Разрешения
Область применения: Exchange Server 2013 г.
Microsoft Exchange Server 2013 включает в себя большой набор предопределенных разрешений на основе модели разрешений на основе ролей контроль доступа (RBAC), которые можно использовать сразу, чтобы легко предоставлять разрешения администраторам и пользователям. Вы можете использовать функции разрешений в Exchange 2013, чтобы быстро запустить новую организацию.
Примечание.
Некоторые возможности и принципы управления доступом на основе ролей не затрагиваются в этом разделе, поскольку относятся к расширенным функциям. Если функция, рассматриваемая в этом разделе, не отвечает вашим потребностям и требуется дальнейшая настройка модели разрешений, см. раздел Understanding Role Based Access Control.
Разрешения на основе ролей
В Exchange 2013 разрешения, предоставляемые администраторам и пользователям, основаны на ролях управления. Роль определяет набор задач, которые может выполнять администратор или пользователь. Например, роль Mail Recipients управления определяет задачи, которые кто-то может выполнять в наборе почтовых ящиков, контактов и групп рассылки. Когда роль назначается администратору или пользователю, ему предоставляются разрешения в соответствии с этой ролью.
Существует два типа ролей административные роли и роли конечных пользователей.
- Административные роли. Эти роли содержат разрешения, которые могут быть назначены администраторам или пользователям-специалистам с помощью групп ролей, управляющих частью организации Exchange, например получателями, серверами или базами данных.
- Роли конечных пользователей. Эти роли, назначенные с помощью политик назначения ролей, позволяют пользователям управлять аспектами собственных почтовых ящиков и групп рассылки, которыми они владеют. Роли конечных пользователей начинаются с префикса
My.
Роли дают разрешения администраторам и пользователям на выполнение задач, предоставляя доступ к командлетам лицам с назначенными ролями. Так как Центр администрирования Exchange (EAC) и командная консоль Exchange используют командлеты для управления Exchange, предоставление доступа к командлету дает администратору или пользователю разрешение на выполнение задачи в каждом из интерфейсов управления Exchange.
Exchange 2013 включает примерно 86 ролей, которые можно использовать для предоставления разрешений. Список ролей, включенных в Exchange 2013, см. в статье Встроенные роли управления.
Группы ролей и политики назначения ролей
Роли предоставляют разрешения на выполнение задач в Exchange 2013, но вам нужен простой способ назначить их администраторам и пользователям. Exchange 2013 предоставляет следующие сведения, которые помогут вам в этом.
- Группы ролей. Группы ролей позволяют предоставлять разрешения администраторам и специализированным пользователям.
- Политики назначения ролей. Политики назначения ролей позволяют предоставлять конечным пользователям разрешения на изменение параметров в собственных почтовых ящиках или группах рассылки, которыми они владеют.
Дополнительные сведения о группах ролей и политиках назначения ролей см. в следующих разделах:
Группы ролей
Каждому администратору, управляющего Exchange 2013, необходимо назначить по крайней мере одну или несколько ролей. Администраторы могут иметь несколько ролей, так как они могут выполнять функции заданий, охватывающие несколько областей в Exchange. Например, один администратор может управлять как получателями, так и серверами Exchange. В этом случае этому администратору могут быть назначены Mail Recipients роли и Exchange Servers .
Чтобы упростить назначение нескольких ролей администратору, Exchange 2013 включает группы ролей. Группы ролей — это специальные универсальные группы безопасности (USG), используемые Exchange 2013, которые могут содержать пользователей Active Directory, usG и другие группы ролей. Когда роль назначается группе ролей, разрешения, соответствующие этой роли, предоставляются всем участникам данной группы. Это позволяет назначить множество ролей сразу нескольким участникам группы ролей. Группы ролей обычно охватывают более широкие области управления, например управление получателями. Они используются только вместе с административными ролями, но не с ролями конечных пользователей.
Примечание.
Можно назначить роль непосредственно пользователю или группе USG, не используя группу ролей. Однако такой способ назначения ролей относится к расширенным процедурам и не затрагивается в данном разделе. Рекомендуется для управления разрешениями использовать группы ролей.
На приведенном ниже рисунке показана взаимосвязь между пользователями, группами ролей и ролями.
.gif "Роль, группа ролей и связь участников")
Exchange 2013 включает несколько встроенных групп ролей, каждая из которых предоставляет разрешения на управление определенными областями в Exchange 2013. Некоторые группы ролей могут перекрываться с другими. В приведенной ниже таблице перечислены группы ролей с описанием их использования. Чтобы увидеть роли, назначенные каждой группе ролей, щелкните имя группы ролей в столбце "Группа ролей" и затем откройте раздел "Роли управления, назначенные этой группе ролей".
| Группа ролей | Описание |
|---|---|
| Управление организацией | Администраторы, являющиеся членами группы ролей "Управление организацией", имеют административный доступ ко всей организации Exchange 2013 и могут выполнять практически любую задачу с любым объектом Exchange 2013, за некоторыми исключениями, например с ролью Discovery Management . Важно! Так как группа ролей "Управление организацией" является мощной ролью, в нее должны вступить только пользователи или группы безопасности, которые выполняют административные задачи на уровне организации организации, которые могут повлиять на всю организацию Exchange. |
| Управление организацией только с правом на просмотр | Администраторы, являющиеся участниками группы ролей "Управление организацией" только с правом на просмотр, могут просматривать свойства любого объекта в организации Exchange. |
| Управление получателями | Администраторы, являющиеся участниками группы ролей Управление получателями, имеют административный доступ для создания или изменения получателей Exchange 2013 в организации Exchange 2013. |
| Управление единой системой обмена сообщениями | Администраторы, которые являются членами группы ролей Управление единой системой обмена сообщениями, могут управлять функциями в организации Exchange, например конфигурацией сервера единой системы обмена сообщениями, свойствами почтовых ящиков единой системы обмена сообщениями, приглашениями единой системы обмена сообщениями и конфигурацией автосекретаря единой системы обмена сообщениями. |
| Служба поддержки | Группа ролей службы технической поддержки по умолчанию позволяет участникам просматривать и изменять параметры Microsoft Office Outlook Web App любого пользователя в организации. В число изменяемых параметров пользователя могут входить отображаемое имя, адрес и номер телефона. К ним не относятся параметры, недоступные в параметрах Outlook Web App, такие как изменение размера почтового ящика или настройка базы данных почтовых ящиков, в которой находится почтовый ящик. |
| Управление санацией | Администраторы, являющиеся членами группы ролей "Управление гигиеной", могут настроить функции антивирусной программы и защиты от нежелательной почты в Exchange 2013. Сторонние программы, интегрированные с Exchange 2013, могут добавлять в эту группу ролей учетные записи служб, чтобы предоставить этим программам доступ к командлетам, необходимым для извлечения и настройки конфигурации Exchange. |
| Управление записями | Пользователи, которые являются участниками группы ролей Управление записями, могут настраивать такие функции обеспечения соответствия требованиям, как теги политики хранения, классификации сообщений и правила транспорта. |
| Discovery Management | Администраторы или пользователи, являющиеся членами группы ролей "Управление обнаружением", могут выполнять поиск данных в почтовых ящиках в организации Exchange, которые соответствуют определенным критериям, а также могут настроить удержание почтовых ящиков по юридическим причинам. |
| Управление общими папками | Администраторы, которые являются членами группы ролей управления общедоступными папками, могут управлять общедоступными папками на серверах Exchange 2013. |
| Управление сервером | Администраторы, которые являются участниками группы ролей управления сервером, могут выполнять настройку серверной конфигурации транспорта, единой системы обмена сообщениями, клиентского доступа и компонентов почтовых ящиков, таких как копии базы данных, сертификаты, транспортные запросы и соединители отправки, виртуальные каталоги, а также протоколы клиентского доступа. |
| Делегированная установка | Администраторы, состоящие в группе ролей "Делегированная установка", могут развертывать серверы Exchange 2013, подготовленные членом группы ролей Управление организацией. |
| Управление соответствием требованиям | Пользователи, являющиеся участниками группы управления соответствием требованиям, могут настраивать параметры соответствия требованиям Exchange и управлять ими согласно политике организации. |
В небольшой организации с малым количеством администраторов может потребоваться добавить администраторов только в группу ролей Управление организацией, а другие группы ролей могут никогда не понадобиться. Если вы работаете в более крупной организации, у вас могут быть администраторы, которые выполняют определенные задачи администрирования Exchange, такие как управление получателями или сервером. В таких случаях можно добавить одного администратора в группу ролей "Управление получателями", а другого администратора в группу ролей "Управление сервером". Затем эти администраторы могут управлять определенными областями Exchange 2013, но не будут иметь разрешений на управление областями, за которые они не отвечают.
Если встроенные группы ролей в Exchange 2013 не соответствуют функции заданий администраторов, можно создавать группы ролей и добавлять в них роли. Дополнительные сведения см. в разделе Работа с группами ролей далее в этой статье.
Политики назначения ролей
Exchange 2013 предоставляет политики назначения ролей, позволяющие управлять параметрами, которые пользователи могут настраивать в своих почтовых ящиках и в группах рассылки, которыми они владеют. Эти параметры включают отображаемое имя, контактную информацию, настройки голосовой почты и членство в группах рассылки.
В организации Exchange 2013 может быть несколько политик назначения ролей, которые предоставляют различные уровни разрешений для разных типов пользователей в организации. Некоторым пользователям может быть разрешено изменять свой адрес или создавать группы рассылки, а другим нет, в зависимости от политики назначения ролей, связанной с их почтовыми ящиками. Политики назначения ролей добавляются непосредственно к почтовым ящикам, и с каждым почтовым ящиком может быть связана только одна политика.
Одна из политик назначения ролей в организации помечается как используемая по умолчанию. Политика назначения ролей по умолчанию связывается с новыми почтовыми ящиками, которым во время создания явным образом не была назначена определенная политика. Политика назначения ролей по умолчанию должна содержать разрешения, применяемые к большинству почтовых ящиков пользователя.
Разрешения добавляются в политики назначения ролей с использованием ролей конечных пользователей. Роли конечных пользователей начинаются с My и предоставляют пользователям разрешения на управление только своими почтовыми ящиками или группами рассылки, которыми они владеют. Они не могут использоваться для управления любыми другими почтовыми ящиками. Политикам назначения ролей могут быть назначены только роли конечных пользователей.
Когда роль конечного пользователя назначается политике назначения ролей, все почтовые ящики, связанные с этой политикой, получают разрешения, предусмотренные данной ролью. Это позволяет добавлять и удалять разрешения для групп пользователей без необходимости настройки отдельных почтовых ящиков. На приведенном ниже рисунке показано следующее.
Роли конечных пользователей назначаются политикам назначения ролей. Политикам назначения ролей могут соответствовать одни и те же роли конечных пользователей.
Политики назначения ролей связываются с почтовыми ящиками. С каждым почтовым ящиком может быть связана только одна политика назначения ролей.
После связывания почтового ящика с политикой назначения ролей роли конечных пользователей применяются к этому почтовому ящику. Разрешения, предусмотренные ролями, предоставляются пользователю этого почтового ящика.
.gif "Роль, политика назначения ролей, связь с почтовым ящиком")
Политика назначения ролей политики назначения ролей по умолчанию включена в Exchange 2013. Как и предполагает название, это политика назначения ролей по умолчанию. Сведения о том, как изменить разрешения, предусмотренные этой политикой назначения ролей, и как создавать политики назначения ролей, см. в подразделе Work with Role Assignment Policies ниже в данном разделе.
Работа с группами ролей
Для управления разрешениями с помощью групп ролей в Exchange 2013 рекомендуется использовать Центр администрирования Exchange. Используя Центр администрирования Exchange для управления группами ролей, можно добавлять и удалять роли и участников, создавать группы ролей и копировать их с помощью нескольких щелчков кнопкой мыши. Для выполнения этих задач в Центре администрирования Exchange предусмотрены простые диалоговые окна (например, Создание группы ролей), показанные на рисунке ниже.
.jpg "Диалоговое окно")
Exchange 2013 включает несколько групп ролей, которые разделяют разрешения на определенные административные области. Если эти существующие группы ролей предоставляют разрешения, необходимые администраторам для управления организацией Exchange 2013, необходимо только добавить администраторов в качестве членов соответствующих групп ролей. После этого администраторы смогут управлять функциями, которые относятся к данной группе ролей. Чтобы добавить или удалить участников группы ролей, откройте группу ролей в Центре администрирования Exchange и добавьте или удалите участников из списка. Список встроенных групп ролей см. в разделе Встроенные группы ролей.
Важно!
Если администратор является членом нескольких групп ролей, Exchange 2013 предоставляет администратору все разрешения, предоставляемые группами ролей, в которые он входит.
Если ни одна из групп ролей, включенных в Exchange 2013, не имеет необходимых разрешений, вы можете использовать EAC для создания группы ролей и добавления ролей с нужными разрешениями. Для создания новой группы ролей выполните следующие действия.
- Выберите имя для группы ролей.
- Выберите роли, которые необходимо добавить в группу ролей.
- Добавьте участников в группу ролей.
- Сохраните группу ролей.
Создав группу ролей, ею можно управлять аналогично любой другой группе ролей.
Если существующая группа ролей имеет лишь некоторые из необходимых разрешений, можно скопировать ее и внести изменения, чтобы создать новую группу ролей. Можно скопировать существующую группу ролей и внести в нее изменения, не затрагивая исходную группу. В ходе копирования группы ролей можно добавить новое имя и описание, добавить или удалить роли из новой группы и добавить новых участников. Для создания или копирования группы ролей используется то же диалоговое окно, что показано на предыдущем рисунке.
Существующие группы ролей можно также изменять. Можно добавлять и удалять роли из существующих групп ролей, а также одновременно добавлять и удалять из них участников при помощи диалогового окна Центра администрирования Exchange, аналогичного показанному на предыдущем рисунке. Добавляя и удаляя роли из группы ролей, пользователь включает и выключает административные функции для участников этой группы. Список ролей, которые можно добавить в группу ролей, см. в разделе Встроенные роли управления.
Примечание.
Хотя можно изменять состав ролей, назначаемых встроенным группам ролей, рекомендуется скопировать встроенную группу, изменить копию и затем добавить в нее участников.
Работа с политиками назначения ролей
Чтобы управлять разрешениями, предоставляемыми конечным пользователям для управления собственным почтовым ящиком в Exchange 2013, рекомендуется использовать EAC. Используя Центр администрирования Exchange для управления разрешениями конечных пользователей, можно добавлять и удалять роли, а также создавать политики назначения ролей с помощью нескольких щелчков кнопкой мыши. Для выполнения этих задач в Центре администрирования Exchange предусмотрены простые диалоговые окна, такие как диалоговое окно Политика назначения ролей, показанное на рисунке ниже.
.jpg "Диалоговое окно политики назначения ролей в EAC")
Exchange 2013 включает политику назначения ролей с именем Политика назначения ролей по умолчанию. Эта политика позволяет пользователям, почтовые ящики которых связаны с ней, выполнять следующие задачи.
- Вступать в группы рассылки, которые позволяют участникам управлять своим членством, или выходить из групп рассылки.
- Просматривать и изменять основные параметры собственного почтового ящика, такие как правила папки "Входящие", поведение средства проверки орфографии, параметры нежелательной почты и устройства Microsoft ActiveSync.
- Изменять свою контактную информацию, такую как рабочий адрес и номер телефона, номер мобильного телефона или пейджера.
- Создавать, изменять и просматривать параметры текстовых сообщений.
- Просматривать и изменять параметры голосовой почты.
- Просматривать и изменять свои программы в marketplace.
- Создавать групповые почтовые ящики и подключать их к спискам Microsoft SharePoint.
Чтобы добавить или удалить разрешения из политики назначения ролей по умолчанию или какой-либо другой политики назначения ролей, можно использовать Центр администрирования Exchange. Соответствующее диалоговое окно аналогично показанному на предыдущем рисунке. Открыв политику назначения ролей в Центре администрирования Exchange, установите флажки рядом с ролями, которые вы хотите назначить этой политике, и снимите флажки рядом с ролями, которые необходимо удалить. Изменения, внесенные в политику назначения ролей, применяются к каждому связанному с ней почтовому ящику.
Чтобы назначить разные разрешения конечных пользователей разным типам пользователей организации, можно создать новые политики назначения ролей. Диалоговое окно для создания политики назначения ролей аналогично показанному на предыдущем рисунке. Можно указать новое имя для политики назначения ролей и затем выбрать роли, которые нужно назначить этой политике. Создав политику назначения ролей, вы можете связать ее с почтовыми ящиками при помощи Центра администрирования Exchange.
Чтобы переопределить политику назначения ролей по умолчанию, необходимо использовать командную консоль. При переопределении политики назначения ролей по умолчанию все создаваемые почтовые ящики будут связываться с новой политикой назначения ролей по умолчанию, если таковая не была явно указана. Политика назначения ролей, связанная с существующими почтовыми ящиками, не изменяется при выборе новой политики назначения ролей по умолчанию.
Примечание.
Если установить флажок для роли, у которой есть дочерние роли, флажки для этих дочерних ролей также устанавливаются. Если снять флажок для роли, у которой есть дочерние роли, флажки для этих дочерних ролей также снимаются.
Подробные сведения о создании политики назначения ролей, а также о внесении изменений в существующие политики назначения ролей см. в следующих разделах:
Документация по разрешениям
В следующей таблице содержатся ссылки на разделы, которые помогут вам узнать о разрешениях в Exchange 2013 и управлять ими.
| Статья | Описание |
|---|---|
| Understanding Role Based Access Control | Сведения о каждом из компонентов RBAC и о том, как создать расширенные модели разрешений, когда групп ролей и ролей управления недостаточно. |
| Общие сведения о разрешениях для нескольких лесов | Сведения о реализации разрешений RBAC в организациях с лесами учетных записей и ресурсов. |
| Общие сведения о разделенных разрешениях | Узнайте, как разделить управление Exchange и субъектом безопасности с помощью разбиения разрешений RBAC и Active Directory. |
| Сведения о сосуществовании разрешений в Exchange 2007 и Exchange 2010 | Настройте разрешения для включения администрирования Exchange 2013 в существующих организациях Exchange 2007 и Exchange 2010. |
| Управление группами ролей | Настройте разрешения для администраторов Exchange и специализированных пользователей с помощью групп ролей. |
| Управление участниками группы ролей | Добавление и удаление участников в группах ролей. Добавляя и удаляя участников в группах ролей и из нее, вы настраиваете пользователей, которые могут администрировать функции Exchange. |
| Управление группами связанных ролей | Настройка разрешений для администраторов Exchange и специализированных пользователей в развертываниях Exchange с несколькими лесами. |
| Управление политиками назначения ролей | Настройте функции, к которым конечные пользователи имеют доступ в своих почтовых ящиках с помощью политик назначения ролей. |
| Изменение политики назначения для почтового ящика | Настройка применения политик назначения ролей к одному или нескольким почтовым ящикам. |
| Создание группы связанных ролей, которые зеркально встроенные группы ролей | Повторно создайте встроенные группы ролей в виде связанных групп ролей в развертываниях Exchange с несколькими лесами. |
| Просмотр эффективных разрешений | Просмотр пользователей, имеющих разрешения на администрирование функций Exchange. |
| Разрешения на функции | Дополнительные сведения о разрешениях, необходимых для управления функциями и службами Exchange. |
| Дополнительные разрешения | Используйте расширенные функции RBAC для создания высоко настраиваемых моделей разрешений в соответствии с потребностями любой организации. |