Gerenciamento da Organização
Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Tópico modificado em: 2015-03-09
O Gerenciamento da Organização O grupo de funções de gerenciamento é um dos vários grupos de funções internos que constituem o modelo de permissões RBAC (Controle de Acesso Baseado em Função) no Microsoft Exchange Server 2010. Aos grupos de funções, são atribuídas uma ou mais funções de gerenciamento que contêm as permissões necessárias para executar um determinado conjunto de tarefas. Os membros de um grupo de funções recebem acesso às funções de gerenciamento atribuídas ao grupo de funções. Para saber mais sobre grupos de funções, consulte Entendendo os Grupos de Função de Gerenciamento.
Administradores que sejam membros do grupo de função Gerenciamento da Organização têm acesso administrativo à organização inteira do Microsoft Exchange Server 2010 e podem realizar quase qualquer tarefa em relação a qualquer objeto do Exchange 2010, com algumas exceções. Por padrão, os membros desse grupo de função não podem realizar pesquisas em caixas de correio nem gerenciar funções de gerenciamento de nível superior sem escopo. Para mais informações, consulte a seção "Atribuições de Função Apenas para Delegação" mais adiante neste tópico.
Importante
O grupo de função Gerenciamento da Organização é uma função muito poderosa e, por isso, somente usuários ou USGs (grupos de segurança universal) que realizam tarefas administrativas em nível organizacional com potencial para afetar a organização inteira do Exchange devem ser membros desse grupo de função.
Este grupo de função é equivalente à função Administradores da Organização do Exchange no Exchange Server 2007.
Para mais informações sobre o RBAC, consulte Noções Básicas Sobre Controle de Acesso Baseado em Função.
Associação de Grupo de Função
Por padrão, a conta usada para instalar o Exchange 2010 na organização é adicionada como membro do grupo de função Gerenciamento da Organização. Essa conta pode então adicionar outros membros ao grupo de função conforme a necessidade.
Se você quiser adicionar ou remover membros para ou deste grupo de funções, consulte estes tópicos:
Por padrão, somente membros do grupo de funções de Gerenciamento de Organização podem adicionar ou remover membros desse grupo de funções. Para obter mais informações sobre como adicionar representantes do grupo de função, consulte Adicionar ou Remover um Representante de Grupo de Função.
Você pode usar o comando a seguir para exibir uma lista de usuários ou USGs que sejam membros deste grupo de função.
Get-RoleGroupMember "Organization Management"
Para mais informações sobre os membros de um grupo de função, consulte Exibir os Membros de um Grupo de Função.
Personalização de Grupo de Função
Por padrão, funções de gerenciamento são atribuídas a esse grupo de funções. As funções incluídas são listadas na seção "Funções de Gerenciamento Atribuídas a este Grupo de Funções". Você pode adicionar ou remover as atribuições de funções para ou de esse grupo de função, de acordo com as necessidades da sua organização.
Os grupos de funções fornecidos com o Exchange 2010 são projetados para corresponder às tarefas mais granulares. Atribuindo funções a um grupo de função, você habilita os membros desse grupo de função a executar as tarefas associadas à função. Por exemplo, a função Registro no Diário habilita o gerenciamento do agente e das regras de Registro no Diário. Para saber mais sobre como as funções são atribuídas a grupos de funções, consulte Entendendo as Atribuições de Função de Gerenciamento.
As funções atribuídas a esse grupo de funções recebem escopos de gerenciamento padrão. Os escopos de gerenciamento determinam que objetos do Exchange podem ser exibidos ou modificados pelos membros de um grupo de função. Você pode alterar os escopos associados com atribuições entre funções e grupos de funções. Por exemplo, você pode querer fazer isso se desejar que somente membros de um grupo de função possam alterar destinatários que estejam em uma unidade organizacional específica ou em um local específico. Para mais informações sobre escopos de gerenciamento, consulte Noções Básicas Sobre Escopos da Função de Gerenciamento.
Para mais informações sobre como personalizar esse grupo de funções, consulte os seguintes tópicos:
Se desejar criar um grupo de funções e designar algumas funções atribuídas a este grupo de funções para o novo grupo de funções, confira Criar um Grupo de Função.
A seguir estão algumas maneiras que você pode querer usar para personalizar essa função:
Proprietário das permissões Se as permissões em sua organização forem controladas por um grupo específico que não seja o de administradores do Exchange, você pode criar um grupo de função e mover as atribuições de função regulares e de delegação da função de Gerenciamento de Função para o novo grupo de função. Isso impede que membros do grupo de função Gerenciamento da Organização gerenciem quaisquer permissões RBAC.
Permissões divididas do Active Directory Se a criação de entidades de segurança em sua organização, como contas de usuário, for controlada por um grupo específico que não seja o de administradores do Exchange, você pode criar um grupo de função e mover as atribuições de função regulares e de delegação da função de Criação de Destinatário de Email e da função de Criação de Grupo de Segurança e Associação para o novo grupo de função. Isso impede que membros do grupo de função Gerenciamento da Organização criem objetos do Active Directory. Eles podem, entretanto, continuar habilitando para email os novos objetos do Active Directory. Para mais informações sobre permissões divididas, consulte Noções Básicas sobre Permissão de Divisão.
Limitações da Personalização
Qualquer função pode ser adicionada ou removida desse grupo de função, com as seguintes limitações:
Toda função precisa ter ao menos uma atribuição de função de delegação para um grupo de função ou USG para que a atribuição de função de delegação possa ser removida desse grupo de função.
A função de Gerenciamento de Função precisa ter ao menos uma atribuição de função regular para um grupo de função ou USG para que a atribuição de função regular possa ser removida desse grupo de função.
Essas limitações têm como objetivo ajudar a impedir que você fique trancado acidentalmente do lado de fora do sistema. Ao requerer a existência de ao menos uma atribuição de função de delegação entre cada função e um ou mais grupos de função ou USGs, você sempre poderá atribuir funções a destinatários de função. Ao requerer a existência de ao menos uma atribuição de função regular entre a função de Gerenciamento de Função e um ou mais grupos de função ou USGs, você sempre poderá configurar grupos de função e atribuições de função.
Importante
Essas limitações exigem que grupos de função ou USGs sejam os destinos das atribuições de função regulares e de delegação. Você não pode remover uma atribuição de função de delegação ou a atribuição regular da função de Gerenciamento de Função se a última atribuição for a um usuário.
Atribuições de Função Apenas para Delegação
Algumas atribuições de função entre o grupo de função Gerenciamento da Organização e funções de gerenciamento, como Pesquisa de Caixa de Correio e Gerenciamento de Função sem Escopo, são atribuições de função apenas para delegação. Essas funções permitem o acesso a informações pessoais ou confidenciais, como o conteúdo de caixas de correio, ou permitem a criação de funções de gerenciamento sem escopo poderosas.
As atribuições de função apenas para delegação permitem que os membros do grupo de função Gerenciamento da Organização possam apenas atribuir as funções associadas a outros grupos de função, diretivas de atribuição de função de gerenciamento, usuários ou USGs. Os membros do grupo de função Gerenciamento da Organização não recebem, por padrão, quaisquer permissões que as funções oferecem. Isso ajuda a evitar a exposição acidental de informações pessoais ou a elevação acidental de privilégios.
Os membros do grupo de função Gerenciamento da Organização podem, no entanto, atribuir a si mesmos qualquer função, o que efetivamente permite a eles realizar qualquer tarefa. Por exemplo, um membro do grupo de função Gerenciamento da Organização pode atribuir a função Pesquisa de Caixa de Correio ao grupo de função Gerenciamento da Organização. Depois que atribuição de função é feita, membros do grupo de função Gerenciamento da Organização podem realizar tarefas habilitadas pela função de Pesquisa de Caixa de Correio.
Para mais informações sobre as atribuições de função de delegação, consulte Entendendo as Atribuições de Função de Gerenciamento.
Permissões Adicionais
As permissões concedidas a membros do grupo de função Gerenciamento da Organização são determinadas principalmente pelas funções de gerenciamento atribuídas ao grupo de função. Entretanto, nem todas as tarefas que você precisa realizar são cobertas por funções de gerenciamento. Algumas tarefas ocorrem fora das ferramentas de gerenciamento do Exchange e, portanto, o modelo de permissões RBAC não se aplica. Para essas tarefas, as permissões são fornecidas pela adição do grupo de função Gerenciamento da Organização às ACLs (listas de controle de acesso) de certos objetos do Active Directory.
As tarefas a seguir recebem as permissões por meio de ACLs em objetos do Active Directory e não pelas funções de gerenciamento atribuídas ao grupo de função Gerenciamento da Organização:
Executando DomainPrep e ForestPrep usando o Setup.exe
Implantar servidores adicionais na organização
Provisionar servidores usando instalação delegada
Criar, gerenciar e excluir pastas públicas de nível superior
Gerenciar permissões de pastas públicas de nível superior
Para ver todas as permissões concedidas ao grupo de função Gerenciamento da Organização por meio de ACLs, consulte Referência de permissões de implantação do Exchange 2010.
Funções de Gerenciamento Atribuídas a este Grupo de Função
A tabela a seguir lista todas as funções de gerenciamento que são atribuídas a este grupo de funções e os seguintes atributos de cada atribuição de função:
Atribuição regular Habilita os membros do grupo de funções a acessar as entradas de função de gerenciamento disponibilizadas pela função de gerenciamento associada.
Atribuição de delegação Habilita os membros do grupo de função a atribuir a função especificada a outros grupos de funções, diretivas de atribuição de função, usuários ou USGs.
Escopo de leitura do destinatário Determina quais membros dos objetos de destinatários do grupo de função tem permissão para ler do Active Directory.
Escopo de gravação do destinatário Determina quais membros dos objetos de destinatários do grupo de função tem permissão para fazer modificações no Active Directory.
Escopo de leitura da configuração Determina quais configurações e membros dos objetos de destinatários do grupo de função tem permissão para ler do Active Directory.
Escopo de gravação da configuração Determina quais membros dos objetos de destinatários e organizacionais do grupo de função tem permissão para fazer modificações no Active Directory.
Para mais informações sobre atribuições de função e escopos de gerenciamento, consulte os seguintes tópicos:
Funções de Gerenciamento atribuídas a este grupo de função
| Função de gerenciamento | Atribuição comum | Atribuição de delegação | Escopo de leitura do destinatário | Escopo de gravação do destinatário | Escopo de leitura da configuração | Escopo de gravação do destinatário |
|---|---|---|---|---|---|---|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
|
|
|
|
|
|
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
X |
X |
|
|
|
|
|
|
X |
|
|
|
|
|
|
X |
|
|
|
|
|
|
X |
|
|
|
|
|
|
X |
|
|
|
|
|
|
X |
|
|
|
|
|
|
X |
|
|
|
|
|
|
X |
|
|
|
|
|
|
X |
|
|
|
|
|
|
X |
|
|
|
|
© 2010 Microsoft Corporation. Todos os direitos reservados.