Descripción de los ámbitos de roles de administración

  • Artículo

 

Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Última modificación del tema: 2015-03-09

Los ámbitos de rol de administración permiten establecer el ámbito de impacto o influencia específico de un rol de administración cuando se crea una asignación de rol de administración. Cuando se aplica un ámbito, el usuario asignado a un rol solamente puede modificar los objetos contenidos en dicho ámbito. El usuario puede ser un grupo de roles de administración, un rol de administración, una directiva de rol de administración, un usuario o un grupo de seguridad universal (USG). Para obtener más información acerca de los roles de administración, consulte Descripción del control de acceso basado en funciones.

Cada rol de administración, ya sea integrado o personalizado, tiene ámbitos de administración. Los ámbitos de administración pueden ser:

  • Normal   El ámbito normal no es exclusivo. Éste determina dónde, en Active Directory, los usuarios asignados al rol de administración pueden ver o modificar los objetos. Por lo general, un rol de administración indica qué puede crear o modificar, y un ámbito de rol de administración indica dónde puede crear o modificar. Los ámbitos normales pueden ser implícitos o explícitos, conceptos que trataremos más adelante en este tema.

  • Exclusivo   El ámbito exclusivo funciona casi de igual manera que el ámbito normal. La diferencia principal es que permite negar a los usuarios el acceso a objetos que se encuentren dentro del ámbito exclusivo si a los usuarios no se les asigna un rol asociado con el ámbito exclusivo. Todos los ámbitos exclusivos son ámbitos explícitos y se tratarán más adelante en este tema.

    Para obtener más información sobre los ámbitos exclusivos, consulte Descripción de ámbitos exclusivos.

Los ámbitos se pueden heredar de un rol de administración, especificada como un ámbito relativo predefinido en una asignación de rol de administración, o se pueden crear mediante filtros personalizados y agregar a una asignación de rol de administración. Los ámbitos heredados de los roles de administración se llaman ámbitos implícitos y los ámbitos predefinidos y personalizados se llaman ámbitos explícitos. En las secciones siguientes se describe cada uno de los ámbitos:

  • Ámbitos implícitos

  • Ámbitos explícitos

  • Ámbitos relativos predefinidos

  • Ámbitos personalizados

    • Ámbitos de filtro de destinatarios

    • Ámbitos de configuración

Cada rol puede tener los siguientes tipos de ámbitos:

  • Ámbito de lectura de destinatario   El ámbito de lectura de destinatario implícito determina qué objetos de destinatario puede leer de Active Directory el usuario asignado a un rol de administración.

  • Ámbito de escritura de destinatario   El ámbito de escritura de destinatario implícito determina qué objetos de destinatario puede modificar de Active Directory el usuario asignado a un rol de administración.

  • Ámbito de lectura de configuración   El ámbito de lectura de configuración implícito determina qué objetos de configuración puede leer de Active Directory el usuario asignado a un rol de administración.

  • Ámbito de escritura de configuración   El ámbito de escritura de configuración implícita determina qué objetos de organización, de base de datos y de servidor tiene permitido modificar en Active Directory el usuario al que se le asigna el rol de administración.

Los objetos de destinatario pueden ser buzones, grupos de distribución, usuarios habilitados para correo y otros objetos. Los objetos de configuración incluyen servidores que ejecuten Microsoft Exchange Server 2010 y bases de datos ubicadas en servidores que ejecuten Exchange. Cada tipo de ámbito puede ser o implícito o explícito.

Ámbitos implícitos

Los ámbitos implícitos son ámbitos predeterminados que se aplican a un tipo de rol de administración. Como los ámbitos implícitos están asociados al tipo de rol de administración, todos los roles de administración principales y secundarios con mismo tipo de rol también tienen los mismos ámbitos implícitos. Los ámbitos implícitos se aplican tanto a los roles de administración integrados como a los personalizados. Para obtener más información acerca de los roles de administración y los tipos de roles de administración, consulte Descripción de las funciones de administración.

En la tabla siguiente se enumeran todos los ámbitos implícitos que se pueden definir en los roles de administración.

Ámbitos implícitos definidos en los roles de administración

Ámbitos implícitos Descripción

Organization

Si Organization está presente en el ámbito de escritura de destinatario, el rol puede crear o modificar objetos de destinatario en la organización de Exchange.

Si Organization está presente en el ámbito de lectura de destinatario, los roles pueden ver objetos de destinatario en la organización de Exchange.

Este ámbito se usa solamente con ámbitos de lectura y escritura de destinatario.

MyGAL

Si MyGAL está presente en el ámbito de escritura de destinatario del rol, el rol puede ver las propiedades de cualquier destinatario dentro de la lista global de direcciones (GAL) actual del usuario.

Si MyGAL está presente en el ámbito de lectura del destinatario del rol, el rol puede ver las propiedades de cualquier destinatario dentro de la lista global de direcciones (GAL) actual.

Este ámbito se usa solo con ámbitos de lectura de destinatario.

Self

Si Self está presente en el ámbito de escritura de destinatario del rol, el rol solo puede modificar las propiedades del buzón de correo del usuario actual.

Si Self está presente en el ámbito de lectura de destinatario del rol, el rol solamente puede modificar las propiedades del buzón de correo del usuario actual.

Este ámbito se usa solamente con ámbitos de lectura y escritura de destinatario.

MyDistributionGroups

Si MyDistributionGroups está presente en el ámbito de escritura de destinatario del rol, el rol puede crear o modificar objetos de listas de distribución que pertenezcan al usuario actual.

Si MyDistributionGroups está presente en el ámbito de lectura de destinatario del rol, el rol puede ver objetos de listas de distribución que pertenezcan al usuario actual.

Este ámbito se usa solamente con ámbitos de lectura y escritura de destinatario.

OrganizationConfig

Si OrganizationConfig está presente en el ámbito de escritura de configuración del rol, este puede crear o modificar objetos de configuración de base de datos o servidores en la organización de Exchange.

Si OrganizationConfig está presente en el ámbito de lectura de configuración del rol, este puede ver objetos de configuración de la base de datos o servidores en la organización de Exchange.

Este ámbito solo se usa con los ámbitos de lectura y escritura de configuración.

None

Si None está en un ámbito, ese ámbito no estará disponible para el rol. Por ejemplo, un rol que tiene None en el ámbito de escritura de destinatario no puede modificar los objetos de destinatario en la organización de Exchange.

Si se asigna un rol a un usuario y no se especifican ámbitos predefinidos o personalizados, los ámbitos implícitos definidos en el rol se usan para controlar los objetos de destinatario o de organización que el usuario puede ver o modificar.

El ámbito de escritura implícito de un rol siempre es igual o menor que el ámbito de lectura implícito. Esto significa que un rol nunca puede modificar los objetos que el ámbito no puede ver.

No puede cambiar los ámbitos implícitos definidos en los roles de administración. Sin embargo, se pueden invalidar el ámbito de escritura implícito y el ámbito de configuración en un rol de administración. Cuando se usa un ámbito relativo predefinido o un ámbito personalizado en una asignación de rol, se invalida el ámbito de escritura implícito del rol y el nuevo ámbito adquiere prioridad. El ámbito de lectura implícito de un rol no se puede invalidar y siempre se aplica. Para obtener más información, consulte Ámbitos relativos predefinidos y Ámbitos personalizados.

Expanda la siguiente tabla para consultar la lista de todos los roles de administración integrados con sus ámbitos implícitos. Para obtener más información sobre cada rol integrado, consulte Funciones integradas de administración.

Ámbitos implícitos de los roles de administración integrados

Rol de administración Ámbito de lectura de destinatario Ámbito de escritura de destinatario Ámbito de lectura de configuración Ámbito de escritura de configuración

Active Directory Permissions

Organization

Organization

OrganizationConfig

OrganizationConfig

Address Lists

Organization

Organization

OrganizationConfig

OrganizationConfig

ApplicationImpersonation

Organization

Organization

None

None

Audit Logs

Organization

Organization

OrganizationConfig

OrganizationConfig

Cmdlet Extension Agents

Organization

Organization

OrganizationConfig

OrganizationConfig

Database Availability Groups

Organization

Organization

OrganizationConfig

OrganizationConfig

Database Copies

Organization

Organization

OrganizationConfig

OrganizationConfig

Databases

Organization

Organization

OrganizationConfig

OrganizationConfig

Disaster Recovery

Organization

Organization

OrganizationConfig

OrganizationConfig

Distribution Groups

Organization

Organization

OrganizationConfig

OrganizationConfig

Edge Subscriptions

Organization

Organization

OrganizationConfig

OrganizationConfig

E-Mail Address Policies

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Server Certificates

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Servers

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Virtual Directories

Organization

Organization

OrganizationConfig

OrganizationConfig

Federated Sharing

Organization

Organization

OrganizationConfig

OrganizationConfig

Information Rights Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Journaling

Organization

Organization

OrganizationConfig

OrganizationConfig

Legal Hold

Organization

Organization

OrganizationConfig

None

Mail Enabled Public Folders

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Recipient Creation

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Recipients

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Tips

Organization

Organization

OrganizationConfig

OrganizationConfig

Mailbox Import Export

Organization

Organization

OrganizationConfig

OrganizationConfig

Mailbox Search

Organization

Organization

None

None

Message Tracking

Organization

Organization

OrganizationConfig

OrganizationConfig

Migration

Organization

Organization

OrganizationConfig

OrganizationConfig

Monitoring

Organization

Organization

OrganizationConfig

OrganizationConfig

Move Mailboxes

Organization

Organization

OrganizationConfig

OrganizationConfig

MyAddressInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyBaseOptions

Self

Self

OrganizationConfig

OrganizationConfig

MyContactInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyDiagnostics

Self

Self

OrganizationConfig

OrganizationConfig

MyDisplayName

Self

Self

OrganizationConfig

OrganizationConfig

MyDistributionGroupMembership

MyGAL

MyGAL

None

None

MyDistributionGroups

MyGAL

MyDistributionGroups

OrganizationConfig

None

MyMobileInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyName

Self

Self

OrganizationConfig

OrganizationConfig

MyPersonalInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyProfileInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyRetentionPolicies

Self

Self

OrganizationConfig

OrganizationConfig

MyTextMessaging

Self

Self

OrganizationConfig

OrganizationConfig

MyVoiceMail

Self

Self

OrganizationConfig

OrganizationConfig

Organization Client Access

Organization

Organization

OrganizationConfig

OrganizationConfig

Organization Configuration

Organization

Organization

OrganizationConfig

OrganizationConfig

Organization Transport Settings

Organization

Organization

OrganizationConfig

OrganizationConfig

POP3 And IMAP4 Protocols

Organization

Organization

OrganizationConfig

OrganizationConfig

Public Folder Replication

Organization

Organization

OrganizationConfig

OrganizationConfig

Public Folders

Organization

Organization

OrganizationConfig

OrganizationConfig

Receive Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Recipient Policies

Organization

Organization

OrganizationConfig

OrganizationConfig

Remote and Accepted Domains

Organization

Organization

OrganizationConfig

OrganizationConfig

Retention Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Role Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Security Group Creation and Membership

Organization

Organization

OrganizationConfig

OrganizationConfig

Send Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Support Diagnostics

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Agents

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Hygiene

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Queues

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Rules

Organization

Organization

OrganizationConfig

OrganizationConfig

UM Mailboxes

Organization

Organization

OrganizationConfig

OrganizationConfig

UM Prompts

Organization

Organization

OrganizationConfig

OrganizationConfig

Unified Messaging

Organization

Organization

OrganizationConfig

OrganizationConfig

UnScoped Role Management

Organization

Organization

OrganizationConfig

OrganizationConfig

User Options

Organization

Organization

OrganizationConfig

OrganizationConfig

View-Only Audit Logs

Organization

None

OrganizationConfig

None

View-Only Configuration

Organization

None

OrganizationConfig

None

View-Only Recipients

Organization

None

OrganizationConfig

None

Ámbitos explícitos

Los ámbitos explícitos son ámbitos que se establecen para controlar qué objetos puede modificar un rol de administración. Aunque que los ámbitos implícitos se definen en un rol de administración, los ámbitos explícitos se definen en una asignación de rol de administración. Esto permite aplicar los ámbitos implícitos de manera coherente en todos los roles de administración a menos que decida usar un ámbito de invalidación explícito. Para obtener más información acerca de asignaciones de roles de administración, consulte Descripción de las asignaciones de funciones de administración.

Los ámbitos explícitos invalidan los ámbitos de escritura y de configuración implícitos de un rol de administración. Sin embargo, no invalidan el ámbito de lectura implícito de un rol de administración. El ámbito de lectura implícito define qué objetos puede leer el rol de administración.

Los ámbitos explícitos son útiles cuando el ámbito de escritura implícito de un rol de administración no satisface las necesidades de su empresa. Puede agregar un ámbito explícito para incluir casi cualquier cosa que desee, siempre y cuando el nuevo ámbito no sobrepase los límites del ámbito de lectura implícito. Para poder crear o modificar objetos, los cmdlets que forman parte de un rol de administración tienen que poder leer la información sobre los objetos o los contenedores que contienen objetos. Por ejemplo, si el ámbito de lectura implícito en un rol de administración está configurado en Self, no se puede agregar un ámbito de escritura explícito de Organization porque el ámbito de escritura explícito sobrepasa los límites del ámbito de lectura implícito.

Para obtener más información, consulte las siguientes secciones:

  • Ámbitos relativos predefinidos

  • Ámbitos personalizados

Ámbitos relativos predefinidos

Exchange 2010 incluye varios ámbitos de escritura relativos predefinidos que se pueden usar para modificar los ámbitos del rol de administración. Los ámbitos relativos predefinidos brindan una solución sencilla para satisfacer mejor las necesidades de su empresa sin tener que crear ámbitos personalizados en forma manual. Se llaman ámbitos relativos porque son relativos al usuario al que está asignada la asignación del rol de administración. Por ejemplo, el ámbito relativo predefinido Self restringe ese ámbito de escritura solo al usuario actual. El ámbito relativo predefinido MyDistributionGroups restringe el ámbito de escritura solo al grupo de distribución que tiene en usuario actual. Los ámbitos relativos predefinidos solo se pueden usar para objetos de ámbitos de destinatarios. Los ámbitos relativos predefinidos no se pueden usar para objetos de ámbitos de configuración. En la tabla siguiente se enumeran los ámbitos relativos predefinidos que puede usar.

Ámbitos relativos predefinidos

Ámbitos implícitos Descripción

Organization

Si Organization está presente en el ámbito de escritura de destinatario, el rol puede crear o modificar objetos de destinatario en la organización de Exchange.

Si Organization está presente en el ámbito de lectura de destinatario, los roles pueden ver objetos de destinatario en la organización de Exchange.

Este ámbito se usa solamente con ámbitos de lectura y escritura de destinatario.

Self

Si Self está presente en el ámbito de escritura de destinatario del rol, el rol solo puede modificar las propiedades del buzón de correo del usuario actual.

Si Self está presente en el ámbito de lectura de destinatario del rol, el rol solamente puede modificar las propiedades del buzón de correo del usuario actual.

Este ámbito se usa solamente con ámbitos de lectura y escritura de destinatario.

MyDistributionGroups

Si MyDistributionGroups está presente en el ámbito de escritura de destinatario del rol, el rol puede crear o modificar objetos de listas de distribución que pertenezcan al usuario actual.

Si MyDistributionGroups está presente en el ámbito de lectura de destinatario del rol, el rol puede ver objetos de listas de distribución que pertenezcan al usuario actual.

Este ámbito se usa solamente con ámbitos de lectura y escritura de destinatario.

Los ámbitos relativos predefinidos se aplican cuando crea una nueva asignación de rol de administración. Durante la creación de la asignación del rol, con el cmdlet New-ManagementRoleAssignment, puede especificar un ámbito relativo predefinido mediante el parámetro RecipientRelativeWriteScope. Cuando se crea la asignación del nuevo rol, el nuevo rol predefinido invalida el ámbito de escritura implícito del rol de administración. No puede especificar un ámbito de destinatario personalizado cuando crea una asignación de rol con un ámbito relativo predefinido. Sin embargo, puede especificar un ámbito de configuración personalizado si es necesario.

Para obtener más información acerca de cómo agregar una asignación de rol de administración con un ámbito relativo predefinido, consulte Agregar una función a un usuario o grupo de seguridad universal.

Ámbitos personalizados

Los ámbitos personalizados son necesarios cuando ni los ámbitos de escritura implícitos ni los ámbitos relativos predefinidos satisfacen las necesidades de su empresa. Los ámbitos personalizados le permiten definir de manera individualizada en qué ámbito se aplicará su rol de administración. Por ejemplo, aplicarla a una unidad organizacional específica (OU), un tipo de destinatario específico o ambos. O puede solamente querer permitir a un grupo de administradores tener a posibilidad de administrar un conjunto específico de bases de datos de buzones de correo.

Así como sucede con los ámbitos relativos predefinidos, los ámbitos personalizados invalidan los ámbitos de escritura y organización de configuración implícitos definidos por roles de administración. El ámbito de lectura implícito de los roles de administración se sigue aplicando; el ámbito personalizado resultante no debe superar los límites del ámbito de lectura implícito. Puede crear los siguientes tres tipos de ámbitos personalizados:

  • Ámbito OU   El ámbito OU, que es el ámbito personalizado más simple, se crea al utilizar el parámetro RecipientOrganizationalUnitScope en el cmdlet New-ManagementRoleAssignment. Al especificar un ámbito OU cuando se asigna un rol, el usuario asignado al rol puede modificar solamente los objetos de destinatario dentro de ese OU. Para obtener más información acerca de cómo agregar una asignación de rol de administración con un ámbito OU, consulte Agregar una función a un usuario o grupo de seguridad universal.

  • Ámbito de filtros de destinatarios   Los ámbitos de filtros de destinatarios utilizan filtros orientados a destinatarios específicos según el tipo de destinatario y otras propiedades, como departamento, gerente, ubicación, etc. Para obtener más información, consulte la sección Ámbitos de filtro de destinatarios.

  • Ámbito de configuración Los ámbitos de configuración usan filtros o listas orientados a servidores específicos basados en listas de servidores o propiedades filtrables que se pueden definir en servidores, como un sitio Active Directory o un rol de servidor. En Service Pack 1 (SP1) de Exchange 2010, los ámbitos de configuración además pueden utilizar ámbitos de bases de datos orientados a bases de datos específicas de listas de bases de datos o propiedades de bases de datos que se pueden filtrar. Para obtener más información, consulte la sección Ámbitos de configuración.

Se pueden crear ámbitos personalizados simples, amplios o complejos, con destinatarios granulares y de configuración con el cmdlet New-ManagementScope. Cuando crea un ámbito de destinatario o de configuración, solo devuelven los objetos de destinatarios, de servidores o de bases de datos que coinciden con sus respectivos ámbitos. Cuando estos ámbitos se aplican a una asignación de rol mediante los cmdlets New-ManagementRoleAssignment oSet-ManagementRoleAssignment, los usuarios asignados al rol solo pueden modificar los objetos que coinciden con los ámbitos. Después de que se crea un ámbito personalizado, no puede cambiar el tipo de ámbito. Un ámbito de destinatario siempre será un ámbito de destinatario y un ámbito de configuración siempre será un ámbito de configuración.

De manera predeterminada, un ámbito personalizado habilita un usuario para que tenga acceso a un conjunto de objetos que coinciden con los ámbitos establecidos. Sin embargo, estos no excluyen de manera activa a otros usuarios que no tengan asignado el mismo ámbito o alguno equivalente. Cualquier ámbito personalizado puede tener acceso a los mismos objetos si las listas o los filtros de esos ámbitos coinciden con los mismos objetos. Quizá desea que esto no ocurra con algunos objetos, por ejemplo en el caso de los empleados de alta jerarquía, tales como los ejecutivos. En ese caso, puede definir ámbitos exclusivos para dichos objetos. Los ámbitos exclusivos usan filtros o listas del mismo modo que los ámbitos normales. La diferencia radica en que los ámbitos exclusivos niegan acceso a los objetos incluidos en el ámbito a cualquiera que no forme parte de ese mismo ámbito o de uno equivalente. Para obtener más información sobre los ámbitos exclusivos, consulte Descripción de ámbitos exclusivos.

Ámbitos de filtro de destinatarios

Los ámbitos de filtro de destinatarios le permiten controlar los usuarios a los que se les asigna un rol de objetos de destinatarios mediante la evaluación de una o más propiedades de un objeto de destinatario con el valor que se especifica en la declaración de filtros. Los destinatarios incluidos en ámbitos de destinatarios son buzones de correo, usuarios habilitados para correo, grupos de distribución y contactos de correo. Los usuarios asignados a roles a quienes se les asigna esa asignación de roles pueden administrar solo a los destinatarios que coinciden con el filtro que especifica. Un ejemplo de instrucción de filtros es { Name -Eq "David" } donde Name es la propiedad del objeto del destinatario que se está evaluando y David es el valor que desea evaluar con las propiedades. El operador de comparaciones de -Eq indica que el valor almacenado en las propiedades debe ser igual al valor especificado para que el filtro sea verdadero. Si el filtro es verdadero, ese destinatario se incluye en el ámbito.

Los ámbitos de filtros de destinatarios se crean al especificar el filtro de destinatario a utilizar con el parámetro RecipientRestrictionFilter en el cmdlet New-ManagementScope. De manera predeterminada, el cmdlet de New-ManagementScope crea ámbitos regulares. Si desea crear un ámbito exclusivo, incluya el conmutador Exclusive junto con el parámetro RecipientRestrictionFilter.

Cuando cree un filtro de restricción de destinatarios, Exchange evaluará el filtro proporcionado con cada objeto del destinatario en la organización de manera predeterminada. Si desea limitar los destinatarios que evalúa el ámbito, puede utilizar el parámetro RecipientRoot junto con el parámetro RecipientRestrictionFilter. El parámetro RecipientRoot acepta una unidad organizativa. Cuando utiliza el parámetro RecipientRoot, Exchangesolo evalúa los destinatarios incluidos en la unidad organizativa especificada con el filtro proporcionado.

Cuando agrega un ámbito de filtro de destinatario a una asignación de roles, especifique el nombre del ámbito del destinatario en el parámetro CustomRecipientWriteScope en New-ManagementRoleAssignment si está creando una nueva asignación de rol o el cmdlet Set-ManagementRoleAssignment si está actualizando una asignación de roles existente. Cada asignación de rol puede tener un ámbito de destinatario, incluidos ámbitos relativos predefinidos. Puede agregar un ámbito de configuración con la misma asignación de roles a la que agregó un ámbito de destinatario.

Para obtener más información sobre sintaxis de filtros y una lista completa de propiedades de destinatarios que se pueden filtrar en los destinatarios, consulte Descripción de filtros de ámbito de funciones de administración.

Ámbitos de configuración

Los siguientes son los dos tipos de ámbitos de la configuración que se ofrecen en Exchange 2010:

  • Ámbitos de servidores   Existen dos tipos de ámbitos de servidores, ámbitos de filtros de servidores y ámbitos de listas de servidores. La configuración de servidores que se puede administrar si se incluye un objeto de servidores en un ámbito de servidores comprende conectores de recepción, colas de transporte, certificados de servidores, directorios virtuales, etc.

    • Ámbitos de filtros de servidores   Los ámbitos de filtro de servidores le permiten controlar los usuarios a los que se les asigna un rol de objetos de destinatarios mediante la evaluación de una o más propiedades de un objeto de servidores con el valor que se especifica en la declaración de filtros. Para crear un ámbito de filtro de servidores, utilice el parámetro ServerRestrictionFilter en el cmdlet New-ManagementScope.

    • Ámbitos de listas de servidores   Los ámbitos de listas de servidores le permiten controlar qué usuarios a los que se les asigna roles de objetos pueden administrar mediante la definición de una lista de servidores al que puede tener acceso el usuario al que se le asigna roles. Para crear un ámbito de listas de servidores, utilice el parámetro ServerList en el cmdlet New-ManagementScope.

  • Ámbitos de bases de datos   Existen dos tipos de ámbitos de bases de datos, ámbitos de filtros de bases de datos y ámbitos de listas de bases de datos. La configuración de la base de datos que se puede administrar si el objeto de la base de datos está incluido en un ámbito de base de datos comprende límites de cuota de base de datos, mantenimiento de base de datos, replicación de carpetas públicas, si la base de datos está montada, etc. Además de la configuración de la base de datos, los ámbitos de bases de datos también se pueden utilizar para controlar los destinatarios de bases de datos en los que se pueden crear. Los ámbitos de bases de datos solo están disponibles en SP1 de Exchange 2010.

    • Ámbitos de filtros de bases de datos   Los ámbitos de filtro de bases de datos le permiten controlar los usuarios a los que se les asigna un rol de objetos de destinatarios mediante la evaluación de una o más propiedades de un objeto de bases de datos con el valor que se especifica en la declaración de filtros. Para crear un ámbito de filtro de base de datos, utilice el parámetro DatabaseRestrictionFilter en el cmdlet New-ManagementScope.

    • Ámbitos de listas de bases de datos   Los ámbitos de listas de bases de datos le permiten controlar qué usuarios a los que se les asigna roles de objetos pueden administrar mediante la definición de una lista de bases de datos a la que puede tener acceso el usuario al que se le asigna roles. Para crear un ámbito de lista de base de datos, utilice el parámetro DatabaseList en el cmdlet New-ManagementScope.

Para obtener más información sobre sintaxis de filtros y una lista completa de propiedades de bases de datos y servidores que se pueden filtrar, consulte Descripción de filtros de ámbito de funciones de administración.

Se pueden definir listas de bases de datos y servidores al especificar cada servidor y base de datos que desea incluir en sus respectivos ámbitos. Se pueden especificar varias bases de datos o varios servidores múltiples en sus ámbitos respectivos al separar los nombres de la base de datos y el servidor con comas.

Cuando agrega un ámbito de configuración de base de datos o servidor a una asignación de roles, especifique el nombre del ámbito de configuración de base de datos o servidor en el parámetro CustomConfigWriteScope en el cmdlet New-ManagementRoleAssignment si está creando una nueva asignación de rol o en el cmdlet Set-ManagementRoleAssignment si está actualizando una asignación de roles existente. Cada asignación de rol solo puede tener un ámbito de configuración.

Además de controlar los usuarios a los que se les asigna un rol de base de datos que pueden administrar, los ámbitos de bases de datos además lo habilitan para controlar qué usuarios a los que se les asigna un rol de base de datos pueden crear buzones de correo. Esto es independiente del control de los destinatarios que puede administrar un usuario al que se le asigna un rol. Si el usuario al que se le asigna un rol tiene permiso para crear un nuevo buzón de correo, habilitar para correo un usuario existente o mover buzones de correo, podrá refinar aún más los permisos si utiliza ámbitos de bases de datos para controlar la base de datos en la que se ha creado el buzón de correo o la base de datos a la que se moverá el buzón de correo. El control de los destinatarios que puede administrar un usuario al que se le asigna un rol se realiza mediante el ámbito del destinatario especificado en el parámetro CustomRecipientWriteScope en New-ManagementRoleAssignment o el cmdletSet-ManagementRoleAssignment. El control de las bases de datos que puede crear o mover un buzón de correo se controla mediante el ámbito de la base de datos especificado en el parámetro CustomConfigurationWriteScope en los mismos cmdlets.

Nota

La distribución automática de buzón se puede controlar mediante el uso de ámbitos de la base de datos. Para obtener más información, consulte Descripción de la distribución automática de buzones.

Exchange 2010 Las funciones de SP1 pueden necesitar ámbitos de bases de datos y servidores o ambos para administrar. Si la función necesita que se administren los ámbitos de bases de datos y servidores, se deberán crear dos asignaciones de roles y se deberán asignar al usuario al que se le asigna un rol que debería tener acceso para administrar la función. Se debería asociar una asignación de roles con el ámbito de servidores y se debería asociar una asignación de roles con el ámbito de la base de datos.

Algunos cmdlets pueden utilizar ámbitos de configuración que no son inmediatamente obvios. La siguiente tabla contiene una lista de cmdlets y los ámbitos de configuración que puede utilizar para controlar su uso. En el caso de los cmdlets incluidos en el área de funciones de destinatarios, los ámbitos de configuración le permiten controlar las bases de datos en las que se pueden crear destinatarios. No controlan los destinatarios que pueden administrar. La columna ámbitos necesarios puede contener lo siguiente:

  • Base de datos  Para ejecutar el cmdlet, se le debe asignar al usuario al que se asigna un rol una asignación de roles con un ámbito de base de datos que comprenda la base de datos a administrar o el ámbito de escritura de configuración implícito del rol debe incluir la base de datos que se administrará.

  • Servidor  Para ejecutar el cmdlet, se le debe asignar al usuario al que se asigna un rol una asignación de roles con un ámbito de servidores que comprenda el servidor a administrar o el ámbito de escritura de configuración implícito del rol debe incluir el servidor que se administrará.

  • Servidor o base de datos   Para ejecutar el cmdlet, se le debe asignar al usuario al que se asigna un rol una asignación de roles con un ámbito de base de datos que incluya la base de datos a administrar o donde el ámbito de servidores incluya el servidor donde se ubica la base de datos. O el ámbito de escritura de configuración implícita del rol debe contener una base de datos a administrar o contener al servidor en donde se ubica la base de datos y la asignación de rol no puede tener un ámbito de escritura personalizado.

  • Servidor y base de datos   Para ejecutar este cmdlet, se le debe asignar al usuario al que se asigna un rol dos asignaciones de roles. La primera asignación de roles debe incluir un ámbito de base de datos que incluya la base de datos que se administrará. La segunda asignación de roles debe incluir un ámbito de servidores que incluya al servidor donde se ubica la base de datos. Las asignaciones de roles pueden tener ámbitos de configuración personalizados definidos o las asignaciones de roles pueden heredar ámbitos de escritura de configuración implícita del rol. Para heredar el ámbito de escritura implícita del rol, la asignación de roles no puede tener un ámbito de escritura personalizado.

Ámbitos de servidores, base de datos aplicable y áreas de funciones

Área de funciones Cmdlet Ámbitos necesarios

Bases de datos

Clean-MailboxDatabase

Base de datos

Bases de datos

Dismount-Database

base de datos

Bases de datos

Mount-Database

base de datos

Bases de datos

Move-DatabasePath

Servidor y base de datos

Bases de datos

Remove-MailboxDatabase

Servidor o base de datos

Bases de datos

Remove-PublicFolderDatabase

Servidor o base de datos

Bases de datos

Set-MailboxDatabase

base de datos

Bases de datos

Set-PublicFolderDatabase

Base de datos

Alta disponibilidad

Add-DatabaseAvailabilityGroupServer

Servidor

Alta disponibilidad

Add-MailboxDatabaseCopy

Servidor

Alta disponibilidad

Move-ActiveMailboxDatabase

Servidor

Alta disponibilidad

New-DatabaseAvailabilityGroup

Servidor

Alta disponibilidad

Remove-DatabaseAvailabilityGroup

Servidor

Alta disponibilidad

Remove-DatabaseAvailabilityGroupServer

Servidor

Alta disponibilidad

Remove-MailboxDatabaseCopy

Servidor o base de datos

Alta disponibilidad

Resume-MailboxDatabaseCopy

Servidor o base de datos

Alta disponibilidad

Set-DatabaseAvailabilityGroup

Servidor

Alta disponibilidad

Set-MailboxDatabaseCopy

Servidor o base de datos

Alta disponibilidad

Start-DatabaseAvailabilityGroup

Servidor

Alta disponibilidad

Stop-DatabaseAvailabilityGroup

Servidor

Alta disponibilidad

Suspend-MailboxDatabaseCopy

Servidor o base de datos

Alta disponibilidad

Update-MailboxDatabaseCopy

Servidor o base de datos

Destinatarios

Connect-Mailbox

base de datos

Destinatarios

Enable-Mailbox

base de datos

Destinatarios

New-Mailbox

base de datos

Destinatarios

New-MoveRequest

base de datos

Solución de problemas

Test-MapiConnectivity

base de datos

Ámbitos de la base de datos e instalaciones de Service Pack 1 de anteriores a Exchange 2010

Los ámbitos de bases de datos son nuevos en SP1 de Exchange 2010. La versión de fabricación (RTM) de Exchange 2010 solo admite ámbitos de destinatarios y ámbitos de configuración de servidores. Cuando crea un nuevo ámbito de base de datos en un servidor SP1 de Exchange 2010, recibirá la siguiente advertencia:

WARNING: Database management scopes will only apply when connected to a server running Exchange 2010 SP1 or greater.
Exchange 2010 RTM servers will not apply any roles from a role assignment linked to a database scope. Database
management scopes will also not be visible to reporting cmdlets (Get-ManagementScope) when executed from an Exchange
2010 RTM server.

Cuando crea un ámbito de base de datos, solo se aplicará a los usuarios que se conecten a los servidores que ejecutan SP1 de Exchange 2010. Los usuarios que se conectan a los servidores que ejecutan RTM de Exchange 2010 no tendrán asignaciones de roles asociadas con ámbitos de bases de datos aplicados a ellos. Significa que no se otorgarán a los usuarios todos los permisos proporcionados por estas asignaciones de roles cuando estos se conecten a los servidores RTM de Exchange 2010. Los ámbitos de bases de datos no se pueden crear, quitar, modificar ni visualizar desde los servidores RTM de Exchange 2010.

El ámbito de la base de datos puede incluir cualquier base de datos en su organización de Exchange. Esto incluye Exchange Server 2007 y RTM de Exchange 2010. Lo habilita a controlar las bases de datos que pueden administrar los usuarios, independientemente de la versión de Exchange. Al igual que otros ámbitos de bases de datos, las asignaciones de roles asociadas con ámbitos de bases de datos que contienen bases de datos RTM de Exchange 2007 y Exchange 2010 solo se aplican a los usuarios cuando se conectan con un servidor SP1 de Exchange 2010.

Los usuarios que se conectan a un servidor RTM de Exchange 2010 pueden ver y modificar asignaciones de roles asociadas con ámbitos de bases de datos. Esto incluye el cambio de ámbito de configuración en una asignación de roles existente a un ámbito de servidor si en la actualidad está asociado con un ámbito de base de datos. No obstante, si el ámbito de configuración de una asignación de roles se cambia a un ámbito de servidor y, posteriormente, un usuario quiere que vuelva a ser un ámbito de base de datos, o si el usuario desea cambiar el ámbito de configuración a otro ámbito de base de datos, el usuario debe efectuar el cambio mientras está conectado con un servidor Exchange 2010 SP1. Los usuarios solamente pueden especificar ámbitos de servidor cuando cambian el ámbito de configuración de una asignación de roles si están conectados a un servidor RTM de Exchange 2010.

 © 2010 Microsoft Corporation. Reservados todos los derechos.