Entendendo as Permissões
Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Tópico modificado em: 2015-03-09
O Microsoft Exchange Server 2010 inclui um amplo conjunto de permissões predefinidas, baseadas no modelo de permissões de Controle de Acesso Baseado na Função (RBAC), que podem ser usadas imediatamente para facilitar a concessão de permissões aos seus administradores e usuários. Você pode usar os recursos de permissões no Exchange 2010 para colocar sua nova organização em funcionamento rapidamente.
O RBAC concede permissões para gerenciar as funções de servidor de Caixa de Correio, Transporte de Hub, Acesso para Cliente e Unificação de Mensagens. Para obter mais informações sobre permissões na função de servidor de Transporte de Borda, consulte Edge Transport Permissions mais adiante neste tópico.
Dica
Diversos recursos e conceitos de RBAC não são discutidos neste tópico porque são recursos avançados. Caso a funcionalidade discutida neste tópico não atenda às suas necessidades e você queira personalizar mais seu modelo de permissões, consulte Noções Básicas Sobre Controle de Acesso Baseado em Função.
Procurando tarefas de gerenciamento relacionadas às permissões? Consulte Gerenciando permissões.
Permissões baseadas na função
No Exchange 2010, as permissões concedidas a administradores e usuários são baseadas em funções de gerenciamento.Uma função define o conjunto de tarefas que um administrador ou usuário pode realizar. Por exemplo, uma função de gerenciamento chamada Mail Recipients define as tarefas que alguém pode realizar em um conjunto de caixas de correio, contatos e grupos de distribuição. Quando uma função é atribuída a um administrador ou usuário, essa pessoa recebe as permissões fornecidas pela função.
Existem dois tipos de funções, funções administrativas e de usuário final:
Funções administrativas Essas funções contêm permissões que podem ser atribuídas a administradores ou usuários especialistas usando grupos de funções que gerenciam uma parte da organização doExchange , como destinatários, servidores ou bancos de dados.
Funções de usuário final Essas funções, atribuídas por meio de diretivas de atribuição de função, permitem que os usuários gerenciem aspectos de suas próprias caixas de correio e grupos de distribuição de sua propriedade. As funções de usuário final começam com o prefixo
My.
As funções atribuem permissões aos administradores e usuários para executar tarefas por meio da disponibilização de cmdlets. Como o Exchange Console de Gerenciamento (EMC),Exchange o Painel de Controle (ECP), eExchange o Shell de Gerenciamento usam cmdlets para gerenciar oExchange, a concessão de acesso a um cmdlet fornece ao administrador ou usuário permissão para executar a tarefa em cada uma das interfaces de gerenciamento doExchange .
Exchange 2010 inclui aproximadamente 60 funções que podem ser usadas para conceder permissões. Para obter uma lista de funções incluídas com o Exchange 2010, consulteFunções de Gerenciamento Integradas.
Grupos de funções e diretivas de atribuição de função
As funções concedem permissões para realizar tarefas no Exchange 2010, mas você precisa de uma forma fácil para atribui-las aos administradores e usuários.Exchange 2010 fornece o seguinte para ajudá-lo:
Grupos de funções Os grupos de funções permitem conceder permissões a administradores e usuários especialistas.
Diretivas de atribuição de função As diretivas de atribuição de função permitem conceder permissões a usuários finais para alterar as configurações em suas próprias caixas de correio ou grupos de distribuição.
Para obter mais informações sobre grupos de funções e diretivas de atribuição de função, consulte as próximas seções.
Grupos de funções
Qualquer administrador que gerencie o Exchange 2010 deve receber pelo menos uma ou mais funções. Os administradores podem ter mais de uma função porque podem realizar funções de trabalho que abrangem diversas áreas no Exchange. Por exemplo, um administrador pode gerenciar os destinatários e os servidores do Exchange . Nesse caso, poderiam ser atribuídas ao administrador as funções Mail Recipients eExchange Servers .
Para facilitar a atribuição de diversas funções a um administrador, o Exchange 2010 inclui grupos de funções. Grupos de funções são grupos de segurança universal especial (USGs) usados pelo Exchange 2010 que podem conter usuários, USGs e outros grupos de funções doActive Directory. Quando uma função é atribuída a um grupo de funções, as permissões concedidas pela função são concedidas a todos os membros do grupo de funções. Isso permite atribuir muitas funções a muitos membros de grupos de funções de uma só vez. Os grupos de funções normalmente abrangem áreas mais amplas de gerenciamento, como o gerenciamento de destinatários. São usados apenas para funções administrativas e não para funções de usuário final.
Dica
É possível atribuir uma função diretamente a um usuário ou USG sem usar um grupo de funções. Entretanto, esse método de atribuição de função é um procedimento avançado e não é discutido neste tópico. Recomendamos que você use grupos de funções para gerenciar permissões.
A figura a seguir mostra a relação entre usuários, grupos de funções e funções.
Funções, grupos de funções e membros de grupo de funções do
.gif "Função, grupo de funções e relacionamentos de membros")
Exchange 2010 inclui vários grupos de funções internos, cada um fornecendo permissões para gerenciar áreas específicas noExchange 2010. Alguns grupos de funções podem se sobrepor a outros. As tabelas a seguir relacionam cada grupo de funções com a descrição do seu uso. Caso queira ver as funções atribuídas a cada grupo de funções, clique no nome do grupo de funções na tabela e abra a seção "Funções de Gerenciamento Atribuídas a este Grupo de Funções”.
Grupos de funções internos
| Grupo de funções | Descrição |
|---|---|
Administradores que sejam membros do grupo de funções Gerenciamento da Organização têm acesso administrativo a toda a organização doExchange 2010 e podem executar quase qualquer tarefa em relação a qualquer objetoExchange 2010 , com algumas exceções, como a função Importante Como o grupo de funções Gerenciamento da Organização é uma função poderosa, somente usuários ou USGs que realizam tarefas administrativas em nível organizacional que possam afetar toda a organização doExchange devem ser membros desse grupo de funções. |
|
Administradores que sejam membros do grupo de funções Gerenciamento de Organizações Somente Exibição podem exibir as propriedades de qualquer objeto da organização doExchange. |
|
Administradores que sejam membros do grupo de funções Gerenciamento de Destinatários têm acesso administrativo para criar ou alterar destinatários doExchange 2010 na organização doExchange 2010. |
|
Administradores que sejam membros do grupo de funções de Gerenciamento de UM podem gerenciar recursos na organização do Exchange , como a configuração do servidor de Unificação de Mensagens (UM), propriedades UM em caixas de correio, prompts UM e configuração de atendedor automático do UM. |
|
O grupo de funções Suporte Técnico permite que os membros exibam e modifiquem as opções do Microsoft Office Outlook Web App de qualquer usuário na organização. Essas opções podem incluir a modificação do nome para exibição, endereço e número de telefone do usuário. Elas não incluem opções que não estejam disponíveis no Outlook Web App , como a modificação do tamanho de uma caixa de correio ou a configuração do banco de dados de caixa de correio no qual a caixa de correio está localizada. |
|
Administradores que sejam membros do grupo de funções Gerenciamento de Higienização podem configurar os recursos de antivírus e antispam do Exchange 2010. Programas de terceiros que se integram ao Exchange 2010 podem adicionar contas de serviço a esse grupo de funções para ter acesso aos cmdlets necessários para recuperar e ajustar a configuração doExchange . |
|
Usuários que sejam membros do grupo de funções Gerenciamento de Registros podem configurar recursos de conformidade, como marcas de diretivas de retenção, classificações de mensagens e regras de transporte. |
|
Administradores ou usuários que sejam membros do grupo de funções Gerenciamento de Descobertas podem realizar pesquisas de caixas de correio na organização doExchange em busca de dados que correspondam a critérios específicos e também podem configurar retenções legais em caixas de correio. Para obter mais informações, consulte Busca a várias caixas de correio eEntendendo a Retenção de Litígio. |
|
Administradores que sejam membros do grupo de funções Gerenciamento de Pasta Pública podem gerenciar pastas e bancos de dados públicos em servidores que executem o Exchange 2010. |
|
Administradores que sejam membros do grupo de funções de Gerenciamento de Servidor podem definir configurações específicas de recursos de servidor de transporte, Unificação de Mensagens, acesso para cliente e caixa de correio, como cópias de bancos de dados, certificados, filas de transporte e conectores de Envio, diretórios virtuais e protocolos de acesso para cliente. |
|
Administradores que sejam membros do grupo de funções de Configuração Delegada podem implantar servidores executando o Exchange 2010 que tenham sido configurados previamente por um membro do grupo de funçõesGerenciamento da Organização . Para obter mais informações sobre instalação delegada, consulte Provisionar a instalação do representante e do servidor Exchange 2010. |
Se você trabalha em uma organização de pequeno porte que tem apenas alguns administradores, talvez precise adicionar esses administradores apenas ao grupo de funções Gerenciamento da Organização, sem ter jamais que usar outros grupos de funções. Se você trabalha em uma organização maior, pode ter administradores que realizam tarefas específicas de administração do Exchange, como o gerenciamento de servidores ou destinatários. Nesses casos, você poderia adicionar um administrador ao grupo de funções Gerenciamento de Destinatários e outro administrador ao grupo de funções de Gerenciamento de Servidor. Esses administradores poderão então gerenciar suas áreas específicas do Exchange 2010 , mas não terão permissões para gerenciar áreas pelas quais não são responsáveis.
Se os grupos de funções internos do Exchange 2010 não corresponderem à função de trabalho de seus administradores, você poderá criar grupos de funções e adicionar funções a eles. Para obter mais informações, consulte Work with Role Groups mais adiante neste tópico.
Diretivas de atribuição de função
Exchange 2010 fornece diretivas de atribuição de função para que você possa controlar quais configurações os usuários podem configurar em suas caixas de correio e grupos de distribuição. Essas configurações incluem seus nomes para exibição, informações de contato, configurações de caixa postal e associação a grupos de distribuição.
Sua organização do Exchange 2010 pode ter várias diretivas de atribuição de função que fornecem diferentes níveis de permissões para diferentes tipos de usuários em suas organizações. Alguns usuários podem ter permissão para mudar seus endereços ou criar grupos de distribuição, enquanto outros não, dependendo da diretiva de atribuição de função associada às suas caixas de correio. As diretivas de atribuição de função são adicionadas diretamente às caixas de correio, e cada caixa de correio pode ser associada somente a uma diretiva de atribuição de função por vez.
Entre as diretivas de atribuição de função em sua organização, uma é identificada como padrão. A diretiva de atribuição de função padrão é associada a novas caixas de correio que não tenham uma diretiva de atribuição de função específica explicitamente atribuída ao serem criadas. A diretiva de atribuição de função padrão deve conter as permissões que serão aplicadas à maioria de suas caixas de correio.
As permissões são adicionadas às diretivas de atribuição de função por meio de funções de usuário final. As funções de usuário final começam com My e concedem permissões para que os usuários gerenciem apenas suas próprias caixas de correio ou grupos de distribuição. Elas não podem ser usadas para gerenciar qualquer outra caixa de correio. Somente funções de usuário final podem ser atribuídas às diretivas de atribuição de função.
Quando uma função de usuário final é atribuída a uma diretiva de atribuição de função, todas as caixas de correio associadas a essa diretiva recebem as permissões concedidas pela função. Isso permite adicionar ou remover permissões de conjuntos de usuários sem ter de configurar as caixas de correio individuais. A figura a seguir mostra:
Funções de usuário final são atribuídas a diretivas de atribuição de função. Diretivas de atribuição de função podem compartilhar as mesmas funções de usuário final.
Diretivas de atribuição de função são associadas a caixas de correio. Cada caixa de correio só pode ser associada a uma diretiva de atribuição de função.
Quando uma caixa de correio é associada a uma diretiva de atribuição de função, as funções de usuário final são aplicadas a essa caixa de correio. As permissões concedidas pelas funções são concedidas ao usuário da caixa de correio.
Funções, diretivas de atribuição de função e caixas de correio
.gif "Função, diretiva de atribuição de função, relacionamento de caixa de correio")
A Diretiva de Atribuição de Função Padrão é incluída com o Exchange 2010. Como o nome indica, essa é a diretiva de atribuição de função padrão. Caso queira alterar as permissões fornecidas por esta diretiva de atribuição de função ou criar diretivas de atribuição de função, consulte Work with Role Assignment Policies mais adiante neste tópico.
Trabalho com grupos de funções
Para gerenciar suas permissões usando grupos de funções no Exchange 2010 Service Pack 1 (SP1), recomendamos o uso do ECP. Usando o ECP para gerenciar grupos de funções, você pode adicionar e remover funções e membros, criar grupos de funções e copiar grupos de função com poucos cliques do mouse. O ECP fornece caixas de diálogo simples, como a de Novo Grupo de Funções, mostrada na figura a seguir, para realizar essas tarefas.
Caixa de diálogo Novo Grupo de Funções no ECP
.gif "Caixa de diálogo Novo Grupo de Funções no ECP")
Como foi mencionado anteriormente neste tópico, o Exchange 2010 inclui vários grupos de função que separam as permissões em áreas administrativas específicas.Caso esses grupos de função existentes forneçam as permissões de que seus administradores precisam para gerenciar sua organização do Exchange 2010, será necessário apenas adicionar seus administradores como membros dos grupos de funções apropriados. Após adicionar os administradores ao grupo de funções, eles poderão administrar os recursos relacionados a esse grupo de funções. Para adicionar ou remover membros de um grupo de funções, abra o grupo de funções no ECP e adicione ou remova os membros da lista de associação. Para obter uma lista de grupos de funções internos, consulte Grupos de Função Integrados.
Importante
Caso um administrador seja membro de mais de um grupo de funções, Exchange 2010 concede ao administrador todas as permissões oferecidas pelos grupos de funções do qual ele é membro.
Caso nenhum dos grupos de funções incluídos com o Exchange 2010 tenham as permissões de que você precisa, é possível usar o ECP para criar um grupo de funções e adicionar as funções que tenham as permissões necessárias. Para o seu novo grupo de funções, você irá:
Escolher um nome para o grupo de funções.
Selecionar as funções que deseja adicionar ao grupo de funções.
Adicionar membros ao grupo de funções.
Salvar o grupo de funções.
Após ter criado o grupo de funções, você o gerencia como qualquer outro grupo de funções.
Caso exista um grupo de funções contendo algumas, mas não todas as permissões de que você precisa, você pode copiá-lo e fazer alterações para criar um grupo de funções. É possível copiar um grupo de funções existente e fazer alterações nele sem afetar o grupo de funções original.Como parte da cópia do grupo de funções, é possível atribuir um novo nome e descrição, adicionar e remover funções desse novo grupo de funções e adicionar novos membros. Para criar ou copiar um grupo de funções, é usada a mesma caixa de diálogo mostrada na figura anterior.
Os grupos de funções existentes também podem ser modificados. Você pode adicionar e remover funções dos grupos de funções existentes e adicionar e remover membros destes grupos ao mesmo tempo, usando uma caixa de diálogo do ECP semelhante à da figura anterior. Ao adicionar e remover funções de grupos de funções, você ativa e desativa recursos administrativos para os membros desses grupos de funções. Para obter uma lista de funções que podem ser adicionadas a um grupo de funções, consulte Funções de Gerenciamento Integradas.
Dica
Embora seja possível alterar as funções atribuídas aos grupos de funções internos, recomendamos copiar esses grupos de funções, alterar a cópia e então adicionar os membros ao grupo de funções copiado.
Para obter uma descrição detalhada de como criar ou copiar grupos de funções ou fazer alterações nos grupos de funções e associações existentes, consulte os seguintes tópicos:
Trabalho com diretivas de atribuição de função
Para gerenciar as permissões concedidas aos usuários finais para gerenciar suas próprias caixas de correio no Exchange 2010 SP1, recomendamos o uso do ECP. Usando o ECP para gerenciar as permissões de usuários finais, você pode adicionar e remover funções e criar diretivas de atribuição de função com poucos cliques do mouse. O ECP fornece caixas de diálogo simples, como a de Diretiva de Atribuição de Função, mostrada na figura a seguir, para realizar essas tarefas. Para aplicar uma diretiva de atribuição de função a uma caixa de correio, é possível usar tanto o EMC quanto o ECP.
A caixa de diálogo Diretiva de Atribuição de Função no ECP
.gif "Caixa de diálogo Diretiva de Atribuição de Função no ECP")
Exchange 2010 inclui uma diretiva de atribuição de função chamada Diretiva de Atribuição de Função Padrão. Essa diretiva de atribuição de função permite aos usuários cujas caixas de correio estejam associadas à diretiva fazer o seguinte:
Associar-se ou sair de grupos de distribuição que permitam aos membros gerenciar suas próprias associações.
Exibir e modificar configurações básicas de suas caixas de correio, como regras da Caixa de Entrada, comportamento da correção ortográfica, configurações de lixo eletrônico, e dispositivos do Microsoft ActiveSync.
Modificar suas informações de contato, como endereço e número de telefone.
Criar, modificar ou exibir configurações de mensagens de texto.
Exibir ou modificar as configurações de caixa postal.
Se quiser adicionar ou remover permissões da Diretiva de Atribuição de Função Padrão ou de qualquer outra diretiva de atribuição de função, você pode usar o ECP. A caixa de diálogo usada é semelhante à da figura anterior. Ao abrir a diretiva de atribuição de função no ECP, marque a caixa de seleção ao lado das funções que deseja atribuir e desmarque a caixa de seleção das funções que deseja remover. A alteração feita na diretiva de atribuição de função é aplicada a todas as caixas de correio associadas a ela.
Caso queira atribuir diferentes permissões de usuário final aos vários tipos de usuários em sua organização, você pode criar diretivas de atribuição de função. Ao criar uma diretiva de atribuição de função, será exibida uma caixa de diálogo semelhante à da figura anterior. Você pode especificar um novo nome para a diretiva de atribuição de função e então selecionar as funções que quer atribuir à diretiva de atribuição de função. Depois de criar uma diretiva de atribuição de função, você pode associá-la às caixas de correio usando o EMC ou o ECP.
Se quiser alterar a diretiva de atribuição de função padrão, você terá que usar o Shell. Quando a diretiva de atribuição de função padrão é alterada, todas as caixas de correio criadas são associadas à nova diretiva de atribuição de função caso nenhuma diretiva seja explicitamente especificada. A diretiva de atribuição de função associada às caixas de correio existentes não muda quando é selecionada uma nova diretiva de atribuição de função padrão.
Dica
Se você marcar a caixa de seleção de uma função com funções filhas, as caixas de seleção das funções filhas também serão marcadas. Se você desmarcar a caixa de seleção de uma função com funções filhas, as caixas de seleção das funções filhas também serão desmarcadas.
Para obter uma descrição detalhada de como criar diretivas de atribuição de função ou fazer alterações nas diretivas de atribuição de função existentes, consulte os seguintes tópicos:
Permissões de Transporte de Borda
A função de servidor Transporte de Borda é implantada em uma rede de perímetro da organização, que também é conhecida como rede delimitadora ou sub-rede filtrada. Um servidor de Transporte de Borda pode ser implantado como um servidor autônomo ou como membro de um domínio do Active Directory de perímetro.
Em servidores de transporte de borda, RBAC não é usada para controlar permissões. O grupo de Administradores local é usado para controlar quem pode configurar os recursos do Exchange no servidor local. Se tiver vários servidores Transporte de Borda, você terá que adicionar o usuário que deverá gerenciar esses servidores ao grupo de Administradores local em cada servidor.
Para obter mais informações sobre permissões em servidores de transporte de borda, consulte Definindo as permissões de administrador da função de servidor de Transporte de Borda.
Para obter mais informações
Noções Básicas Sobre Controle de Acesso Baseado em Função
Noções Básicas sobre Permissão de Divisão
Entendendo a coexistência de permissões com o Exchange 2007
Noções Básicas Sobre a Coexistência de Permissões com o Exchange 2003
Noções Básicas Sobre Permissões de Várias Florestas
© 2010 Microsoft Corporation. Todos os direitos reservados.