Управление организацией

Область применения: Exchange Server 2013 г.

Группа ролей управления "Управление организацией" является одной из нескольких встроенных групп ролей, составляющих модель разрешений на основе ролей контроль доступа (RBAC) в Microsoft Exchange Server 2013 г. Группы ролей назначаются одной или нескольким ролям управления, которые содержат разрешения, необходимые для выполнения определенного набора задач. Члены группы ролей получают доступ к ролям управления, назначенным группе. Дополнительные сведения о группах ролей см. в разделе Общие сведения о группах ролей управления.

Администраторы, которые являются членами группы ролей Управление организацией, имеют административный доступ ко всей организации Exchange 2013 и могут выполнять практически любую задачу с любым объектом Exchange 2013, за некоторыми исключениями. По умолчанию члены этой группы ролей не могут выполнять поиск в почтовых ящиках и управлять ролями управления верхнего уровня с незаданной областью. Дополнительные сведения см. в разделе Делегирование только назначений ролей далее в этом разделе.

Важно!

Группа ролей Управление организацией является многофункциональной ролью, и поэтому членами этой группы могут быть только пользователи или универсальные группы безопасности, выполняющие административные задачи на уровне организации, которые могут влиять на всю организацию Exchange.

Эта группа ролей эквивалентна роли администратора организации Exchange в Exchange Server 2007.

Дополнительные сведения об управлении доступом на основе ролей см. в разделе Общие сведения об управлении доступом на основе ролей.

Членство в группе ролей

По умолчанию учетная запись, используемая для установки Exchange 2013 в организации, добавляется в качестве участника группы ролей Управление организацией. Затем пользователь под этой учетной записью может при необходимости добавлять других участников в эту группу ролей.

Чтобы добавить участников в эту группу ролей или удалить их из нее, см. раздел Управление участниками группы ролей.

По умолчанию только участники группы ролей управления организацией могут добавлять и удалять участников из этой группы ролей. Дополнительные сведения о добавлении дополнительных делегатов групп ролей см. в разделе "Добавление или удаление делегата группы ролей" статьи Управление группами ролей.

Следующую команду можно использовать для просмотра списка пользователей или универсальных групп безопасности, которые являются участниками этой группы ролей.

Get-RoleGroupMember "Organization Management"

Дополнительные сведения об участниках группы ролей см. в разделе Управление группами ролей.

Настройка группы ролей

Этой группе ролей назначены роли управления по умолчанию. Роли перечислены в разделе "Роли управления, назначенные этой группе ролей". В соответствии с требованиями организации назначения ролей можно добавлять в группы ролей или удалять из групп.

Группы ролей, предоставляемые в Exchange 2013, предназначены для соответствия более детализированным задачам. Путем назначения ролей группе ролей участники группы могут выполнять задачи, связанные с ролью. Например, роль «Ведение журнала» позволяет управлять агентом ведения журнала и правилами ведения журнала. Дополнительные сведения о назначении ролей группам ролей см. в статье Общие сведения о назначениях ролей управления.

Ролям, назначенным этой группе ролей, предоставлены области управления по умолчанию. Области управления определяют объекты Exchange, которые участники группы ролей могут просматривать и изменять. Области, связанные с назначениями между ролями и группами ролей, можно изменять. Например, это может понадобиться, чтобы позволить участникам группы ролей изменять получателей определенного подразделения или в определенном местоположении. Дополнительные сведения об областях управления см. в разделе Общие сведения об областях ролей управления.

Дополнительные сведения о настройке этой группы ролей см. в следующих разделах.

Чтобы создать группу ролей и назначить некоторые роли, назначенные этой группе ролей, новой группе ролей, см. тему "Создание группы ролей" в разделе Управление группами ролей.

Ниже перечислены некоторые способы настройки этой роли.

  • Владелец разрешений. Если разрешения в организации контролируются определенной группой, отличной от администраторов Exchange, можно создать группу ролей и переместить обычные и делегированные назначения ролей для роли "Управление ролями" в новую группу ролей. Это действие используется для запрета участникам группы ролей Управление организацией управлять любыми разрешениями RBAC.
  • Разделенные разрешения Active Directory. Если создание субъектов безопасности в организации, таких как учетные записи пользователей, контролируется определенной группой, отличной от администраторов Exchange, можно создать группу ролей и переместить обычные и делегированные назначения ролей для роли создания получателя почты и роли создания и членства в новой группе ролей. Это предотвращает создание объектов Active Directory членами группы ролей "Управление организацией". Однако они могут продолжать включать по почте новые объекты Active Directory. Дополнительные сведения о разделенных разрешениях см. в разделе Общие сведения о разделенных разрешениях.

Ограничения настройки

Любую роль можно добавить или удалить из этой группы ролей со следующими ограничениями.

  • У каждой роли должно быть как минимум одно назначение роли делегирования группе ролей или универсальной группе безопасности, прежде чем назначение роли делегирования может быть удалено из этой группы ролей.
  • У роли управления ролями должно быть как минимум одно назначение стандартной роли группе ролей или универсальной группе безопасности, прежде чем назначение стандартной роли может быть удалено из этой группы ролей.

Эти ограничения предназначены для предотвращения случайной блокировки пользователем самого себя. Предусматривая наличие как минимум одного назначения роли делегирования между каждой ролью и одной или несколькими группами ролей или универсальными группами безопасности, можно всегда иметь возможность назначать роли уполномоченным этой роли. Предусматривая наличие как минимум одного назначения стандартной роли между ролью управления ролями и одной или несколькими группами ролей или универсальными группами безопасности, можно всегда иметь возможность настраивать группы ролей и назначения ролей.

Важно!

Для этих ограничений требуется, чтобы группы ролей или универсальные группы безопасности являлись объектами назначения стандартных ролей и ролей делегирования. Нельзя удалить назначение роли делегирования или стандартное назначение для роли управления ролями, если последнее назначение выполнялось для пользователя.

Назначения ролей только для делегирования

Некоторые назначения ролей между группой ролей Управление организацией и ролями управления, например поиск по почтовым ящикам и управление ролями с незаданной областью, предназначены только для делегирования. Эти роли дают доступ к конфиденциальным данным или личным сведениям, таким как содержимое почтовых ящиков, а также обеспечивают создание мощных ролей управления с незаданной областью.

Назначение только ролей делегирования позволяет участникам группы ролей Управление организацией только назначать связанные роли другим группам ролей, политикам назначения ролей управления, пользователям или универсальным группам безопасности. По умолчанию участники группы ролей Управление организацией не получают каких-либо разрешений, которые предоставляются данной ролью. Это помогает предотвратить случайное раскрытие личных сведений или несанкционированное получение прав.

Участники группы ролей Управление организацией могут назначать себя в любую роль, фактически позволяя себе выполнять любые задачи. Например, член группы ролей Управление организацией может назначить роль поиска в почтовых ящиках в группу ролей Управление организацией. После назначения этой роли участники группы ролей Управление организацией могут выполнять задачи, которые поддерживаются ролью поиска в почтовых ящиках.

Дополнительные сведения о назначениях ролей делегирования см. в разделе Общие сведения о назначениях ролей управления.

Дополнительные разрешения

Разрешения, предоставляемые участникам группы ролей Управление организацией, в основном определяются ролями управления, назначенными этой группе ролей. Однако не все задачи, которые необходимо выполнить, охватываются ролями управления. Некоторые задачи выполняются за пределами средств управления Exchange, которые не позволяют применить модель разрешений RBAC. Для таких задач разрешения предоставляются путем добавления группы ролей Управление организацией в списки управления доступом (ACL) определенных объектов Active Directory.

Для следующих задач разрешения были получены с помощью списков управления доступом объектов Active Directory, а не с помощью назначения роли управления группе ролей Управление организацией.

  • Запуск DomainPrep и ForestPrep с помощью Setup.exe
  • Развертывание дополнительных серверов в организации

Роли управления, назначенные этой группе ролей

По умолчанию только участники группы ролей управления организацией могут добавлять и удалять участников из этой группы ролей. Дополнительные сведения о том, как добавлять представителей группы ролей, см. в подразделе "Добавление или удаление представителя группы ролей" в разделе Manage Role Groups.

  • В таблице ниже перечислены все роли управления, назначенные этой группе ролей и следующим атрибутам каждого назначения роли:
  • Обычное назначение. Предоставляет участникам группы ролей доступ к записям ролей управления, предоставляемым связанной ролью управления.
  • Область чтения получателей. Определяет объекты получателей, которые участники группы ролей могут читать из Active Directory.
  • Область записи получателя. Определяет, какие объекты-получатели члены группы ролей могут изменяться в Active Directory.
  • Область чтения конфигурации. Определяет объекты сервера и конфигурации, которые участники группы ролей могут читать из Active Directory.
  • Область записи конфигурации. Определяет, какие объекты организации и сервера члены группы ролей могут изменять в Active Directory.

Область записи конфигурации. Определяет объекты сервера и организации, которые участники группы ролей могут изменять в exADNoMk.

Роль управления Стандартное назначение Делегирование назначения Область чтения получателей Область записи получателей Область чтения конфигурации Область записи конфигурации
Роль разрешений Active Directory X X Organization Organization OrganizationConfig OrganizationConfig
Роль списков адресов X X Organization Organization OrganizationConfig OrganizationConfig
Роль ApplicationImpersonation X Organization Organization None None
Роль ArchiveApplication X X Organization Organization OrganizationConfig OrganizationConfig
Роль журналов аудита X X Organization Organization OrganizationConfig OrganizationConfig
Роль агентов расширения командлетов X X Organization Organization OrganizationConfig OrganizationConfig
Роль предотвращения потери данных X X Organization Organization OrganizationConfig OrganizationConfig
Роль групп обеспечения доступности баз данных X X Organization Organization OrganizationConfig OrganizationConfig
Роль копий баз данных X X Organization Organization OrganizationConfig OrganizationConfig
Роль баз данных X X Organization Organization OrganizationConfig OrganizationConfig
Роль аварийного восстановления X X Organization Organization OrganizationConfig OrganizationConfig
Роль групп рассылки X X Organization Organization OrganizationConfig OrganizationConfig
Роль пограничных подписок X X Organization Organization OrganizationConfig OrganizationConfig
Роль политик адресов электронной почты X X Organization Organization OrganizationConfig OrganizationConfig
Роль соединителей Exchange X X Organization Organization OrganizationConfig OrganizationConfig
Роль сертификатов сервера Exchange Server X X Organization Organization OrganizationConfig OrganizationConfig
Роль серверов Exchange X X Organization Organization OrganizationConfig OrganizationConfig
Роль виртуальных каталогов Exchange X X Organization Organization OrganizationConfig OrganizationConfig
Роль федеративного общего доступа X X Organization Organization OrganizationConfig OrganizationConfig
Роль управления правами на доступ к данным X X Organization Organization OrganizationConfig OrganizationConfig
Роль ведения журнала X X Organization Organization OrganizationConfig OrganizationConfig
Роль хранения для судебного разбирательства X X Organization Organization OrganizationConfig None
Роль LegalHoldApplication X Organization Organization OrganizationConfig OrganizationConfig
Роль общедоступных папок с включенной поддержкой почты X X Organization Organization OrganizationConfig OrganizationConfig
Роль создания получателя электронной почты X X Organization Organization OrganizationConfig OrganizationConfig
Роль получателей почты X X Organization Organization OrganizationConfig OrganizationConfig
Роль советов по использованию электронной почты X X Organization Organization OrganizationConfig OrganizationConfig
Роль импорта и экспорта почтового ящика X Organization Organization OrganizationConfig OrganizationConfig
Роль поиска в почтовом ящике X Organization Organization None None
Роль MailboxSearchApplication X Organization Organization OrganizationConfig OrganizationConfig
Роль отслеживания сообщений X X Organization Organization OrganizationConfig OrganizationConfig
Роль переноса X X Organization Organization OrganizationConfig OrganizationConfig
Роль мониторинга X X Organization Organization OrganizationConfig OrganizationConfig
Роль перемещения почтовых ящиков X X Organization Organization OrganizationConfig OrganizationConfig
Роль OfficeExtensionApplication X Self Self OrganizationConfig OrganizationConfig
Роль клиентского доступа организации X X Organization Organization OrganizationConfig OrganizationConfig
Роль конфигурации организации X X Organization Organization OrganizationConfig OrganizationConfig
Роль параметров транспорта организации X X Organization Organization OrganizationConfig OrganizationConfig
Роль протоколов POP3 и IMAP4 X X Organization Organization OrganizationConfig OrganizationConfig
Роль общедоступных папок X X Organization Organization OrganizationConfig OrganizationConfig
Роль соединителей получения X X Organization Organization OrganizationConfig OrganizationConfig
Роль политик получателя X X Organization Organization OrganizationConfig OrganizationConfig
Роль удаленных и обслуживаемых доменов X X Organization Organization OrganizationConfig OrganizationConfig
Роль сброса пароля X Organization Organization OrganizationConfig OrganizationConfig
Роль управления хранением X X Organization Organization OrganizationConfig OrganizationConfig
Роль управления ролями X X Organization Organization OrganizationConfig OrganizationConfig
Роль создания и членства в группе безопасности X X Organization Organization OrganizationConfig OrganizationConfig
Роль соединителей отправки X X Organization Organization OrganizationConfig OrganizationConfig
Роль поддержки диагностики X Organization Organization OrganizationConfig OrganizationConfig
Роль TeamMailboxLifecycleApplication X Self Self OrganizationConfig OrganizationConfig
Роль агентов транспорта X X Organization Organization OrganizationConfig OrganizationConfig
Роль санации транспорта X X Organization Organization OrganizationConfig OrganizationConfig
Роль очередей транспорта X X Organization Organization OrganizationConfig OrganizationConfig
Роль правил транспорта X X Organization Organization OrganizationConfig OrganizationConfig
Роль почтовых ящиков единой системы обмена сообщениями X X Organization Organization OrganizationConfig OrganizationConfig
Роль запросов единой системы обмена сообщениями X X Organization Organization OrganizationConfig OrganizationConfig
Роль управления с незаданной областью X Organization Organization OrganizationConfig OrganizationConfig
Роль единой системы обмена сообщениями X X Organization Organization OrganizationConfig OrganizationConfig
Роль UserApplication X Organization Organization OrganizationConfig OrganizationConfig
Роль параметров пользователя X X Organization Organization OrganizationConfig OrganizationConfig
Роль только для просмотра журналов аудита X X Organization None OrganizationConfig None
Роль конфигурации с правами только на просмотр X X Organization None OrganizationConfig None
Роль получателей с правами только на просмотр X X Organization None OrganizationConfig None
Роль WorkloadManagement X X Organization Organization OrganizationConfig OrganizationConfig
Роль "Мои настраиваемые приложения" X Self Self OrganizationConfig OrganizationConfig
Роль My Marketplace Apps X Self Self OrganizationConfig OrganizationConfig
Роль MyBaseOptions X Self Self OrganizationConfig OrganizationConfig
Роль MyContactInformation X Self Self OrganizationConfig OrganizationConfig
Роль MyDiagnostics X Self Self OrganizationConfig OrganizationConfig
Роль MyDistributionGroupMembership X MyGAL MyGAL None None
Роль MyDistributionGroups X MyGAL MyDistributionGroups OrganizationConfig None
Роль MyProfileInformation X Self Self OrganizationConfig OrganizationConfig
Роль MyRetentionPolicies X Self Self OrganizationConfig OrganizationConfig
Роль MyTeamMailboxes X Organization Organization OrganizationConfig OrganizationConfig
Роль MyTextMessaging X Self Self OrganizationConfig OrganizationConfig
Роль MyVoiceMail X Self Self OrganizationConfig OrganizationConfig