了解管理角色群組
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2015-03-09
管理角色群組是在 Microsoft Exchange Server 2010 中應用角色的存取控制 (RBAC) 權限模型內使用的萬用安全性群組 (USG)。管理角色群組可簡化指派管理角色給使用者群組的程序。角色群組的所有成員會被指派一組相同的角色。角色群組會被指派系統管理員和專家角色,這些角色定義 Exchange 2010 中的主要管理工作,例如組織管理、收件者管理及其他工作。。角色群組可讓您更輕鬆地將一組更廣泛的權限指派給系統管理員或專家使用者群組。
.gif "注意事項") 附註: |
|---|
| 本主題著重於進階 RBAC 功能。如果您要管理基本 Exchange 2010 權限,例如使用 Exchange 控制台 (ECP) 在角色群組中新增和移除成員、建立和修改角色群組,或建立和修改角色指派原則,請參閱了解權限。 |
目錄
角色群組層
角色群組管理
內建角色群組
連結的角色群組
角色群組委派
角色群組成員資格
角色群組建立工作流程
| 附註: |
|---|
| 如果您要將權限指派給使用者,讓他們管理其自己的信箱或通訊群組,請參閱了解管理角色指派原則。 |
角色群組層
以下是構成角色群組模型的各個層:
角色持有者 角色持有者是可以新增為角色群組成員的信箱。將信箱新增為角色群組成員時,已在管理角色和角色群組之間進行的指派會套用到信箱。這會將管理角色提供的所有權限授與信箱。
管理角色群組 管理角色群組是包含屬於角色群組成員之信箱的特殊 USG。這是您新增及移除成員的位置,管理角色也會被指派到此處。角色群組中所有角色的組合,定義了新增到角色群組的使用者可以在 Exchange 組織中管理的一切。
管理角色指派 管理角色指派會連結管理角色和角色群組。將管理角色指派到角色群組,會授與角色群組成員使用管理角色中所定義之指令程式和參數的能力。角色指派可以使用管理範圍來控制可使用指派的位置。如需詳細資訊,請參閱了解管理角色指派。
管理角色範圍 管理角色範圍是對角色指派的影響範圍。使用範圍將角色指派到角色群組時,管理範圍會以允許該指派管理的物件為具體目標。然後會將該指派及其範圍提供給角色群組的成員,以限制這些成員可以管理的項目。範圍可由伺服器或資料庫清單、組織單位,或是伺服器、資料庫或收件者物件上的篩選組成。如需詳細資訊,請參閱瞭解管理角色範圍。
管理角色 管理角色(Management Role) 是一組管理角色項目的容器。角色用於定義可由被指派該角色之角色群組成員執行的特定工作。如需詳細資訊,請參閱了解管理角色。
管理角色項目 管理角色項目是管理角色上的個別項目,可提供指令程式、指令碼及其他特殊權限的存取權以便允許執行特定工作。多數情況下,角色項目是由可供管理角色存取的單一指令程式和參數所組成,因此是將角色指派到的角色群組。
下圖顯示上述清單中的每個角色群組層,以及每個層如何與其他層相關。
管理角色群組層
.jpg "管理角色群組層")
如需有關 RBAC 的詳細資訊,請參閱瞭解應用角色的存取控制。
回到頁首
角色群組管理
當您建立角色群組時,會建立包含角色群組成員的 USG,並在您指定的角色群組和管理角色之間建立指派。或者,您也可以指定套用至角色指派的管理範圍,並新增要作為新角色群組成員的任何信箱。
建立角色群組之後,每一層會變成獨立的物件。角色群組仍然是將所有層結合在一起的中心點,但是會個別管理每一層。例如,若要修改您在建立角色群組時套用至該群組的管理範圍,則您需要在建立角色群組之後,變更每個個別角色指派的範圍。角色群組模型的管理是使用管理角色群組模型個別層的指令程式來執行。
下表列出角色群組層以及您可用於管理每一層的程序主題。
角色群組管理主題
| 角色群組模型層 | 管理主題 | ||
|---|---|---|---|
角色持有者 |
|||
角色群組 |
|||
管理角色及指派 |
|||
管理角色項目 |
|
回到頁首
內建角色群組
內建角色群組是 Exchange 2010 隨附的角色。它們可提供您一組角色群組,讓您用來提供不同層級的管理權限給使用者群組。您可以在任何內建角色群組中新增或移除使用者。您也可以在大多數的角色群組中新增或移除角色指派。唯一的例外狀況如下:
您無法從 組織管理 角色群組移除任何委派角色指派。
您無法從 組織管理 角色群組移除角色管理角色。
下表列出 Exchange 2010 隨附的所有內建角色群組。如需內建角色群組的詳細資訊,請參閱內建角色群組。
內建角色群組
| 角色群組 | 描述 |
|---|---|
屬於 組織管理 角色群組之成員的系統管理員擁有整個 Exchange 2010 組織的管理存取權,並幾乎可對任何 Exchange 2010 物件執行任何工作。 |
|
屬於 僅限檢視組織管理 角色群組之成員的系統管理員可在 Exchange 組織中檢視任何物件的內容。 |
|
屬於 收件者管理 角色群組之成員的系統管理員,擁有在 Exchange 2010 組織內建立或修改 Exchange 2010 收件者的系統管理存取權。 |
|
屬於 UM 管理角色群組之成員的系統管理員可以管理 Exchange 組織中的整合通訊 (UM) 功能,例如整合通訊伺服器組態、信箱的 UM 內容、UM 提示以及 UM 自動語音應答組態。 |
|
系統管理員或是屬於 探索管理 角色群組成員的使用者可在 Exchange 組織中執行信箱搜尋,以尋找符合特定準則的資料。 |
|
屬於 記錄管理 角色群組成員的使用者可以設定符合性功能,例如保留原則標記、訊息分類、傳輸規則等。 |
|
屬於伺服器管理角色群組成員的系統管理員擁有 Exchange 2010 伺服器組態的系統管理存取權。他們沒有管理 Exchange 2010 收件者組態的存取權。 |
|
屬於服務台角色群組成員的使用者可以執行 Exchange 2010 收件者之受限的收件者管理。 |
|
為檢疫管理角色群組成員的系統管理員可設定 Exchange 2010 的防毒與反垃圾郵件功能。與 Exchange 2010 整合的協力廠商程式可將服務帳戶新增至此角色群組,以將擷取與設定 Exchange 組態所需指令程式的存取權授與這些程式。 |
|
屬於公用資料夾管理角色群組成員的系統管理員可以管理 Exchange 2010 伺服器上的公用資料夾和資料庫。 |
|
屬於委派安裝角色群組成員的系統管理員可以部署先前提供的 Exchange 2010 伺服器。 |
回到頁首
連結的角色群組
連結的角色群組是用於將 Exchange 2010 安裝在專用資源樹系中,並將使用者放在其他受信任外部樹系中的組織。顧名思義,連結的角色群組會在 Exchange 樹系中的角色群組與外部樹系中的 USG 之間建立連結。當要管理 Exchange 之系統管理員的 Active Directory 網域服務 (AD DS) 使用者帳戶沒有位於與 Exchange 相同的資源樹系中時,這會很有用。連結的角色群組只能與一個外部 USG 相關聯。此外,您不需要在 Exchange 樹系和外部樹系之間建立雙向信任。Exchange 樹系需要信任外部樹系,但外部樹系不需要信任 Exchange 樹系。
如需多重樹系拓撲中權限的詳細資訊,請參閱瞭解多重樹系的權限。
連結的角色群組是由兩個部分所組成:
連結的角色群組 連結的角色群組是一種容器物件,可將外部 USG 與指派給角色群組的管理角色指派相關聯。
外部 USG 外部 USG 包含的成員應被授與連結的角色群組所提供的權限。
當您建立連結的角色群組時,您會在包含要管理 Exchange 樹系之使用者的外部樹系中,以及包含這些使用者作為成員、外部 USG 名稱和存取外部樹系所需之認證的 USG 中,提供網域控制器。Exchange 會將外部 USG 的安全性識別碼 (SID) 新增至連結的角色群組。因爲 USG SID 是外部 USG 的唯一識別,因此如果您有多個外部樹系,強烈建議您以角色群組的名稱來指定外部樹系。
連結的角色群組不包含任何成員。該角色群組的所有成員都是使用外部 USG 來管理。這表示您無法使用 Update-RoleGroupMember、Add-RoleGroupMember 或 Remove-RoleGroupMember 指令程式來新增或移除角色群組成員。當您將成員新增至外部 USG 時,會授與他們連結的角色群組所提供的權限。
您無法將包含自己成員的標準角色群組變更為連結的角色群組,反之亦然。如果您要將角色群組從標準角色群組變更為連結的角色群組,則需建立新的連結角色群組,並在連結的角色群組上複寫存在於標準角色群組上的管理角色指派。內建角色群組也是如此,因爲它們是標準角色群組。如果您要從外部樹系執行 Exchange 樹系的所有管理,則需要建立新連結的角色群組,並將存在於內建角色群組上的管理角色新增至新連結的角色群組。如需如何完成此作業的詳細資訊,請參閱建立鏡像內建角色群組的連結角色群組。
如需在資源樹系中部署 Exchange 的相詳細訊,請參閱在 Exchange 資源樹系拓撲中部署 Exchange 2010。
回到頁首
角色群組委派
根據預設,組織管理 角色群組的成員可以在角色群組中新增及移除成員。不過,您可能會想要讓不是 組織管理 角色群組的成員能夠新增及移除角色群組成員。若是如此,您可以使用角色群組委派。
角色群組委派是由每個角色群組上的 ManagedBy 內容所控制。ManagedBy 內容包含使用者清單,這些使用者可以在該角色群組中新增及移除成員或變更角色群組的組態。除非使用者也是角色群組的成員,否則不會被指派角色群組所提供的任何權限。
如果在角色群組上設定 ManagedBy 內容,則只有在該內容上列爲角色群組管理員的使用者,才能依預設修改角色群組或角色群組的成員資格。但是,修改角色群組或角色群組成員資格之指令程式上的選用參數可以覆寫該限制。屬於 組織管理 角色成員或是直接或間接被指派角色管理管理角色的使用者,可以使用 BypassSecurityGroupManagerCheck 參數。當使用此參數時,會忽略 ManagedBy 內容,且使用者可以修改角色群組或角色群組成員資格。
若未在角色群組上設定 ManagedBy 內容,則只有屬於 組織管理 角色成員或是直接或間接被指派角色管理管理角色的使用者,才能修改角色群組或角色群組成員資格。
| 附註: |
|---|
| 指派給角色群組的角色,可以使用委派角色指派來指派。使用委派角色指派時,被指派委派角色的角色群組成員可以將該角色指派給另一個角色群組、指派原則、使用者或 USG。角色群組的成員只能指派該角色,但無法委派角色群組,除非該成員也已新增至 ManagedBy 內容。如需委派角色指派的詳細資訊,請參閱了解管理角色指派。 |
如需如何管理角色群組委派的詳細資訊,請參閱新增或移除角色群組委派。
回到頁首
角色群組成員資格
當使用者成為角色群組的成員時,會將指派到角色群組的管理角色指派給使用者。如果使用者是多個角色群組的成員,則會彙總來自每個角色群組的管理角色並指派給使用者。使用者、 USG 及其他角色群組可以是角色群組的成員。
只有屬於 組織管理 或角色管理角色群組之成員的使用者,以及已被委派在角色群組中新增及移除使用者之能力的使用者,才能管理角色群組成員資格。
如需如何管理角色群組成員資格的詳細資訊,請參閱下列主題:
角色群組建立工作流程
如先前所述,角色群組是由幾個層所組成。為協助您了解建立角色群組時會發生什麼狀況,請查看以下建立新角色群組的範例。
New-RoleGroup -Name "Seattle Recipient Management" -Roles "Mail Recipients", "Distribution Groups", "Move Mailboxes", "UM Mailboxes" -CustomRecipientWriteScope "Seattle Users", -ManagedBy "Brian", "David", "Katie" -Members "Ray", "Jens", "Maria", "Chris", "Maira", "Carter", "Jesse", "Lukas", "Isabel", "Rick", "Katie"
執行上述命令時會發生下列情況:
會建立新的角色群組物件,該物件是名為「Seattle Recipient Management」的特殊 USG。
Ray、Jens、Maria、Chris、Maira、Carter、Jesse、Lukas、Isabel、Rick 和 Katie 的信箱會新增為爲角色群組的成員。這些使用者會收到此角色群組所提供的權限。
會將使用者 Brian 和 David 新增至角色群組的 ManagedBy 內容。這些使用者可以在角色群組中新增及移除成員,但不會獲得角色群組所提供的任何權限,因爲他們不是成員。也會將 Katie 新增至角色群組的 ManagedBy 內容。因爲她已新增至 ManagedBy 內容且為角色群組的成員,因此她可以在角色群組中新增或移除成員,也會收到角色群組所提供的權限。
會建立下列管理角色指派。角色指派會將命令中所指定的每個管理角色指派到角色群組。會將管理範圍「Seattle Users」新增至每個角色指派。每個角色指派的名稱是要指派的管理角色及角色群組名稱的組合。
Mail Recipients_Seattle Recipient ManagementDistribution Groups_Seattle Recipient ManagementMove Mailboxes_Seattle Recipient ManagementUM Mailboxes_Seattle Recipient Management
如果您將此命令的結果與本主題稍早的管理角色群組層圖相比較,便可看到每個步驟與角色群組層關聯之處。然後您可以參閱本主題稍早之「角色群組管理」中所示的管理角色群組管理主題,來管理每個角色群組層。
回到頁首
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。