Общие сведения об управлении доступом на основе ролей

 

Применимо к:Exchange Online, Exchange Server 2013

Последнее изменение раздела:2012-12-05

Role Based Access Control (RBAC) — это новая модель разрешений, используемая в Microsoft Exchange Server 2013. При использовании RBAC отпадает необходимость в изменении и поддержании списков управления доступом (ACL), использовавшихся в Exchange Server 2007. Со списками ACL в версии Exchange 2007 было связано несколько проблем: было трудно изменять списки ACL без непредвиденных последствий, сохранять изменения ACL после обновлений и диагностировать проблемы, возникающие из-за нестандартного использования.

Модель RBAC позволяет контролировать как на широком, так и детальном уровне, какие действия могут совершать администраторы и конечные пользователи. RBAC также позволяет более точно сопоставлять роли, назначенные пользователям и администраторам, с их фактическими ролями в организации. В Exchange 2007 модель разрешений сервера применялась только к администраторам, которые управляли инфраструктурой Exchange 2007. В версии Exchange 2013 модель RBAC позволяет контролировать выполнение задач администрирования и полномочия, предоставляемые пользователям для управления своими почтовыми ящиками и группами рассылки.

При управлении доступом на основе ролей есть два основных способа назначить разрешения пользователям в организации, зависящих от того, является ли пользователь администратором, специалистом либо конечным пользователем: группы ролей управления и политики назначения ролей управления. Каждый способ связывает пользователей с разрешениями, необходимыми им для выполнения их задач. Можно также использовать третий, более сложный способ — прямое назначение ролей пользователей. Следующие подразделы подробно описывают RBAC и содержат примеры его применения.

ПримечаниеПримечание.
В этом разделе рассматриваются расширенные возможности управления доступом на основе ролей (RBAC). Сведения об управлении базовыми разрешениями Exchange 2013, такими как использование Центра администрирования Exchange для добавления и удаления участников групп ролей, создания и изменения групп ролей, а также создания и изменения политик назначения ролей, см. в разделе Разрешения.

Содержание

Группы ролей управления

Политики назначения ролей управления

Прямое назначение ролей пользователей

Обзор и примеры

Дополнительные сведения

Группы ролей управления связывают роли управления с группами администраторов или пользователей-специалистов. Администраторы отвечают за управление общей конфигурацией организации или получателей в Exchange. Опытные пользователи управляют определенными функциями Exchange, такими как соблюдение требований, или эти пользователи могут иметь ограниченные возможности управления, такие как у членов службы поддержки, но без широких прав администратора. Группы ролей обычно связывают административные роли управления, позволяющие администраторам и пользователям-специалистам управлять конфигурацией организации и получателей. Например, именно с помощью групп ролей администраторам может предоставляться возможность управления получателями или использования функций обнаружения почтовых ящиков.

Обычно разрешения назначаются администраторам и пользователям-специалистам путем добавления и удаления соответствующих пользователей в группах ролей. Дополнительные сведения см. в статье Общие сведения о группах ролей управления.

Группы ролей состоят из следующих компонентов, определяющих доступные администраторам и пользователям-специалистам возможности:

  • Группа ролей управленияГруппа ролей управления — это особая универсальная группа безопасности, включающая в себя почтовые ящики, пользователей, универсальные группы безопасности и другие группы ролей, входящие в эту группу ролей. В этой группе выполняется добавление и удаление участников. А также именно ей назначаются роли управления. Совокупность всех ролей в группе ролей определяет все элементы в организации Exchange, которыми могут управлять пользователи, добавленные в группу ролей.

  • Роль управления Роль управления — это контейнер для группировки записей ролей управления. Роли позволяют указывать определенные задачи, которые могут выполнять участники группы ролей, которой назначена роль. Запись роли управления — это командлет, сценарий или специальное разрешение, которое позволяет выполнять определенную задачу, связанную с ролью. Дополнительные сведения см. в разделе Общие сведения о ролях управления.

  • Назначение роли управления Назначение роли управления связывает роль с группой ролей. Назначение роли группе ролей позволяет участникам группы ролей использовать командлеты и параметры, определенные в роли. Области управления в назначениях ролей позволяют управлять областями, в которых будет использоваться назначение. Дополнительные сведения см. в статье Общие сведения о назначениях ролей управления.

  • Область роли управления Область роли управления — это область влияния назначения роли. При назначении роли с областью группе ролей область управления определяет, какими объектами может управлять это назначение. Затем назначение и его область предоставляются участникам группы ролей, что ограничивает набор элементов, которыми могут управлять эти участники. Область может включать список серверов или баз данных, подразделения или фильтры на сервере, в базе данных или объектах получателя. Дополнительные сведения см. в статье Общие сведения об областях ролей управления.

При добавлении пользователя в группу ролей пользователю присваиваются все роли, назначенные в эту группу ролей. Если к какому-либо из назначений ролей между группой ролей и отдельными ролями применяются области, то именно они будут определять, какими серверами и получателями может управлять пользователь.

Если необходимо изменить распределение ролей в группах ролей, следует изменить назначения ролей, связывающие роли с группами ролей. Если назначения, встроенные в Exchange 2013, отвечают потребностям организации, изменять их не требуется. Дополнительные сведения см. в статье Общие сведения о назначениях ролей управления.

Дополнительные сведения о группах ролей см. в разделе Общие сведения о группах ролей управления.

Политики назначения ролей управления связывают роли управления, предназначенные для пользователей, с пользователями. Политики назначения ролей состоят из ролей, определяющих, что пользователь может делать со своими почтовыми ящиками или группами рассылки. Эти роли не позволяют управлять компонентами, не связанными с пользователем напрямую. При создании политики назначения ролей определяются все действия, которые пользователь может выполнять над своим почтовым ящиком. Например, политика назначения ролей может позволять пользователю задавать отображаемое имя, а также настраивать голосовую почту и правила для папки "Входящие". Другая политика назначения ролей может позволять пользователю менять адрес, использовать текстовые сообщения и настраивать группы рассылки. Каждому пользователю почтового ящика Exchange 2013, в том числе администраторам, по умолчанию предоставляется политика назначения ролей. Можно выбрать политику назначения ролей, которая будет предоставляться по умолчанию, указать, какие элементы должны в нее входить, переопределить политику по умолчанию для отдельных почтовых ящиков или полностью отменить предоставление политик назначения ролей по умолчанию.

Обычно управление разрешениями на управление почтовыми ящиками и группами рассылки, предоставляемыми пользователям, осуществляется путем присваивания им политики назначения. Дополнительные сведения см. в статье Общие сведения о политиках назначения ролей управления.

Политики назначения ролей состоят из следующих компонентов, определяющих допустимые действия пользователей над собственными почтовыми ящиками. Обратите внимание, что некоторые компоненты также применяются к группам ролей. При использовании с политиками назначения ролей эти компоненты ограничиваются, предоставляя пользователям возможность управления только для принадлежащих им почтовых ящиков:

  • Политика назначения ролей управленияПолитика назначения ролей управления является специальным объектом в Exchange 2013. Пользователям присваивается политика назначения ролей при создании почтовых ящиков или при изменении политики назначения ролей для почтового ящика. Она также назначается для ролей управления конечных пользователей. Сочетание всех ролей в политике назначения ролей определяет для пользователя все функции управления почтовым ящиком или группами рассылки.

  • Роль управления Роль управления — это контейнер для группировки записей ролей управления. Роли позволяют указывать определенные задачи, которые пользователь может выполнять с почтовым ящиком или группами рассылки. Запись роли управления — это командлет, сценарий или специальное разрешение, которое позволяет выполнять определенную задачу, связанную с ролью управления. С политиками назначения ролей можно использовать только роли конечных пользователей. Дополнительные сведения см. в статье Общие сведения о ролях управления.

  • Назначение роли управленияНазначение роли управления связывает роль с политикой назначения ролей. Назначение роли политике назначения ролей позволяет использовать командлеты и параметры, определенные в роли. При создании назначения ролей между политикой назначения ролей и ролью область действия назначения указать нельзя. Область, применяемая к назначению, соответствует либо Self, либо MyGAL. Все назначения ролей распространяются на почтовый ящик пользователя или его группы рассылки. Дополнительные сведения см. в статье Общие сведения о назначениях ролей управления.

Если необходимо изменить распределение ролей в политиках назначения ролей, следует изменить назначения ролей, связывающие роли с политиками назначения ролей. Если назначения, встроенные в Exchange 2013, отвечают потребностям организации, изменять их не требуется. Дополнительные сведения см. в статье Общие сведения о назначениях ролей управления.

Дополнительные сведения см. в статье Общие сведения о политиках назначения ролей управления.

Прямое назначение ролей — это усовершенствованный метод назначения ролей управления, позволяющий присваивать их пользователям и универсальным группам безопасности без использования групп ролей и политик назначения ролей. Прямое назначение ролей может быть полезно в случае, если требуется предоставить детализированный набор разрешений конкретному пользователю. Тем не менее прямое назначение ролей может значительно повысить сложность модели разрешений. Если пользователь переходит на другую должность или увольняется, может потребоваться вручную удалить назначение и перенести его на нового сотрудника. Для назначения разрешений администраторам и пользователям-специалистам рекомендуется использовать группы ролей, а для назначения разрешений пользователям рекомендуется использовать политики назначения ролей.

Дополнительные сведения о прямом назначении ролей см. в статье Общие сведения о назначениях ролей управления.

На следующей иллюстрации приведены компоненты RBAC и описано их взаимодействие:

  • Группы ролей:

    • Членом группы ролей может быть один администратор или несколько. Они также могут быть членами нескольких групп ролей.

    • Группе ролей назначается одно или несколько назначений ролей. Они связывают группу ролей с соответствующими ролями администрирования, определяющими доступные для выполнения задачи.

    • Назначения ролей могут включать области управления, определяющие масштаб применимости действий для пользователей из группы ролей. Области определяют, в каких пределах пользователи из группы ролей могут менять конфигурацию.

  • Политики назначения ролей:

    • С политикой назначения ролей может быть связан один пользователь или несколько.

    • Политике назначения ролей назначается одно или несколько назначений ролей. Они связывают политику назначения ролей с одной или несколькими ролями пользователей. Роли пользователей определяют, что именно пользователь может настраивать в своем почтовом ящике.

    • Назначения ролей между политиками назначения ролей и ролями располагают встроенными областями, ограничивающими область действия назначений собственным почтовым ящиком и группами рассылки пользователя.

  • Прямое назначение ролей (дополнительный метод):

    • Можно напрямую создать назначение роли между пользователем или универсальной группой безопасности и одной или несколькими ролями. Роль определяет, какие задачи может выполнять пользователь или универсальная группа безопасности.

    • Назначения ролей могут включать области управления, определяющие масштаб применимости действий для пользователей и универсальных групп безопасности. Области действия определяют, где пользователь или универсальная группа безопасности может изменять конфигурацию.

Обзор RBAC

Связи компонентов RBAC

Как показано на иллюстрации выше, многие компоненты RBAC взаимосвязаны. Разрешения, предоставляемые администраторам и пользователям, определяются комбинацией компонентов. В следующих примерах приводится дополнительная информация о том, как группы ролей и политики назначения ролей могут использоваться в организации.

Ольга является администратором в Contoso, компании среднего размера. Она отвечает за управление получателями компании в офисе, расположенном в Ванкувере. При создании модели разрешений Contoso Ольга вошла в группу "Управление получателями — Ванкувер" — настраиваемую группу ролей для Ванкувера. Роль "Управление получателями — Ванкувер" наиболее точно отвечает ее рабочим обязанностям, к которым относятся создание и удаление получателей (например, почтовых ящиков и контактов), управление членством в группах рассылки и свойствами почтовых ящиков, а также другие аналогичные задачи.

Помимо настраиваемой группы ролей "Управление получателями — Ванкувер", пользователю Jane также необходима политика назначения ролей для управления параметрами конфигурации собственного почтового ящика. Администраторы организации приняли решение о том, что все пользователи, кроме высшего руководства, получают одни и те же разрешения для управления своими почтовыми ящиками. Они могут настраивать свою голосовую почту, задавать политики хранения и вносить изменения в данные адреса. Политика назначения ролей по умолчанию, предоставляемая вместе с Exchange 2013, отвечает этим требованиям.

ПримечаниеПримечание.
Так как пользователь Jane является членом настраиваемой группы ролей "Управление получателями — Ванкувер", ей предоставляются разрешения на управление собственным почтовым ящиком. Несмотря на это, группа ролей не предоставляет ей все разрешения, необходимые для управления всеми аспектами работы почтового ящика. Разрешения, необходимые для управления параметрами голосовой почты и политик хранения, не входят в ее группу ролей. Они предоставляются только присвоенной ей политикой назначения ролей по умолчанию.

Чтобы обеспечить эту возможность, рассмотрим группу ролей, предоставляющей Ольге административные разрешения над получателями в Ванкувере:

  1. Создана настраиваемая группа ролей "Управление получателями — Ванкувер". При ее создании произошло следующее:

    1. Группе ролей были назначены все роли управления, также назначенные встроенной группе ролей Управление получателями. Это предоставляет пользователям, добавленным в настраиваемую группу ролей "Управление получателями — Ванкувер", те же разрешения, которые предоставляются членам группы ролей Управление получателями. Тем не менее следующие этапы ограничивают пределы использования этих разрешений.

    2. Создана настраиваемая область управления "Получатели — Ванкувер", в которую входят только получатели из Ванкувера. Это было сделано путем создания области с фильтрацией по городу пользователя или другим уникальным данным.

    3. Группа ролей была создана с использованием настраиваемой области управления "Получатели — Ванкувер". Это значит, что администраторы, добавленные в группу ролей "Управление получателями — Ванкувер", получают полные права на управление получателями, но могут применять их только к получателям из Ванкувера.

    Дополнительные сведения о создании настраиваемой группы ролей см. в статье Управление группами ролей.

  2. Ольга добавляется в качестве члена настраиваемой группы ролей "Управление получателями — Ванкувер".

    Дополнительные сведения о добавлении участников в группу ролей см. в статье Управление участниками группы ролей.

Чтобы предоставить Ольге возможность управлять параметрами своего почтового ящика, необходимо настроить политику назначения ролей с требуемыми разрешениями. Политика назначения ролей по умолчанию используется для предоставления пользователям разрешений, необходимых им для настройки своих почтовых ящиков. Из политики назначения ролей по умолчанию удаляются все роли конечных пользователей, кроме MyBaseOptions, MyContactInformation, MyVoicemail и MyRetentionPolicies. Роль управления MyBaseOptions включается в этот список, так как она обеспечивает базовую пользовательскую функциональность Outlook Web App — правила папки «Входящие», настройку календаря и другие задачи.

Больше ничего делать не требуется, так как Ольге уже присвоена политика назначения ролей по умолчанию. Это значит, что изменения этой политики немедленно применяются к ее почтовому ящику и всем другим почтовым ящикам, также связанным с политикой назначения ролей по умолчанию.

Дополнительные сведения о настройке политики назначения ролей по умолчанию см. в разделе Управление политиками назначения ролей.

Павел работает в Contoso — той же компании, где работает Ольга. Он отвечает за выполнение представления, настройку политик хранения, правил транспорта и ведения журнала в масштабах всей организации. Как и в случае Ольги, при создании модели разрешений Contoso Павел был добавлен в группы ролей, отвечающие его рабочим обязанностям. Группа ролей Управление записями предоставляет Павлу разрешения на настройку политик хранения, ведения журнала и правил транспорта. Группа ролей Управление обнаружением предоставляет ему возможность вести поиск в почтовых ящиках.

Как и в случае с Ольгой, Павлу нужны разрешения для управления своим почтовым ящиком. Ему присваиваются те же разрешения, что и Ольге: он может настраивать свою голосовую почту и политики хранения, а также изменять данные адреса.

Чтобы предоставить Павлу разрешения, необходимые для выполнения рабочих обязанностей, его добавили в группы ролей Управление записями и Управление обнаружением. Эти группы ролей не требуется менять, поскольку они уже предоставляют ему необходимые разрешения, а области управления, применяемые к ним, охватывают всю организацию.

Дополнительные сведения о добавлении пользователей в группы ролей см. в статье Управление участниками группы ролей.

Почтовый ящик Павла также связывается с той же политикой назначения ролей по умолчанию, что и почтовый ящик Ольги. Это предоставляет ему все разрешения, необходимые для управления требуемыми функциями почтового ящика.

Елена — вице-президент компании Contoso по маркетингу. Елена относится к высшему руководству Contoso и получает больше разрешений, чем обычный пользователь. Это относится к разрешениям на управление почтовым ящиком за одним исключением: Елене не разрешается управлять политиками сохранения по требованиям соответствия юридическим требованиям. Елена может настраивать свою голосовую почту, изменять контактные данные и данные профиля, создавать собственные группы рассылки и управлять ими, а также добавлять и удалять себя из существующих групп рассылки, принадлежащих другим пользователям.

Итак, Елене присвоены другие разрешения на управление собственным почтовым ящиком. Большинству пользователей в Contoso назначена политика назначения ролей по умолчанию. Высшему руководству, тем не менее, присвоена отдельная политика назначения ролей. Для создания настраиваемой политики назначения ролей были выполнены следующие действия:

  1. Создана настраиваемая политика назначения ролей для высшего руководства. Ей назначаются роли MyBaseOptions, MyContactInformation, MyVoicemail, MyProfileInformation, MyDistributionGroupMembership и MyDistributionGroups. Роль управления MyBaseOptions включается в этот список, так как она обеспечивает базовую пользовательскую функциональность Outlook Web App — правила папки «Входящие», настройку календаря и другие задачи.

  2. Затем Елене была вручную присвоена политика назначения ролей для высшего руководства.

После этого для почтового ящика Елены действуют разрешения, задаваемые политикой назначения ролей для высшего руководства. Изменения этой политики назначения ролей автоматически применяются к ее почтовому ящику и всем другим почтовым ящикам, также связанным с этой политикой назначения ролей.

 
Показ: