Entendendo os Grupos de Função de Gerenciamento
Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Tópico modificado em: 2015-03-09
Um grupo de função de gerenciamento é um USG (grupo de segurança universal) usado no modelo de permissões RBAC (controle de acesso baseado na função) no Microsoft Exchange Server 2010. Um grupo de função de gerenciamento simplifica a atribuição de funções de gerenciamento a um grupo de usuários. Todos os membros de um grupo de função recebem o mesmo conjunto de funções. Aos grupos de função são atribuídas funções de administrador e especialista que definem as principais tarefas administrativas do Exchange 2010, como gerenciamento da organização, gerenciamento de destinatário e outras tarefas. Os grupos de função permitem atribuir mais facilmente um conjunto mais amplo de permissões a um grupo de administradores ou usuários especialistas.
Dica
Este tópico concentra-se na funcionalidade avançada de RBAC. Se você quiser gerenciar permissões básicas do Exchange 2010, como usar o Painel de Controle do Exchange (ECP) para adicionar e remover membros de grupos de funções, criar e modificar grupos de funções ou criar e modificar políticas de atribuição de função, consulte Entendendo as Permissões.
Sumário
Camadas de Grupo de Função
Gerenciamento de Grupo de Função
Grupos de Função Integrados
Grupos de Função Vinculados
Delegação de Grupo de Função
Associação de Grupo de Função
Fluxo de Trabalho de Criação do Grupo de Função
Dica
Se quiser atribuir permissões a usuários para que gerenciem suas próprias caixas de correio ou grupos de distribuição, consulte Entendendo as Diretivas de Atribuições de Função de Gerenciamento.
Camadas de Grupo de Função
As camadas que constituem o modelo de grupo de função são:
Detentor da função Um detentor de função é uma caixa de correio que pode ser adicionada como membro de um grupo de função. Quando uma caixa de correio é adicionada como membro de um grupo de função, as atribuições entre as funções de gerenciamento e um grupo de função são aplicadas à caixa de correio. Isso concede à caixa de correio todas as permissões oferecidas pelas funções de gerenciamento.
Grupo de função de gerenciamento O grupo de função de gerenciamento é um USG especial que contém caixas de correio que são membros do grupo de função. É nele que os adiciona e remove membros, e as funções de gerenciamento também são atribuídas a ele. A combinação de todas as funções em um grupo de função define tudo o que os usuários adicionados a um grupo de função podem gerenciar na organização do Exchange.
Atribuição de função de gerenciamento Uma atribuição de função de gerenciamento vincula uma função de gerenciamento e um grupo de função. Atribuir uma função de gerenciamento a um grupo de função concede aos membros do grupo de função a capacidade de usar cmdlets e parâmetros definidos na função de gerenciamento. As atribuições de função podem usar escopos de gerenciamento para controlar onde a atribuição pode ser usada. Para obter mais informações, consulte Entendendo as Atribuições de Função de Gerenciamento.
Escopo de função de gerenciamento Um escopo de função de gerenciamento é o escopo de influência ou impacto em uma atribuição de função. Quando uma função é atribuída com um escopo a um grupo de função, o escopo de gerenciamento é direcionado especificamente aos objetos que essa atribuição tem permissão para gerenciar. A atribuição e seu escopo são dadas aos membros do grupo de função, que restringe o que esses membros podem gerenciar. Um escopo pode ser constituído de listas de servidores ou bancos de dados, unidades organizacionais ou filtros em objetos de banco de dados, servidor ou destinatário. Para obter mais informações, consulte Noções Básicas Sobre Escopos da Função de Gerenciamento.
Função de gerenciamento Uma função de gerenciamento é um contêiner para um agrupamento de entradas de função de gerenciamento. As funções são usadas para definir as tarefas específicas que podem ser realizadas pelos membros de um grupo de função com a função atribuída. Para obter mais informações, consulte Entendendo as Funções de Gerenciamento.
Entradas de função de gerenciamento As entradas de função de gerenciamento são entradas individuais em uma função de gerenciamento que oferecem acesso a cmdlets, scripts e outras permissões especiais que dão acesso à realização de uma tarefa específica. Na maioria das vezes, as entradas de função consistem em um único cmdlet e nos parâmetros que podem ser acessados pela função de gerenciamento, e consequentemente pelo grupo de função ao qual a função é atribuída.
A imagem a seguir mostra cada camada de grupo de função na lista anterior e como cada camada se relaciona à outra.
Camadas de grupos de função de gerenciamento
.jpg "Camadas de grupos de função de gerenciamento")
Para mais informações sobre o RBAC, consulte Noções Básicas Sobre Controle de Acesso Baseado em Função.
Voltar ao início
Gerenciamento de Grupo de Função
Quando você cria um grupo de função, cria o USG que detém os membros do grupo de função e cria as atribuições entre o grupo de função e as funções de gerenciamento que você especificar. Uma opção é especificar um escopo de gerenciamento para aplicar as atribuições de função, e você pode adicionar quaisquer caixas de correio que você quiser tornar membros do novo grupo de função.
Após criar um grupo de função, cada camada se torna um objeto independente. O grupo de função continua sendo o ponto central no qual todas as camadas se unem, mas cada camada é gerenciada individualmente. Por exemplo, para modificar o escopo de gerenciamento que você aplicou ao grupo de função quando ele foi criado, é preciso alterar o escopo em cada atribuição de função individual após a criação do grupo de função. O gerenciamento do modelo de grupo de função é realizado usando os cmdlets que gerenciam as camadas individuais do modelo de grupo de função.
A tabela a seguir lista a camada de grupo de função e os tópicos procedurais que podem ser usados no gerenciamento de cada camada.
Tópicos de gerenciamento de grupo de função
| Camada de modelo de grupo de função | Tópico de gerenciamento |
|---|---|
Detentor da função |
|
Grupo de função |
Alterar um USG Externo Vinculado em um Grupo de Função Vinculado |
Funções de gerenciamento e atribuições |
Adicionar uma Função a um Grupo de Função Remover uma Função de um Grupo de Função Alterar o Escopo de Atribuições de Função em um Grupo de Função |
Entradas de função de gerenciamento |
Adicionar uma Entrada de Função a uma Função Remover uma Entrada de Função de uma Função Dica Alterar as entradas de função de gerenciamento nas funções de gerenciamento em um grupo de função é uma tarefa avançada e na maioria dos casos não é exigida. Você pode, em vez disso, ser capaz de usar uma função de gerenciamento pré-existente adequada às suas necessidades. Para obter mais informações, consulte Grupos de Função Integrados. |
Voltar ao início
Grupos de Função Integrados
Grupos de funções internas são funções fornecidas com o Exchange 2010. Eles oferecem um conjunto de grupos de função que você pode usar para proporcionar níveis variáveis de permissões administrativas a grupos de usuários. Você pode adicionar ou remover usuários de qualquer grupo de função interno. Você também pode adicionar ou remover atribuições de função da maioria dos grupos de função. As únicas exceções são as seguintes:
Você não pode remover nenhuma atribuição de função de delegação a partir do grupo de função Gerenciamento da Organização.
Você não pode remover a função de Gerenciamento de Função a partir do grupo de função Gerenciamento da Organização.
A tabela a seguir lista todos os grupos de função internos incluídos com o Exchange 2010. Para obter mais informações sobre grupos de função internos, consulte Grupos de Função Integrados.
Grupos de função internos
| Grupo de função | Descrição |
|---|---|
Administradores que sejam membros do grupo de função Gerenciamento da Organização têm acesso administrativo à organização inteira do Exchange 2010 e podem realizar quase qualquer tarefa em relação a qualquer objeto do Exchange 2010. |
|
Administradores que sejam membros do grupo de função Gerenciamento de Organizações Somente Exibição podem exibir as propriedades de qualquer objeto da organização do Exchange. |
|
Administradores que sejam membros do grupo de função Gerenciamento de Destinatários têm acesso administrativo para criar ou modificar destinatários do Exchange 2010 dentro da organização do Exchange 2010. |
|
Administradores que sejam membros do grupo de função de gerenciamento da UM podem gerenciar recursos da UM (Unificação de Mensagens) na organização do Exchange, como configuração de servidor da Unificação de Mensagens, propriedades da UM em caixas de correio, prompts da UM e configuração do atendedor automático da UM. |
|
Os Administradores ou Usuários que forem membros do grupo de função Gerenciamento de Descobertas podem realizar pesquisas de caixas de correio na organização do Exchange em busca de dados que atendam a um critério específico. |
|
Usuários que sejam membros do grupo de função Gerenciamento de Registros podem configurar recursos de conformidade, como marcas de diretivas de retenção, classificações de mensagens, regras de transporte e mais. |
|
Administradores que sejam membros do grupo de função de Gerenciamento de Servidor têm acesso administrativo à configuração do servidor do Exchange 2010. Eles não têm acesso para administrar a configuração do destinatário do Exchange 2010. |
|
Usuários que sejam membros do grupo de função Suporte Técnico podem realizar gerenciamento de destinatário limitado nos destinatários do Exchange 2010. |
|
Os administradores que forem membros do grupo de função Gerenciamento de Higienização pode configurar os recursos de antivírus e antispam do Exchange 2010. Programas que terceiros que se integram ao Exchange 2010 podem adicionar contas de serviço a este grupo de função, para conceder, a essas programas, acesso aos cmdlets necessários para recuperar e configurar o Exchange. |
|
Administradores que sejam membros do grupo de função de Gerenciamento de Pastas Públicas podem gerenciar pastas públicas e bancos de dados em servidores do Exchange 2010. |
|
Administradores que sejam membros do grupo de função de Gerenciamento de Pastas Públicas podem gerenciar pastas públicas e bancos de dados em servidores do Exchange 2010. |
Voltar ao início
Grupos de Função Vinculados
Os grupos de função vinculados são usados em organizações que instalam o Exchange 2010 em uma floresta de recursos dedicada e que posicionam os usuários em outras florestas externas confiáveis. Os grupos de função vinculados, como o nome sugere, criam um vínculo entre um grupo de função na floresta do Exchange e um USG em uma floresta externa. Isso é útil quando as contas de usuário dos AD DS (serviços de domínio do Active Directory) dos administradores que você deseja administrar no Exchange não residem na mesma floresta de recursos que o Exchange. Grupos de função vinculados só podem ser associados a um USG externo. Além disso, não é preciso criar uma confiança bidirecional entre a floresta do Exchange e a floresta externa. A floresta do Exchange precisa confiar na floresta externa mas a floresta externa não precisa confiar na floresta do Exchange.
Para obter mais informações sobre permissões em topologias de várias florestas, consulte Noções Básicas Sobre Permissões de Várias Florestas.
Um grupo de função vinculado consiste em duas partes:
Grupo de função vinculado O grupo de função vinculado é um objeto contêiner que associa o USG externo às atribuições de função de gerenciamento atribuídas ao grupo de função.
USG Externo O USG externo contém os membros que devem receber permissões fornecidas pelo grupo de função vinculado.
Ao criar um grupo de função vinculado, você fornece um controlador de domínio na floresta externa que contém os usuários que você deseja que gerenciem a floresta do Exchange e o USG que contém esses usuários como membros, o nome do USG externo e as credenciais exigidas para acessar a floresta externa. O Exchange adiciona o SID (identificador de segurança) do USG externo ao grupo de função vinculado. Como o SID do USG é a única identificação do USG externo, recomendamos fortemente que você especifique a floresta externa no nome do grupo de função se tiver mais de uma floresta externa.
Um grupo de função vinculado não contém quaisquer membros. Todos os membro desse grupo de função são gerenciados usando o USG externo. Isso significa que não é possível usar os cmdlets Update-RoleGroupMember, Add-RoleGroupMember ou Remove-RoleGroupMember para adicionar ou remover membros do grupo de função. Ao adicionar membros ao USG externo, serão concedidas permissões a eles fornecidas pelo grupo de função vinculado.
Não é possível mudar um grupo de função padrão, que contém seus próprios membros, para um grupo de função vinculado e vice-versa. Se quiser transformar um grupo de função padrão em um grupo de função vinculado, crie um novo grupo de função vinculado e replique as atribuições de função de gerenciamento presentes no grupo de função padrão no grupo de função vinculado. Isso também se aplica a grupos de função internos, pois são grupos de função padrão. Se quiser realizar todo o gerenciamento de sua floresta do Exchange a partir de uma floresta externa, será preciso criar novos grupos de função vinculados e adicionar as funções de gerenciamento existentes nos grupos de função internos aos grupos de função vinculados. Para obter mais informações sobre como fazer isso, consulte Criar Grupos de Função Vinculados que Espelhem Grupos de Função Integrados.
Para obter mais informações sobre como implantar o Exchange em uma floresta de recursos, consulte Implementar o Exchange 2010 em uma topologia de floresta de recursos do Exchange.
Voltar ao início
Delegação de Grupo de Função
Por padrão, os membros do grupo de função Gerenciamento da Organização podem adicionar e remover membros de grupos de função. Entretanto, você pode querer habilitar usuários que não sejam membros do grupo de função Gerenciamento da Organização a adicionar e remover membros de grupos de função. Nesse caso, você pode usar a delegação de grupo de função.
A delegação de grupo de função é controlada pela propriedade ManagedBy em cada grupo de função. A propriedade ManagedBy contém uma lista de usuários que podem adicionar ou remover membros desse grupo de função ou alterar a configuração de um grupo de função. Os usuários não recebem permissões dadas pelo grupo de função a não ser que também sejam membros dele.
Se a propriedade ManagedBy for definida em um grupo de função, apenas os usuários listados como gerenciadores de grupo de função nessa propriedade poderão modificar um grupo de função ou a associação de um grupo de função por padrão. Entretanto, um parâmetro opcional em cmdlets que modificam grupos de função ou associações de um grupo de função pode ignorar essa restrição. A opção BypassSecurityGroupManagerCheck pode ser usada por usuários que sejam membros da função Gerenciamento da Organização ou que estejam atribuídos, direta ou indiretamente, à função de gerenciamento Gerenciamento de Função. Quando essa opção é usada, a propriedade ManagedBy é ignorada e o usuário pode modificar o grupo de função ou a associação de grupo de função.
Se a propriedade ManagedBy não estiver definida em um grupo de função, apenas os usuários que forem membros da função Gerenciamento da Organização ou que estejam atribuídos, direta ou indiretamente, à função de gerenciamento Gerenciamento de Função poderão modificar um grupo de função ou uma associação de grupo de função.
Dica
As funções atribuídas a um grupo de função podem ser atribuídas usando atribuições de função de delegação. Com as atribuições de função de delegação, os membros de um grupo de função atribuído a uma função delegada podem atribuir essa função a outro grupo de função, diretiva de atribuição, usuário ou USG. Os membros do grupo de função podem atribuir apenas essa função e não podem delegar o grupo de função, a não ser que também tenham sido adicionados à propriedade ManagedBy. Para obter mais informações sobre as atribuições de função delegadas, consulte Entendendo as Atribuições de Função de Gerenciamento.
Para obter mais informações sobre como gerenciar a delegação de grupo de função, consulte Adicionar ou Remover um Representante de Grupo de Função.
Voltar ao início
Associação de Grupo de Função
Quando um usuário se torna membro de um grupo de função, as funções de gerenciamento atribuídas ao grupo de função são atribuídas ao usuário. Se um usuário for membro de vários grupos de função, as funções de gerenciamento de cada grupo de função são agregadas e atribuídas ao usuário. Usuários, USGs e outros grupos de função podem ser membros de grupos de função.
Apenas os usuários que forem membros dos grupos de função Gerenciamento de Função ou Gerenciamento da Organização e os usuários aos quais foi delegada a capacidade de adicionar e remover usuários de grupos de função podem gerenciar associações de grupos de função.
Para obter mais informações sobre como gerenciar associações de grupos de função, consulte estes tópicos:
Fluxo de Trabalho de Criação do Grupo de Função
Como mencionado anteriormente, um grupo de função é composto de várias camadas. Para ajudá-lo a entender o que acontece quando um grupo de função é criado, considere o seguinte exemplo, que cria um novo grupo de função.
New-RoleGroup -Name "Seattle Recipient Management" -Roles "Mail Recipients", "Distribution Groups", "Move Mailboxes", "UM Mailboxes" -CustomRecipientWriteScope "Seattle Users", -ManagedBy "Brian", "David", "Katie" -Members "Ray", "Jens", "Maria", "Chris", "Maira", "Carter", "Jesse", "Lukas", "Isabel", "Rick", "Katie"
Quando o comando anterior é executado, acontece o seguinte:
Um novo objeto de função, que é um USG especial, chamado Gerenciamento de Destinatários de Seattle, é criado.
As caixas de correio de Ray, Jens, Maria, Chris, Maira, Carter, Jesse, Lukas, Isabel, Rick e Katie são adicionadas como membros do grupo de função. Esses usuários receberão as permissões fornecidas por esse grupo de função.
Os usuários Brian e David são adicionados à propriedade ManagedBy do grupo de função. Esses usuários podem adicionar e remover membros do grupo de função, mas não receberão permissões fornecidas pelo grupo de função porque não são membros. Katie também é adicionada à propriedade ManagedBy do grupo de função. Como ela foi adicionada à propriedade ManagedBy e é membro do grupo de função, ela pode adicionar ou remover membros do grupo de função, e também recebe as permissões fornecidas pelo grupo de função.
As seguintes atribuições de função de gerenciamento são criadas. As atribuições de função atribuem cada função de gerenciamento especificado no comando ao grupo de função. O escopo de gerenciamento Usuários de Seattle é adicionado a cada atribuição de função. O nome de cada atribuição de função é uma combinação da função de gerenciamento que está sendo atribuída e do nome do grupo de função.
Mail Recipients_Seattle Recipient ManagementDistribution Groups_Seattle Recipient ManagementMove Mailboxes_Seattle Recipient ManagementUM Mailboxes_Seattle Recipient Management
Se comparar os resultados desse comando à figura de camadas de grupo de função de Gerenciamento vista anteriormente neste tópico, você verá onde cada etapa se correlaciona às camadas do grupo de função. Você poderá então se referir aos tópicos de gerenciamento de grupo de função de Gerenciamento em "Gerenciamento de Grupo de Função", anteriormente neste tópico, para gerenciar cada camada de grupo de função.
Voltar ao início
© 2010 Microsoft Corporation. Todos os direitos reservados.