Gestione organizzazione
Si applica a: Exchange Server 2013
Il gruppo di ruoli gestione gestione organizzazione è uno dei diversi gruppi di ruoli predefiniti che costituiscono il modello di autorizzazioni RBAC (Role Based Controllo di accesso) in Microsoft Exchange Server 2013. Ai gruppi di ruoli vengono assegnati uno o più ruoli di gestione che includono le autorizzazioni necessarie per eseguire un determinato set di attività. I membri di un gruppo di ruoli possono accedere ai ruoli di gestione assegnati a tale gruppo. Per altre informazioni sui gruppi di ruoli, vedere Informazioni sui gruppi di ruoli di gestione.
Gli amministratori membri del gruppo di ruoli Gestione organizzazione dispongono dell'accesso amministrativo all'intera organizzazione Exchange 2013 e possono eseguire quasi tutte le attività su qualsiasi oggetto di Exchange 2013, con alcune eccezioni. Per impostazione predefinita, i membri di questo gruppo di ruoli non possono eseguire ricerche di cassette postali e la gestione dei ruoli di gestione di primo livello senza ambito. Per ulteriori informazioni,°vedere "Assegnazioni di ruolo solo di delega" in questo argomento.
Importante
Il gruppo di ruoli Gestione organizzazione indica un ruolo molto potente e, in quanto tale, solo gli utenti o i gruppi di protezione universali, che eseguono attività amministrative a livello di organizzazione che potrebbero incidere sull'intera organizzazione Exchange, dovrebbero essere membri di questo gruppo.
Questo gruppo è equivalente al ruolo Exchange Organization Administrators di Exchange Server 2007.
Per ulteriori informazioni su RBAC, vedere Controllo di accesso basato sui ruoli.
Appartenenza ai gruppi di ruoli
Per impostazione predefinita, l'account utilizzato per installare Exchange 2013 nell'organizzazione viene aggiunto come membro del gruppo°Gestione organizzazione. Inoltre, questo account può aggiungere altri membri al gruppo in base alle esigenze.
Per aggiungere o rimuovere membri da o verso questo gruppo di ruoli, vedere Gestire i membri del gruppo di ruoli.
Per impostazione predefinita, solo i membri del gruppo di ruoli Gestione organizzazione possono aggiungere o rimuovere membri da questo gruppo di ruoli. Per altre informazioni su come aggiungere altri delegati del gruppo di ruoli, vedere la sezione "Aggiungere o rimuovere un delegato di un gruppo di ruoli" in Gestire i gruppi di ruoli.
È possibile utilizzare il seguente comando per visualizzare un elenco degli utenti o dei gruppi di protezione universali membri di questo gruppo di ruolo.
Get-RoleGroupMember "Organization Management"
Per ulteriori informazioni sui membri di un gruppo di ruolo, vedere Gestire gruppi di ruoli.
Personalizzazione dei gruppi di ruoli
Questo gruppo di ruoli viene assegnato ai ruoli di gestione per impostazione predefinita. I ruoli inclusi sono elencati nella sezione "Ruoli di gestione assegnati a questo gruppo di ruoli". È possibile aggiungere o rimuovere le assegnazioni dei ruoli da questo gruppo in base alle esigenze della propria organizzazione.
I gruppi di ruoli forniti con Exchange 2013 sono progettati per soddisfare attività più granulari. Quando si assegnano i ruoli ad un gruppo di ruoli, i membri di quel gruppo sono abilitati ad eseguire le attività associate al ruolo. Ad esempio, il ruolo di inserimento nel journal consente la gestione dell'agente di inserimento nel journal e delle relative regole. Per altre informazioni sulla modalità di assegnazione dei ruoli ai gruppi di ruoli, vedere Informazioni sulle assegnazioni dei ruoli di gestione.
I ruoli assegnati a questo gruppo di ruoli vengono assegnati agli ambiti di gestione predefiniti. Gli ambiti di gestione determinano quali oggetti di Exchange possono essere visualizzati o modificati dai membri di un gruppo di ruoli. È possibile modificare gli ambiti associati alle assegnazioni tra i ruoli e i gruppi di ruoli. Questo può essere necessario, ad esempio, se si desidera che solo i membri di un gruppo di ruoli siano in grado di modificare i destinatari che sono in un'unità organizzativa specifica o in una posizione specifica. Per ulteriori informazioni sugli ambiti di gestione, vedere Comprensione degli ambiti di gestione dei ruoli.
Per altre informazioni su come personalizzare questo gruppo di ruoli, vedere gli argomenti seguenti:
Se si vuole creare un gruppo di ruoli e assegnare alcuni dei ruoli assegnati a questo gruppo di ruoli al nuovo gruppo di ruoli, vedere la sezione "Creare un gruppo di ruoli" in Gestisci gruppi di ruoli.
Di seguito vengono indicati alcuni metodi per personalizzare questo ruolo:
- Proprietario delle autorizzazioni: se le autorizzazioni nell'organizzazione sono controllate da un gruppo specifico diverso dagli amministratori di Exchange, è possibile creare un gruppo di ruoli e spostare le assegnazioni di ruolo regolari e deleganti per il ruolo Gestione ruoli nel nuovo gruppo di ruoli. Questa operazione impedisce ai membri del gruppo di ruolo Gestione organizzazione di gestire le autorizzazioni RBAC.
- Autorizzazioni di suddivisione di Active Directory: se la creazione di entità di sicurezza nell'organizzazione, ad esempio gli account utente, è controllata da un gruppo specifico diverso dagli amministratori di Exchange, è possibile creare un gruppo di ruoli e spostare le assegnazioni di ruolo regolari e delegate per il ruolo Creazione destinatario posta elettronica e il ruolo Creazione e appartenenza del gruppo di sicurezza nel nuovo gruppo di ruoli. Questa operazione impedisce ai membri del gruppo di ruolo Gestione organizzazione di creare oggetti Active Directory. L'abilitazione alla posta dei nuovi oggetti Active Directory è comunque possibile. Per ulteriori informazioni sulle autorizzazioni suddivise, vedere Informazioni sulle autorizzazioni diviso.
Limitazioni di personalizzazione
Qualsiasi ruolo può essere aggiunto o rimosso da questo gruppo di ruolo, con le seguenti limitazioni:
- Ogni ruolo deve disporre di almeno un'assegnazione del ruolo di delega per un gruppo di ruolo o un gruppo di protezione universale prima che l'assegnazione possa essere rimossa da questo gruppo.
- Il ruolo Gestione dei ruoli deve disporre di almeno un'assegnazione di ruolo regolare per un gruppo di ruolo o un gruppo di protezione universale prima che l'assegnazione possa essere rimossa da questo gruppo.
Queste limitazioni impediscono all'utente di bloccare inavvertitamente l'accesso al sistema. Richiedendo almeno un'assegnazione del ruolo di delega esistente tra ogni ruolo e uno o più gruppi di ruolo o gruppi di protezione universale, sarà sempre possibile assegnare ruoli agli assegnatari. Richiedendo almeno un'assegnazione di ruolo regolare esistente tra il ruolo Gestione dei ruoli e uno o più gruppi di ruolo o gruppi di protezione universale, sarà sempre possibile configurare gruppi e assegnazioni di ruolo.
Importante
Queste limitazioni richiedono che i gruppi di ruolo o i gruppi di protezione universale siano le destinazioni delle assegnazioni di ruolo regolari e di delega. Non è possibile rimuovere un'assegnazione del ruolo di delega o l'assegnazione regolare per il ruolo Gestione dei ruoli se l'ultima assegnazione è per un utente.
Assegnazioni di ruolo solo di delega
Alcune assegnazioni di ruolo tra il gruppo di ruoli Gestione organizzazione e i ruoli di gestione, relativi ad esempio alla ricerca della cassetta postale e alla gestione dei ruoli senza ambito, sono assegnazioni di ruolo solo di delega. Questi ruoli consentono l'accesso a informazioni riservate o personali, ad esempio il contenuto delle cassette postali, oppure permettono la creazione di potenti ruoli di gestione senza ambito.
La delega solo delle assegnazioni di ruolo consente ai membri del gruppo di ruolo Gestione organizzazione di assegnare solo i ruoli associati ad altri gruppi di ruolo, criteri di assegnazione del ruolo di gestione, utenti o gruppi di protezione universale. Per impostazione predefinita, ai membri del gruppo di ruolo°Gestione organizzazione non viene concessa alcuna autorizzazione fornita dai ruoli. In questo modo è più facile evitare l'esposizione accidentale a informazioni personali o l'elevazione accidentale dei privilegi.
Tuttavia i membri del gruppo di ruoli Gestione organizzazione possono assegnare a se stessi qualsiasi ruolo ed hanno dunque la possibilità di eseguire virtualmente tutte le attività. Ad esempio, un membro del gruppo di ruoli Gestione organizzazione può assegnare il ruolo Ricerca cassetta postale al gruppo di ruoli Gestione organizzazione. Una volta effettuata questa assegnazione di ruolo, i membri del gruppo di ruolo Gestione organizzazione possono eseguire le attività abilitate dal ruolo Ricerca delle cassette postali.
Per ulteriori informazioni sulle assegnazioni del ruolo di delega, vedere Informazioni sulle assegnazioni dei ruoli di gestione.
Autorizzazioni aggiuntive
Le autorizzazioni concesse ai membri del gruppo di ruolo Gestione organizzazione vengono principalmente determinate dai ruoli di gestione assegnati al gruppo di ruolo. Tuttavia, non tutte le attività che devono essere eseguite sono coperte dai ruoli di gestione. Alcune attività si verificano all'esterno degli strumenti di gestione di°Exchange e quindi non viene applicato il modello di autorizzazioni RBAC. Per queste attività, le autorizzazioni vengono fornite aggiungendo il gruppo di ruolo Gestione organizzazione agli elenchi di controllo di accesso (ACL) di determinati oggetti di°Active Directory.
Alle seguenti attività vengono concesse le autorizzazioni tramite ACL su oggetti di°Active Directory e non dai ruoli di gestione assegnati al gruppo di ruolo Gestione organizzazione:
- Esecuzione di DomainPrep e ForestPrep mediante Setup.exe
- Distribuzione di server aggiuntivi nell'organizzazione
Ruoli di gestione assegnati a questo gruppo di ruoli
Per impostazione predefinita, solo i membri del gruppo di ruoli Gestione organizzazione possono aggiungere o rimuovere membri da questo gruppo di ruoli. Per altre informazioni sull'aggiunta di ulteriori delegati al gruppo di ruoli, vedere la sezione "Aggiungere o rimuovere un delegato in un gruppo di ruoli" in Manage Role Groups.
- La tabella seguente elenca tutti i ruoli di gestione assegnati a questo gruppo di ruoli e gli attributi di ciascuna assegnazione di ruolo:
- Assegnazione regolare: consente ai membri del gruppo di ruoli di accedere alle voci del ruolo di gestione rese disponibili dal ruolo di gestione associato.
- Ambito di lettura del destinatario: determina a quali membri oggetti destinatari del gruppo di ruoli è consentito leggere da Active Directory.
- Ambito di scrittura del destinatario: determina gli oggetti destinatario che i membri del gruppo di ruoli possono modificare in Active Directory.
- Ambito di lettura della configurazione: determina a quali membri oggetti configurazione e server del gruppo di ruoli è consentito leggere da Active Directory.
- Ambito di scrittura della configurazione: determina quali membri dell'organizzazione e degli oggetti server del gruppo di ruoli possono modificare in Active Directory.
Per altre informazioni sulle assegnazioni dei ruoli e sugli ambiti di gestione, vedere gli argomenti seguenti:
- Informazioni sulle assegnazioni dei ruoli di gestione
- Comprensione degli ambiti di gestione dei ruoli
| Ruolo di gestione | Assegnazione regolare | Assegnazione di delega | Ambito di lettura del destinatario | Ambito di scrittura del destinatario | Ambito di lettura della configurazione | Ambito di scrittura della configurazione |
|---|---|---|---|---|---|---|
| Ruolo Autorizzazioni di Active Directory | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo Elenchi degli indirizzi | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo ApplicationImpersonation | X | Organization |
Organization |
None |
None |
|
| Ruolo ArchiveApplication | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo Log di audit | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo Agenti di estensione cmdlet | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo di prevenzione della perdita di dati | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo Gruppi di disponibilità del database | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo Copie del database | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo Database | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo Ripristino di emergenza | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo di gruppi di distribuzione | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo Sottoscrizioni Edge | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo Criteri degli indirizzi di posta elettronica | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo Connettori di Exchange | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo Certificati server Exchange | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo Server Exchange | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo Directory virtuali di Exchange | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo Condivisione federata | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo Information Rights Management | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo inserimento nel journal | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo Blocco a fini giudiziari | X | X | Organization |
Organization |
OrganizationConfig |
None |
| Ruolo LegalHoldApplication | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Ruolo di cartelle pubbliche abilitate alla posta | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo di creazione dei destinatari di posta | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo destinatari di posta elettronica | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo Suggerimenti posta elettronica | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo di importazione\esportazione delle cassette postali | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Ruolo Ricerca cassette postali | X | Organization |
Organization |
None |
None |
|
| Ruolo MailboxSearchApplication | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Ruolo Verifica dei messaggi | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo Migrazione | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo Monitoraggio | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo Sposta cassette postali | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo OfficeExtensionApplication | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Ruolo Accesso client organizzazione | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo Configurazione organizzazione | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo Impostazioni trasporto organizzazione | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo Protocolli POP3 e IMAP4 | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo Cartelle pubbliche | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo connettori di ricezione | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo Criteri destinatario | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo di domini accettati e remoti | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo Reimpostazione password | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Ruolo Gestione conservazione | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo Gestione dei ruoli | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Creazione gruppo di sicurezza e ruolo di appartenenza | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo connettori di invio | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo Diagnostica di supporto | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Ruolo TeamMailboxLifecycleApplication | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Ruolo di agenti di trasporto | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo igiene di trasporto | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo delle code di trasporto | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo di regole di trasporto | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo cassette postali di messaggistica unificata | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo di richieste di messaggistica unificata | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo Gestione ruoli senza ambito | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Ruolo Messaggistica unificata | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo UserApplication | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Ruolo Opzioni utente | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo dei log di controllo con diritti di sola visualizzazione | X | X | Organization |
None |
OrganizationConfig |
None |
| Ruolo Configurazione di sola lettura | X | X | Organization |
None |
OrganizationConfig |
None |
| Ruolo Destinatari di sola lettura | X | X | Organization |
None |
OrganizationConfig |
None |
| Ruolo WorkloadManagement | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Ruolo App personalizzate | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Ruolo App Marketplace personali | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Ruolo MyBaseOptions | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Ruolo MyContactInformation | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Ruolo MyDiagnostics | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Ruolo MyDistributionGroupMembership | X | MyGAL |
MyGAL |
None |
None |
|
| Ruolo MyDistributionGroups | X | MyGAL |
MyDistributionGroups |
OrganizationConfig |
None |
|
| Ruolo MyProfileInformation | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Ruolo MyRetentionPolicies | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Ruolo MyTeamMailbox | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Ruolo MyTextMessaging | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Ruolo MyVoiceMail | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |