Noções Básicas Sobre Controle de Acesso Baseado em Função

Aplica-se a: Exchange Server 2010

Tópico modificado em: 2009-11-06

Role Based Access Control (RBAC) é o novo modelo de permissões no Microsoft Exchange Server 2010. Com RBAC, você não tem de modificar e dirigir listas de controle de acesso (ACLs), que foi feito noExchange Server 2007. O ACLs criou vários desafios Exchange 2007, como modificação de ACLs sem causar consequências não intencionais, mantendo modificações de ACL por upgrades, e investigando solucionar problemas que ocorreram devido ao uso do ACL em um modo não padrão.

O RBAC permite controlar, tanto a níveis amplos como a granulares, o que os administradores e os usuários finais podem fazer. O RBAC também permite alinhar mais estreitamente as funções que você atribui a usuários e administradores às funções reais que eles mantêm dentro da sua organização. No Exchange 2007, o modelo de permissões de servidor aplicou só aos administradores que dirigiram a infraestrutura do Exchange 2007. No Exchange 2010, RBAC agora controla tanto tarefas administrativas que podem ser executadas como a extensão à qual os usuários podem administrar agora a sua própria caixa do correio e grupos de distribuição.

O RBAC possui duas formas principais para associar permissões a usuários em sua organização, dependendo do tipo de usuário; administrador ou usuário especialista, ou usuário final: grupos de função de gerenciamento e diretivas de atribuição de função de gerenciamento. Cada método associa usuários com as permissões de que precisam para executar suas tarefas. Um terceiro, método mais avançado, nomeação de função de usuário direta, também pode ser usado. As seções a seguir neste tópico explicam RBAC e fornecem exemplos do seu uso.

Sumário

Gerenciamento de Grupo de Função

Diretivas de Atribuição de Função de Gerenciamento

Direcionar a atribuição de função de usuário

Resumo e exemplos

Para Obter Mais Informações

Gerenciamento de Grupo de Função

Grupos de função de Gerenciamento associam papéis de gerenciamento a um grupo de usuários de especialista ou administradores. Os administradores gerenciam uma configuração de organização ou destinatário ampla Exchange. Os usuários do especialista em gerenciar os recursos específicos do Exchange, como os de conformidade. Ou eles podem ter limitado capacidades de gerenciamento, como membros de Help desk, mas não são dados direitos administrativos amplos. Os grupos de função associam tipicamente funções de gerenciamento administrativos que permitem a administradores e usuários especialistas gerenciarem a configuração de sua organização e destinatários. Por exemplo, se os administradores podem gerenciar destinatários ou usar características de descoberta de caixa do correio é controlado usando grupos de função.

Soma ou remoção de usuários para ou de grupos de função são como você, muitas vezes, destina permissões a usuários especialistas ou administradores. Para obter mais informações, consulte Entendendo os Grupos de Função de Gerenciamento.

Os grupos de função são constituídos dos seguintes componentes que definem o que os administradores e os usuários especialistas podem fazer:

• Grupo de função de gerenciamento   O grupo de função de gerenciamento é um USG especial que contém caixas de correio que são membros do grupo de função. É nele que os adiciona e remove membros, e as funções de gerenciamento também são atribuídas a ele. A combinação de todas as funções em um grupo de função define tudo o que os usuários adicionados a um grupo de função podem gerenciar na organização do Exchange.
• Função de gerenciamento   Uma função de gerenciamento é um contêiner para um agrupamento de entradas de função de gerenciamento. As funções são usadas para definir as tarefas específicas que podem ser realizadas pelos membros de um grupo de função que atribuiu a função. Uma entrada de função de gerenciamento é um cmdlet, script ou permissão especial que permite que cada tarefa especificada em uma função seja realizada. Para obter mais informações, consulte Entendendo as Funções de Gerenciamento.
• Atribuição de função de gerenciamento   Uma atribuição de função de gerenciamento vincula uma função e um grupo de funções. Atribuir uma função a um grupo de funções concede aos membros do grupo de função a capacidade de usar cmdlets e parâmetros definidos na função de gerenciamento. As atribuições de função podem usar escopos de gerenciamento para controlar onde a atribuição pode ser usada. Para obter mais informações, consulte Entendendo as Atribuições de Função de Gerenciamento.
• Escopo de função de gerenciamento Um escopo de função de gerenciamento é o escopo de influência ou impacto em uma atribuição de função. Quando uma função é atribuída com um escopo a um grupo de função, o escopo de gerenciamento é direcionado especificamente aos objetos que essa atribuição tem permissão para gerenciar. A atribuição e seu escopo são dados aos membros do grupo de funções, e restringe o que esses membros podem gerenciar. Um escopo pode ser constituído de servidores, unidades organizacionais ou filtros em objetos de servidor ou destinatário. Para obter mais informações, consulte Noções Básicas Sobre Escopos da Função de Gerenciamento.

Quando você acrescenta um usuário a um grupo de funções, é dado ao usuário todas as funções destinadas ao grupo de funções. Se os escopos forem aplicados a alguma das nomeações de função entre o grupo de funções e as funções, esses escopos controlam qual configuração de servidor ou destinatários o usuário pode gerenciar.

Se você quiser modificar quais funções são destinadas a grupos de funções, você tem que modificar as nomeações de função que ligam os grupos de funções às funções. A menos que as nomeações incorporadas no Exchange 2010 não atendam suas necessidades, você não terá que modificar essas nomeações. Para obter mais informações, consulte Entendendo as Atribuições de Função de Gerenciamento.

Para obter mais informações sobre grupos de funções, consulte Entendendo os Grupos de Função de Gerenciamento.

Retornar ao início

Diretivas de Atribuição de Função de Gerenciamento

Diretivas de atribuição de função de gerenciamento associam funções de gerenciamento de usuários finais a usuários. As diretivas de atribuição de função consistem de funções que controlam o que um usuário pode fazer com a sua caixa do correio ou grupos de distribuição. Estas funções não permitem o gerenciamento de recursos que não estejam associados diretamente com o usuário. Quando você cria uma diretiva de atribuição de função, você define tudo que um usuário pode fazer com a sua caixa do correio. Por exemplo, uma diretiva de atribuição de função pode permitir que um usuário estabeleça o nome de exposição, defina o correio de voz e configure regras de Caixa de Entrada. Outra diretiva de atribuição de função poderia permitir que um usuário modificasse o endereço, usasse a transmissão de mensagens de texto e definisse grupos de distribuição. A cada usuário com uma caixa de correio Exchange 2010, incluindo administradores, é dado uma diretiva de atribuição de função por padrão. Você pode decidir que diretiva de atribuição de função deve ser destinada por padrão, para escolher o que a diretiva de atribuição de função por padrão deve incluir, substituir o padrão por certas caixas do correio, ou não atrinbuir diretivas de atribuição de função por padrão em absoluto.

Atribuir a um usuário uma diretiva de atribuição é como você, muitas vezes, gerencia permissões de usuários para gerenciar a sua própria caixa do correio e opções de grupo de distribuição. Para obter mais informações, consulte Entendendo as Diretivas de Atribuições de Função de Gerenciamento.

Diretivas de atribuição de função consiste dos seguintes componentes que definem o que os usuários podem fazer com as suas próprias caixas do correio. Observe que alguns dos mesmos componentes também se aplicam a grupos de funções. Quando usado com diretivas de atribuição de função, esses componentes são limitados a permitir que usuários gerenciarem apenas a sua própria caixa do correio:

• Diretiva de atribuição de função de gerenciamento   A diretiva de atribuição de função de gerenciamento é um objeto especial no Exchange 2010. Os usuários são associados a uma diretiva de atribuição de função quando suas caixas de correio são criadas, ou se você alterar a diretiva de atribuição de função em uma caixa de correio. Também é a ela que você atribui funções de gerenciamento de usuário final. A combinação de todas as funções em uma diretiva de atribuição de função define tudo o que o usuário pode gerenciar em sua caixa de correio ou em seus grupos de distribuição.
• Função de gerenciamento   Uma função de gerenciamento é um contêiner para um agrupamento de entradas de função de gerenciamento. As funções são usadas para definir as tarefas específicas que um usuário pode realizar em sua caixa de correio ou em seus grupos de distribuição. Uma entrada de função de gerenciamento é um cmdlet, script ou permissão especial que permite que cada tarefa especificada em uma função de gerenciamento seja realizada. Só é possível usar funções com diretivas de atribuição de função. Para obter mais informações, consulte Entendendo as Funções de Gerenciamento.
• Atribuição de função de gerenciamento   Uma atribuição de função de gerenciamento é o vínculo entre uma função e uma diretiva de atribuição de função. Atribuir uma função a uma diretiva de atribuição de função concede a capacidade de usar cmdlets e parâmetros definidos na função. Ao criar uma atribuição de função entre uma diretiva de atribuição de função e uma função, não é possível especificar um escopo. O escopo aplicado, a atribuição é tanto Self quanto MyGAL. Todas as atribuições de função são o escopo para a caixa de correio do usuário ou grupos de distribuição. Para obter mais informações, consulte Entendendo as Atribuições de Função de Gerenciamento.

Se você quiser modificar quais funções são destinadas a grupos de funções, você tem que modificar as nomeações de função que ligam os grupos de função às funções. Um menos que as atribuições construídas no Exchange 2010não atendem suas necessidades, você não terá que modificar essas atribuições. Para obter mais informações, consulte Entendendo as Atribuições de Função de Gerenciamento.

Para obter mais informações, consulte Entendendo as Diretivas de Atribuições de Função de Gerenciamento.

Retornar ao início

Direcionar a atribuição de função de usuário

Atribuição de função direta é um método avançado para atribuir funções de gerenciamento diretamente a um usuário ou USG sem usar um grupo de funções ou diretiva de atribuição de função. As atribuições de função diretas podem ser úteis quando você tem que fornecer um jogo granular de permissões a um usuário específico e a mais ninguém. Entretanto, usar atribuições de função direta pode aumentar significativamente a complexidade do seu modelo de permissões. Se um usuário mudar de emprego ou sair da empresa, você tem de retirar manualmente as atribuições e acrescentá-las ao novo funcionário. Recomendamos que você use grupos de funções para atribuir permissões a administradores e usuários especialistas e diretivas de atribuição para atribuir permissões a usuários.

Para obter mais informações sobre atribuição de usuário direto, consulte Entendendo as Atribuições de Função de Gerenciamento.

Retornar ao início

Resumo e exemplos

A figura a seguir mostra os componentes em RBAC e como eles se encaixam:

• Grupos de função:
  • Um ou mais administradores podem ser membros de um grupo de funções. Eles também podem ser membros de mais de um grupo de funções.
  • Ao grupo de funções é atribuído uma ou mais atribuições de função. Esses vinculam o grupo de funções a uma ou várias funções administrativas que definem que tarefas podem ser executadas.
  • As atribuições de função podem conter escopos de gerenciamento que definem onde os usuários do grupo de funções podem executar ações. Os escopos determinam onde os usuários do grupo de funções podem modificar a configuração.
• Diretivas de atribuição de função:
  • Um ou mais usuários podem ser associados a uma política de atribuição de função.
  • A política de atribuição de função é atribuída a uma ou mais atribuições de função. Esses vinculam a a política de atribuição de função a uma ou mais funções de usuário final. As funções de usuário final definem o que o usuário pode configurar na sua caixa do correio.
  • As atribuições de função entre as diretivas de atribuição da função e funções têm escopos integrados que restringem o escopo de atribuições para a própria caixa do correio do usuário ou grupos de distribuição.
• Atribuição de função direta (avançada):
  • Uma atribuição da função pode ser criada diretamente entre um usuário ou USG e uma ou várias funções. A função define quais tarefas o usuário ou USG pode executar.
  • As atribuições de função podem conter escopos de gerenciamento que definem onde os usuários ou USG podem executar ações. Os escopos determinam onde o usuário ou o USG pode modificar configuração.

Visão geral RBAC

Conforme mostrado na figura anterior, muitos componentes em RBAC estão relacionados entre si. É como cada componente é unido que define as permissões aplicadas a cada administrador ou usuário. Os exemplos a seguir fornecem algum contexto adicional sobre como os grupos de funções e as diretivas de atribuição de função são usados em uma organização.

Jane a administradora

Se Jane for uma administradora da empresa de médio porte, a Contoso. Ela é responsável por gerenciar destinatários da empresa no seu escritório de Vancouver. Quando o modelo de permissões de Contoso foi criado, Jane tornou-se um membro Gerenciamento de Destinatários - grupo de funções padrão de Vancouver. O Gerenciamento de Destinatários - grupo de funções personalizadas de Vancouver melhor correspondem aos serviços do seu cargo, que incluem a criação e a remoção de destinatários, como caixas do correio e contatos, sócio de grupo de distribuição gerente e propriedades de caixa do correio e tarefas semelhantes.

Além do Gerenciamento de Destinatários - o grupo de funções personalizadas Vancouver, Jane também precisa de uma diretiva de atribuição de função para gerenciar suas próprias configurações da sua caixa do correio. Os administradores de organização decidiram que todos os usuários, exceto a gerência sênior, recebem as mesmas permissões quando eles dirigem as suas próprias caixas do correio. Eles podem configurar o seu correio de voz, definir as diretivas de retenção, reinicializar a sua senha, e modificar a sua informação sobre endereço. A política de atribuição de função padrão fornecida com Exchange 2010 agora reflete esses requisitos.

Para permitir isso, considere o grupo de funções, que fornece permissões administrativas de Jane sobre os destinatários em Vancouver:

1. Um grupo de funções personalizado chamado Gerenciamento de Destinatários - Vancouver foi criado. Quando ele foi criado, ocorreu o seguinte:
   1. Ao grupo de funções foi atribuído todas as mesmas funções de gerenciamento que também são atribuídas ao grupo de funções integrado Gerenciamento de Destinatários. Isto dá a usuários adicionados ao Gerenciamento de Destinatários - o grupo de funções personalizadas de Vancouver as mesmas permissões que aqueles usuários adicionados ao grupo de função do Gerenciamento de Destinatários. No entanto, as etapas a seguir limitem onde eles podem usar essas permissões.
   2. O escopo de gerenciamento personalizado de Destinatários Vancouver foi criado, que combina apenas destinatários localizados em Vancouver. Isto foi feito criando um escopo que filtra na cidade de um usuário ou outra informação única.
   3. O grupo de funções foi criado com o escopo de gerenciamento personalizado de destinatários de Vancouver. Isto significa que enquanto os administradores acrescentaram Gerenciamento de Destinatários - o grupo de função personalizada de Vancouver tem permissões de gerenciamento completo de destinatários, eles só podem usar suas permissões contra destinatários baseados em Vancouver.
2. Jane é, então adicionada como membro do Gerenciamento de Destinatários - grupo de função personalizado Vancouver.
   Para obter mais informações sobre criar um grupo de funções personalizadas, consulte os seguintes tópicos:
   • Criar um Grupo de Função
   • Adicionar uma Função a um Grupo de Função
   • Alterar o Escopo de Atribuições de Função em um Grupo de Função
   • Adicionar Membros a um Grupo de Função
     Para dar a Jane a capacidade de gerenciar as suas próprias configurações de caixa do correio, uma diretiva de atribuição de função tem de ser configurada com as permissões solicitadas.
3. A diretiva de atribuição de função padrão é usada para oferecer aos usuários as permissões que eles precisam para configurar suas próprias caixa do correio. É feito o seguinte para oferecer essas permissões:
   • Todas as funções de usuário final são retiradas da diretiva de atribuição de função padrão, exceto: O MyBaseOptions, MyContactInformation, MyVoicemail, MyRetentionPolicies, e ResetPassword. MyBaseOptions está incluído porque esta função de gerenciamento fornece a funcionalidade de usuário básica no Microsoft Office Outlook Web App, como regras de Caixa de Entrada, configuração de calendário e outras tarefas.

Nada mais precisa ser feito porque à Jane já está atribuída diretiva de atribuição de função padrão. Isto significa que as modificações feitas na diretiva de atribuição de função são imediatamente aplicadas à sua caixa de correio e a quaisquer outras caixas de correio também é atribuída diretiva de atribuição de função padrão.

Para obter mais informações sobre personalização da diretiva de atribuição de função padrão, consulte Alterar a Diretiva de Atribuição Padrão.

Joe a especialista

Joe trabalha para a Contoso, a mesma empresa para a qual Jane trabalha. Ele é responsável por executar a descoberta legal, definindo as diretivas de retenção e configurando regras de transporte e registro da organização inteira. Como com Jane, quando o modelo de permissões para Contoso foi criado, Joe foi adicionada aos grupos de funções que cumprem seus deveres de emprego. O grupo de funções Gerenciamento de Registros fornece a Joe as permissões para configurar diretivas de retenção, registro e regras de transporte. O grupo de funções Gerenciamento de Descobertas fornece-lhe a capacidade de executar pesquisas de caixa de correio.

Como com Jane, Joe também precisa de permissões para gerenciar sua própria caixa de correio. Ele também recebe as mesmas permissões que Maria: Ele pode configurar o seu correio de voz, definir diretivas de retenção, re-configurar a sua senha e modificar sua informação sobre endereço.

Para dar a Joe as permissões para executar os seus deveres de emprego, Joe é adicionado aos grupos de função Gerenciamento de Registros e Gerenciamento de Descobertas. Os grupos de funções não precisam ser modificados de qualquer modo porque eles já fornecem a ele as permissões que ele precisa e os escopos de gerenciamento aplicados a eles abrangem toda a organização.

Para obter mais informações sobre adição de um usuário a um grupo de funções, consulte Adicionar Membros a um Grupo de Função.

À caixa de correio de Joe também é atribuída a mesma diretiva padrão que é aplicada par a caixa de correi da Jane. Isto dá-lhe todas as permissões que ele precisa para gerenciar os recursos de sua caixa do correio permitidos.

Isabel a vice-presidente

Isabel é a vice-presidente de marketing da Contoso. Isabel, como parte da equipe de liderança sênior de Contoso, tem mais permissões que o usuário médio. Isto inclui as permissões que ela tem para gerenciar a sua caixa do correio, com uma exceção: Isabel não pode gerenciar suas próprias diretivas de retenção por razões de implicações legais. Isabel pode configurar o seu correio de voz, modificar as suas informações sobre contato, trocar sua senha, mudar suas informação de perfil, criar e gerenciar os seus próprios grupos de distribuição e acrescentar ou retirar-se de grupos de distribuição existentes de outros.

Portanto, é dado a Isabel permissões diferentes em sua própria caixa de correio. À maioria dos usuários na Contoso é atribuída diretiva de atribuição padrão. Liderança sênior, no entanto, é atribuída à diretiva de atribuição de função de liderança sênior. É feito o seguinte para criar a diretiva de atribuição de função:

1. Uma diretiva de atribuição de função personalizada chamada liderança sênior é criada. A diretiva de atribuição de função é atribuída as funções do MyBaseOptions, MyContactInformation, MyVoicemail, ResetPassword, MyProfileInformation, MyDistributionGroupMembership, e MyDistributionGroups O MyBaseOptionsestá incluído porque esta função de gerenciamento fornece a funcionalidade de usuário básica no Outlook Web App, como regras de Caixa de Entrada, configuração de calendário e outras tarefas.
2. À Isabel é atribuída manualmente a diretiva de atribuição de função de Liderança.

A caixa do correio de Isabel agora tem permissões concedidas pela diretiva de atribuição de função de Liderança Sênior. Quaisquer modificações feitas a diretiva de atribuição de função são imediatamente aplicadas à sua caixa do correio e a quaisquer outras caixas de correio também atribuídas à diretiva de atribuição de função padrão.

Retornar ao início

Para Obter Mais Informações

Adicionar uma Diretiva de Atribuição

Alterar a Diretiva de Atribuição em uma Caixa de Correio

Adicionar uma Função a uma Diretiva de Atribuição