Noções Básicas Sobre Escopos da Função de Gerenciamento

  • Artigo

 

Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Tópico modificado em: 2015-03-09

Os Escopos de função de gerenciamento permitem que você defina o escopo específico do impacto ou da influência de uma função de gerenciamento quando uma atribuição de função de gerenciamento é criada. Quando você aplica um escopo, o destinatário da função pode apenas modificar os objetos contidos nesse escopo. O destinatário da função pode ser um grupo de função de gerenciamento, uma diretiva de atribuição de gerenciamento de função, um usuário ou um USG (grupo de segurança universal). Para mais informações sobre funções de gerenciamento, consulte Noções Básicas Sobre Controle de Acesso Baseado em Função.

Cada função de gerenciamento, quer interna ou personalizada, tem escopos de gerenciamento. Um escopo de gerenciamento pode ser:

  • Regular   Um escopo regular não é exclusivo. Ele determina onde, no Active Directory, os objetos podem ser exibidos ou modificados por usuários destinatários da função de gerenciamento. Em geral, uma função de gerenciamento indica o que você pode criar ou modificar e um escopo de função de gerenciamento indica onde você pode criar ou modificar. Os escopos regulares podem ser implícitos ou explícitos - ambos serão discutidos adiante, neste tópico.

  • Exclusivo   Um escopo exclusivo comporta-se praticamente como um escopo regular. A diferença principal é que ele permite que você impeça que usuários acessem os objetos contidos dentro do escopo exclusivo, se esses usuários não forem os destinatários de uma função associada ao escopo exclusivo. Todos os escopos exclusivos são explícitos, e serão discutidos adiante, neste tópico.

    Para mais informações sobre escopos exclusivos, consulte Entendendo os Escopos Exclusivos.

Os escopos podem ser herdados da função de gerenciamento, especificados como um escopo relativo predefinido em uma atribuição de função de gerenciamento ou criados através de filtros personalizados em adicionados a uma atribuição de função de gerenciamento. Os escopos herdados de funções de gerenciamento são chamados escopos implícitos, enquanto escopos predefinidos e personalizados são chamados de escopos explícitos. As seções a seguir descrevem os tipos de escopo:

  • Escopos implícitos

  • Escopos explícitos

  • Escopos relativos predefinidos

  • Escopos personalizados

    • Escopos de filtro de destinatário

    • Escopos de configuração

Cada função pode ter os seguintes tipos de escopos:

  • Escopo de leitura do destinatário   O escopo implícito de leitura do destinatário determina quais objetos de destinatário o destinatário da função de gerenciamento terá permissão para ler do Active Directory.

  • Escopo de gravação do destinatário   O escopo implícito de gravação do destinatário determina quais objetos de destinatário o destinatário da função de gerenciamento terá permissão para modificar no Active Directory.

  • Escopo de leitura de configuração   O escopo implícito de leitura da configuração determina quais objetos de destinatário o destinatário da função de gerenciamento terá permissão para ler do Active Directory.

  • Escopo de gravação de configuração   O escopo de gravação de configuração implícito determina quais objetos de servidor, de banco de dados e organizacionais o destinatário da função de gerenciamento terá permissão para modificar no Active Directory.

Objetos de destinatário incluem caixas de correio, grupos de distribuição, usuários habilitados para email e outros objetos. Objetos de configuração incluem servidores que executam o Microsoft Exchange Server 2010 e os bancos de dados localizados em servidores que executam o Exchange. Cada tipo de escopo pode ser implícito ou explícito.

Escopos implícitos

Os escopos implícitos são os escopos-padrão que se aplicam a um tipo de função de gerenciamento. Como os escopos implícitos são associados a um tipo de função de gerenciamento, todas as funções de gerenciamento mães e filhas com o mesmo tipo de função também terão os mesmos escopos implícitos. Os escopos implícitos se aplicam tanto a funções de gerenciamento internas quanto a funções de gerenciamento personalizadas. Para mais informações sobre as funções de gerenciamento e tipos de função de gerenciamento, consulte Entendendo as Funções de Gerenciamento.

As tabelas a seguir listam todos os escopos implícitos que podem ser definidos em funções de gerenciamento.

Escopos implícitos definidos nas funções de gerenciamento

Escopos implícitos Descrição

Organization

Se Organization estiver presente no escopo de gravação do destinatário da função, essa função pode criar ou modificar objetos de destinatário pela organização do Exchange.

Se Organization estiver presente no escopo de leitura do destinatário da função, essa função pode exibir quaisquer objetos de destinatário pela organização do Exchange.

Esse escopo é usado somente com os escopos de leitura e gravação do destinatário.

MyGAL

Se MyGAL estiver presente no escopo de gravação do destinatário da função, essa função pode exibir as propriedades de quaisquer destinatários dentro da lista de endereços global (GAL) do usuário atual.

Se MyGAL estiver presente no escopo de gravação do destinatário da função, essa função pode exibir as propriedades de quaisquer destinatários dentro da GAL atual.

Esse escopo é usado somente com os escopos de leitura de destinatário.

Self

Se Self estiver no escopo de gravação do destinatário da função, a função poderá modificar somente as propriedades da caixa de correio do usuário atual.

Se Self estiver no escopo de leitura do destinatário da função, a função poderá exibir somente as propriedades da caixa de correio do usuário atual.

Esse escopo é usado somente com os escopos de leitura e gravação do destinatário.

MyDistributionGroups

Se MyDistributionGroups estiver presente no escopo de gravação do destinatário da função, essa função pode criar ou modificar objetos de lista de distribuição que sejam do usuário atual.

Se MyDistributionGroups estiver presente no escopo de leitura do destinatário da função, essa função pode exibir objetos de lista de distribuição que sejam do usuário atual.

Esse escopo é usado somente com os escopos de leitura e gravação do destinatário.

OrganizationConfig

Se OrganizationConfig estiver presente no escopo de gravação do destinatário da função, essa função poderá criar ou modificar quaisquer objetos de configuração de servidor ou banco de dados na organização do Exchange.

Se OrganizationConfig estiver presente no escopo de leitura de configuração da função, essa função poderá exibir quaisquer objetos de configuração de servidor ou banco de dados na organização do Exchange.

Esse escopo é usado somente com escopos de leitura e gravação de configuração.

None

Se None estiver em um escopo, esse escopo não estará disponível para a função. Por exemplo, uma função que tenha None no escopo de gravação do destinatário não pode modificar os objetos de destinatário na organização do Exchange.

Se uma função for atribuída a um destinatário de função e nenhum escopo predefinido ou personalizado for especificado, os escopos implícitos definidos na função serão usados para controlar os objetos de destinatário ou organização que o usuário pode exibir ou modificar.

O escopo de gravação implícito de uma função é sempre igual a ou menor que o escopo de leitura implícito. Isso significa que uma função nunca pode modificar objetos que não podem ser vistos pelo escopo.

Não é possível alterar os escopos implícitos definidos nas funções de gerenciamento. Você pode, entretanto, ignorar o escopo de gravação implícito e o escopo de configuração em uma função de gerenciamento. Quando um escopo relativo predefinido ou personalizado é usado em uma atribuição de função, o escopo de gravação implícito da função é substituído, e o novo escopo prevalece. O escopo de leitura implícito de uma função não pode ser substituído e sempre se aplica. Para mais informações, consulte Escopos relativos predefinidos e Escopos personalizados.

Expanda a seguinte tabela para ver uma lista de todas as funções de gerenciamento integradas e seus escopos implícitos. Para obter mais informações sobre cada função integrada, consulte Funções de Gerenciamento Integradas.

Escopos implícitos de funções de gerenciamento internas

Função de gerenciamento Escopo de leitura do destinatário Escopo de gravação do destinatário Escopo de leitura da configuração Escopo de gravação do destinatário

Active Directory Permissions

Organization

Organization

OrganizationConfig

OrganizationConfig

Address Lists

Organization

Organization

OrganizationConfig

OrganizationConfig

ApplicationImpersonation

Organization

Organization

None

None

Audit Logs

Organization

Organization

OrganizationConfig

OrganizationConfig

Cmdlet Extension Agents

Organization

Organization

OrganizationConfig

OrganizationConfig

Database Availability Groups

Organization

Organization

OrganizationConfig

OrganizationConfig

Database Copies

Organization

Organization

OrganizationConfig

OrganizationConfig

Databases

Organization

Organization

OrganizationConfig

OrganizationConfig

Disaster Recovery

Organization

Organization

OrganizationConfig

OrganizationConfig

Distribution Groups

Organization

Organization

OrganizationConfig

OrganizationConfig

Edge Subscriptions

Organization

Organization

OrganizationConfig

OrganizationConfig

E-Mail Address Policies

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Server Certificates

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Servers

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Virtual Directories

Organization

Organization

OrganizationConfig

OrganizationConfig

Federated Sharing

Organization

Organization

OrganizationConfig

OrganizationConfig

Information Rights Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Journaling

Organization

Organization

OrganizationConfig

OrganizationConfig

Legal Hold

Organization

Organization

OrganizationConfig

None

Mail Enabled Public Folders

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Recipient Creation

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Recipients

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Tips

Organization

Organization

OrganizationConfig

OrganizationConfig

Mailbox Import Export

Organization

Organization

OrganizationConfig

OrganizationConfig

Mailbox Search

Organization

Organization

None

None

Message Tracking

Organization

Organization

OrganizationConfig

OrganizationConfig

Migration

Organization

Organization

OrganizationConfig

OrganizationConfig

Monitoring

Organization

Organization

OrganizationConfig

OrganizationConfig

Move Mailboxes

Organization

Organization

OrganizationConfig

OrganizationConfig

MyAddressInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyBaseOptions

Self

Self

OrganizationConfig

OrganizationConfig

MyContactInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyDiagnostics

Self

Self

OrganizationConfig

OrganizationConfig

MyDisplayName

Self

Self

OrganizationConfig

OrganizationConfig

MyDistributionGroupMembership

MyGAL

MyGAL

None

None

MyDistributionGroups

MyGAL

MyDistributionGroups

OrganizationConfig

None

MyMobileInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyName

Self

Self

OrganizationConfig

OrganizationConfig

MyPersonalInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyProfileInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyRetentionPolicies

Self

Self

OrganizationConfig

OrganizationConfig

MyTextMessaging

Self

Self

OrganizationConfig

OrganizationConfig

MyVoiceMail

Self

Self

OrganizationConfig

OrganizationConfig

Organization Client Access

Organization

Organization

OrganizationConfig

OrganizationConfig

Organization Configuration

Organization

Organization

OrganizationConfig

OrganizationConfig

Organization Transport Settings

Organization

Organization

OrganizationConfig

OrganizationConfig

POP3 And IMAP4 Protocols

Organization

Organization

OrganizationConfig

OrganizationConfig

Public Folder Replication

Organization

Organization

OrganizationConfig

OrganizationConfig

Public Folders

Organization

Organization

OrganizationConfig

OrganizationConfig

Receive Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Recipient Policies

Organization

Organization

OrganizationConfig

OrganizationConfig

Remote and Accepted Domains

Organization

Organization

OrganizationConfig

OrganizationConfig

Retention Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Role Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Security Group Creation and Membership

Organization

Organization

OrganizationConfig

OrganizationConfig

Send Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Support Diagnostics

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Agents

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Hygiene

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Queues

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Rules

Organization

Organization

OrganizationConfig

OrganizationConfig

UM Mailboxes

Organization

Organization

OrganizationConfig

OrganizationConfig

UM Prompts

Organization

Organization

OrganizationConfig

OrganizationConfig

Unified Messaging

Organization

Organization

OrganizationConfig

OrganizationConfig

UnScoped Role Management

Organization

Organization

OrganizationConfig

OrganizationConfig

User Options

Organization

Organization

OrganizationConfig

OrganizationConfig

View-Only Audit Logs

Organization

None

OrganizationConfig

None

View-Only Configuration

Organization

None

OrganizationConfig

None

View-Only Recipients

Organization

None

OrganizationConfig

None

Escopos explícitos

Os escopos explícitos são escopos que você mesmo define para controlar que objetos uma função de gerenciamento pode modificar. Embora os escopos implícitos sejam definidos em uma função de gerenciamento, os escopos explícitos são definidos em uma atribuição de função de gerenciamento. Isso permite que os escopos implícitos sejam aplicados consistentemente por todas as funções de gerenciamento, a menos que você escolha usar um escopo explícito de substituição. Para mais informações sobre as atribuições da função de gerenciamento, consulte Entendendo as Atribuições de Função de Gerenciamento.

Os escopos explícitos substituem os escopos implícitos de gravação e configuração de uma função de gerenciamento. Eles não substituem o escopo de leitura implícito de uma função de gerenciamento. O escopo de leitura implícito continua a definir que objetos a função de gerenciamento pode ler.

Os escopos explícitos são úteis quando o escopo de gravação implícito de uma função de gerenciamento não cumpre as necessidades de seus negócios. Você pode adicionar um escopo explícito para incluir praticamente qualquer coisa que você queira, contanto que o novo escopo não exceda os limites do escopo de leitura implícito. Os cmdlets que são parte de uma função de gerenciamento devem poder ler informações sobre os objetos ou contêineres que contenham objetos para os cmdlets criarem ou modificarem objetos. Por exemplo, se o escopo de leitura implícito de uma função de gerenciamento estiver definido para Self, você não poderá adicionar um escopo de gravação explícito da Organization, porque o escopo de gravação explícito excede os limites do escopo de leitura implícito.

Para obter mais informações, consulte as seguintes seções:

  • Escopos relativos predefinidos

  • Escopos personalizados

Escopos relativos predefinidos

O Exchange 2010 fornece vários escopos de gravação relativos predefinidos que você pode usar para modificar o escopo de uma regra de gerenciamento. Os escopos relativos predefinidos oferecem um jeito fácil de você combinar melhor as necessidades de seus negócios sem ter que criar escopos personalizados manualmente. Eles são chamados de escopos relativos porque eles são relativos ao destinatário da função ao qual a atribuição de função associada é atribuída. Por exemplo, o escopo relativo predefinido Self restringe o escopo de gravação somente ao usuário atual. O escopo relativo predefinido MyDistributionGroups restringe o escopo de gravação para o grupo de distribuição que pertence somente ao usuário atual. Escopos relativos predefinidos só podem ser usados para objetos de destinatário do escopo. Escopos relativos predefinidos não podem ser usados para objetos de configuração do escopo. A tabela a seguir lista os escopos relativos predefinidos que podem ser usados.

Escopos relativos predefinidos

Escopos implícitos Descrição

Organization

Se Organization estiver presente no escopo de gravação do destinatário da função, essa função pode criar ou modificar objetos de destinatário pela organização do Exchange.

Se Organization estiver presente no escopo de leitura do destinatário da função, essa função pode exibir quaisquer objetos de destinatário pela organização do Exchange.

Esse escopo é usado somente com os escopos de leitura e gravação do destinatário.

Self

Se Self estiver no escopo de gravação do destinatário da função, a função poderá modificar somente as propriedades da caixa de correio do usuário atual.

Se Self estiver no escopo de leitura do destinatário da função, a função poderá exibir somente as propriedades da caixa de correio do usuário atual.

Esse escopo é usado somente com os escopos de leitura e gravação do destinatário.

MyDistributionGroups

Se MyDistributionGroups estiver presente no escopo de gravação do destinatário da função, essa função pode criar ou modificar objetos de lista de distribuição que sejam do usuário atual.

Se MyDistributionGroups estiver presente no escopo de leitura do destinatário da função, essa função pode exibir objetos de lista de distribuição que sejam do usuário atual.

Esse escopo é usado somente com os escopos de leitura e gravação do destinatário.

Os escopos relativos predefinidos são aplicados quando você cria uma nova atribuição de função de gerenciamento. Durante a criação de uma atribuição de função, usando o cmdlet New-ManagementRoleAssignment, você pode especificar um escopo relativo predefinido usando o parâmetro RecipientRelativeWriteScope. Quando a nova atribuição de função é criada, a nova função predefinida substitui o escopo de gravação implícito da função de gerenciamento. Não é possível especificar um escopo de destinatário personalizado quando se cria uma atribuição de função com um escopo relativo predefinido. Entretanto, você poderá especificar um escopo de configuração personalizado, se necessário.

Para mais informações sobre como adicionar uma atribuição de função de gerenciamento com um escopo relativo predefinido, consulte Adicionar uma Função a um Usuário ou USG.

Escopos personalizados

Os escopos personalizados são necessários quando nem o escopo de gravação implícito, nem os escopos relativos predefinidos cumprem as necessidades de seus negócios. Os escopos personalizados permitem que você defina, em nível granular, o escopo a que sua função de gerenciamento será aplicado. Por exemplo, você pode querer focar uma unidade organizacional (OU) específica, um tipo específico de destinatário ou ambos. Ou é possível permitir apenas que um grupo de administradores possa gerenciar um conjunto específico de bancos de dados de caixa de correio.

Assim como os escopos relativos predefinidos, os escopos personalizados substituem os escopos implícitos de gravação e configuração de organização definidos nas funções de gerenciamento. O escopo de leitura implícito nas funções de gerenciamento continua a se aplicar, e o escopo personalizado resultante não deve exceder os limites do escopo de leitura implícito. É possível criar os seguintes três tipos de escopos personalizados:

  • Escopo da OU   Um escopo da OU, que é o escopo personalizado mais simples, é criado com o uso do parâmetro RecipientOrganizationalUnitScope no cmdlet New-ManagementRoleAssignment. Especificando um escopo da OU quando uma função é atribuída, o destinatário da função atribuído á função pode modificar somente os objetos de destinatário dentro dessa OU. Para mais informações sobre como adicionar uma atribuição de função de gerenciamento com um escopo da OU, consulte Adicionar uma Função a um Usuário ou USG.

  • Escopo de filtro de destinatário   Os escopos de filtro de destinatário usam filtros para focar destinatários específicos, com base no tipo de destinatário ou outras propriedades de destinatário, como departamento, gerente, local, dentre outros. Para obter mais informações, consulte a seção Escopos de filtro de destinatário.

  • Escopo de configuração   Os escopos de configuração usam filtros para focar servidores específicos, com base nas listas de servidores ou nas propriedades filtráveis que podem ser definidas nos servidores, como um site do Active Directory ou uma função de servidor. No Exchange 2010 Service Pack 1 (SP1), os escopos de configuração podem também usar escopos de banco de dados para focar bancos de dados específicos com base nas listas de banco de dados ou nas propriedades de banco de dados filtráveis. Para obter mais informações, consulte a seção Escopos de configuração.

Escopos personalizados de destinatário e de configuração complexos e granulares simples e amplos podem ser criados com o uso do cmdlet New-ManagementScope. Quando você cria um escopo de destinatário ou configuração, somente os objetos de destinatário, servidor ou banco de dados que correspondam aos respectivos escopos filtrados são retornados. Quando esses escopos são aplicados a uma função de atribuição, usando os cmdlets New-ManagementRoleAssignment ou Set-ManagementRoleAssignment, somente os objetos que correspondam a esses escopos podem ser modificados pelos destinatários da função a quem a função foi atribuída. Após um escopo personalizado ter sido criado, você não pode alterar o tipo de escopo. Um escopo de destinatário é sempre um escopo de destinatário, e um escopo de configuração é sempre um escopo de configuração.

Por padrão, um escopo personalizado habilita um destinatário de função a acessar um conjunto de objetos que correspondam aos escopos que você definir. Entretanto, eles não excluem ativamente o acesso a outros destinatários de função a que não foi atribuído o mesmo escopo ou um equivalente. Qualquer escopo personalizado poderá acessar os mesmos objetos, se as listas ou os filtros nesses escopos corresponderem aos mesmos objetos. Pode haver objetos em que esse comportamento não é desejado, como no caso de funcionários importantes, como executivos. Para esses objetos, você pode definir escopos exclusivos. Escopos exclusivos usam listas ou filtros da mesma forma que os escopos regulares, mas, ao contrário destes, negam acesso a objetos incluídos no escopo para qualquer um que não faça parte do mesmo escopo exclusivo ou um equivalente. Para mais informações sobre escopos exclusivos, consulte Entendendo os Escopos Exclusivos.

Escopos de filtro de destinatário

Os escopos de filtro de destinatário permitem controlar quais destinatários de função de objetos de destinatário podem ser gerenciados pela avaliação de uma ou mais propriedades em objeto de destinatário em relação a um valor especificado em uma instrução de filtro. Os destinatários incluídos nos escopos de destinatário são caixas de correio, usuários habilitados para email, grupos de distribuição e contatos de email. Somente os destinatários que correspondam ao filtro especificado podem ser gerenciados pelos destinatários de função com essa atribuição de função. Um exemplo de instrução de filtro é { Name -Eq "David" }, em que Name é a propriedade no objeto de destinatário sendo avaliada, e David, o valor que deseja avaliar em relação à propriedade. O operador de comparação -Eq indica que o valo armazenado na propriedade deve ser igual ao especificado para que o filtro seja verdadeiro. Se o filtro for verdadeiro, esse destinatário será incluído no escopo.

Os escopos de filtro de destinatário são criados com a especificação do filtro de destinatário a ser usado com o parâmetro RecipientRestrictionFilter no cmdlet New-ManagementScope. Por padrão, o cmdlet New-ManagementScope cria escopos regulares. Se quiser criar um escopo exclusivo, inclua o switch Exclusive junto com o parâmetro RecipientRestrictionFilter.

Quando você cria um filtro de restrição de destinatário, o Exchange avalia o filtro fornecido em relação a qualquer objeto de destinatário na organização por padrão. Se quiser limitar quais destinatários o escopo avalia, você poderá usar o parâmetro RecipientRoot junto com o parâmetro RecipientRestrictionFilter. O parâmetro RecipientRoot aceita uma OU. Quando se utiliza o parâmetro RecipientRoot, o Exchange avalia apenas os destinatários incluídos na OU especificada em relação ao filtro fornecido.

Ao adicionar um escopo de filtro de destinatário a uma atribuição de função, especifique o nome do escopo do destinatário no parâmetro CustomRecipientWriteScope em New-ManagementRoleAssignment se estiver criando uma nova atribuição de função ou no cmdlet Set-ManagementRoleAssignment se estiver atualizando uma atribuição de função existente. Cada atribuição de função pode ter um escopo de destinatário, incluindo escopos relativos predefinidos. É possível adicionar um escopo de configuração à mesma atribuição de função adicionada a um escopo de destinatário.

Para mais informações sobre sintaxe de filtro e para uma lista completa de propriedades de destinatário filtráveis em destinatários, consulte Noções Básicas Sobre Filtros de Escopo de Função de Gerenciamento.

Escopos de configuração

A seguir, os dois tipos de escopos de configuração oferecidos no Exchange 2010:

  • Escopos de servidor   Há dois tipos de escopo de servidor, escopos de filtro de servidor e escopos de lista de servidor. A configuração de servidor que poderá ser gerenciada se um objeto de servidor a ser incluído em um escopo de servidor tiver conectores de Recepção, filas de transporte, certificados de servidor, diretórios virtuais etc.

    • Escopos de filtro de servidor   Os escopos de filtro de servidor permitem controlar quais destinatários de função de objetos de servidor podem ser gerenciados pela avaliação de uma ou mais propriedades em objeto de servidor em relação a um valor especificado em uma instrução de filtro. Para criar um escopo de filtro de servidor, use o parâmetro ServerRestrictionFilter no cmdlet New-ManagementScope.

    • Escopos de lista de servidor   Os escopos de lista de servidor permitem controlar quais destinatários de função de objetos de servidor podem ser gerenciados com a definição de uma lista de servidores que um destinatário de função pode acessar. Para criar um escopo de lista de servidor, use o parâmetro ServerList no cmdlet New-ManagementScope.

  • Escopos de banco de dados   Há dois tipos de escopo de banco de dados, escopos de filtro de banco de dados e escopos de lista de banco de dados. A configuração de banco de dados que poderá ser gerenciada se um objeto de banco de dados a ser incluído em um escopo de banco de dados tiver limites de cota de banco de dados, manutenção de banco de dados, replicação de pasta pública, se um banco de dados está montado ou não etc. Além da configuração de banco de dados, os escopos de banco de dados podem também ser usados para controlar quais destinatários de bancos de dados podem ser criados. Os escopos de banco de dados estão disponíveis apenas no Exchange 2010 SP1.

    • Escopos de filtro de banco de dados   Os escopos de filtro de banco de dados permitem controlar quais destinatários de função de objetos de banco de dados podem ser gerenciados pela avaliação de uma ou mais propriedades em objeto de banco de dados em relação a um valor especificado em uma instrução de filtro. Para criar um escopo de filtro de banco de dados, use o parâmetro DatabaseRestrictionFilter no cmdlet New-ManagementScope.

    • Escopos de lista de banco de dados   Os escopos de lista de banco de dados permitem controlar quais destinatários de função de objetos de banco de dados podem ser gerenciados com a definição de uma lista de bancos de dados que um destinatário de função pode acessar. Para criar um escopo de lista de banco de dados, use o parâmetro DatabaseList no cmdlet New-ManagementScope.

Para mais informações sobre sintaxe de filtro e para uma lista completa de propriedades de servidor e banco de dados filtráveis, consulte Noções Básicas Sobre Filtros de Escopo de Função de Gerenciamento.

As listas de servidor e banco de dados podem ser definidas com a especificação de cada servidor e banco de dados que quiser incluir em seus respectivos escopos. Vários servidores ou bancos de dados podem ser especificados em seus respectivos escopos, separando os nomes de servidor e banco de dados com vírgulas.

Ao adicionar um escopo de configuração de servidor ou banco de dados a uma atribuição de função, especifique o nome do escopo de configuração de servidor ou banco de dados no parâmetro CustomConfigWriteScope no cmdlet New-ManagementRoleAssignment se estiver criando uma nova atribuição de função ou no cmdlet Set-ManagementRoleAssignment se estiver atualizando uma atribuição de função existente. Cada atribuição de função pode ter apenas um escopo de configuração.

Além de controlar quais destinatários de função de bancos de dados podem gerenciar, os escopos de banco de dados também permitem controlar quais destinatários de função de bancos de dados podem criar caixas de correio. Isso é separado do controle de quais destinatários um destinatário de função pode gerenciar. Se um destinatário de função tiver permissões para criar uma nova caixa de correio, habilitar por email um usuário existente ou mover caixas de correio, você poderá refinar as permissões usando escopos de banco de dados para controlar o banco de dados em que a caixa de correio é criada ou para qual banco de dados uma caixa de correio é movida. O controle de quais destinatários um destinatário de função pode gerenciar é feito com o uso de um escopo de destinatário especificado no parâmetro CustomRecipientWriteScope no cmdlet New-ManagementRoleAssignment ou Set-ManagementRoleAssignment. O controle de em quais bancos de dados uma caixa de correio pode ser criada ou movida é feito com o uso de um escopo de banco de dados especificado no parâmetro CustomConfigurationWriteScope nos mesmos cmdlets.

Dica

A distribuição de caixa de correio automática pode ser controlada com o uso de escopos de banco de dados. Para mais informações, consulte Noções Básicas Sobre a Distribuição de Caixa de Correio Automática.

Os recursos do Exchange 2010 SP1 podem solicitar que escopos de servidor ou de banco de dados sejam gerenciados. Se um recurso solicitar que os escopos de servidor e de banco de dados sejam gerenciados, duas atribuições de função deverão ser criadas e atribuída ao destinatário de função que deverá ter acesso para gerenciar o recurso. Uma atribuição de função deverá ser associada ao escopo de servidor, e outra, ao escopo de banco de dados.

Alguns cmdlets podem usar escopos de configuração que não sejam imediatamente óbvio. A seguinte tabela inclui uma lista de cmdlets e os escopos de configuração que podem ser usados para controlar seu uso. Para os cmdlets incluídos na área de recursos de destinatários, os escopos de configuração permite controlar quais destinatários de bancos de dados podem ser criados. Eles não controlam quais destinatários podem ser gerenciados. A coluna Escopos necessários pode conter o seguinte:

  • Banco de Dados   Para executar o cmdlet, o destinatário da função deverá receber uma atribuição de função com um escopo de banco de dados que inclui o banco de dados a ser gerenciado, ou o escopo de gravação de configuração implícito da função deverá incluir o banco de dados a ser gerenciado.

  • Servidor   Para executar o cmdlet, o destinatário da função deverá receber uma atribuição de função com um escopo de servidor que inclui o servidor a ser gerenciado, ou o escopo de gravação de configuração implícito da função deverá incluir o servidor a ser gerenciado.

  • Servidor   Para executar o cmdlet, o destinatário da função deverá receber uma atribuição de função em que um escopo de banco de dados tenha o banco de dados sendo gerenciado ou em que um escopo de servidor tenha o servidor em que o banco de dados está localizado. Ou, o escopo de gravação de configuração implícito da função deve conter o banco de dados a ser gerenciado ou conter o servidor em que o banco de dados está localizado, e a atribuição de função não pode ter um escopo de gravação personalizado.

  • Servidor e banco de dados   Para executar esse cmdlet, o destinatário da função deve receber duas atribuições de função. A primeira atribuição de função deve ter um escopo de banco de dados que inclua o banco de dados a ser gerenciado. A segunda atribuição de função deve ter um escopo de servidor que inclua o servidor em que o banco de dados está localizado. As atribuições de função podem ter escopos de configuração personalizados definidos, ou as atribuições de função podem herdar o escopo de gravação de configuração implícito a partir da função. Para herdar o escopo de gravação implícito da função, a atribuição de função não pode ter um escopo de gravação personalizado.

Áreas de recurso e escopos de banco de dados e servidor aplicáveis

Área de recurso Cmdlet Escopos necessários

Bancos de dados

Clean-MailboxDatabase

Banco de Dados

Bancos de Dados

Dismount-Database

Banco de Dados

Bancos de Dados

Mount-Database

Banco de Dados

Bancos de Dados

Move-DatabasePath

Servidor e banco de dados

Bancos de Dados

Remove-MailboxDatabase

Servidor ou banco de dados

Bancos de Dados

Remove-PublicFolderDatabase

Servidor ou banco de dados

Bancos de Dados

Set-MailboxDatabase

Banco de Dados

Bancos de Dados

Set-PublicFolderDatabase

Banco de Dados

Alta disponibilidade

Add-DatabaseAvailabilityGroupServer

Servidor

Alta disponibilidade

Add-MailboxDatabaseCopy

Servidor

Alta disponibilidade

Move-ActiveMailboxDatabase

Servidor

Alta disponibilidade

New-DatabaseAvailabilityGroup

Servidor

Alta disponibilidade

Remove-DatabaseAvailabilityGroup

Servidor

Alta disponibilidade

Remove-DatabaseAvailabilityGroupServer

Servidor

Alta disponibilidade

Remove-MailboxDatabaseCopy

Servidor ou banco de dados

Alta disponibilidade

Resume-MailboxDatabaseCopy

Servidor ou banco de dados

Alta disponibilidade

Set-DatabaseAvailabilityGroup

Servidor

Alta disponibilidade

Set-MailboxDatabaseCopy

Servidor ou banco de dados

Alta disponibilidade

Start-DatabaseAvailabilityGroup

Servidor

Alta disponibilidade

Stop-DatabaseAvailabilityGroup

Servidor

Alta disponibilidade

Suspend-MailboxDatabaseCopy

Servidor ou banco de dados

Alta disponibilidade

Update-MailboxDatabaseCopy

Servidor ou banco de dados

Destinatários

Connect-Mailbox

Banco de Dados

Destinatários

Enable-Mailbox

Banco de Dados

Destinatários

New-Mailbox

Banco de Dados

Destinatários

New-MoveRequest

Banco de Dados

Solução de problemas

Test-MapiConnectivity

Banco de Dados

Escopos de banco de dados e instalações pré-Exchange 2010 SP1

Os escopos de banco de dados são novos no Exchange 2010 SP1. A versão RTM do Exchange 2010 tem suporte apenas para escopos de destinatário e escopos de configuração de servidor. Quando você criar um novo escopo de banco de dados em um servidor do Exchange 2010 SP1, o seguinte aviso será exibido:

WARNING: Database management scopes will only apply when connected to a server running Exchange 2010 SP1 or greater.
Exchange 2010 RTM servers will not apply any roles from a role assignment linked to a database scope. Database
management scopes will also not be visible to reporting cmdlets (Get-ManagementScope) when executed from an Exchange
2010 RTM server.

Ao criar um escopo de banco de dados, ele será aplicado apenas aos usuários que se conectam aos servidores com Exchange 2010 SP1. Os usuários que se conectam aos servidores com Exchange 2010 RTM não terão nenhuma atribuição de função associada aos escopos de banco de dados aplicados a eles. Isso significa que toda as permissões fornecidas por essas atribuições de função não serão concedidas aos usuários quando eles se conectarem aos servidores do Exchange 2010 RTM. Os escopos de banco de dados não podem ser criados, removidos, modificados ou exibidos pelos servidores do Exchange 2010 RTM.

Um escopo de banco de dados pode incluir qualquer banco de dados de sua organização do Exchange. Isso inclui Exchange Server 2007 e Exchange 2010 RTM. Isso permite controlar quais bancos de dados, independentemente da versão do Exchange, que os usuários podem gerenciar. Assim como outros escopos de banco de dados, as atribuições de função associadas aos escopos de banco de dados que contêm os bancos de dados do Exchange 2007 e do Exchange 2010 RTM serão aplicados aos usuários apena quando eles se conectarem a um servidor do Exchange 2010 SP1.

Os usuários que se conectam a um servidor do Exchange 2010 RTM podem exibir e modificar as atribuições de função associadas aos escopos de banco de dados. Isso inclui a mudança do escopo da configuração em uma atribuição de função existente para um escopo de servidor se ela estiver atualmente associada a um escopo de banco de dados. Entretanto, se o escopo da configuração em uma atribuição de função for alterado para um escopo de servidor e um usuário quiser posteriormente reverter isso para um escopo de banco de dados ou se o usuário quiser alterar o escopo de configuração para outro escopo de banco de dados, o usuário deverá efetuar a alteração enquanto estiver conectado a um servidor do Exchange 2010 SP1. Os usuários poderão especificar apenas escopos de servidor quando eles mudarem o escopo de configuração em uma atribuição de função, se eles estiverem conectados a um servidor do Exchange 2010 RTM.

 © 2010 Microsoft Corporation. Todos os direitos reservados.