleziona la casella di controllo di un ruolo che include ruoli figlio, verranno selezionate anche le caselle di controllo dei ruoli figlio. Se si deseleziona la casella di controllo di un ruolo con ruoli figlio, verranno deselezionate anche le caselle di controllo dei ruoli figlio.
Per la procedura dettagliata relativa alla creazione dei criteri di assegnazione del ruolo o alla modifica dei criteri di assegnazione del ruolo esistente, vedere gli argomenti indicati di seguito:
Autorizzazioni del server Trasporto Edge
Il ruolo del server Trasporto Edge viene distribuito nella rete perimetrale di un'organizzazione, anche nota come rete di delimitazione o subnet schermata. Un server Trasporto Edge può essere distribuito come server autonomo o come membro di un dominio di Active Directory perimetrale.
Sui server Trasporto Edge, RBAC non viene utilizzato per controllare le autorizzazioni. Il gruppo Administrators locale viene utilizzato per controllare le persone autorizzate a configurare le funzionalità di Exchange sul server locale. Se si dispone di più server Trasporto Edge, è possibile aggiungere l'utente desiderato per gestire tali server al gruppo Administrators locale di ciascun server.
Per ulteriori informazioni sulle autorizzazioni sui server Trasporto Edge, vedere Impostazione delle autorizzazioni di amministratore per il ruolo server Edge Transport.
Per ulteriori informazioni
Informazioni sul controllo di accesso basato sui ruoli
Informazioni sulla divisione delle autorizzazioni
Informazioni sulla coesistenza delle autorizzazioni con Exchange 2007
Informazioni sulla coesistenza delle autorizzazioni con Exchange 2003
Informazioni sulle autorizzazioni su più foreste
©2010 Microsoft Corporation. Tutti i diritti riservati.