Управление организацией

 

Применимо к:Exchange Server 2013

Последнее изменение раздела:2015-03-09

Управление организацией Группа ролей управления — это одна из встроенных групп ролей, которые составляют модель разрешений для управления доступом на основе ролей (RBAC) в Microsoft Exchange Server 2013. Группы ролей назначаются одной или нескольким ролям управления, которые содержат разрешения, необходимые для выполнения определенного набора задач. Члены группы ролей получают доступ к ролям управления, назначенным группе. Дополнительные сведения о группах ролей см. в статье Общие сведения о группах ролей управления.

Администраторы, являющиеся участниками группы ролей Управление организацией, имеют административный доступ ко всей организации Exchange 2013 и могут выполнять практически любые задачи с любым объектом Exchange 2013 за некоторыми исключениями. По умолчанию члены этой группы ролей не могут выполнять поиск в почтовых ящиках и управлять ролями управления верхнего уровня с незаданной областью. Дополнительные сведения см. в подразделе "Назначения делегирования ролей" данного раздела.

ВажноВажно!
Группа ролей Управление организацией является многофункциональной ролью, и поэтому членами этой группы могут быть только пользователи или универсальные группы безопасности, выполняющие административные задачи на уровне организации, которые могут влиять на всю организацию Exchange.

Эта группа ролей эквивалентна роли администратора организации Exchange в Exchange Server 2007.

Дополнительные сведения об управлении доступом на основе ролей см. в разделе Общие сведения об управлении доступом на основе ролей.

По умолчанию учетная запись, используемая для установки Exchange 2013 в организации, добавляется в качестве участника группы ролей Управление организацией. Затем пользователь под этой учетной записью может при необходимости добавлять других участников в эту группу ролей.

Чтобы добавить участников в эту группу ролей или удалить их из нее, см. раздел Управление участниками группы ролей.

По умолчанию только участники группы ролей управления организацией могут добавлять и удалять участников из этой группы ролей. Дополнительные сведения о том, как добавлять представителей группы ролей, см. в подразделе "Добавление или удаление представителя группы ролей" в разделе Управление группами ролей.

Следующую команду можно использовать для просмотра списка пользователей или универсальных групп безопасности, которые являются участниками этой группы ролей.

Get-RoleGroupMember "Organization Management"

Дополнительные сведения об участниках группы ролей см. в разделе Управление группами ролей.

Этой группе ролей назначены роли управления по умолчанию. Роли перечислены в разделе "Роли управления, назначенные этой группе ролей". В соответствии с требованиями организации назначения ролей можно добавлять в группы ролей или удалять из групп.

Группы ролей, предусмотренные в Exchange 2013, предназначены для решения определенных задач. Путем назначения ролей группе ролей участники группы могут выполнять задачи, связанные с ролью. Например, роль "Ведение журнала" позволяет управлять агентом ведения журнала и правилами ведения журнала. Дополнительные сведения о назначении ролей группам ролей см. в разделе Общие сведения о назначениях ролей управления.

Ролям, назначенным этой группе ролей, предоставлены области управления по умолчанию. Области управления определяют объекты Exchange, которые участники группы ролей могут просматривать и изменять. Области, связанные с назначениями между ролями и группами ролей, можно изменять. Например, это может понадобиться, чтобы позволить участникам группы ролей изменять получателей определенного подразделения или в определенном местоположении. Дополнительные сведения об областях управления см. в разделе Общие сведения об областях ролей управления.

Дополнительные сведения о настройке этой группы ролей см. в следующих разделах.

Чтобы создать группу ролей и назначить некоторые роли, назначенные этой группе ролей, новой группе ролей, см. тему "Создание группы ролей" в разделе Управление группами ролей.

Ниже перечислены некоторые способы настройки этой роли.

  • Владелец разрешений   Если разрешения в организации контролируются определенной группой, отличной от администраторов Exchange, можно создать группу ролей и переместить назначения стандартных ролей и ролей делегирования для роли управления ролями в новую группу ролей. Это действие используется для запрета участникам группы ролей Управление организацией управлять любыми разрешениями RBAC.

  • Разделение разрешений Active Directory   Если создание участников безопасности в организации, например учетных записей пользователей, контролируется определенной группой, отличной от администраторов Exchange, можно создать группу ролей и переместить назначения стандартных ролей и ролей делегирования для роли создания получателя почты и роли создания и членства в группе безопасности в новую группу ролей. Это действие используется для запрета участникам группы ролей Управление организацией создавать объекты Active Directory. Они могут, тем не менее, продолжать включать поддержку почты для новых объектов Active Directory. Дополнительные сведения о разрешениях с разделением см. в разделе Общие сведения о разделенных разрешениях.

Любую роль можно добавить или удалить из этой группы ролей со следующими ограничениями.

  • У каждой роли должно быть как минимум одно назначение роли делегирования группе ролей или универсальной группе безопасности, прежде чем назначение роли делегирования может быть удалено из этой группы ролей.

  • У роли управления ролями должно быть как минимум одно назначение стандартной роли группе ролей или универсальной группе безопасности, прежде чем назначение стандартной роли может быть удалено из этой группы ролей.

Эти ограничения предназначены для предотвращения случайной блокировки пользователем самого себя. Предусматривая наличие как минимум одного назначения роли делегирования между каждой ролью и одной или несколькими группами ролей или универсальными группами безопасности, можно всегда иметь возможность назначать роли уполномоченным этой роли. Предусматривая наличие как минимум одного назначения стандартной роли между ролью управления ролями и одной или несколькими группами ролей или универсальными группами безопасности, можно всегда иметь возможность настраивать группы ролей и назначения ролей.

ВажноВажно!
Для этих ограничений требуется, чтобы группы ролей или универсальные группы безопасности являлись объектами назначения стандартных ролей и ролей делегирования. Нельзя удалить назначение роли делегирования или стандартное назначение для роли управления ролями, если последнее назначение выполнялось для пользователя.

Некоторые назначения ролей между группой ролей Управление организацией и ролями управления, например поиск по почтовым ящикам и управление ролями с незаданной областью, предназначены только для делегирования. Эти роли дают доступ к конфиденциальным данным или личным сведениям, таким как содержимое почтовых ящиков, а также обеспечивают создание мощных ролей управления с незаданной областью.

Назначение только ролей делегирования позволяет участникам группы ролей Управление организацией только назначать связанные роли другим группам ролей, политикам назначения ролей управления, пользователям или универсальным группам безопасности. По умолчанию участники группы ролей Управление организацией не получают каких-либо разрешений, которые предоставляются данной ролью. Это помогает предотвратить случайное раскрытие личных сведений или несанкционированное получение прав.

Участники группы ролей Управление организацией могут назначать себя в любую роль, фактически позволяя себе выполнять любые задачи. Например, член группы ролей Управление организацией может назначить роль поиска в почтовых ящиках в группу ролей Управление организацией. После назначения этой роли участники группы ролей Управление организацией могут выполнять задачи, которые поддерживаются ролью поиска в почтовых ящиках.

Дополнительные сведения о назначениях ролей делегирования см. в разделе Общие сведения о назначениях ролей управления.

Разрешения, предоставляемые участникам группы ролей Управление организацией, в основном определяются ролями управления, назначенными этой группе ролей. Однако не все задачи, которые необходимо выполнить, охватываются ролями управления. Некоторые задачи выполняются за пределами средств управления Exchange, которые не позволяют применить модель разрешений RBAC. Для таких задач разрешения предоставляются путем добавления группы ролей Управление организацией в списки управления доступом (ACL) определенных объектов Active Directory.

Для следующих задач разрешения были получены с помощью списков управления доступом объектов Active Directory, а не с помощью назначения роли управления группе ролей Управление организацией.

  • Запуск DomainPrep и ForestPrep с помощью Setup.exe

  • Развертывание дополнительных серверов в организации

В следующей таблице перечислены все роли управления, назначенные этой группе ролей, и следующие атрибуты каждого назначения роли:

  • Обычное назначение. Предоставляет доступ участникам группы ролей к записям ролей управления, предоставляемым связанной ролью управления.

  • Делегированное назначение. Предоставляет участникам группы ролей возможность назначать определенную роль другим группам ролей, политикам назначения ролей, пользователям или универсальным группам безопасности.

  • Область чтения получателей. Определяет объекты получателей, которые участники группы ролей могут читать из Active Directory.

  • Область записи получателей. Определяет объекты получателей, которые участники группы ролей могут изменять в Active Directory.

  • Область чтения конфигурации. Определяет объекты сервера и конфигурации, которые участники группы ролей могут читать из Active Directory.

  • Область записи конфигурации. Определяет объекты сервера и организации, которые участники группы ролей могут изменять в Active Directory.

Дополнительные сведения о назначениях ролей и областях управления см. в следующих разделах:

Роли управления, назначенные этой группе ролей

Роль управленияСтандартное назначениеДелегирование назначенияОбласть чтения получателейОбласть записи получателейОбласть чтения конфигурацииОбласть записи конфигурации

Роль разрешений Active Directory

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль списков адресов

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль ApplicationImpersonation

X

Organization

Organization

None

None

Роль ArchiveApplication

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль журналов аудита

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль агентов расширения командлетов

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль предотвращения потери данных

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль групп обеспечения доступности баз данных

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль копий баз данных

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль баз данных

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль аварийного восстановления

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль групп рассылки

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль пограничных подписок

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль политик адресов электронной почты

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль соединителей Exchange

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль сертификатов сервера Exchange Server

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль серверов Exchange

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль виртуальных каталогов Exchange

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль федеративного общего доступа

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль управления правами на доступ к данным

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль ведения журнала

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль хранения для судебного разбирательства

X

X

Organization

Organization

OrganizationConfig

None

Роль LegalHoldApplication

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль общедоступных папок с включенной поддержкой почты

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль создания получателя электронной почты

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль получателей почты

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль советов по использованию электронной почты

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль импорта и экспорта почтового ящика

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль поиска в почтовом ящике

X

Organization

Organization

None

None

Роль MailboxSearchApplication

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль отслеживания сообщений

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль переноса

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль мониторинга

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль перемещения почтовых ящиков

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль OfficeExtensionApplication

X

Self

Self

OrganizationConfig

OrganizationConfig

Роль клиентского доступа организации

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль конфигурации организации

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль параметров транспорта организации

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль протоколов POP3 и IMAP4

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль общедоступных папок

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль соединителей получения

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль политик получателя

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль удаленных и обслуживаемых доменов

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль сброса пароля

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль управления хранением

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль управления ролями

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль создания и членства в группе безопасности

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль соединителей отправки

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль поддержки диагностики

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль TeamMailboxLifecycleApplication

X

Self

Self

OrganizationConfig

OrganizationConfig

Роль агентов транспорта

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль санации транспорта

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль очередей транспорта

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль правил транспорта

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль почтовых ящиков единой системы обмена сообщениями

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль запросов единой системы обмена сообщениями

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль управления с незаданной областью

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль единой системы обмена сообщениями

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль UserApplication

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль параметров пользователя

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль только для просмотра журналов аудита

X

X

Organization

None

OrganizationConfig

None

Роль конфигурации с правами только на просмотр

X

X

Organization

None

OrganizationConfig

None

Роль получателей с правами только на просмотр

X

X

Organization

None

OrganizationConfig

None

Роль WorkloadManagement

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль "Мои настраиваемые приложения"

X

Self

Self

OrganizationConfig

OrganizationConfig

Роль My Marketplace Apps

X

Self

Self

OrganizationConfig

OrganizationConfig

Роль MyBaseOptions

X

Self

Self

OrganizationConfig

OrganizationConfig

Роль MyContactInformation

X

Self

Self

OrganizationConfig

OrganizationConfig

Роль MyDiagnostics

X

Self

Self

OrganizationConfig

OrganizationConfig

Роль MyDistributionGroupMembership

X

MyGAL

MyGAL

None

None

Роль MyDistributionGroups

X

MyGAL

MyDistributionGroups

OrganizationConfig

None

Роль MyProfileInformation

X

Self

Self

OrganizationConfig

OrganizationConfig

Роль MyRetentionPolicies

X

Self

Self

OrganizationConfig

OrganizationConfig

Роль MyTeamMailboxes

X

Organization

Organization

OrganizationConfig

OrganizationConfig

Роль MyTextMessaging

X

Self

Self

OrganizationConfig

OrganizationConfig

Роль MyVoiceMail

X

Self

Self

OrganizationConfig

OrganizationConfig

 
Показ: