Gerenciamento de Organização
Aplica-se a: Exchange Server 2013
O grupo de funções de gerenciamento de gerenciamento de organização é um dos vários grupos de funções internos que compõem o modelo de permissões RBAC (Controle de Acesso Baseado em Função) no Microsoft Exchange Server 2013. Aos grupos de funções são atribuídas uma ou mais funções de gerenciamento que contêm as permissões necessárias para executar um determinado conjunto de tarefas. Os membros de um grupo de função recebem acesso para as funções de gerenciamento atribuídas ao respectivo grupo. Para saber mais sobre grupos de função, confira o artigo Noções básicas sobre grupos de funções de gerenciamento.
Os administradores que sejam membros do grupo de função Gerenciamento da Organização têm acesso administrativo à organização inteira do Microsoft Exchange 2013 e podem realizar quase qualquer tarefa em relação a qualquer objeto do Exchange 2013, com algumas exceções. Por padrão, os membros desse grupo de função não podem realizar pesquisas em caixas de correio nem gerenciar funções de gerenciamento de nível superior sem escopo. Para mais informações, consulte a seção "Atribuições de Função Apenas para Delegação" mais adiante neste tópico.
Importante
O grupo de função Gerenciamento da Organização é uma função muito poderosa e, por isso, somente usuários ou USGs (grupos de segurança universal) que realizam tarefas administrativas em nível organizacional com potencial para afetar a organização inteira do Exchange devem ser membros desse grupo de função.
Este grupo de função é equivalente à função Administradores da Organização do Exchange no Exchange Server 2007.
Para mais informações sobre o RBAC, consulte Controle de acesso baseado em função de compreensão.
Associação de grupo de função
Por padrão, a conta usada para instalar o Exchange 2013 na organização é adicionada como membro do grupo de função Gerenciamento da Organização. Essa conta pode então adicionar outros membros ao grupo de função conforme a necessidade.
Se você quiser adicionar ou remover membros desse grupo de funções, consulte Gerenciar membros do grupo de função.
Por padrão, somente membros do grupo de funções de Gerenciamento de Organização podem adicionar ou remover membros desse grupo de funções. Para saber mais sobre como adicionar representantes de grupos de funções adicionais, confira a seção "Adicionar ou remover um representante do grupo de funções" em Gerenciar grupos de função.
Você pode usar o comando a seguir para exibir uma lista de usuários ou USGs que sejam membros deste grupo de função.
Get-RoleGroupMember "Organization Management"
Para mais informações sobre os membros de um grupo de função, consulte Gerenciar grupos de função.
Personalização de grupo de função
Por padrão, funções de gerenciamento são atribuídas a esse grupo de funções. As funções incluídas são listadas na seção "Funções de Gerenciamento Atribuídas a este Grupo de Funções". Você pode adicionar ou remover as atribuições de funções para ou de esse grupo de funções, de acordo com as necessidades da sua organização.
Os grupos de funções fornecidos com o Exchange 2013 são projetados para corresponder às tarefas mais granulares. Atribuindo funções a um grupo de funções, você habilita os membros desse grupo de funções a executar as tarefas associadas à função. Por exemplo, a função Registro no Diário habilita o gerenciamento do agente e das regras de Registro no Diário. Para mais informações sobre como as funções são atribuídas a grupos de funções, confira Noções básicas sobre as atribuições de função de gerenciamento.
As funções atribuídas a esse grupo de funções recebem escopos de gerenciamento padrão. Os escopos de gerenciamento determinam que objetos do Exchange podem ser exibidos ou modificados pelos membros de um grupo de funções. Você pode alterar os escopos associados com atribuições entre funções e grupos de funções. Por exemplo, você pode querer fazer isso se desejar que somente membros de um grupo de funções possam alterar destinatários que estejam em uma unidade organizacional específica ou em um local específico. Para mais informações sobre escopos de gerenciamento, confira Noções básicas sobre escopos da função de gerenciamento.
Para mais informações sobre como personalizar esse grupo de funções, confira os seguintes tópicos:
Se desejar criar um grupo de funções e designar algumas funções atribuídas a este grupo de funções para o novo grupo de funções, consulte a seção "Criar um Grupo de Funções" em Gerenciar grupos de função.
A seguir estão algumas maneiras que você pode querer usar para personalizar essa função:
- Proprietário de permissões: se as permissões em sua organização forem controladas por um grupo específico diferente dos administradores do Exchange, você poderá criar um grupo de funções e mover as atribuições de função regulares e delegadas para a função gerenciamento de função para o novo grupo de funções. Isso impede que membros do grupo de função Gerenciamento da Organização gerenciem quaisquer permissões RBAC.
- Permissões de divisão do Active Directory: se a criação de entidades de segurança em sua organização, como contas de usuário, for controlada por um grupo específico diferente dos administradores do Exchange, você poderá criar um grupo de funções e mover as atribuições de função regulares e delegadas para a função Criação de Destinatário de Email e a função Criação e Associação de Grupo de Segurança para o novo grupo de funções. Isso impede que membros do grupo de função Gerenciamento da Organização criem objetos do Active Directory. Eles podem, entretanto, continuar habilitando para email os novos objetos do Active Directory. Para mais informações sobre permissões divididas, consulte Compreendendo as permissões de divisão.
Limitações da personalização
Qualquer função pode ser adicionada ou removida desse grupo de função, com as seguintes limitações:
- Toda função precisa ter ao menos uma atribuição de função de delegação para um grupo de função ou USG para que a atribuição de função de delegação possa ser removida desse grupo de função.
- A função de Gerenciamento de Função precisa ter ao menos uma atribuição de função regular para um grupo de função ou USG para que a atribuição de função regular possa ser removida desse grupo de função.
Essas limitações têm como objetivo ajudar a impedir que você fique trancado acidentalmente do lado de fora do sistema. Ao requerer a existência de ao menos uma atribuição de função de delegação entre cada função e um ou mais grupos de função ou USGs, você sempre poderá atribuir funções a destinatários de função. Ao requerer a existência de ao menos uma atribuição de função regular entre a função de Gerenciamento de Função e um ou mais grupos de função ou USGs, você sempre poderá configurar grupos de função e atribuições de função.
Importante
Essas limitações exigem que grupos de função ou USGs sejam os destinos das atribuições de função regulares e de delegação. Você não pode remover uma atribuição de função de delegação ou a atribuição regular da função de Gerenciamento de Função se a última atribuição for a um usuário.
Atribuições de função apenas para delegação
Algumas atribuições de função entre o grupo de funções do Gerenciamento da Organização e as funções de gerenciamento, como Pesquisa de Caixa de Correio e Gerenciamento de Função Fora do Escopo, estão delegando somente atribuições de função. Essas funções permitem acesso a informações confidenciais ou pessoais, como conteúdo de caixas de correio, ou permitem a criação de poderosas funções de gerenciamento fora do escopo.
As atribuições de função apenas para delegação permitem que os membros do grupo de função Gerenciamento da Organização possam apenas atribuir as funções associadas a outros grupos de função, diretivas de atribuição de função de gerenciamento, usuários ou USGs. Os membros do grupo de função Gerenciamento da Organização não recebem, por padrão, quaisquer permissões que as funções oferecem. Isso ajuda a evitar a exposição acidental de informações pessoais ou a elevação acidental de privilégios.
Os membros do grupo de funções Gerenciamento da Organização podem, entretanto, atribuir qualquer função a si mesmos, habilitando-os a executar qualquer tarefa, de fato. Por exemplo, um membro do grupo de funções Gerenciamento da Organização pode atribuir a função de Pesquisa de Caixa de correio ao grupo de funções Gerenciamento da Organização. Depois que atribuição de função é feita, membros do grupo de função Gerenciamento da Organização podem realizar tarefas habilitadas pela função de Pesquisa de Caixa de Correio.
Para mais informações sobre as atribuições de função de delegação, consulte Noções básicas sobre as atribuições de função de gerenciamento.
Permissões adicionais
As permissões concedidas a membros do grupo de função Gerenciamento da Organização são determinadas principalmente pelas funções de gerenciamento atribuídas ao grupo de função. Entretanto, nem todas as tarefas que você precisa realizar são cobertas por funções de gerenciamento. Algumas tarefas ocorrem fora das ferramentas de gerenciamento do Exchange e, portanto, o modelo de permissões RBAC não se aplica. Para essas tarefas, as permissões são fornecidas pela adição do grupo de função Gerenciamento da Organização às ACLs (listas de controle de acesso) de certos objetos do Active Directory.
As tarefas a seguir recebem as permissões por meio de ACLs em objetos do Active Directory e não pelas funções de gerenciamento atribuídas ao grupo de função Gerenciamento da Organização:
- Executando DomainPrep e ForestPrep usando o Setup.exe
- Implantar servidores adicionais na organização
Funções de Gerenciamento atribuídas a este grupo de função
Por padrão, somente membros do grupo de funções de Gerenciamento de Organização podem adicionar ou remover membros desse grupo de funções. Para saber mais sobre como adicionar representantes de grupos de funções adicionais, confira a seção "Adicionar ou remover um representante do grupo de funções" em Manage Role Groups.
- A tabela a seguir lista todas as funções de gerenciamento que são atribuídas a este grupo de funções e os seguintes atributos de cada atribuição de função:
- Atribuição regular: habilita os membros do grupo de funções a acessar as entradas de função de gerenciamento disponibilizadas pela função de gerenciamento associada.
- Escopo de leitura do destinatário: determina quais objetos dos destinatários membros do grupo de função têm permissão para ler a partir do Active Directory.
- Escopo de gravação do destinatário: determina quais objetos destinatários membros do grupo de funções podem ser modificados no Active Directory.
- Configuração do escopo de leitura: determina quais membros de objetos de servidor e configuração do grupo de função têm permissão para ler a partir do Active Directory.
- Escopo de gravação de configuração: determina quais objetos organizacionais e servidores membros do grupo de funções podem modificar no Active Directory.
Escopo de gravação da configuração: determina quais membros dos objetos de destinatários e organizacionais do grupo de funções tem permissão para fazer modificações no exADNoMk.
- Noções básicas sobre as atribuições de função de gerenciamento
- Noções básicas sobre escopos da função de gerenciamento
| Função de gerenciamento | Atribuição comum | Atribuição de delegação | Escopo de leitura do destinatário | Escopo de gravação do destinatário | Escopo de leitura da configuração | Escopo de gravação do destinatário |
|---|---|---|---|---|---|---|
| Papel de permissões do diretório ativo | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de listas de endereços | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função ApplicationImpersonation | X | Organization |
Organization |
None |
None |
|
| Função ArchiveApplication | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de Logs de auditoria | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de agentes de extensão de cmdlet | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de prevenção de perda de dados | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de grupos de disponibilidade de banco de dados | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de cópias de banco de dados | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de bancos de dados | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de recuperação de desastres | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de grupos de distribuição | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de inscrições de borda | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de diretivas de endereço de email | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de Conectores do Exchange | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de certificados de servidor do Exchange | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de servidores do Exchange | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de diretórios virtuais do Exchange | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de compartilhamento federada | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de gerenciamento de direitos de informação | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de registro no diário | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de isenção legal | X | X | Organization |
Organization |
OrganizationConfig |
None |
| Função LegalHoldApplication | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Função de pastas públicas habilitadas para email | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de criação de destinatário do email | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de destinatários de email | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de dicas de email | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função Importar Exportar Caixa de Correio | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Função de pesquisa de caixa de correio | X | Organization |
Organization |
None |
None |
|
| Função MailboxSearchApplication | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Função de controle de mensagem | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de migração | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de monitoramento | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Mover caixas de correio função | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função OfficeExtensionApplication | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Função de acesso para cliente da organização | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de configuração de organização | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de configurações de transporte da organização | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de POP3 e IMAP4 protocolos | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de Pastas Públicas | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de conectores de recebimento | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de políticas de destinatário | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Remoto e a função de domínios aceitos | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Redefinir senha função | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Função de gerenciamento de retenção | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de gerenciamento de função | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Criação de grupos de segurança e a associação de função | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de conectores de envio | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função Diagnóstico de Suporte | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Função TeamMailboxLifecycleApplication | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Função de agentes de transporte | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de higienização de transporte | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de filas de transporte | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de regras de transporte | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de caixas de correio de Unificação de mensagens | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de Prompts de UM | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de gerenciamento de função sem escopo | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Função Unificação de mensagens | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função UserApplication | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Função de opções do usuário | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Função de Logs de auditoria somente para exibição | X | X | Organization |
None |
OrganizationConfig |
None |
| Função de configuração de somente leitura | X | X | Organization |
None |
OrganizationConfig |
None |
| Função destinatários de somente leitura | X | X | Organization |
None |
OrganizationConfig |
None |
| Função WorkloadManagement | X | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
| Minha função personalizada Apps | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Minha função de aplicativos do Marketplace | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Função MyBaseOptions | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Função MyContactInformation | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Função MyDiagnostics | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Função MyDistributionGroupMembership | X | MyGAL |
MyGAL |
None |
None |
|
| Função MyDistributionGroups | X | MyGAL |
MyDistributionGroups |
OrganizationConfig |
None |
|
| Função MyProfileInformation | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Função MyRetentionPolicies | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Função MyTeamMailboxes | X | Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
|
| Função MyTextMessaging | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |
|
| Função MyVoiceMail | X | Self |
Self |
OrganizationConfig |
OrganizationConfig |