Ruoli di gestione incorporati
Si applica a: Exchange Server 2013
Microsoft Exchange Server 2013 include molti ruoli di gestione per impostazione predefinita. I ruoli seguenti vengono assegnati ai gruppi di ruoli di gestione o ai criteri di assegnazione dei ruoli di gestione in varie combinazioni che concedono le autorizzazioni per gestire e usare le funzionalità fornite da Exchange 2013. Per altre informazioni sui ruoli, vedere Informazioni sui ruoli di gestione.
Ruolo Autorizzazioni di Active Directory
Ruolo ApplicationImpersonation
Ruolo Agenti di estensione cmdlet
Ruolo di prevenzione della perdita di dati
Ruolo Gruppi di disponibilità del database
Ruolo di gruppi di distribuzione
Ruolo Criteri degli indirizzi di posta elettronica
Ruolo Certificati server Exchange
Ruolo Directory virtuali di Exchange
Ruolo Information Rights Management
Ruolo Blocco a fini giudiziari
Ruolo di cartelle pubbliche abilitate alla posta
Ruolo di creazione dei destinatari di posta
Ruolo destinatari di posta elettronica
Ruolo Suggerimenti posta elettronica
Ruolo di importazione\esportazione delle cassette postali
Ruolo Ricerca cassette postali
Ruolo MailboxSearchApplication
Ruolo App Marketplace personali
Ruolo MyDistributionGroupMembership
Ruolo OfficeExtensionApplication
Ruolo App Marketplace dell'org
Ruolo Accesso client organizzazione
Ruolo Configurazione organizzazione
Ruolo Impostazioni trasporto organizzazione
Ruolo di domini accettati e remoti
Creazione gruppo di sicurezza e ruolo di appartenenza
Ruolo TeamMailboxLifecycleApplication
Ruolo cassette postali di messaggistica unificata
Ruolo di richieste di messaggistica unificata
Ruolo Gestione ruoli senza ambito
Ruolo dei log di controllo con diritti di sola visualizzazione
Ruolo Configurazione di sola lettura
Ruolo Destinatari di sola lettura
Questi ruoli di gestione sono uno dei diversi ruoli predefiniti nel modello di autorizzazioni RBAC (Role Based Controllo di accesso) in Microsoft Exchange Server 2013. I ruoli di gestione, assegnati a uno o più gruppi di ruoli di gestione, criteri di assegnazione dei ruoli di gestione, utenti o gruppi di sicurezza universale (USG), fungono da raggruppamento logico di cmdlet o script combinati per fornire l'accesso per visualizzare o modificare la configurazione dei componenti di Exchange 2013, ad esempio database delle cassette postali, regole di trasporto e destinatari. Un cmdlet o uno script e i relativi parametri, denominati collettivamente voce del ruolo di gestione, inclusi in un ruolo possono essere eseguiti dagli utenti assegnati a quel ruolo. Per altre informazioni sui ruoli di gestione e sulle voci dei ruoli di gestione, vedere Informazioni sui ruoli di gestione.
Per altre informazioni sui ruoli di gestione, sui gruppi di ruoli di gestione e sugli altri componenti di Controllo degli accessi in base al ruolo, vedere Understanding Role Based Access Control.
Assegnazioni del ruolo di gestione
Affinché questi ruoli concedano le autorizzazioni, devono essere assegnati a un assegnatario di ruolo, che può essere un gruppo di ruoli, un utente o un gruppo di sicurezza universale (USG). Questa assegnazione viene eseguita con le assegnazioni del ruolo di gestione. Le assegnazioni dei ruoli collegano gli assegnatari e i ruoli tra loro. Un assegnatario di ruolo a cui è assegnato più di un ruolo dispone di tutte le autorizzazioni concesse a tutti i ruoli a lui assegnati.
Oltre a collegare gli assegnatari dei ruoli ai ruoli, le assegnazioni dei ruoli possono essere applicate anche agli ambiti di gestione personalizzati o incorporati. Gli ambiti di gestione controllano quali oggetti destinatario, server e database possono essere modificati dagli assegnatari di ruolo. Se questi ruoli sono assegnati a un assegnatario di ruolo, ma un ambito di gestione consente all'assegnatario di ruolo solo di gestire determinati oggetti in base a un ambito definito, l'assegnatario del ruolo può usare solo le autorizzazioni concesse da questi ruoli su tali oggetti specifici. Le autorizzazioni fornite da questi ruoli non possono essere applicate a oggetti esterni all'ambito definito nell'assegnazione di ruolo. Per altre informazioni sulle assegnazioni dei ruoli e sugli ambiti, vedere gli argomenti seguenti:
Questi ruoli vengono assegnati a uno o più gruppi di ruoli per impostazione predefinita. Per altre informazioni, vedere la sezione "Assegnazioni predefinite del ruolo di gestione" più avanti in questo argomento.
Se si vuole visualizzare un elenco di gruppi di ruoli, utenti o gruppi di sicurezza di servizio assegnati a questi ruoli, usare il comando seguente.
Get-ManagementRoleAssignment -Role "<role name>"
Regular and delegating role assignments
Questi ruoli possono essere assegnati agli assegnatari di ruolo usando assegnazioni di ruolo regolari o di delega. Le assegnazioni regolari concedono all'assegnatario del ruolo le autorizzazioni fornite dal ruolo. L'assegnazione del ruolo di delega consente a un assegnatario di assegnare il ruolo ad altri utenti. Per altre informazioni sulle assegnazioni dei ruoli regolari e tramite assegnazione del ruolo di delega, vedere Informazioni sulle assegnazioni del ruolo di gestioneInformazioni sulle assegnazioni dei ruoli di gestione.
Aggiunta o eliminazione delle assegnazioni di ruolo
È possibile modificare gli assegnatari di ruolo a cui vengono assegnati questi ruoli. Modificando l'assegnatario di ruolo a cui vengono assegnati questi ruoli, si modifica l'utente a cui vengono concesse le autorizzazioni. È possibile assegnare questi ruoli ad altri gruppi di ruoli predefiniti oppure è possibile creare gruppi di ruoli e assegnarli. È anche possibile assegnare questi ruoli a utenti o usg. Tuttavia, si consiglia di limitare l'assegnazione dei ruoli agli utenti e ai gruppi di protezione universali (USG) perché queste assegnazioni possono aumentare notevolmente la complessità del modello delle autorizzazioni.
Per assegnare questi ruoli agli assegnatari di ruolo, il ruolo deve essere assegnato a un gruppo di ruoli di cui si è membri, direttamente all'utente o a un gruppo di sicurezza di sicurezza di cui si è membri, usando un'assegnazione di ruolo di delega. Per altre informazioni sulle assegnazioni del ruolo di delega, vedere la sezione "Assegnazioni di ruoli regolari e di delega".
È anche possibile rimuovere questi ruoli dai gruppi di ruoli predefiniti, dai gruppi di ruoli creati, dagli utenti e dagli USG. Tuttavia, deve essere sempre presente almeno un'assegnazione di ruolo di delega tra questi ruoli e un gruppo di ruoli o usg. Non è possibile eliminare l'ultima assegnazione del ruolo di delega. Questa limitazione serve a evitare che l'utente rimanga bloccato fuori dal sistema.
Importante
Deve essere presente almeno un'assegnazione di ruolo di delega tra questi ruoli e un gruppo di ruoli o usg. Non è possibile rimuovere l'ultima assegnazione di ruolo di delega associata a questi ruoli se l'ultima assegnazione è a un utente.
Per altre informazioni su come aggiungere o rimuovere assegnazioni tra questi ruoli e gruppi di ruoli, utenti e gruppi di sicurezza di servizio, vedere gli argomenti seguenti:
Aggiungere un ruolo di un utente o gruppo di protezione universale
Rimozione di un ruolo da un utente o gruppo di protezione universale
Modifica degli ambiti di gestione per le assegnazioni di ruolo
È anche possibile modificare gli ambiti di gestione per le assegnazioni di ruolo esistenti tra questi ruoli e gli assegnatari di ruolo. Modificando gli ambiti nelle assegnazioni di ruolo, è possibile controllare quali oggetti possono essere gestiti usando le autorizzazioni fornite da questi ruoli. Quando si modifica l'ambito di un'assegnazione di ruolo, sono disponibili varie opzioni. È possibile eseguire una delle operazioni seguenti:
Aggiungere un nuovo ambito personalizzato utilizzando il cmdlet Set-ManagementRoleAssignment. Per ulteriori informazioni, vedere i seguenti argomenti:
Aggiungere o modificare l'ambito di un'unità organizzativa utilizzando il cmdlet Set-ManagementRoleAssignment. Per altre informazioni, vedere Modifica di un'assegnazione di ruoloModificare un'assegnazione di ruolo.
Aggiungere o modificare un ambito predefinito utilizzando il cmdlet Set-ManagementRoleAssignment. Per altre informazioni, vedere Modifica di un'assegnazione di ruoloModificare un'assegnazione di ruolo.
Modificare l'ambito del destinatario, del server o del database in un ambito personalizzato associato ad un'assegnazione di ruolo utilizzando il cmdlet Set-ManagementScope. Per altre informazioni, vedere Modificare un ambito del ruolo.
Abilitazione o disabilitazione delle assegnazioni di ruolo
Abilitando o disabilitando un'assegnazione di ruolo, si può controllare l'applicazione di tale assegnazione. Se un'assegnazione di ruolo è disabilitata, le autorizzazioni fornite dal ruolo associato non vengono applicate all'assegnatario del ruolo. Questo risulta utile se si desidera rimuovere temporaneamente le autorizzazioni senza eliminare un'assegnazione di ruolo. Per altre informazioni, vedere Modifica di un'assegnazione di ruoloModificare un'assegnazione di ruolo.
Personalizzazione del ruolo di gestione
Questi ruoli sono stati configurati per fornire a un assegnatario di ruoli tutti i cmdlet e i parametri necessari per gestire le funzionalità e i componenti elencati all'inizio di questo argomento. Sono stati forniti anche altri ruoli per consentire la gestione di altre funzionalità. Mediante l'aggiunta e la rimozione di ruoli nei gruppi di ruoli, è possibile creare un modello di autorizzazioni personalizzate senza che sia necessario personalizzare i singoli ruoli di gestione. Per un elenco completo dei ruoli, vedere Ruoli di gestione predefiniti. Per altre informazioni sulla personalizzazione dei gruppi di ruoli, vedere Gestire i gruppi di ruoli.
Se si decide di creare una versione personalizzata di questi ruoli, è necessario creare un ruolo come figlio di questi ruoli e personalizzare il nuovo ruolo.
Avviso
Le informazioni riportate di seguito consentono di eseguire la gestione avanzata delle autorizzazioni. La personalizzazione dei ruoli di gestione può aumentare notevolmente la complessità del modello delle autorizzazioni. Se si sostituisce un ruolo di gestione incorporato con un ruolo personalizzato non configurato correttamente, alcune funzionalità potrebbero smettere di funzionare.
Qui di seguito sono riportati i passaggi più comuni per creare un ruolo personalizzato e assegnarlo a un assegnatario di ruolo:
Creare una copia di un ruolo. Per altre informazioni, vedere Creare un ruolo.
Modificare o rimuovere le voci del ruolo sul nuovo ruolo utilizzando i cmdlet Set-ManagementRoleEntry e Remove-ManagementRoleEntry. Non è possibile aggiungere altre voci di ruolo al nuovo ruolo poiché questo può contenere solo le voci di ruolo del ruolo padre incorporato. Per altre informazioni, vedere gli argomenti seguenti:
Se si desidera sostituire il ruolo incorporato con questo nuovo ruolo personalizzato, eliminare qualsiasi assegnazione di ruolo associata al ruolo incorporato. Per ulteriori informazioni, vedere gli argomenti seguenti:
Sezione "Aggiungere o rimuovere un ruolo da o verso un gruppo di ruoli" in Gestire i gruppi di ruoli
Rimozione di un ruolo da un utente o gruppo di protezione universale
Aggiungere il nuovo ruolo personalizzato agli assegnatari di ruolo richiesti. Per ulteriori informazioni, vedere gli argomenti seguenti:
Sezione "Aggiungere o rimuovere un ruolo da o verso un gruppo di ruoli" in Gestire i gruppi di ruoli
Aggiungere un ruolo di un utente o gruppo di protezione universale
Importante
Se si desidera che oltre all'utente che ha creato il ruolo, altri utenti siano in grado di assegnare il nuovo ruolo personalizzato, aggiungere un'assegnazione del ruolo di delega ad almeno un assegnatario di ruolo. Per altre informazioni, vedere Delegare assegnazioni di ruolo.