Share via

Роль ApplicationImpersonation

  • Статья

Последнее изменение раздела: 2009-10-12

Роль управления ApplicationImpersonation позволяет приложениям олицетворять пользователей в организации для выполнения задач от имени этих пользователей.

Эта группа ролей управления является одной из встроенных групп ролей модели разрешений управления доступом на основе ролей (RBAC) в Microsoft Exchange Server 2010. Роли управления, которые назначаются одной или нескольким группам ролей управления, политикам назначения ролей управления, пользователям или универсальным группам безопасности (USG), работают как логическая группировка командлетов или сценариев, которые объединены для предоставления доступа для просмотра и изменения конфигурации компонентов Exchange 2010, например почтовых ящиков, правил транспорта и получателей. Если командлет или сценарий и его параметры (вместе они называются записью роли управления) включены в роль, этот командлет или сценарий и его параметры будет запущен назначенной ролью. Дополнительные сведения о ролях управления и записях ролей управления см. в разделе Общие сведения о ролях управления.

Дополнительные сведения о ролях управления, группах ролей управления и других компонентах RBAC см. в разделе Общие сведения об управлении доступом на основе ролей.

Назначения ролей управления

Чтобы предоставить роли разрешения, ее необходимо назначить уполномоченному роли, который может быть группой ролей, пользователем или универсальной группой безопасности. Это назначение осуществляется с помощью назначений ролей управления. Назначение роли связывает роли и уполномоченного ролей. Если уполномоченному ролей назначено несколько ролей, ему предоставляется совокупность всех разрешений, предоставляемых всеми назначенными ролями.

Кроме связывания уполномоченных ролей с ролями, назначения ролей также позволяют применять настраиваемые или встроенные области управления. Области управления контролируют, каких получателей и какие объекты сервера могут изменять уполномоченные роли. Если эта роль назначена уполномоченному роли, но область управления позволяет уполномоченному роли осуществлять управления только определенными объектами на основе определенной области, уполномоченный роли может использовать только разрешения, предоставленные этой ролью указанным объектам. Разрешения, предоставленные этой ролью, не могут применяться к объектам, находящимся за пределами области, определенной в назначении роли. Дополнительные сведения о назначениях ролей и областях см. в следующих разделах:

По умолчанию эта роль назначается одной или нескольким группам ролей. Дополнительные сведения см. в разделе «Назначения ролей управления по умолчанию».

Для просмотра списка групп ролей, пользователей, универсальных групп безопасности, назначенных этой роли, используйте следующую команду.

Get-ManagementRoleAssignment -Role "Active Directory Permissions"

Назначения обычных ролей и ролей делегирования

Эту роль можно назначать уполномоченным ролей с помощью назначений обычных ролей или ролей делегирования. Назначения обычных ролей предоставляют уполномоченному роли разрешения, предоставляемые ролью. Назначения делегированных ролей предоставляют уполномоченному роли возможность назначать определенную роль другим уполномоченным роли. Дополнительные сведения о стандартных и делегированных назначениях ролей см. в разделе Общие сведения о назначениях ролей управления.

Добавление или удаление назначений ролей

Уполномоченных ролей, которым назначена эта роль, можно изменить. При изменении уполномоченного роли, назначенного этой роли, изменяется лицо, получающее разрешения. Можно назначить эту роль другим встроенным группам ролей или создать группы ролей и назначить им эту роль. Эту роль можно также назначить пользователям или универсальным группам безопасности. Однако рекомендуется ограничить назначение ролей пользователям и универсальным группам безопасности, так как назначения значительно повышают сложность модели разрешений.

Чтобы назначить роль уполномоченным роли, ее необходимо назначить группе ролей, участником которой вы являетесь, непосредственно себе или универсальной группе безопасности, участником которой вы являетесь, с помощью назначения делегированной роли. Дополнительные сведения о назначениях делегированных ролей см. в разделе «Назначения обычных ролей и ролей делегирования».

Эту роль можно также удалять из встроенных групп ролей, созданных групп ролей, пользователей и универсальных групп безопасности. Однако всегда должно быть по крайней мере одно назначение роли делегирования между этой ролью и группой ролей или универсальной группой безопасности. Удалить последнее назначение роли делегирования невозможно. Это ограничение позволяет предотвратить блокировку своей учетной записи.

Важно!

Между этой ролью и группой ролей или универсальной группой безопасности должно быть по крайней мере одно назначение роли делегирования. Удалить последнее назначение роли делегирования, связанное с этой ролью, невозможно, если последнее назначение установлено пользователю.

Дополнительные сведения о добавлении и удалении назначений между этой ролью и группами ролей, пользователями и универсальными группами безопасности см. в следующих разделах:

Изменение областей управления в назначениях ролей

Также можно менять области управления для существующих назначений ролей между этой ролью и уполномоченными роли. Изменение областей для назначений ролей позволяет контролировать, какими объектами можно управлять с помощью разрешений, предоставленных этой ролью. При изменении области для назначения роли доступно несколько вариантов. Можно выполнить одно из следующих действий.

Включение или отключение назначений ролей

Путем включения или отключения назначения ролей можно управлять их применением. Если назначение ролей отключено, разрешения, предоставленные связанной ролью, не применяются к уполномоченному роли. Это удобно в случае, когда необходимо временно удалить разрешения без удаления назначения роли. Дополнительные сведения см. в разделе Изменение назначения роли.

Назначения ролей управления по умолчанию

Эта роль имеет назначения ролей одному или нескольким уполномоченным ролей. В следующей таблице указано, является ли назначение роли обычным или делегированным, а также отображены области управления, примененные к каждому назначению. В следующем списке приведено описание каждого столбца.

  • Обычное назначение   Назначения обычных ролей предоставляют уполномоченному роли доступ к разрешениям, предоставленным этой роли записями роли управления.
  • Делегированное назначение   Назначения ролей делегирования предоставляют возможность уполномоченному ролей назначать эту роль группам ролей, пользователям и универсальным группам безопасности.
  • Область чтения получателей   Область чтения получателей определяет объекты получателей, которые можно читать уполномоченному ролей из Active Directory.
  • Область записи получателей   Область записи получателей определяет объекты получателей, которые уполномоченному ролей можно изменять в Active Directory.
  • Область чтения конфигурации   Область чтения конфигурации определяет объекты сервера и конфигурации, которые можно читать уполномоченному ролей из Active Directory.
  • Область записи конфигурации   Область записи конфигурации определяет объекты сервера и организации, которые уполномоченному ролей можно изменять в Active Directory.

Назначения ролей управления по умолчанию для этой роли

Группа ролей Стандартное назначение Делегирование назначения Область чтения получателей Область записи получателей Область чтения конфигурации Область записи конфигурации

Управление санацией

X

 

Organization

Organization

None

None

Управление организацией

 

X

Organization

Organization

None

None

Настройка роли управления

Эта роль настроена таким образом, чтобы предоставить уполномоченному роли все необходимые командлеты и их параметры для управления функциями и компонентами, перечисленными в начале этого раздела. Другие роли также предоставлены для управления другими функциями. Путем добавления ролей в группы и удаления их из групп можно создавать настраиваемые модели разрешений без необходимости настройки отдельных ролей управления. Полный список ролей приведен в разделе Встроенные роли управления. Дополнительные сведения о настраиваемых группах ролей см. в следующих разделах:

Для создания настраиваемой версии этой роли необходимо создать дочернюю роль этой роли, а затем настроить новую роль.

Предупреждение

Следующие сведения позволят выполнять дополнительные задачи управления разрешениями. Настройка ролей управления может значительно повысить сложность модели разрешений. Замена встроенной роли управления неправильно настроенной ролью может привести к прекращению работы определенных функций.

Ниже описаны основные шаги по созданию настраиваемой роли и ее назначению уполномоченному роли.

  1. Создайте копию роли с помощью командлета New-ManagementRole. Дополнительные сведения см. в разделе Создание роли.
  2. С помощью командлетов Set-ManagementRoleEntry и Remove-ManagementRoleEntry измените или удалите записи новой роли. В новую роль нельзя добавлять дополнительные записи, потому что она может содержать только записи встроенной родительской роли. Дополнительные сведения приведены в следующих разделах:
  3. Чтобы заменить встроенную роль новой настроенной ролью, удалите все назначения ролей, связанные со встроенной ролью, с помощью командлета Remove-ManagementRoleAssignment. Дополнительные сведения приведены в следующих разделах:
  4. Добавьте новую настроенную роль в необходимое назначение ролей с помощью командлета New-ManagementRoleAssignment. Дополнительные сведения приведены в следующих разделах: