Exportar (0) Imprimir
Expandir Tudo

Permissões

 

Aplicável a: Exchange Server

Tópico modificado em: 2013-05-17

O Microsoft Exchange Server 2013 inclui um amplo conjunto de permissões predefinidas, baseadas no modelo de permissões de Controle de Acesso Baseado na Função (RBAC), que podem ser usadas imediatamente para facilitar a concessão de permissões aos seus administradores e usuários. Você pode usar os recursos de permissões no Exchange 2013 para colocar sua nova organização em funcionamento rapidamente.

ObservaçãoObservação:
Diversos recursos e conceitos de RBAC não são discutidos neste tópico porque são recursos avançados. Caso a funcionalidade discutida neste tópico não atenda às suas necessidades e você queira personalizar mais seu modelo de permissões, consulte Noções Básicas Sobre Controle de Acesso Baseado em Função

À procura de uma lista de todos os tópicos de permissões? Consulte Documentação de permissões.

Conteúdo

Permissões baseadas em função

Grupos de funções e políticas de atribuição de função

Trabalhar com grupos de funções

Trabalhar com políticas de atribuição de função

No Exchange 2013, as permissões concedidas a administradores e usuários são baseadas em funções de gerenciamento. Uma função define o conjunto de tarefas que um administrador ou usuário pode realizar. Por exemplo, uma função de gerenciamento chamada Mail Recipients define as tarefas que alguém pode realizar em um conjunto de caixas de correio, contatos e grupos de distribuição. Quando uma função é atribuída a um administrador ou usuário, essa pessoa recebe as permissões fornecidas pela função.

Existem dois tipos de funções, funções administrativas e de usuário final:

  • Funções administrativas   Essas funções contêm permissões que podem ser atribuídas a administradores ou usuários especialistas que utilizam grupos de funções que gerenciam uma parte da organização do Exchange, como destinatários, servidores ou bancos de dados.

  • Funções do usuário final   Essas funções, atribuídas por meio de diretivas de atribuição de função, permitem que os usuários gerenciem aspectos de suas próprias caixas de correio e grupos de distribuição de sua propriedade. As funções de usuário final começam com o prefixo My.

As funções atribuem permissões aos administradores e usuários para executar tarefas por meio da disponibilização de cmdlets. Como o Centro de Administração do Exchange (EAC) e o Shell de Gerenciamento do Exchange usam cmdlets para gerenciar o Exchange, a concessão de acesso a um cmdlet fornece ao administrador ou usuário permissão para executar a tarefa em cada uma das interfaces de gerenciamento do Exchange.

O Exchange 2013 inclui aproximadamente 86 funções que podem ser usadas para conceder permissões. Para obter uma lista de funções incluídas com o Exchange 2013, consulte Funções de Gerenciamento Integradas.

Permissões baseadas em função

As funções concedem permissões para a execução de tarefas no Exchange 2013, mas você precisa de uma forma fácil de atribuí-las a administradores e usuários. O Exchange 2013 fornece o seguinte para ajudá-lo a fazer isso:

  • Grupos de funções   Os grupos de funções permitem conceder permissões a administradores e usuários especialistas.

  • Políticas de atribuição de função   As políticas de atribuição de função permitem conceder permissões a usuários finais para alterar as configurações em suas próprias caixas de correio ou grupos de distribuição.

Para obter mais informações sobre grupos de funções e diretivas de atribuição de função, consulte as próximas seções.

Cada administrador que gerencia o Exchange 2013 deve receber pelo menos uma ou mais funções. Os administradores podem ter mais de uma função porque podem realizar funções de trabalho que abrangem diversas áreas no Exchange. Por exemplo, um administrador pode gerenciar os destinatários e os servidores do Exchange. Nesse caso, poderiam ser atribuídas ao administrador as funções Mail Recipients e Exchange Servers.

Para facilitar a atribuição de diversas funções a um administrador, o Exchange 2013 inclui grupos de funções. Grupos de funções são grupos de segurança universal especial (USGs) usados pelo Exchange 2013 que podem ter usuários do Active Directory, USGs e outros grupos de funções. Quando uma função é atribuída a um grupo de funções, as permissões concedidas pela função são concedidas a todos os membros do grupo de funções. Isso permite atribuir muitas funções a muitos membros de grupos de funções de uma só vez. Os grupos de funções normalmente abrangem áreas mais amplas de gerenciamento, como o gerenciamento de destinatários. São usados apenas para funções administrativas e não para funções de usuário final.

ObservaçãoObservação:
É possível atribuir uma função diretamente a um usuário ou USG sem usar um grupo de funções. Entretanto, esse método de atribuição de função é um procedimento avançado e não é discutido neste tópico. Recomendamos que você use grupos de funções para gerenciar permissões.

A figura a seguir mostra a relação entre usuários, grupos de funções e funções.

Funções, grupos de funções e membros de grupo de funções do

Função, grupo de funções e relacionamentos de membros

O Exchange 2013 inclui vários grupos de funções internos, cada um fornecendo permissões para gerenciar áreas específicas no Exchange 2013. Alguns grupos de funções podem se sobrepor a outros. As tabelas a seguir relacionam cada grupo de funções com a descrição do seu uso. Caso queira ver as funções atribuídas a cada grupo de funções, clique no nome do grupo de funções na coluna "Grupo de funções" e abra a seção "Funções de Gerenciamento Atribuídas a este Grupo de Funções”.

Grupos de funções internos

Grupo de funções Descrição

Gerenciamento da Organização

Os administradores que sejam membros do grupo de função Gerenciamento da Organização têm acesso administrativo à organização inteira do Microsoft Exchange 2013 e podem realizar quase qualquer tarefa em relação a qualquer objeto do Exchange 2013, com algumas exceções, como a função Discovery Management.

ImportanteImportante:
Como o grupo de função Gerenciamento da Organização é uma função muito poderosa, somente usuários ou USGs (grupos de segurança universal) que realizam tarefas administrativas em nível organizacional com potencial para afetar a organização inteira do Exchange devem ser membros desse grupo de função.

Gerenciamento da Organização Somente para Exibição

Administradores que sejam membros do grupo de função Gerenciamento de Organizações Somente Exibição podem exibir as propriedades de qualquer objeto da organização do Exchange.

Gerenciamento de Destinatários

Administradores que sejam membros do grupo de função Gerenciamento de Destinatários têm acesso administrativo para criar ou modificar destinatários do Exchange 2013 dentro da organização do Exchange 2013.

Gerenciamento da UM

Os administradores que são membros do grupo de função de Gerenciamento da UM podem gerenciar recursos na organização do Exchange como a configuração do servidor de UM (Unificação de Mensagens), propriedades de UM em caixas de correio, prompts de UM e configuração do atendedor automático de UM.

Suporte técnico

Por padrão, o grupo de funções Suporte Técnico permite que o membros exibam e modifiquem as opções do Microsoft A integração do Outlook Web App de qualquer usuário na organização. Essas opções podem incluir a modificação do nome para exibição, endereço e número de telefone do usuário. Elas não incluem opções disponíveis nas opções do Outlook Web App, como a modificação do tamanho de uma caixa de correio ou a configuração do banco de dados de caixa de correio no qual a caixa de correio está localizada.

Gerenciamento de Higienização

Os administradores que forem membros do grupo de função Gerenciamento de Higienização pode configurar os recursos de antivírus e antispam do Exchange 2013. Programas que terceiros que se integram ao Exchange 2013 podem adicionar contas de serviço a este grupo de função, para conceder, a essas programas, acesso aos cmdlets necessários para recuperar e configurar o Exchange.

Gerenciamento de Registros

Os usuários que forem membros do grupo de função Gerenciamento de Registros podem configurar recursos de conformidade, como marcas de diretivas de retenção, classificações de mensagens e regras de transporte.

Gerenciamento de Descoberta

Administradores ou usuários que forem membros do grupo de função Gerenciamento de Descobertas podem realizar pesquisas de caixas de correio na organização do Exchange em busca de dados que atendam a critérios específicos e também podem configurar retenções jurídicas em caixas de correios.

Gerenciamento de Pasta Pública

Administradores que são membros do grupo de funções Gerenciamento de Pasta Pública podem gerenciar pastas públicas em servidores com o Exchange 2013.

Gerenciamento do Servidor

Administradores que sejam membros do grupo de funções de Gerenciamento de Servidor podem definir configurações específicas de recursos de servidor de transporte, Unificação de Mensagens, acesso para cliente e caixa de correio, como cópias de bancos de dados, certificados, filas de transporte e conectores de Envio, diretórios virtuais e protocolos de acesso para cliente.

Instalação Representada

Os administradores que são membros do grupo de funções da instalação delegada podem implantar servidores executando o Exchange 2013 que tenham sido previamente configurados por um membro do grupo de funções Gerenciamento da Organização.

Gerenciamento de Conformidade

Usuários que sejam membros do grupo de funções Gerenciamento de Conformidade podem configurar e gerenciar as definições de conformidade do Exchange, de acordo com a política da organização deles.

Se você trabalha em uma organização pequena que tem somente alguns administradores, será preciso adicionar esses administradores apenas ao grupo de funções do Gerenciamento da Organização, e provavelmente você não precisará nunca usar os outros grupos de funções. Se você trabalha em uma organização maior, pode ter administradores que realizam tarefas específicas de administração do Exchange, como gerenciamento de destinatário ou de servidor. Nesses casos, você poderá adicionar um administrador à função de grupo do Gerenciamento de Destinatários e outro administrador ao grupo de função de Gerenciamento de Servidor. Esse administradores podem gerenciar suas áreas específicas do Exchange 2013, mas não terão permissões para gerenciar áreas pelas quais não são responsáveis.

Se is grupos de funções internos no Exchange 2013 não corresponderem à função de trabalho de seus administradores, você poderá criar grupos de funções e adicionar funções a eles. Para obter mais informações, consulte Trabalhar com grupos de funções, posteriormente neste tópico.

Permissões baseadas em função

O Exchange 2013 fornece políticas de atribuição de função para que você possa controlar quais configurações os usuários podem configurar em suas caixas de correio e grupos de distribuição. Essas configurações incluem seus nomes para exibição, informações de contato, configurações de caixa postal e associação a grupos de distribuição.

Sua organização do Exchange 2013 pode ter várias políticas de atribuição de função que fornecem diferentes níveis de permissões para diferentes tipos de usuários em suas organizações. Alguns usuários podem ter permissão para mudar seus endereços ou criar grupos de distribuição, enquanto outros não, dependendo da diretiva de atribuição de função associada às suas caixas de correio. As diretivas de atribuição de função são adicionadas diretamente às caixas de correio, e cada caixa de correio pode ser associada somente a uma diretiva de atribuição de função por vez.

Entre as diretivas de atribuição de função em sua organização, uma é identificada como padrão. A diretiva de atribuição de função padrão é associada a novas caixas de correio que não tenham uma diretiva de atribuição de função específica explicitamente atribuída ao serem criadas. A diretiva de atribuição de função padrão deve conter as permissões que serão aplicadas à maioria de suas caixas de correio.

As permissões são adicionadas às diretivas de atribuição de função por meio de funções de usuário final. As funções do usuário final começam com My e concedem permissões para que os usuários gerenciem apenas suas próprias caixas de correio ou grupos de distribuição. Elas não podem ser usadas para gerenciar qualquer outra caixa de correio. Somente funções de usuário final podem ser atribuídas às diretivas de atribuição de função.

Quando uma função de usuário final é atribuída a uma diretiva de atribuição de função, todas as caixas de correio associadas a essa diretiva recebem as permissões concedidas pela função. Isso permite adicionar ou remover permissões de conjuntos de usuários sem ter de configurar as caixas de correio individuais. A figura a seguir mostra:

  • Funções de usuário final são atribuídas a diretivas de atribuição de função. Diretivas de atribuição de função podem compartilhar as mesmas funções de usuário final.

  • Diretivas de atribuição de função são associadas a caixas de correio. Cada caixa de correio só pode ser associada a uma diretiva de atribuição de função.

  • Quando uma caixa de correio é associada a uma diretiva de atribuição de função, as funções de usuário final são aplicadas a essa caixa de correio. As permissões concedidas pelas funções são concedidas ao usuário da caixa de correio.

Funções, diretivas de atribuição de função e caixas de correio

Função, diretiva de atribuição de função, relacionamento de caixa de correio

A Política de Atribuição de Função Padrão é incluída com o Exchange 2013. Como o nome indica, essa é a diretiva de atribuição de função padrão. Caso queira alterar as permissões fornecidas por esta diretiva de atribuição de função ou criar diretivas de atribuição de função, consulte Trabalhar com políticas de atribuição de função mais adiante neste tópico.

Para gerenciar suas permissões usando grupos de funções no Exchange 2013, recomendamos usar o Centro de Administração do Exchange. Usando o EAC para gerenciar grupos de funções, você pode adicionar e remover funções e membros, criar grupos de funções e copiar grupos de função com poucos cliques do mouse. O EAC fornece caixas de diálogo simples, como a novo grupo de funções, mostrada na figura a seguir, para realizar essas tarefas.

Caixa de diálogo Novo Grupo de Funções no EAC

Caixa de diálogo Novo Grupo de Funções no EAC

O Exchange 2013 inclui vários grupos de função que separam as permissões em áreas administrativas específicas. Caso esses grupos de função existentes forneçam as permissões de que seus administradores precisam para gerenciar sua organização do Exchange 2013, será necessário apenas adicionar seus administradores como membros dos grupos de funções apropriados. Depois que você adicionar administradores a um grupo de funções, eles poderão administrar os recursos relacionados a esse grupo. Para adicionar ou remover membros de um grupo de funções, abra o grupo de funções no EAC e adicione ou remova os membros da lista de associação. Para obter uma lista de grupos de funções internos, consulte Grupos de Função Integrados.

ImportanteImportante:
Se um administrador for um membro de mais de um grupo de funções, o Exchange 2013 concederá ao administrador todos as permissões fornecidas pelos grupos de funções de que é um membro.

Se nenhum dos grupos de funções incluídos no Exchange 2013 tiver as permissões de que você precisa, você poderá usar o EAC para criar um grupo de funções e adicionar as funções que tenham as permissões necessárias. Para o seu novo grupo de funções, você irá:

  1. Escolher um nome para o grupo de funções.

  2. Selecionar as funções que deseja adicionar ao grupo de funções.

  3. Adicionar membros ao grupo de funções.

  4. Salvar o grupo de funções.

Depois de ter criado o grupo de funções, você o gerencia como qualquer outro grupo de funções.

Caso exista um grupo de funções contendo algumas, mas não todas as permissões de que você precisa, você pode copiá-lo e fazer alterações para criar um grupo de funções. É possível copiar um grupo de funções existente e fazer alterações nele sem afetar o grupo de funções original. Como parte da cópia do grupo de funções, é possível atribuir um novo nome e descrição, adicionar e remover funções desse novo grupo de funções e adicionar novos membros. Para criar ou copiar um grupo de funções, é usada a mesma caixa de diálogo mostrada na figura anterior.

Os grupos de funções existentes também podem ser modificados. Você pode adicionar e remover funções dos grupos de funções existentes e adicionar e remover membros desses grupos ao mesmo tempo usando uma caixa de diálogo do EAC, semelhante à da figura anterior. Ao adicionar e remover funções de grupos de funções, você ativa e desativa recursos administrativos para os membros desses grupos de funções. Para obter uma lista de funções que podem ser adicionadas a um grupo de funções, consulte Funções de Gerenciamento Integradas.

ObservaçãoObservação:
Embora seja possível alterar as funções atribuídas aos grupos de funções internos, recomendamos copiar esses grupos de funções, alterar a cópia e então adicionar os membros ao grupo de funções copiado.

Permissões baseadas em função

Para gerenciar as permissões concedidas aos usuários finais para gerenciar suas próprias caixas de correio no Exchange 2013, recomendamos usar o EAC. Usando o EAC para gerenciar as permissões de usuários finais, você pode adicionar e remover funções e criar políticas de atribuição de função com poucos cliques do mouse. O EAC fornece caixas de diálogo simples, como a política de atribuição de funções, mostrada na figura a seguir, para realizar essas tarefas.

Caixa de diálogo Política de Atribuição de Função no EAC

Caixa de diálogo Política de Atribuição de Função no EAC

O Exchange 2013 inclui uma política de atribuição de função chamada Política de Atribuição de Função Padrão. Essa diretiva de atribuição de função permite aos usuários cujas caixas de correio estejam associadas à diretiva fazer o seguinte:

  • Associar-se ou sair de grupos de distribuição que permitam aos membros gerenciar suas próprias associações.

  • Exibir e modificar configurações básicas de suas caixas de correio, como regras da Caixa de Entrada, comportamento da correção ortográfica, configurações de lixo eletrônico, e dispositivos do Microsoft ActiveSync.

  • Modificar suas informações de contato, como endereço comercial e número de telefone, número de telefone celular e número de pager.

  • Criar, modificar ou exibir configurações de mensagens de texto.

  • Exibir ou modificar as configurações de caixa postal.

  • Exibir e modificar seus aplicativos do marketplace.

  • Criar caixas de correio de equipe e conectá-las às listas do Microsoft SharePoint.

Se quiser adicionar ou remover permissões da Política de Atribuição de Função Padrão ou de qualquer outra política de atribuição de função, você pode usar o EAC. A caixa de diálogo usada é semelhante à da figura anterior. Ao abrir a política de atribuição de função no EAC, marque a caixa de seleção ao lado das funções que você deseja atribuir e desmarque a caixa de seleção das funções que você deseja remover. A alteração feita na diretiva de atribuição de função é aplicada a todas as caixas de correio associadas a ela.

Caso queira atribuir diferentes permissões de usuário final aos vários tipos de usuários em sua organização, você pode criar diretivas de atribuição de função. Ao criar uma política de atribuição de função, será exibida uma caixa de diálogo semelhante à da figura anterior. Você pode especificar um novo nome para a política de atribuição de função e então selecionar as funções que deseja atribuir à política de atribuição de função. Depois de criar uma política de atribuição de função, você poderá associá-la a caixas de correio usando o EAC.

Se quiser alterar a diretiva de atribuição de função padrão, você terá que usar o Shell. Quando a política de atribuição de função padrão é alterada, todas as caixas de correio criadas serão associadas à nova política de atribuição de função se nenhuma política for explicitamente especificada. A diretiva de atribuição de função associada às caixas de correio existentes não muda quando é selecionada uma nova diretiva de atribuição de função padrão.

ObservaçãoObservação:
Se você marcar a caixa de seleção de uma função com funções filhas, as caixas de seleção das funções filhas também serão marcadas. Se você desmarcar a caixa de seleção de uma função com funções filhas, as caixas de seleção das funções filhas também serão desmarcadas.
Para obter uma descrição detalhada de como criar diretivas de atribuição de função ou fazer alterações nas diretivas de atribuição de função existentes, consulte os seguintes tópicos:

Permissões baseadas em função

A tabela a seguir contém links para tópicos que irão ajudar você a aprender sobre e gerenciar permissões no Exchange 2013.

 

Tópico Descrição

Noções Básicas Sobre Controle de Acesso Baseado em Função

Conheça cada um dos componentes que compõem do RBAC e saiba como é possível criar modelos de permissões avançados se os grupos de funções e as funções de gerenciamento não forem suficientes.

Noções Básicas Sobre Permissões de Várias Florestas

Saiba mais sobre a implementação de permissões RBAC em organizações com florestas de conta e de recurso.

Noções Básicas sobre Permissão de Divisão

Saiba mais sobre a divisão do Exchange e do gerenciamento principal de segurança usando as permissões de divisão de RBAC e Active Directory.

Noções básicas sobre coexistência de permissões no Exchange 2007 e no Exchange 2010

Configurar as permissões para habilitar a administração do Exchange 2013 nas organizações existentes do Exchange 2007 e do Exchange 2010.

Gerenciar grupos de funções

Configure permissões para administradores do Exchange e usuários especialistas utilizando grupos de função.

Gerenciar Membros do Grupo de Funções

Adicione membros a e de grupos de funções. Ao adicionar e remover membros a e de grupos de funções, você configura quem pode administrar os recursos do Exchange.

Gerenciar Grupos de Funções Vinculadas

Configure permissões para administradores do Exchange e usuários especialistas em implantações do Exchange com várias florestas.

Políticas de Atribuição de Funções

Configure a quais recursos os usuários finais têm acesso em suas caixas de correio usando políticas de atribuição de funções.

Alterar a Diretiva de Atribuição em uma Caixa de Correio

Configure qual política de atribuição de função é aplicada a uma ou mais caixas de correio.

Criar Grupos de Função Vinculados que Espelhem Grupos de Função Integrados

Recrie os grupos de funções internos como grupos de funções vinculados em implantações do Exchange com várias florestas.

Exibir Permissões Efetivas

Veja que tem permissões para administrar os recursos do Exchange.

Permissões de Recurso

Saiba mais sobre as permissões necessárias para gerenciar os serviços e os recursos do Exchange.

Permissões Avançadas

Use recursos RBAC avançados para criar modelos de permissão altamente personalizados para ajustar as necessidades de qualquer organização.

 
Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft