Общие сведения о ролях управления

 

Применимо к:Exchange Server 2013

Последнее изменение раздела:2015-04-07

Роли управления являются частью модели разрешений управления доступом на основе ролей (RBAC), используемой в Microsoft Exchange Server 2013. Роли действуют как логическая группировка командлетов, объединенных, чтобы обеспечить доступ для просмотра или изменения компонентов конфигурации Exchange 2013, например, почтовых ящиков, правил транспорта и получателей. Роли управления могут быть далее объединены в большие группировки, названные группами и политиками назначения, которые позволяют вести управление многими компонентами и конфигурацией получателей. Группы ролей и политики назначения ролей назначают разрешения для администраторов и конечных пользователей соответственно. Дополнительные сведения о группах ролей управления и политиках назначения ролей управления см. в разделе Общие сведения об управлении доступом на основе ролей.

ПримечаниеПримечание.
В этом разделе рассматриваются расширенные возможности управления доступом на основе ролей (RBAC). Сведения об управлении базовыми разрешениями Exchange 2013, такими как использование Центра администрирования Exchange для добавления и удаления участников групп ролей, создания и изменения групп ролей, а также создания и изменения политик назначения ролей, см. в разделе Разрешения.

Содержание

Встроенные роли управления

Высокоуровневые роли управления с незаданной областью

Пользовательские роли управления

Иерархия ролей управления

Записи ролей управления

Записи роли верхнего уровня с незаданной областью

Типы ролей управления

Дополнительные сведения

Области ролей управления и назначения ролей управления являются важными компонентами для работы ролей управления. Дополнительные сведения об этих компонентах см. в следующих разделах.

Необходимы сведения о задачах управления, связанных с ролями управления? См. раздел Разрешения.

Сервер Exchange 2013 предоставляет множество встроенных ролей управления, которые можно использовать для администрирования организации. Каждая роль включает в себя командлеты и параметры, необходимые пользователям для управления определенными компонентами Exchange. Ниже приведены примеры некоторых встроенных ролей управления:

  • Получатели почты   Позволяет администраторам управлять почтовыми ящиками, контактами и почтовыми пользователями.

  • Правила транспорта   Позволяет администраторам или специалистам, назначенным на роль, управлять функцией правил транспорта.

  • Группы рассылки   Позволяет администраторам или специалистам, назначенным на роль, управлять группами рассылки и их участниками.

  • MyPersonalInformation   Позволяет конечным пользователям изменять свой номер домашнего телефона и адрес веб-сайта.

Полный список ролей управления, включенных в Exchange 2013, см. в разделе Встроенные роли управления.

Из встроенных ролей Exchange 2013 можно составить любую комбинацию для создания модели разрешений данного предприятия. Например, чтобы члены группы ролей могли управлять получателями и общими папками, необходимо назначить для этой группы ролей роль получателей почты и роль общих папок. В большинстве случаев роли назначаются для групп ролей или политик назначения ролей. Также, чтобы детально управлять разрешениями, можно назначить роли управления непосредственно пользователям. Чтобы упростить модель разрешений, рекомендуется использовать группы ролей и политики назначения ролей вместо непосредственного назначения роли пользователю.

ПримечаниеПримечание.
Роли управления конечного пользователя могут быть назначены только политикам назначения ролей.

Изменение встроенных ролей управления невозможно. Однако можно создать роли управления на основе встроенных ролей управления, а затем назначить эти новые роли группам ролей или политикам назначения ролей. Затем можно изменить новые роли управления в соответствии с предпочтениями. Это дополнительная задача, которую требуется выполнять крайне редко.

Дополнительные сведения о создании настраиваемых ролей на основе встроенных ролей Exchange см. ниже в подразделе Пользовательские роли управления.

Чтобы они вступили в силу, необходимо назначить роли управления. В большинстве случаев роли управления назначаются для групп ролей и политик назначения ролей. В определенных ситуациях можно также назначить роли непосредственно для пользователей, хотя это дополнительная задача, которую требуется выполнять крайне редко.

Дополнительные сведения о назначении ролей управления см. в следующих разделах:

Дополнительные сведения о назначениях ролей управления см. в разделе Общие сведения о назначениях ролей управления.

В начало

Роли управления верхнего уровня с незаданной областью представляют собой специальный тип роли управления, который позволяет предоставить пользователям доступ к настраиваемым сценариям и командлетам, не относящимся к Exchange, с помощью системы управления доступом на основе ролей (RBAC). Обычные роли управления предоставляют доступ только к командлетам Exchange. Чтобы предоставить доступ к командлетам, не относящимся к Exchange и запущенным на сервере Exchange, или опубликовать сценарий, который может быть выполнен данными пользователями, необходимо добавить их к роли с незаданной областью. Они называются ролями верхнего уровня, так как при первом создании роли с незаданной областью без образования от родительской роли у нее отсутствует родительский объект и она является равноправной по отношению ко встроенным ролям управления, включенным в Exchange 2013. Чтобы указать на необходимость создания записи роли верхнего уровня с незаданной областью, используйте параметр UnscopedTopLevel с командлетом New-ManagementRole.

Роли с незаданной областью получили такое название в связи с тем что, в отличие от обычных ролей управления, они не могут быть ограничены определенной целью. Роли с незаданной областью всегда действуют в масштабах всей организации. Это значит, что сотрудник, которому назначена роль с незаданной областью, может изменять любой объект в организации Exchange 2013. По этой причине необходимо обеспечить доступ к сценариям и командлетам с помощью роли с незаданной областью и тщательно проверить их, что позволит быть осведомленным об изменяемых объектах, а также правильно назначить роли с незаданной областью.

Роли с незаданной областью можно назначать для уполномоченных ролей, например групп ролей, ролей управления, пользователей и универсальных групп безопасности. Их нельзя назначать для политик назначения ролей управления.

Хотя добавление командлетов Exchange в качестве записи роли управления к роли с незаданной областью невозможно, их можно включать в сценарии, добавленные в качестве записей роли. Это позволяет создать настраиваемые сценарии, выполняющие задачи Exchange, которые далее можно назначить пользователям. Этот сценарий полезен, когда пользователю необходимо выполнить высокопривилегированную задачу, находящуюся за пределами его или ее административного уровня, и когда создание новой роли управления или группы ролей будет проблематичным. Можно создать сценарий, который выполняет эту конкретную функцию, добавить его в роль с незаданной областью, а затем назначить эту роль пользователю. Далее пользователь может выполнять только данную конкретную функцию, предоставленную сценарием.

Записи роли, добавляемые в роль с незаданной областью, также должны быть обозначены в качестве записи роли верхнего уровня с незаданной областью. Дополнительные сведения о записях роли верхнего уровня с незаданной областью см. в подразделе Записи роли верхнего уровня с незаданной областью далее в этом разделе.

По умолчанию группа ролей Управление организацией не имеет разрешений для создания или управления группами ролей с незаданной областью. Это препятствует случайному созданию или изменению групп ролей с незаданной областью. Группа ролей Управление организацией может передавать роль управления ролями с незаданной областью самой себе или другим уполномоченным ролей. Дополнительные сведения о создании роли управления верхнего уровня с незаданной областью см. в разделе Создание роли с незаданной областью.

В начало

Если встроенные роли управления не отвечают потребностям пользователей, можно создать настраиваемые роли управления на основе встроенных ролей Exchange. При создании настраиваемой роли управления новая дочерняя роль наследует все записи роли управления от родительской роли. Далее можно выбрать, какие записи роли управления необходимо сохранить в настраиваемой роли управления, и удалить все ненужные записи.

Настраиваемые роли становятся дочерними относительно роли, использовавшейся для создания новой роли. Записи роли управления можно использовать только в новой дочерней роли, которая существует в родительской роли. Дополнительные сведения см. в следующих подразделах этого раздела^

Создание настраиваемых ролей управления предполагает выполнение множества шагов и является дополнительной задачей, которую требуется выполнять крайне редко. Перед созданием настраиваемой роли управления убедитесь, что ни одна из существующих встроенных ролей управления не предоставляет необходимых разрешений. Дополнительные сведения о встроенных ролях управления или о создании настраиваемых ролей управления см. в следующих разделах:

Дополнительные сведения о создании роли управления см. в разделе Создание роли.

В начало

В родительской и дочерней иерархиях имеются роли управления. В верхней части иерархии расположены встроенные роли управления, предоставляемые в Exchange 2013 по умолчанию. При создании роли создается копия родительской роли. Новая роль представляет собой дочерний объект той роли, на основе которой была сделана копия. Далее можно настроить новую роль в соответствии с потребностями администраторов или пользователей, которым ее необходимо назначить.

Настраиваемые роли можно использовать для создания новых ролей. При создании новой роли из существующей настраиваемой роли последняя остается дочерним объектом относительно своей родительской роли, но при этом становится родительским объектом для новой роли. При каждом копировании роли новая дочерняя роль может содержать только те записи ролей, которые существуют в непосредственной родительской роли.

Каждой роли управления присваивается тип роли, который нельзя изменить. Тип роли определяет основной контекст ее использования. Тип роли копируется из родительской роли при создании дочерней роли.

Иерархия ролей управления

Иерархическая схема роли управления RBAC

На приведенном выше рисунке показана иерархическая связь нескольких ролей управления. Роли получателей почты и службы поддержки — это встроенные роли. Все дочерние роли, образованные от этих ролей, наследуют тип роли от каждой встроенной роли. Например, все дочерние роли, образованные прямым или косвенным образом от роли получателей почты, наследуют тип роли MailRecipients.

Настраиваемая роль администраторов получателей в Сиэтле является дочерним объектом по отношению к встроенной роли получателей почты, но также является родительским объектом для настраиваемой роли администраторов получателей продаж в Сиэтле и настраиваемой роли администраторов получателей юристов в Сиэтле. Настраиваемая роль администраторов получателей в Сиэтле содержит только подмножество командлетов, доступных в роли получателей почты. Дочерние роли настраиваемой роли администраторов получателей в Сиэтле могут содержать только те командлеты, которые существуют в этой роли. Например, если командлет существует в роли получателей почты, но отсутствует в настраиваемой роли администраторов получателей в Сиэтле, то этот командлет невозможно добавить в настраиваемую роль администраторов получателей продаж.

Все настраиваемые роли соответствуют одному шаблону, подобно описанным выше ролям. Дополнительные сведения об управлении доступом к командлетам в ролях управления см. ниже в разделе Записи ролей управления.

В начало

Каждая роль управления, настраиваемая роль Exchange или роль с незаданной областью, должна иметь не менее одной записи роли управления. Запись состоит из отдельного командлета и его параметров, сценария или специального разрешения, которое необходимо сделать доступным. Если командлет или сценарий не отображается в качестве записи в роли управления, то этот командлет или сценарий через эту роль недоступен. Подобным образом, если параметр отсутствует в записи, то этот параметр или сценарий через эту роль недоступен.

Сервер Exchange 2013 позволяет управлять записями ролей на основе встроенных ролей управления верхнего уровня Exchange и записями ролей на основе ролей управления верхнего уровня с незаданной областью. Роли, основанные на встроенных ролях верхнего уровня Exchange, могут содержать только записи ролей, представляющие собой командлеты Exchange 2013. Чтобы добавить настраиваемые сценарии или командлеты, не относящиеся к Exchange, и разрешить пользователям работать с ними, необходимо добавить их в качестве записей ролей с незаданной областью в роль верхнего уровня с незаданной областью. Дополнительные сведения о записях ролей с незаданной областью см. ниже в разделе Записи роли верхнего уровня с незаданной областью.

Все записи роли, независимо от того, является ли запись роли основанной на командлете Exchange или записью роли с незаданной областью, следуют одним и тем же принципам, описанным в следующих разделах.

Дополнительные сведения об управлении записями ролей см. в разделе Записи роли и роли управления.

Как упоминалось ранее, для добавления записи в дочернюю роль запись роли управления, включающая в себя командлет и его параметры, должна существовать в непосредственной родительской роли. Например, если родительская роль не имеет записи для командлета New-Mailbox, то для дочерней роли этот командлет не может быть назначен. Кроме того, если командлет Set-Mailbox имеется в родительской роли, но параметр Database был удален из записи, то параметр Database командлета Set-Mailbox не может быть добавлен в запись дочерней роли.

Так как добавление записей ролей управления в дочерние роли невозможно, если эти записи не отображаются в родительских ролях, и так как роль основывается на определенном типе роли, то необходимо тщательно выбирать родительскую роль для копирования перед созданием настраиваемой роли.

В начало

Имена записей роли управления представляют собой комбинацию роли управления, с которой они связаны, а также имени командлета или сценария. Имя роли и командлет или сценарий разделены между собой символом обратной косой черты (\). Например, именем записи роли для командлета Set-Mailbox в роли получателей почты является Mail Recipients\Set-Mailbox. Если в имени записи роли имеются пробелы, заключите название целиком в кавычки (").

В имени записи роли можно использовать подстановочный знак (*) для получения всех записей роли, которые соответствуют вводимым данным. Подстановочный знак можно поставить с любой стороны символа обратной косой черты. В следующей таблице приведено несколько способов использования подстановочного знака в имени записи роли.

Имя записи роли управления с подстановочными знаками

 

Пример Описание

*\*

Возвращает список всех записей роли для всех ролей.

*\Set-Mailbox

Возвращает список всех записей роли, которые содержат командлет Set-Mailbox.

Mail Recipients\*

Возвращает список всех записей роли в роли получателей почты.

Mail Recipients\*Mailbox

Возвращает список всех записей роли в роли получателей почты, содержащих командлеты, оканчивающиеся на Mailbox.

My*\*Group*

Возвращает список всех записей роли, которые содержат строку Group в имени командлета, для всех ролей, начинающихся с My.

Записи роли верхнего уровня с незаданной областью используются вместе с ролями управления верхнего уровня с незаданной областью для создания ролей на основе пользовательских сценариев или командлетов, не относящихся к Exchange. Каждая запись роли с незаданной областью связана с отдельным пользовательским сценарием или командлетом, не относящимся к Exchange. Чтобы указать на необходимость создания записи роли с незаданной областью в роли с незаданной областью, укажите параметр UnscopedTopLevel в командлете Add-ManagementRoleEntry.

При добавлении записи роли с незаданной областью необходимо указать все параметры, которые могут использоваться вместе со сценарием или командлетом, не относящимся к Exchange. Exchange выполнит попытку проверить параметры, указанные при добавлении записи роли. Пользователям, назначенным для роли с незаданной областью, будут доступны только параметры, добавленные к записи роли при ее создании. При добавлении параметров в сценарий или командлет, не относящийся к Exchange, или при переименовании параметра необходимо обновить запись роли вручную. Exchange не выполняет проверку наличия изменений в существующих параметрах записи роли с незаданной областью. При использовании параметра записи роли, измененного в сценарии, команда не будет выполнена.

Сценарии, добавляемые к записи роли с незаданной областью, должны находиться в каталоге сценариев Exchange 2013 на каждом сервере, администраторы и пользователи которого выполняют подключение с помощью консоли управления Exchange. При попытке добавить запись роли с незаданной областью на основе сценария, отсутствующего в каталоге сценариев Exchange 2013 на сервере, который используется для добавления записи роли, произойдет ошибка. По умолчанию местом установки каталога сценариев Exchange 2013 является C:\Program Files\Microsoft\Exchange Server\V15\RemoteScripts.

Командлеты, не относящиеся к Exchange, добавляемые в запись роли с незаданной областью, должны быть установлены на каждом сервере Exchange 2013, администраторы и пользователи которого выполняют подключение с помощью командной консоли, если им необходимо использовать эти командлеты. При попытке добавить запись роли с незаданной областью на основе командлета, не относящегося к Exchange, который не установлен на сервере Exchange 2013, используемом для добавления записи роли, произойдет ошибка. При добавлении командлета, не относящегося к Exchange, необходимо указать имя оснастки Windows PowerShell, которая содержит командлет, не относящийся к Exchange.

Дополнительные сведения о добавлении записи роли управления с незаданной областью см. в разделе Добавьте запись роли в роли.

В начало

Типы ролей управления представляют собой основу для всех ролей управления. Типы определяют неявные области, определенные во всех ролях управления указанного типа роли, а также служат для логической группировки соответствующих ролей. Все роли управления, образованные от родительской встроенной роли управления, относятся к одному типу роли. Эти отношения представлены на рисунке "Иерархия ролей управления" выше в этом разделе. Типы ролей управления также представляют собой максимальный набор командлетов и их параметров, который можно добавить в роль, связанную с типом роли.

Типы ролей управления делятся на следующие категории.

  • Администратор или специалист   Роли, связанные с типом ролей администратора или специалиста, имеют более широкую область влияния в организации Exchange. Роли этого типа позволяют выполнять такие задачи, как управление сервером или получателями, настройка организации, администрирование в соответствии с требованиями, аудит и другие.

  • Ориентированные на пользователя   Роли, связанные с типом ролей, ориентированных на пользователя, имеют область влияния, привязанную к одному пользователю. Роли этого типа позволяют выполнять такие задачи, как настройка профиля пользователя и самоуправление, управление пользовательскими группами рассылки и другие.

    Имена ролей, связанных с типами ролей, ориентированных на пользователя, и имена типов ролей, ориентированных на пользователя, начинаются с My.

  • Специальность   Роли, связанные с типом ролей специальности, позволяют выполнять задачи, не относящиеся к типам административных или ориентированных на пользователя ролей. Роли этого типа позволяют выполнять такие задачи, как олицетворение приложения и использование сценариев и командлетов, не относящихся к Exchange.

В следующей таблице перечислены все административные типы ролей управления в Exchange 2013, а также указано, применяется ли конфигурация, допускаемая данным типом роли, для всей организации Exchange или только для отдельного сервера. Дополнительные сведения о каждой роли управления, связанной с этими типами ролей, в том числе описание каждой роли, пользователей, получающих преимущество от назначения этой роли, а также другие сведения см. в разделе Встроенные роли управления.

Типы административных ролей

 

Тип роли управления Встроенная роль управления Описание Организация или сервер

ActiveDirectoryPermissions

Роль разрешений Active Directory

Этот тип роли связан с ролями, которые позволяют администраторам настраивать разрешения Active Directory в организации. Некоторые функции, которые используют разрешения Active Directory или список управления доступом (ACL), включают в себя транспортные соединители отправки и получения, а также разрешения для почтовых ящиков "Отправить как" и "Отправить от имени".

ПримечаниеПримечание.
Разрешения, установленные непосредственно для объектов Active Directory, могут не применяться в управлении доступом на основе ролей.

Организация

AddressLists

Роль списков адресов

Этот тип ролей связан с ролями, которые позволяют администраторам управлять списками адресов, глобальными списками адресов, а также автономными списками адресов в организации.

Организация

ApplicationImpersonation

Роль ApplicationImpersonation

Этот тип роли связан с ролями, которые позволяют приложениям олицетворять пользователей в организации для выполнения задач от имени этих пользователей.

Организация

ArchiveApplication

Роль ArchiveApplication

Этот тип ролей связан с ролями, которые позволяют приложениям партнеров архивировать элементы в пользовательских почтовых ящиках в организации.

Организация

AuditLogs

Роль журналов аудита

Этот тип роли связан с ролями, которые позволяют администраторам управлять конфигурацией ведения журнала аудита администратора в организации.

Организация

CmdletExtensionAgents

Роль агентов расширения командлетов

Этот тип роли связан с ролями, которые позволяют администраторам управлять агентами расширения командлета в организации.

Организация

DataLossPrevention

Роль предотвращения потери данных

Этот тип ролей связан с ролями, которые создают и контролируют политики предотвращения потери данных (DLP) и правила в их пределах в организации.

Организация

DatabaseAvailabilityGroups

Роль групп обеспечения доступности баз данных

Этот тип роли связан с ролями, которые позволяют администраторам управлять группами обеспечения доступности баз данных (DAG) в организации. Администраторы, которым эта роль назначена напрямую или косвенно, являются администраторами наивысшего уровня, ответственными за обслуживание конфигурации высокой доступности в организации.

Организация

DatabaseCopies

Роль копий баз данных

Этот тип роли связан с ролями, которые позволяют администраторам управлять копиями базы данных на отдельных серверах.

Сервер

Databases

Роль баз данных

Этот тип ролей связан с ролями, которые позволяют администраторам создавать, контролировать, подключать и отключать базы данных почтовых ящиков на индивидуальных серверах.

Сервер

DisasterRecovery

Роль аварийного восстановления

Этот тип ролей связан с ролями, которые позволяют администраторам восстанавливать почтовые ящики и базы данных почтовых ящиков, создавать базы данных почтовых ящиков, а также выполнять переключения ЦОД для групп обеспечения доступности баз данных в организации.

Организация

DistributionGroups

Роль групп рассылки

Этот тип роли связан с ролями, которые позволяют администраторам создавать и управлять группами рассылки и участниками групп рассылки в организации.

Организация

EdgeSubscriptions

Роль пограничных подписок

Этот тип роли связан с ролями, которые позволяют администраторам управлять синхронизацией пограничных серверов и конфигурацией подписки между этими серверами Exchange 2010 и серверами почтовых ящиков Exchange 2013 в организации.

Организация

EmailAddressPolicies

Роль политик адресов электронной почты

Этот тип ролей связан с ролями, которые позволяют администраторам управлять политиками адресов электронной почты в организации.

Организация

ExchangeConnectors

Роль соединителей Exchange

Этот тип ролей связан с ролями, которые позволяют администраторам создавать, изменять, просматривать и удалять соединители агентов доставки.

Организация

ExchangeServerCertificates

Роль сертификатов сервера Exchange Server

Этот тип роли связан с ролями, которые позволяют администраторам создавать, импортировать, экспортировать и управлять сертификатам сервера Exchange на отдельных серверах.

Сервер

ExchangeServers

Роль серверов Exchange

Этот тип роли связан с ролями, которые позволяют администраторам управлять настройкой сервера Exchange на отдельных серверах.

Сервер

ExchangeVirtualDirectories

Роль виртуальных каталогов Exchange

Этот тип роли связан с ролями, которые позволяют администраторам управлять Outlook Web App, Microsoft ActiveSync, автономной адресной книгой, службой автообнаружения, Windows PowerShell и виртуальными каталогами Центра администрирования Exchange на отдельных серверах.

Сервер

FederatedSharing

Роль федеративного общего доступа

Этот тип роли связан с ролями, которые позволяют администраторам управлять межлесным и межорганизационным общим доступом в организации.

Организация

InformationRightsManagement

Роль управления правами на доступ к данным

Этот тип роли связан с ролями, которые позволяют администраторам управлять функциями управления правами на доступ к данным Exchange в организации.

Организация

Journaling

Роль ведения журнала

Этот тип роли связан с ролями, которые позволяют администраторам управлять конфигурацией ведения журнала в организации.

Организация

LegalHold

Роль хранения для судебного разбирательства

Этот тип роли связан с ролями, которые позволяют администраторам настраивать хранение данных в почтовых ящиках организации для судебного удержания.

Организация

MailboxImportExport

Роль импорта и экспорта почтового ящика

Этот тип роли связан с ролями, которые позволяют администраторам импортировать и экспортировать содержимое почтовых ящиков, а также удалять нежелательное содержимое из почтовых ящиков.

Организация

MailboxSearch

Роль поиска в почтовом ящике

Этот тип роли связан с ролями, которые позволяют администраторам выполнять поиск в содержимом одного или нескольких почтовых ящиков организации.

Организация

MailboxSearchApplication

Роль MailboxSearchApplication

Этот тип ролей связан с ролями, которые позволяют партнерским приложениям задавать и просматривать состояние удержания по юридическим причинам для почтового ящика в организации.

Организация

MailEnabledPublicFolders

Роль общедоступных папок с включенной поддержкой почты

Этот тип роли связан с ролями, которые позволяют администраторам включать или отключать поддержку почты для отдельных общих папок в организации.

Этот тип ролей позволяет управлять только свойствами общедоступных папок, относящимися к электронной почте. Он не позволяет управлять свойствами общедоступных папок, которые не являются свойствами почты. Чтобы управлять свойствами общедоступных папок, которые не являются свойствами почты, нужно назначить роль, связанную с типом ролей PublicFolders.

Организация

MailRecipientCreation

Роль создания получателя электронной почты

Этот тип роли связан с ролями, которые позволяют администраторам создавать почтовые ящики, пользователей почты, почтовые контакты, группы рассылки и динамические группы рассылки в организации. Роли, связанные с этим типом ролей, можно объединить с ролями, связанными с типом ролей MailRecipients, что позволит создавать получателей и управлять ими.

Этот тип роли не позволяет включать поддержку почты для общих папок. Чтобы включить поддержку почты для общих папок, необходимо иметь назначение роли, связанной с типом ролей MailEnabledPublicFolders.

Если в организации используется модель разделения разрешений, при которой создание и управление получателями выполняется различными группами, необходимо назначить роль MailRecipientCreation группе, которая занимается созданием получателей, а роль MailRecipients — группе, которая занимается управлением получателями.

Организация

MailRecipients

Роль получателей почты

Этот тип роли связан с ролями, которые позволяют администраторам управлять существующими почтовыми ящиками, пользователями почты, почтовыми контактами, группами рассылки и динамическими группами рассылки в организации. Роли, связанные с этим типом ролей, не позволяют создавать этих получателей. Однако их можно объединить с ролями, связанными с типом ролей MailRecipientCreation, что позволит создавать получателей и управлять ими.

Этот тип роли не позволяет управлять общими папками или группами рассылки с включенной поддержкой почты. Для управления общими папками с включенной поддержкой почты, необходимо иметь назначение роли, связанной с типом ролей MailEnabledPublicFolders. Для управления группами рассылки необходимо иметь назначение роли, связанной с типом ролей DistributionGroups.

Если в организации используется модель разделения разрешений, при которой создание и управление получателями выполняется различными группами, необходимо назначить роль MailRecipientCreation группе, которая занимается созданием получателей, а роль MailRecipients — группе, которая занимается управлением получателями.

Организация

MailTips

Роль советов по использованию электронной почты

Этот тип роли связан с ролями, которые позволяют администраторам управлять подсказками в организации.

Организация

MessageTracking

Роль отслеживания сообщений

Этот тип роли связан с ролями, которые позволяют администраторам отслеживать сообщения в организации.

Организация

Migration

Роль переноса

Этот тип роли связан с ролями, которые позволяют администраторам переносить почтовые ящики и их содержимое, как с сервера, так и на сервер.

Сервер

Monitoring

Роль мониторинга

Этот тип роли связан с ролями, которые позволяют администраторам контролировать службы и доступность компонентов Microsoft Exchange в организации. Помимо администраторов, роли, связанные с этим типом роли, могут использоваться вместе с учетной записью службы, используемой приложениями отслеживания, для сбора данных о состоянии серверов Exchange.

Организация

MoveMailboxes

Роль перемещения почтовых ящиков

Этот тип роли связан с ролями, которые позволяют администраторам перемещать почтовые ящики между серверами одной организации и между серверами локальной и другой организаций.

Организация

OfficeExtensionApplication

Роль OfficeExtensionApplication

Этот тип ролей связан с ролями, которые позволяют приложениям-расширениям Microsoft Office получить доступ к пользовательским почтовым ящикам в организации.

Организация

OrgCustomApps

Роль "Настраиваемые приложения Org"

Этот тип ролей связан с ролями, которые позволяют администраторам просматривать и изменять настраиваемые приложения своей организации.

Организация

OrgMarketplaceApps

Роль "Приложения Org Marketplace"

Этот тип ролей связан с ролями, которые позволяют администраторам просматривать и изменять приложения своей организации в магазине.

Организация

OrganizationClientAccess

Роль клиентского доступа организации

Этот тип роли связан с ролями, которые позволяют администраторам управлять параметрами сервера клиентского доступа в организации.

Организация

OrganizationConfiguration

Роль конфигурации организации

Этот тип роли связан с ролями, которые позволяют администраторам управлять параметрами организации в организации. Конфигурация организации, которой можно управлять с помощью этого типа роли, включает в себя параметры, некоторые из которых приведены ниже.

  • Включение и отключение подсказок в организации.

  • URL-адрес домашней страницы управляемых папок.

  • SMTP-адрес и альтернативные адреса электронной почты получателя Microsoft Exchange.

  • Конфигурация схемы свойства почтового ящика ресурса.

  • URL-адреса справки для центра администрирования Exchange и Outlook Web App.

Этот тип роли не содержит разрешения, включенные в типы ролей OrganizationClientAccess или OrganizationTransportSettings.

Организация

OrganizationTransportSettings

Роль параметров транспорта организации

Этот тип ролей связан с ролями, которые позволяют администраторам управлять транспортными параметрами во всей организации, такими как системные сообщения, конфигурация Active Directory и другие транспортные параметры масштаба всей организации.

Эта роль не позволяет создавать или управлять соединителями получения и отправки, очередями, санацией, агентами, удаленными и обслуживаемыми доменами или правилами транспорта. Для создания или управления каждой из функций транспорта необходимо назначение ролей, связанных со следующими типами ролей:

  • Соединители получения ReceiveConnectors

  • Соединители отправки SendConnectors

  • Очереди транспорта TransportQueues

  • Санация транспорта TransportHygiene

  • Агенты транспорта TransportAgents

  • Удаленные и обслуживаемые домены RemoteAndAcceptedDomains

  • Правила транспорта TransportRules

Организация

POP3AndIMAP4Protocols

Роль протоколов POP3 и IMAP4

Этот тип роли связан с ролями, которые позволяют администраторам управлять конфигурацией POP3 и IMAP4, например параметрами проверки подлинности и подключения, на отдельных серверах.

Сервер

PublicFolders

Роль общедоступных папок

Этот тип роли связан с ролями, которые позволяют администраторам управлять общими папками в организации.

Этот тип ролей не позволяет вам управлять включением поддержки почты для общедоступных папок. Чтобы включить или отключить функцию поддержки электронной почты для общей папки, необходимо назначение роли, связанной с типом роли MailEnabledPublicFolders.

Организация

ReceiveConnectors

Роль соединителей получения

Этот тип роли связан с ролями, которые позволяют администраторам управлять конфигурацией соединителя получения транспорта, например ограничениями размера на отдельном сервере.

Сервер

RecipientPolicies

Роль политик получателя

Этот тип ролей связан с ролями, которые позволяют администраторам управлять политиками получателей, такими как политики мобильных устройств и подготовки, в организации.

Организация

RemoteAndAcceptedDomains

Роль удаленных и обслуживаемых доменов

Этот тип роли связан с ролями, которые позволяют администраторам управлять удаленными и обслуживаемыми доменами в организации.

Организация

ResetPassword

Роль сброса пароля

Этот тип роли связан с ролями, которые позволяют пользователям сбрасывать собственные пароли, а администраторам — сбрасывать пароли пользователей в организации.

Организация

RetentionManagement

Роль управления хранением

Этот тип роли связан с ролями, которые позволяют администраторам управлять политиками хранения в организации.

Организация

RoleManagement

Роль управления ролями

Этот тип роли связан с ролями, которые позволяют администраторам управлять группами ролей управления, политиками назначения ролей, ролями управления, записями ролей, назначениями и областями в организации.

Пользователи, которым назначены роли, связанные с этим типом роли, могут переопределять role group managed by свойством, настраивать любую группу ролей, а также добавлять или удалять участников в определенной группе ролей.

Организация

SecurityGroupCreationAndMembership

Роль создания и членства в группе безопасности

Этот тип роли связан с ролями, которые позволяют администраторам создавать универсальные группы безопасности и управлять ими, а также их членством в организации.

Если в организации используется модель разделения разрешений, при которой создание универсальных групп безопасности и управление ими осуществляется группой, отличной от группы, управляющей серверами Exchange, этой группе необходимо назначить роли, связанные с этим типом роли.

Организация

SendConnectors

Роль соединителей отправки

Этот тип роли связан с ролями, которые позволяют администраторам управлять соединителями отправки транспорта в организации.

Организация

SupportDiagnostics

Роль поддержки диагностики

Этот тип роли связан с ролями, которые позволяют администраторам проводить расширенную диагностику под руководством службы технической поддержки Майкрософт в организации.

Внимание!Внимание!
Роли, связанные с этим типом роли, выдают разрешения для командлетов и сценариев, которые должны использоваться только под руководством службы технической поддержки Майкрософт.

Организация

TeamMailboxes

Роль почтовых ящиков рабочей группы

Этот тип ролей связан с ролями, которые позволяют администраторам определить одну или несколько политик подготовки почтовых ящиков сайта и управлять почтовыми ящиками сайтов в организации. Назначенные роли администраторов, связанные с этим типом ролей, могут управлять почтовыми ящиками сайта, которыми они не владеют.

Организация

TeamMailboxLifecycleApplication

Роль TeamMailboxLifecycleApplication

Этот тип ролей связан с ролями, которые позволяют партнерским приложениям изменять состояния жизненного цикла почтовых ящиков сайтов в организации.

Организация

TransportAgents

Роль агентов транспорта

Этот тип роли связан с ролями, которые позволяют администраторам управлять агентами транспорта в организации.

Организация

TransportHygiene

Роль санации транспорта

Этот тип ролей связан с ролями, которые позволяют администраторам управлять функциями борьбы с нежелательной почтой и вредоносным ПО в организации.

Организация

TransportQueues

Роль очередей транспорта

Этот тип роли связан с ролями, которые позволяют администраторам управлять очередями транспорта на отдельном сервере.

Сервер

TransportRules

Роль правил транспорта

Этот тип роли связан с ролями, которые позволяют администраторам управлять правилами транспорта в организации.

Организация

UMMailboxes

Роль почтовых ящиков единой системы обмена сообщениями

Этот тип роли связан с ролями, которые позволяют администраторам управлять конфигурацией единой системы обмена сообщениями почтовых ящиков и других получателей в организации.

Организация

UMPrompts

Роль запросов единой системы обмена сообщениями

Этот тип роли связан с ролями, которые позволяют администраторам создавать пользовательские голосовые приглашения единой системы обмена сообщениями в организации, а также управлять ими.

Организация

UnifiedMessaging

Роль единой системы обмена сообщениями

Этот тип ролей связан с ролями, которые позволяют администраторам управлять службами единой системы обмена сообщениями в организации.

Эта роль не позволяет управлять конфигурацией почтового ящика единой системы обмена сообщениями или запросами этой системы. Чтобы управлять конфигурацией почтового ящика единой системы обмена сообщениями, необходимо использовать роли, связанные с типом роли UMMailboxes. Чтобы управлять приглашениями единой системы обмена сообщениями, необходимо использовать роли, связанные с типом роли UMPrompts.

Организация

UnScopedRoleManagement

Роль управления с незаданной областью

Этот тип роли связан с ролями, которые позволяют администраторам создавать роли управления верхнего уровня с незаданной областью в организации, а также управлять ими.

Организация

UserOptions

Роль параметров пользователя

Этот тип роли связан с ролями, которые позволяют администраторам просматривать параметры Outlook Web App пользователя в организации. Роли, связанные с этим типом роли, можно использовать для оказания пользователю помощи при диагностике неполадок конфигурации.

Организация

UserApplication

Роль UserApplication

Этот тип ролей связан с ролями, которые позволяют партнерским приложениям действовать от имени конечных пользователей в организации.

Организация

ViewOnlyAuditLogs

Роль только для просмотра журналов аудита

Этот тип роли связан с ролями, которые позволяют администраторам выполнять поиск в журнале аудита администратора в организации.

Организация

ViewOnlyConfiguration

Роль конфигурации с правами только на просмотр

Этот тип роли связан с ролями, которые позволяют администраторам просматривать все параметры конфигурации, не относящейся к получателю Exchange, в организации. Примерами конфигураций, доступных для просмотра, являются конфигурации сервера, транспорта, базы данных и всей организации.

Роли, связанные с этим типом роли, можно объединить с ролями, связанными с типом роли ViewOnlyRecipients. Это позволит создать роль, с помощью которой можно просмотреть любой объект в организации.

Организация

ViewOnlyRecipients

Роль получателей с правами только на просмотр

Этот тип роли связан с ролями, которые позволяют администраторам просматривать конфигурацию получателей, например, почтовые ящики, пользователей почты, почтовые контакты, группы рассылки и динамические группы рассылки.

Роли, связанные с этим типом роли, можно объединить с ролями, связанными с типом роли ViewOnlyConfiguration. Это позволит создать роль, с помощью которой можно просмотреть любой объект в организации.

Организация

WorkloadManagement

Роль WorkloadManagement

Этот тип ролей связан с ролями, которые позволяют администраторам контролировать политики управления рабочими нагрузками в организации. Администраторы могут настраивать определения работоспособности ресурсов, классификации рабочих нагрузок, а также включать и выключать управление рабочими нагрузками.

Организация

В приведенной ниже таблице перечислены все типы ролей управления, ориентированные на пользователя, и связанные с ними роли управления в Exchange 2013.

Типы ролей, ориентированных на пользователя

 

Тип роли управления Встроенные роли, ориентированные на пользователя Описание

MyBaseOptions

Роль MyBaseOptions

Этот тип роли связан с ролями, которые позволяют отдельным пользователям просматривать и изменять базовую конфигурацию почтового ящика и связанных параметров.

MyContactInformation

Роль MyAddressInformation

Роль MyContactInformation

Роль MyMobileInformation

MyPersonalInformation роли

Этот тип роли связан с ролями, которые позволяют отдельным пользователям изменять контактную информацию. Эта информация включает в себя адреса и телефонные номера.

MyCustomApps

Роль "Мои настраиваемые приложения"

Этот тип ролей связан с ролями, которые позволяют индивидуальным пользователям просматривать и изменять свои настраиваемые приложения.

MyDiagnostics

Роль MyDiagnostics

Этот тип роли связан с ролями, позволяющими отдельным пользователям выполнять базовую диагностику на их почтовом ящике, например, получать сведения о диагностике календаря.

MyDistributionGroupMembership

Роль MyDistributionGroupMembership

Этот тип роли связан с ролями, которые позволяют отдельным пользователям просматривать и изменять членство в группах рассылки в организации в том случае, если эти группы рассылки допускают управление членством в группах.

MyDistributionGroups

Роль MyDistributionGroups

Этот тип роли связан с ролями, которые позволяют отдельным пользователям создавать, изменять и просматривать группы рассылки, а также изменять, просматривать, удалять и добавлять участников в принадлежащие им группы рассылки.

MyProfileInformation

Роль MyDisplayName

Роль MyName

Роль MyProfileInformation

Этот тип роли связан с ролями, которые позволяют отдельным пользователям изменять имя.

MyMarketplaceApps

Роль My Marketplace Apps

Этот тип ролей связан с ролями, которые позволяют индивидуальным пользователям просматривать и изменить свои приложения в магазине.

MyRetentionPolicies

Роль MyRetentionPolicies

Этот тип роли связан с ролями, которые позволяют отдельным пользователям просматривать теги хранения, а также просматривать и изменять параметры тегов хранения и параметры по умолчанию.

MyTeamMailboxes

Роль MyTeamMailboxes

Этот тип ролей связан с ролями, которые позволяют индивидуальным пользователям создавать почтовые ящики сайтов и соединять их с сайтами Microsoft SharePoint.

MyTextMessaging

Роль MyTextMessaging

Этот тип роли связан с ролями, которые позволяют отдельным пользователям создавать, просматривать и изменять параметры текстовых сообщений.

MyVoiceMail

Роль MyVoiceMail

Этот тип роли связан с ролями, которые позволяют отдельным пользователям просматривать и изменять параметры голосовых сообщений.

В начало

 
Показ: