Noções Básicas Sobre Escopos da Função de Gerenciamento
Aplica-se a: Exchange Server 2010
Tópico modificado em: 2009-10-14
Os Escopos de função de gerenciamento permitem que você defina o escopo específico do impacto ou da influência de uma função de gerenciamento quando uma atribuição de função de gerenciamento é criada. Quando você aplica um escopo, o destinatário da função pode apenas modificar os objetos contidos nesse escopo. O destinatário da função pode ser um grupo de função de gerenciamento, uma diretiva de atribuição de gerenciamento de função, um usuário ou um USG (grupo de segurança universal). Para mais informações sobre funções de gerenciamento, consulte Noções Básicas Sobre Controle de Acesso Baseado em Função.
Todas as funções de gerenciamento, sejam funções internas ou personalizadas, têm escopos de gerenciamento. Um escopo de gerenciamento pode ser:
- Regular Um escopo regular não é exclusivo. Ele determina onde, no Active Directory, os objetos podem ser exibidos ou modificados por usuários destinatários da função de gerenciamento. Em geral, uma função de gerenciamento indica o que você pode criar ou modificar, e um escopo de função de gerenciamento indica onde você pode criar ou modificar. Os escopos regulares podem ser implícitos ou explícitos - ambos serão discutidos adiante, neste tópico.
- Exclusivo Um escopo exclusivo comporta-se praticamente como um escopo regular. A diferença principal é que ele permite que você impeça que usuários acessem os objetos contidos dentro do escopo exclusivo, se esses usuários não forem os destinatários de uma função associada ao escopo exclusivo. Todos os escopos exclusivos são explícitos, e serão discutidos adiante, neste tópico.
Para mais informações sobre escopos exclusivos, consulte Entendendo os Escopos Exclusivos.
Os escopos podem ser herdados da função de gerenciamento, especificados como um escopo relativo predefinido em uma atribuição de função de gerenciamento ou criados através de filtros personalizados em adicionados a uma atribuição de função de gerenciamento. Os escopos herdados de funções de gerenciamento são chamados escopos implícitos, enquanto escopos predefinidos e personalizados são chamados de escopos explícitos. As seções a seguir descrevem os tipos de escopo:
- Escopos implícitos
- Escopos explícitos
- Escopos relativos predefinidos
- Escopos personalizados
Cada função pode ter os seguintes tipos de escopos:
- Escopo de leitura do destinatário O escopo implícito de leitura do destinatário determina quais objetos de destinatário o destinatário da função de gerenciamento terá permissão para ler do Active Directory.
- Escopo de gravação do destinatário O escopo implícito de gravação do destinatário determina quais objetos de destinatário o destinatário da função de gerenciamento terá permissão para modificar no Active Directory.
- Escopo de leitura de configuração O escopo implícito de leitura da configuração determina quais objetos de destinatário o destinatário da função de gerenciamento terá permissão para ler do Active Directory.
- Escopo de gravação de configuração O escopo de gravação de configuração determina quais objetos de servidor e organizacionais o destinatário da função de gerenciamento terá permissão para modificar no Active Directory.
Objetos de destinatário incluem caixas de correio, grupos de distribuição, usuários habilitados para email e outros objetos. Objetos de configuração incluem servidores que executam o Microsoft Exchange Server 2010. Cada tipo de escopo pode ser implícito ou explícito.
Escopos implícitos
Os escopos implícitos são os escopos-padrão que se aplicam a um tipo de função de gerenciamento. Como os escopos implícitos são associados a um tipo de função de gerenciamento, todas as funções de gerenciamento mães e filhas com o mesmo tipo de função também terão os mesmos escopos implícitos. Os escopos implícitos se aplicam tanto a funções de gerenciamento internas quanto a funções de gerenciamento personalizadas. Para mais informações sobre as funções de gerenciamento e tipos de função de gerenciamento, consulte Entendendo as Funções de Gerenciamento.
As tabelas a seguir listam todos os escopos implícitos que podem ser definidos em funções de gerenciamento.
Escopos implícitos definidos nas funções de gerenciamento
| Escopos implícitos | Descrição |
|---|---|
|
Se a Se a Esse escopo é usado somente com os escopos de leitura e gravação do destinatário. |
|
Se Se Esse escopo é usado somente com os escopos de leitura de destinatário. |
|
Se Se Esse escopo é usado somente com os escopos de leitura e gravação do destinatário. |
|
Se Se Esse escopo é usado somente com os escopos de leitura e gravação do destinatário. |
|
Se Se Esse escopo é usado somente com escopos de leitura e gravação de configuração. |
|
Se |
Se uma função for atribuída a um destinatário de função e nenhum escopo predefinido ou personalizado for especificado, os escopos implícitos definidos na função serão usados para controlar os objetos de destinatário ou organização que o usuário pode exibir ou modificar.
A tabela a seguir mostra todas as funções de gerenciamento internas e seus escopos implícitos.
Escopos implícitos de funções de gerenciamento internas
| Função de gerenciamento | Escopo de leitura do destinatário | Escopo de gravação do destinatário | Escopo de leitura da configuração | Escopo de gravação do destinatário |
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
O escopo de gravação implícito de uma função é sempre igual a ou menor que o escopo de leitura implícito. Isso significa que uma função nunca pode modificar objetos que não podem ser vistos pelo escopo.
Não é possível alterar os escopos implícitos definidos nas funções de gerenciamento. Você pode, entretanto, ignorar o escopo de gravação implícito e o escopo de configuração em uma função de gerenciamento. Quando um escopo relativo predefinido ou personalizado é usado em uma atribuição de função, o escopo de gravação implícito ou o escopo de configuração da função é substituído, e um novo escopo tem a precedência. O escopo de leitura implícito de uma função não pode ser substituído e sempre se aplica. Para mais informações sobre escopos explícitos predefinidos ou personalizados, consulte as seções relacionadas, adiante neste tópico.
Escopos explícitos
Os escopos explícitos são escopos que você mesmo define para controlar que objetos uma função de gerenciamento pode modificar. Enquanto escopos implícitos são definidos em uma função de gerenciamento, os escopos explícitos são definidos em uma atribuição de função de gerenciamento. Isso permite que os escopos implícitos sejam aplicados consistentemente por todas as funções de gerenciamento, a menos que você escolha usar um escopo explícito de substituição. Para mais informações sobre as atribuições da função de gerenciamento, consulte Entendendo as Atribuições de Função de Gerenciamento.
Os escopos explícitos substituem os escopos implícitos de gravação e configuração de uma função de gerenciamento. Eles não substituem o escopo de leitura implícito de uma função de gerenciamento. O escopo de leitura implícito continua a definir que objetos a função de gerenciamento pode ler.
Os escopos explícitos são úteis quando o escopo de gravação implícito de uma função de gerenciamento não cumpre as necessidades de seus negócios. Você pode adicionar um escopo explícito para incluir praticamente qualquer coisa que você queira, contanto que o novo escopo não exceda os limites do escopo de leitura implícito. Os cmdlets que são parte de uma função de gerenciamento devem poder ler informações sobre os objetos ou contêineres que contenham objetos para os cmdlets criarem ou modificarem objetos. Por exemplo, se o escopo de leitura implícito de uma função de gerenciamento estiver definido para Self, você não poderá adicionar um escopo de gravação explícito da Organization, porque o escopo de gravação explícito excede os limites do escopo de leitura implícito.
As seções a seguir descrevem os escopos relativos predefinidos e escopos personalizados.
Escopos relativos predefinidos
O Exchange 2010 fornece vários escopos de gravação relativos predefinidos que você pode usar para modificar o escopo de uma regra de gerenciamento. Os escopos relativos predefinidos oferecem um jeito fácil de você combinar melhor as necessidades de seus negócios sem ter que criar escopos personalizados manualmente. Eles são chamados de escopos relativos porque eles são relativos ao destinatário da função ao qual a atribuição de função associada é atribuída. Por exemplo, o escopo relativo predefinido Self restringe o escopo de gravação somente ao usuário atual. O escopo relativo predefinido MyDistributionGroups restringe o escopo de gravação para o grupo de distribuição que pertence somente ao usuário atual. Escopos relativos predefinidos só podem ser usados para objetos de destinatário do escopo. Escopos relativos predefinidos não podem ser usados para objetos de configuração do escopo. A tabela a seguir lista os escopos relativos predefinidos que podem ser usados.
Escopos relativos predefinidos
| Escopos implícitos | Descrição |
|---|---|
|
Se Se Esse escopo é usado somente com os escopos de leitura e gravação do destinatário. |
|
Se Se Esse escopo é usado somente com os escopos de leitura e gravação do destinatário. |
|
Se Se Esse escopo é usado somente com os escopos de leitura e gravação do destinatário. |
Os escopos relativos predefinidos são aplicados quando você cria uma nova atribuição de função de gerenciamento. Durante a criação de uma atribuição de função, usando o cmdlet New-ManagementRoleAssignment, você pode especificar um escopo relativo predefinido usando o parâmetro RecipientRelativeWriteScope. Quando a nova atribuição de função é criada, a nova função predefinida substitui o escopo de gravação implícito da função de gerenciamento.
Para mais informações sobre como adicionar uma atribuição de função de gerenciamento com um escopo relativo predefinido, consulte Adicionar uma Função a um Usuário ou USG.
Escopos personalizados
Os escopos personalizados são necessários quando nem o escopo de gravação implícito, nem os escopos relativos predefinidos cumprem as necessidades de seus negócios. Os escopos personalizados permitem que você defina, em nível granular, o escopo a que sua função de gerenciamento será aplicado. Por exemplo, você pode querer focar uma unidade organizacional (OU) específica, um tipo específico de destinatário ou ambos.
Assim como os escopos relativos predefinidos, os escopos personalizados substituem os escopos implícitos de gravação e configuração de organização definidos nas funções de gerenciamento. O escopo de leitura implícito nas funções de gerenciamento continua a se aplicar, e o escopo personalizado resultante não deve exceder os limites do escopo de leitura implícito.
O escopo personalizado mais simples é um escopo de OU criado usando o parâmetro RecipientOrganizationalUnitScope no cmdlet New-ManagementRoleAssignment. Especificando um escopo da OU quando uma função é atribuída, o usuário destinatário da função pode modificar somente os objetos de destinatário dentro da OU.
Para mais informações sobre como adicionar uma atribuição de função de gerenciamento com um escopo da OU, consulte Adicionar uma Função a um Usuário ou USG.
Escopos personalizados mais complexos e granulares podem ser criados usando-se o cmdlet New-ManagementScope. Com o cmdlet New-ManagementScope, você pode criar escopos filtrados por configuração e destinatário. Os escopos filtrados por destinatário usam filtros para focar destinatários específicos, com base no tipo de destinatário ou outras propriedades de destinatário, como departamento, gerente, local, dentre outros. Os escopos filtrados por configuração usam filtros para focar servidores específicos, com base nas propriedades filtráveis que podem ser definidas nos servidores, como um site do Active Directory ou uma função de servidor.
Quando você cria um escopo filtrado por destinatário ou configuração, somente os objetos de destinatário ou servidor que correspondam aos respectivos escopos filtrados são retornados. Quando esses escopos são aplicados a uma função de atribuição, usando os cmdlets New-ManagementRoleAssignment ou Set-ManagementRoleAssignment, somente os objetos que correspondam a esses filtros podem ser modificados pelos destinatários da função a quem a função foi atribuída. Após um escopo personalizado ter sido criado, você não pode alterar o tipo de escopo. Um escopo de destinatário é sempre um escopo de destinatário, e um escopo de configuração é sempre um escopo de configuração.
Por padrão, um escopo personalizado habilita um destinatário de função a acessar um conjunto de objetos que correspondam aos filtros que você definir. Entretanto, eles não excluem ativamente o acesso a outros destinatários de função a que não foi atribuído o mesmo escopo ou um equivalente. Qualquer escopo personalizado pode acessar os mesmos objetos, se os filtros nesses escopos corresponderem aos mesmos objetos. Pode haver objetos em que esse comportamento não é desejado, como no caso de funcionários importantes, como executivos. Para esses objetos, você pode definir escopos exclusivos. Escopos exclusivos usam filtros da mesma forma que os escopos regulares, mas, ao contrário destes, negam acesso a objetos incluídos no escopo para qualquer um que não seja parte do mesmo escopo exclusivo ou um equivalente. Para mais informações sobre escopos exclusivos, consulte Entendendo os Escopos Exclusivos.
Para mais informações
Noções Básicas Sobre Filtros de Escopo de Função de Gerenciamento
Criar um Escopo Normal ou Exclusivo
Alterar o Escopo de Atribuições de Função em um Grupo de Função