Noções Básicas Sobre Controle de Acesso Baseado em Função
Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Tópico modificado em: 2011-04-28
Role Based Access Control (RBAC) é o novo modelo de permissões no Microsoft Exchange Server 2010. Com RBAC, não é necessário modificar e gerenciar listas de controle de acesso (ACLs), o que era feito no Exchange Server 2007. ACLs criavam vários desafios no Exchange 2007, como modificar ACLs sem causar consequências não intencionais, manter modificações de ACL ao longo das atualizações, e solucionar problemas que ocorriam devido ao uso de ACLs em um modo diferente do padrão.
O RBAC permite controlar, em níveis amplos e granulares, o que administradores e usuários finais podem fazer. O RBAC também permite alinhar mais estreitamente as funções atribuídas a usuários e administradores às funções reais que mantêm dentro da organização. No Exchange 2007, o modelo de permissões de servidor era aplicado somente aos administradores que gerenciavam a infraestrutura do Exchange 2007. No Exchange 2010, o RBAC agora controla tanto tarefas administrativas que podem ser executadas, como a extensão à qual os usuários podem administrar suas próprias caixas de correio e grupos de distribuição.
O RBAC possui duas formas principais para associar permissões a usuários em sua organização, dependendo do tipo de usuário; administrador ou usuário especialista, ou usuário final: grupos de função de gerenciamento e diretivas de atribuição de função de gerenciamento. Cada método associa usuários com as permissões de que precisam para executar suas tarefas. Um terceiro método mais avançado, atribuição direta de função de usuário, também pode ser usado. As seções a seguir neste tópico explicam o RBAC e fornecem exemplos do seu uso.
Dica
Este tópico concentra-se na funcionalidade avançada de RBAC. Se você quiser gerenciar permissões básicas do Exchange 2010, como usar o Painel de Controle do Exchange (ECP) para adicionar e remover membros de grupos de funções, criar e modificar grupos de funções ou criar e modificar políticas de atribuição de função, consulte Entendendo as Permissões.
Sumário
Grupos de Funções de Gerenciamento
Diretivas de Atribuição de Função de Gerenciamento
Atribuição Direta de Função de Usuário
Resumo e exemplos
Para Mais Informações
Grupos de Funções de Gerenciamento
Grupos de funções de Gerenciamento associam papéis de gerenciamento a um grupo de administradores ou usuários especialistas. Os administradores gerenciam uma ampla configuração de organização ou destinatário do Exchange. Usuários especialistas gerenciam os recursos específicos do Exchange, como conformidade. Ou podem ter capacidades de gerenciamento limitadas, como membros da Assistência técnica, mas não recebem direitos administrativos amplos. Os grupos de função geralmente associam funções de gerenciamento administrativas que permitem a administradores e usuários especialistas gerenciarem a configuração de sua organização e destinatários. Por exemplo, grupos de função controlam se administradores podem gerenciar destinatários ou usar recursos de descoberta da caixa de correio.
Geralmente as permissões são atribuídas a administradores ou usuários especialistas adicionando ou removendo usuários para ou de grupos de função. Para mais informações, consulte Entendendo os Grupos de Função de Gerenciamento.
Os grupos de função são constituídos dos seguintes componentes que definem o que administradores e usuários especialistas podem fazer:
Grupo de função de gerenciamento O grupo de função de gerenciamento é um USG (grupo de segurança universal) especial que contém caixas de correio, usuários, USGs e outros grupos de função que são membros do grupo de função. É onde membros são adicionados e removidos, e funções de gerenciamento são atribuídas a ele. A combinação de todas as funções em um grupo de função define tudo o que os usuários adicionados a um grupo de função podem gerenciar na organização do Exchange.
Função de gerenciamento Uma função de gerenciamento é um contêiner para um agrupamento de entradas de função de gerenciamento. As funções são usadas para definir tarefas específicas que podem ser realizadas pelos membros de um grupo de função a que a função foi atribuída. Uma entrada de função de gerenciamento é um cmdlet, script ou permissão especial que permite que cada tarefa específica em uma função seja realizada. Para mais informações, consulte Entendendo as Funções de Gerenciamento.
Atribuição de função de gerenciamento Uma atribuição de função de gerenciamento vincula uma função e um grupo de funções. Atribuir uma função a um grupo de funções concede aos membros do grupo de função a capacidade de usar cmdlets e parâmetros definidos na função. As atribuições de função podem usar escopos de gerenciamento para controlar onde a atribuição pode ser usada. Para mais informações, consulte Entendendo as Atribuições de Função de Gerenciamento.
Escopo de função de gerenciamento Um escopo de função de gerenciamento é o escopo de influência ou impacto em uma atribuição de função. Quando uma função é atribuída com um escopo a um grupo de função, o escopo de gerenciamento é direcionado especificamente aos objetos que essa atribuição tem permissão para gerenciar. A atribuição e seu escopo são dados aos membros do grupo de funções, e restringem o que esses membros podem gerenciar. Um escopo pode ser constituído de uma lista de servidores ou bancos de dados, unidades organizacionais (UOs) ou filtros em objetos de servidor, banco de dados ou destinatário. Para mais informações, consulte Noções Básicas Sobre Escopos da Função de Gerenciamento.
Ao acrescentar um usuário a um grupo de funções, o usuário recebe todas as funções atribuídas ao grupo de funções. Se os escopos forem aplicados a alguma das atribuições de função entre o grupo de funções e as funções, esses escopos controlam qual configuração de servidor ou destinatários o usuário pode gerenciar.
Se quiser modificar quais funções são atribuídas a grupos de funções, é necessário modificar as atribuições de função que vinculam os grupos de funções às funções. A menos que as atribuições internas do Exchange 2010 não atendem suas necessidades, não será necessário modificar essas atribuições. Para obter mais informações, consulte Entendendo as Atribuições de Função de Gerenciamento.
Para mais informações sobre grupos de funções, consulte Entendendo os Grupos de Função de Gerenciamento.
Voltar ao início
Diretivas de Atribuição de Função de Gerenciamento
Diretivas de atribuição de função de gerenciamento associam funções de gerenciamento de usuários finais a usuários. As diretivas de atribuição de função consistem de funções que controlam o que um usuário pode fazer com sua caixa de correio ou grupos de distribuição. Estas funções não permitem o gerenciamento de recursos que não estejam associados diretamente ao usuário. Quando uma diretiva de atribuição de função é criada, tudo que o usuário pode fazer com sua caixa de correio é definido. Por exemplo, uma diretiva de atribuição de função pode permitir que um usuário estabeleça o nome de exibição, defina o correio de voz e configure regras da Caixa de Entrada. Outra diretiva de atribuição de função poderia permitir que um usuário modificasse o endereço, usasse a transmissão de mensagens de texto e definisse grupos de distribuição. A cada usuário com uma caixa de correio do Exchange 2010, incluindo administradores, é dada uma diretiva de atribuição de função por padrão. É possível decidir que diretiva de atribuição de função deve ser atribuída por padrão, escolher o que a diretiva de atribuição de função padrão deve incluir, substituir o padrão por certas caixas de correio, ou não atribuir diretivas de atribuição de função padrão em absoluto.
Normalmente as permissões para que usuários gerenciem as opções de suas próprias caixas de correio e grupos de distribuição são gerenciadas associando um usuário a uma diretiva de atribuição. Para mais informações, consulte Entendendo as Diretivas de Atribuições de Função de Gerenciamento.
Diretivas de atribuição de função consistem dos seguintes componentes que definem o que os usuários podem fazer com suas próprias caixas de correio. Observe que alguns dos mesmos componentes também se aplicam a grupos de funções. Quando usados com diretivas de atribuição de função, esses componentes são limitados a permitir que usuários gerenciarem apenas sua própria caixa de correio:
Diretiva de atribuição de função de gerenciamento A diretiva de atribuição de função de gerenciamento é um objeto especial no Exchange 2010. Os usuários são associados a uma diretiva de atribuição de função quando suas caixas de correio são criadas, ou se a diretiva de atribuição de função em uma caixa de correio for alterada. Também é a ela que funções de gerenciamento de usuário final são atribuídas. A combinação de todas as funções em uma diretiva de atribuição de função define tudo o que o usuário pode gerenciar em sua caixa de correio ou em seus grupos de distribuição.
Função de gerenciamento Uma função de gerenciamento é um contêiner para um agrupamento de entradas de função de gerenciamento. Funções são usadas para definir as tarefas específicas que um usuário pode realizar em sua caixa de correio ou em seus grupos de distribuição. Uma entrada de função de gerenciamento é um cmdlet, script ou permissão especial que permite que cada tarefa específica em uma função de gerenciamento seja realizada. Só é possível usar funções de usuário final com diretivas de atribuição de função. Para mais informações, consulte Entendendo as Funções de Gerenciamento.
Atribuição de função de gerenciamento Uma atribuição de função de gerenciamento é o vínculo entre uma função e uma diretiva de atribuição de função. Atribuir uma função a uma diretiva de atribuição de função concede a capacidade de usar cmdlets e parâmetros definidos na função. Ao criar uma atribuição de função entre uma diretiva de atribuição de função e uma função, não é possível especificar um escopo. O escopo aplicado pela a atribuição é
SelfouMyGAL. Todas as atribuições de função são o escopo para a caixa de correio do usuário ou grupos de distribuição. Para mais informações, consulte Entendendo as Atribuições de Função de Gerenciamento.
Se quiser modificar quais funções são destinadas a diretivas de atribuição de funções, é necessário modificar as atribuições de função que vinculam as diretivas de atribuição de função às funções. A menos que as atribuições internas do Exchange 2010 não atendem suas necessidades, não será necessário modificar essas atribuições. Para mais informações, consulte Entendendo as Atribuições de Função de Gerenciamento.
Para mais informações, consulte Entendendo as Diretivas de Atribuições de Função de Gerenciamento.
Voltar ao início
Atribuição Direta de Função de Usuário
Atribuição direta de função é um método avançado para atribuir funções de gerenciamento diretamente a um usuário ou USG sem usar um grupo de funções ou diretiva de atribuição de função. As atribuições diretas de função podem ser úteis quando é necessário fornecer um conjunto granular de permissões a um usuário específico e a mais ninguém. Entretanto, usar atribuições diretas de função pode aumentar significativamente a complexidade do seu modelo de permissões. Se um usuário mudar de emprego ou sair da empresa, é necessário retirar manualmente as atribuições e acrescentá-las ao novo funcionário. É recomendável o uso de grupos de função para atribuir permissões a administradores e usuários especialistas, e diretivas de atribuição de função para atribuir permissões a usuários.
Para mais informações sobre atribuição direta de usuário, consulte Entendendo as Atribuições de Função de Gerenciamento.
Voltar ao início
Resumo e exemplos
A figura a seguir mostra os componentes em RBAC e como se encaixam:
Grupos de função:
Um ou mais administradores podem ser membros de um grupo de funções. Também podem ser membros de mais de um grupo de funções.
Ao grupo de funções é atribuído uma ou mais atribuições de função. Esses vinculam o grupo de funções a uma ou várias funções administrativas que definem que tarefas podem ser executadas.
As atribuições de função podem conter escopos de gerenciamento que definem onde os usuários do grupo de funções podem executar ações. Os escopos determinam onde os usuários do grupo de funções podem modificar a configuração.
Diretivas de atribuição de função:
Um ou mais usuários podem ser associados a uma diretiva de atribuição de função.
A diretiva de atribuição de função é atribuída a uma ou mais atribuições de função. Esses vinculam a diretiva de atribuição de função a uma ou mais funções de usuário final. As funções de usuário final definem o que o usuário pode configurar em sua caixa de correio.
As atribuições de função entre as diretivas de atribuição de função e funções têm escopos integrados que restringem o escopo de atribuições para a caixa de correio ou grupos de distribuição do usuário.
Atribuição direta de função (avançada):
Uma atribuição da função pode ser criada diretamente entre um usuário ou USG e uma ou mais funções. A função define quais tarefas o usuário ou USG pode executar.
As atribuições de função podem conter escopos de gerenciamento que definem onde o usuário ou USG pode executar ações. Os escopos determinam onde o usuário ou o USG pode modificar a configuração.
Visão geral do RBAC
.jpg "relacionamentos de componentes de RBAC")
Conforme mostrado na figura anterior, muitos componentes no RBAC estão relacionados entre si. As permissões aplicadas a cada administrador ou usuário são definidas pela forma como cada componente é unido. Os exemplos a seguir fornecem um contexto adicional sobre como os grupos de funções e as diretivas de atribuição de função são usados em uma organização.
Jane a administradora
Jane é uma administradora da empresa de médio porte Contoso. Ela é responsável por gerenciar os destinatários da empresa no seu escritório de Vancouver. Quando o modelo de permissões da Contoso foi criado, Jane tornou-se um membro de Gerenciamento de Destinatários - grupo de funções personalizadas de Vancouver. O Gerenciamento de Destinatários - grupo de funções personalizadas de Vancouver corresponde melhor aos serviços do seu cargo, que incluem criar e remover destinatários, como caixas de correio e contatos, gerenciar os membros do grupo de distribuição e propriedades de caixa de correio, e tarefas semelhantes.
Além do Gerenciamento de Destinatários - grupo de funções personalizadas de Vancouver, Jane também precisa de uma diretiva de atribuição de função para gerenciar as configurações da sua própria caixa de correio. Os administradores da organização decidiram que todos os usuários, exceto a gerência sênior, recebem as mesmas permissões para gerenciar suas próprias caixas de correio. Eles podem configurar o seu correio de voz, definir as diretivas de retenção e modificar suas informações de endereço. A política de atribuição de função padrão fornecida com Exchange 2010 agora reflete esses requisitos.
Dica
Observe que como Jane é membro do Gerenciamento de Destinatários - grupo de funções personalizadas de Vancouver, isso deve dar a ela as permissões para gerenciar sua própria caixa de correio. Isto é verdade; contudo, o grupo de funções não fornece a ela todas as permissões necessárias para gerenciar todos os recursos de sua caixa de correio. As permissões necessárias para gerenciar correio de voz e as configurações de diretiva de retenção não estão incluídas em seu grupo de função. Estas são fornecidas somente pela diretiva de atribuição de função padrão destinada a ela.
Para permitir isso, considere o grupo de funções, que fornece as permissões administrativas de Jane sobre os destinatários em Vancouver:
Um grupo de funções personalizado chamado Gerenciamento de Destinatários - Vancouver foi criado. Quando foi criado, ocorreu o seguinte:
Ao grupo de funções foram atribuídas todas as mesmas funções de gerenciamento que também são atribuídas ao grupo de funções interno Gerenciamento de Destinatários. Isto dá aos usuários adicionados ao Gerenciamento de Destinatários - grupo de funções personalizadas de Vancouver as mesmas permissões dos usuários adicionados ao grupo de função Gerenciamento de Destinatários. No entanto, as etapas a seguir limitam onde essas permissões podem ser usadas.
O escopo de gerenciamento personalizado de Destinatários Vancouver foi criado, e combina apenas destinatários localizados em Vancouver. Isto foi feito criando um escopo que filtra na cidade de um usuário ou outra informação única.
O grupo de funções foi criado com o escopo de gerenciamento personalizado de Destinatários Vancouver. Isto significa que enquanto os administradores incluídos no Gerenciamento de Destinatários - grupo de funções personalizadas de Vancouver têm permissões de gerenciamento total de destinatários, só podem usar suas permissões contra destinatários baseados em Vancouver.
Jane é, então adicionada como membro do Gerenciamento de Destinatários - grupo de função personalizado Vancouver.
Para mais informações sobre como criar um grupo de funções personalizadas, consulte os seguintes tópicos:
Para dar a Jane a capacidade de gerenciar as configurações da sua própria caixa de correio, uma diretiva de atribuição de função precisa ser configurada com as permissões necessárias.
A diretiva de atribuição de função padrão é usada para fornecer aos usuários as permissões de que precisam para configurar suas próprias caixas de correio. O procedimento a seguir é realizado para fornecer essas permissões:
- Todas as funções de usuário final são retiradas da diretiva de atribuição de função padrão, exceto:
MyBaseOptions,MyContactInformation,MyVoicemaileMyRetentionPolicies.MyBaseOptionsestão incluídas porque estas funções de gerenciamento fornecem a funcionalidade de usuário básica no Microsoft Office Outlook Web App, como regras de Caixa de Entrada, configuração de calendário e outras tarefas.
- Todas as funções de usuário final são retiradas da diretiva de atribuição de função padrão, exceto:
Nada mais precisa ser feito porque a diretiva de atribuição de função padrão já está atribuída a Jane. Isto significa que as modificações feitas na diretiva de atribuição de função são imediatamente aplicadas à sua caixa de correio e a quaisquer outras caixas de correio também atribuídas à diretiva de atribuição de função padrão.
Para mais informações sobre personalização da diretiva de atribuição de função padrão, consulte Alterar a Diretiva de Atribuição Padrão.
Joe o Especialista
Joe trabalha para a Contoso, a mesma empresa para a qual Jane trabalha. Ele é responsável por executar a descoberta legal, definir as diretivas de retenção e configurar regras de transporte e registro de toda a organização. Assim como Jane, quando o modelo de permissões para Contoso foi criado, Joe foi adicionado aos grupos de funções que correspondem aos seus deveres profissionais. O grupo de funções Gerenciamento de Registros fornece a Joe as permissões para configurar diretivas de retenção, registro e regras de transporte. O grupo de funções Gerenciamento de Descobertas fornece a capacidade de executar pesquisas de caixa de correio.
Assim como Jane, Joe também precisa de permissões para gerenciar sua própria caixa de correio. Ele também recebe as mesmas permissões que Jane: pode configurar seu correio de voz, definir diretivas de retenção e modificar suas informações de endereço.
Para dar a Joe as permissões para executar seus deveres profissionais, Joe é adicionado aos grupos de função Gerenciamento de Registros e Gerenciamento de Descobertas. Os grupos de funções não precisam ser modificados porque já fornecem as permissões de que Joe precisa e os escopos de gerenciamento aplicados a eles abrangem toda a organização.
Para mais informações sobre adição de um usuário a um grupo de funções, consulte Adicionar Membros a um Grupo de Função.
A mesma diretiva padrão aplicada para a caixa de correio de Jane também é atribuída à caixa de correio de Joe. Isto dá a ele todas as permissões de que precisa para gerenciar os recursos permitidos da sua caixa de correio.
Isabel a vice-presidente
Isabel é a vice-presidente de marketing da Contoso. Isabel, como parte da equipe de liderança sênior da Contoso, tem mais permissões do que o usuário médio. Isso inclui as permissões que recebeu para gerenciar sua caixa de correio, com uma exceção: Isabel não pode gerenciar suas próprias diretivas de retenção por razões de implicações legais. Isabel pode configurar seu correio de voz, modificar suas informações de contato, mudar suas informações de perfil, criar e gerenciar seus próprios grupos de distribuição e entrar ou sair de grupos de distribuição existentes gerenciados por outros.
Portanto, Isabel recebeu permissões diferentes em sua própria caixa de correio. A maioria dos usuários na Contoso está atribuída à diretiva de atribuição padrão. A liderança sênior, no entanto, é atribuída à diretiva de atribuição de função de Liderança Sênior. O procedimento a seguir é executado para criar a diretiva de atribuição de função personalizada:
Uma diretiva de atribuição de função personalizada chamada Liderança Sênior é criada. A diretiva de atribuição de função é atribuída às funções
MyBaseOptions,MyContactInformation,MyVoicemail,MyProfileInformation,MyDistributionGroupMembershipeMyDistributionGroups.MyBaseOptionsestá incluída porque esta função fornece a funcionalidade de usuário básica no Outlook Web App, como regras de Caixa de Entrada, configuração de calendário e outras tarefas.Isabel é atribuída manualmente à diretiva de atribuição de função Liderança Sênior.
A caixa de correio de Isabel agora tem permissões concedidas pela diretiva de atribuição de função Liderança Sênior. Quaisquer modificações feitas na diretiva de atribuição de função são imediatamente aplicadas à sua caixa de correio e a quaisquer outras caixas de correio também atribuídas à mesma diretiva de atribuição de função.
Voltar ao início
Para Mais Informações
Adicionar uma Diretiva de Atribuição
Alterar a Diretiva de Atribuição em uma Caixa de Correio
Adicionar uma Função a uma Diretiva de Atribuição
© 2010 Microsoft Corporation. Todos os direitos reservados.